[data] la monétisation des données personnelles : quelles contraintes juridiques ? [conférence Converteo 11 décembre 2018]

[11 décembre 2018] A l’invitation de Converteo, société de conseil spécialisée dans la transformation digitale, nous allons évoquer le problème crucial de la monétisation des données personnelles. Et comme la matière est aujourd’hui réglementée par le Règlement UE « RGPD-GDPR » n°2016/679 du 27 avril 2016, nous envisagerons simultanément les éléments du projet « e-Privacy », ce fameux projet de règlement relatif à la protection de la vie privée dans les communications électroniques, dont l’adoption (malgré son caractère inéluctable) tarde un peu depuis le premier projet du 20 janvier 2017.  

Mais avant toute chose, il est nécessaire de faire un point technique et juridique pour savoir de quoi l’on parle. 

L’univers numérique a profondément transformé la notion même de données à caractère personnel. Pour bien comprendre comment le droit encadre la technique aujourd’hui (et demain), il faut d’abord distinguer (i) les données de « contenu », (ii) les « métadonnées » et (iii) les « données à caractère personnel ».

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : les « données de contenu » ?

La notion de « contenu » est la plus simple à maitriser. C’est « tout contenu » qui peut être mis dans une enveloppe, avant d’être « posté ». Cela fonctionne de la même manière pour les communications électroniques, qu’il s’agisse de consulter le contenu d’un site web, ou d’envoyer un email ou un message sur une messagerie instantanée, ou d’échanger une communication téléphonique (via un réseau 3G / 4G / 5G ou une application de messagerie audio ou vidéo).

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : les « métadonnées » ?

Reprenons la métaphore de la lettre et de l’enveloppe. Les métadonnées ? Ce sont les mentions sur l’enveloppe confiée à la Poste ! Ce sont le nom et les coordonnées postales du destinataire, le timbre (le prix de la communication) avec la date et le lieu d’oblitération de la Poste, et parfois le nom de l’expéditeur. En réalité, dans l’univers des communications électroniques, la notion de métadonnées est absolument identique : ce sont l’ensemble des données techniques permettant de transporter un contenu depuis un terminal vers un autre terminal. Mais la quantité de métadonnées y est beaucoup plus importante que dans l’univers de la lettre « papier ».

Pour s’y retrouver dans toutes ces données techniques, pour distinguer « contenu » et « métadonnées », il suffit de se poser 4 questions : « qui » envoie du contenu et à « qui », « d’où » le contenu part-il et vers quelle destination ? « quand » le contenu est transporté ? Enfin, « comment » est transporté le contenu (quelle appli ? par quel réseau de communication ? vers quel type de terminal ?).

Si la question est « quoi » ou « qu’est-ce que c’est c’est », cette question tend à décrire un « contenu », pas à identifier une métadonnée.

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : les « données  à caractère personnel » ?

Si l’on sait « qui » échange du contenu avec « qui », se pose alors le problème de l’identification de l’expéditeur du contenu et celui de son destinataire. Sur une lettre « papier », pas de problème : les données relatives au destinataire nommé (Monsieur / Madame Truc / adresse / ville / pays) sont manifestement des données permettant l’identification directe d’une personne physique. Il ne viendrait plus aujourd’hui plus à l’esprit de personne de contester qu’il s’agit bien de « données à caractère personnel« .

Le problème est plus ardu lorsqu’il s’agit de l’identification de l’expéditeur et du destinataire d’une communication électronique. Historiquement, les opérateurs de services web (comme Google avec son moteur de recherche ou Facebook avec son réseau social) expliquaient qu’ils n’identifiaient pas une « personne » mais seulement un terminal (???). Cette argumentation leur permettait (selon eux) d’échapper à l’application soit de la Directive 95/46 sur les données personnelles (aujourd’hui remplacée par le RGPD-GDPR), soit de la Directive 2002/58 « vie privée et communications électronique » en cours de remplacement par le (projet de) Règlement « e-Privacy » (voir version 3 du 4 mai 2018).

Car c’est bien ainsi qu’il faut intégrer aujourd’hui – sans se mentir – la notion de données relatives à des personnes « identifiables » au sens du RGPD-GDPR : si un terminal est identifié avec une très très forte probabilité (99,99 %) au point de pouvoir recevoir, par exemple, de la publicité ciblée, c’est bien qu’indirectement, la personne utilisant le terminal identifié est elle-même parfaitement identifiable !

Il y a trois manières d’identifier directement un terminal (donc indirectement son utilisateur) : soit par une technique propre au prestataire de service (cookie / pixel invisible / tag / token / etc.), soit par l’utilisation d’un identifiant propre au terminal utilisé (adresse MAC, numéro publicitaire mobile pour les smartphones), soit enfin par une identification de la technique de communication utilisée (l’adresse IP pour une communication web, etc.).

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


« données de contenu » – « métadonnées » et « données à caractère personnel » : tout est dans le slider ci-dessous.



la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : la légalité du business de la data

Voyons maintenant le thème du jour : quelle licéité pour le business de la data ? Pour pouvoir monétiser des données personnelles, il faut avoir pris soin de « tout bien faire  » au moment de la collecte des précieuses data. Pour le professionnel, il s’agit principalement d’informer les personnes dont les data sont traitées sur les finalités du traitement et ses destinataires.

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : « qui » est propriétaire de « quoi » ?

Vous voulez faire du marketing direct avec les data de votre entreprise ? Vous voulez agir comme prestataire de croisement de données pour vos clients ? Le business de la data est tout à fait possible pour qui veut bien se donner la peine de respecter les règles du jeu.

Commençons par un rappel : vous ne pouvez « commercialiser » des data que si vous êtes le « producteur » de la base de données qui contient ces data.

« Producteur » ? « Base de données » ? Il faut impérativement se poser les bonnes questions. Et c’est ici encore une règlementation UE (Directive 96/9 du 11 mars 1996) qui vous permettra de faire les choses correctement. L’analyse du régime du droit des bases de données (qui est producteur du contenu d’une base de données ? quels droit pour le producteur ?) est dans la présentation en BD dans le slider en fin de ce post.

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : quelles obligations pour le responsable du traitement ?

L’entreprise qui collecte des données personnelles est doit être le « producteur » de la base de données, puisque c’est l’entreprise « qui détermine les finalités et les moyens » du traitement. Et si l’entreprise est « responsable du traitement » (« data controller » en Shakespeare dans le texte), c’est sur elle que « tombent' » l’ensemble des obligations RGPD-GDPR.

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : collecte directe ou collecte indirecte ?

C’est le sujet qui fâche… Si moi, entreprise, je collecte des données, et que je dois informer les internautes de ce que je compte faire avec mes données, il faut que je le précise lors de la collecte ? La réponse est OUI ! Et le RGPD-GDPR distingue selon que les données aient été collectées directement par le responsable du traitement (art.13 RGPD) ou indirectement (art.14 RGPD). Dans les 2 cas, il faudra préciser la finalité du traitement et ses destinataires !!!

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : l’information obligatoire en cas de collecte directe

Dès la collecte, il faut informer l’internaute / le mobinaute / le client / le prospect… des « destinataires » des données personnelles collectées et traitées. Dès le départ. Il faut donc se demander dès l’origine si les data sont destinées à être commercialisées au profit de tiers.

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : l’obligation d’information en cas de collecte indirecte

C’est quoi une « collecte indirecte » de données à caractère personnel ? C’est précisé dans le RGPD-GDPR !

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


Et lorsqu’une entreprise loue / vend un fichier de données personnelles, que doit-elle faire ? Elle doit indiquer la « source » des données !!!

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : la nouvelle finalité « compatible et le changement de finalité

Il est tentant lorsqu’on dispose d’un gros stock de data de s’en servir sans trop regarder la finalité initiale de collecte…. 

Si une entreprise souhaite utiliser les data pour une nouvelle finalité « compatible » avec la finalité initiale, le RGPD pose une série de 5 critères (pas très clairs) pour encadrer ce type de réutilisation.

Si en revanche, la finalité est vraiment nouvelle (par exemple, transfert à un tiers qui n’était pas prévu), alors là, c’est simple : il faut informer à nouveau.


la monétisation des données personnelles : le droit général d’opposition à prospection

C’est un point central du RGPD-GDPR : si les data servent à faire de la prospection commerciale, il faut systématiquement rappeler à la personne destinataire des messages de prospection de droit d’opposition de l’article 21.2 RGPD-GDPR. Cette obligation vaut aussi pour la publicité ciblée (que l’on m’explique en quoi la pub ciblée ne serait pas de la prospection…).


la monétisation des données personnelles : le risque de sanction pour défaut d’information des personnes ?

En cas de « défaut » d’information des personnes concernées (collecte sans information préalable, finalité floue, ou nouvelle finalité sans information), le niveau maximum de sanction s’appliquera, à la discrétion de l’Autorité de contrôle.


la monétisation des données personnelles : tout est dans le contrat ! 

Si l’entreprise peut prouver être « producteur » des données qu’elle entend commercialiser, à son profit ou au profit de partenaires contractuels, et qu’elle a bien respecté l’ensemble du dispositif RGPD, ne reste plus qu’à rédiger le contrat de service…

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


Pas fou, le sous-traitant à qui l’entreprise va demander de « mouliner » ses données prendra soin d’obtenir des garanties contractuelles comme quoi les personnes concernées (celles dont les données personnelles sont traitées) auront été prévenues de la manière dont les data seront traitées / cédées / louées / etc. conformément au RGPD-GDPR. ça s’écrit très bien et c’est parfaitement légitime de la part du sous-traitant.

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


De son coté, le responsable du traitement demandera également des garanties à son sous-traitant, pour s’assurer que ce dernier ne fasse pas « n’importe quoi » avec les précieuses data. 

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : une collecte AVEC ou SANS consentement ?

C’est le dernier point à retenir avant d’envisager toute monétisation des données personnelles : comment organiser la collecte ? La jurisprudence récente (arrêt du Conseil d’Etat du 6 juin 2018 « Croque Futur ») impose par exemple en matière de cookies des conditions strictes : 

  • si le cookie est « purement technique » (par exemple pour retenir le choix de la langue préférée de l’internaute), les données personnelles peuvent être collectées SANS consentement (mais toujours AVEC information préalable);
  • S’il s’agit de faire du « profilage » ou du croisement de data, il faudra s’assurer dès le départ du consentement de la personne dont les données personnelles sont traitées.

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles : la présentation complète en BD dans le slider ci-dessous


 

la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies


la monétisation des données personnelles [Ledieu-Avocats] droit du numérique droit des nouvelles technologies