« Information will be mine ! » : vers un droit de propriété sur les données en Europe ?
– S.I.Lex – - calimaq, 3/05/2017
Le Conseil National du Numérique a rendu, il y a quelques jours, un avis à propos d’une consultation lancée en janvier dernier par la Commission européenne sur la question de la « libre de circulation des données en Europe ». Cela fait un moment que la Commission veut lancer une initiative en faveur du « Free Flow of Data » – la « fluidification des données » – dans l’optique de créer de nouvelles opportunités économiques au sein du Marché unique.
L’avis du CNNum est particulièrement intéressant et en voici un résumé :
Pour encourager la libre circulation des données, la Commission européenne a annoncé étudier un certain nombre de pistes, législatives ou non. Parmi celles-ci figure la création d’un droit de propriété sur les données non personnelles. Or la création de valeur se fait lorsque les données sont mises en contexte et croisées afin d’en tirer des informations nouvelles. Il ne s’agit donc pas de consacrer une propriété des données, mais bien au contraire, de penser des régimes d’accès et d’échanges de données pour encourager cette création de valeur. En effet contrairement à l’idée répandue, la propriété ne facilite pas nécessairement les échanges mais peut au contraire les limiter. De manière générale, la libre circulation des données doit s’envisager entre les plateformes et pas uniquement entre les territoires. Ce sont ces nouvelles formes de partage qui sont la condition essentielle au développement d’une économie européenne de la donnée.
On lit donc que la Commission envisage l’instauration d’un nouveau « droit de propriété sur les données non-personnelles ». Ce n’est absolument pas anodin et on peut même dire qu’il est assez inquiétant de voir la Commission avancer ce genre de propositions. Car une telle réforme pourrait constituer un véritable renversement de paradigme dans la manière dont le droit appréhende les données et les informations.
Un nouveau de droit de propriété sur les données « captées » ?
Dans le questionnaire de la Commission sur l’économie européenne des données, on peut lire ceci :
Would you agree with the following statement: More data would become available for re-use if the companies active in the production and market commercialisation of sensor-equipped machines, tools or devices were awarded an exclusive right to license the use of the data collected by the sensors embedded in such machines, tools and/or devices (a sort of sui generis intellectual property right).
Etes-vous d’accord avec la proposition suivante ? : Davantage de données seraient rendues disponibles pour être réutilisées si les entreprises qui produisent et commercialisent des machines, des outils ou des appareils équipés de senseurs se voyaient attribuées un droit exclusif d’autoriser par voie contractuelle l’usage des données collectées par les senseurs intégrés dans ces machines, outils et ou appareils (une forme de droit de propriété intellectuelle sui generis).
Et plus loin :
Would you agree with the following statement: More data would become available for re-use if the persons or entities that operate sensor-equipped machines, tools or devices at their own economic risk (« data producer ») were awarded an exclusive right to license the use of the data collected by these machines, tools or devices (a sort of sui generis intellectual property right) to any party it wishes (subject to legitimate data usage exceptions for e.g. manufacturers of the machines, tools or devices).
Etes-vous d’accord avec la proposition suivante ? : Davantage de données seraient rendues disponibles pour réutilisation si les personnes ou entités qui opèrent des machines, outils ou appareils équipés de senseurs en assumant le risque économique lié (« producteurs de données) se voyaient attribuées un droit exclusif d’autoriser par voie contractuelle l’usage de ces données collectées par ces machines outils ou appareils (une forme de droit de propriété intellectuelle sui generis) à toutes les parties souhaitées (avec des exceptions prévues pour certains usages légitimes, comme ceux des fabricants de ces machines, outils ou appareils).
On est donc dans le champ de ce que l’on appelle les « Objets Connectés » ou « Internet des Objets« . La question est de savoir s’il serait opportun de créer un nouveau droit de propriété intellectuelle, spécialement conçu pour ces activités (droit dit sui generis) et on voit que la Commission oscille entre deux options : soit ce nouveau droit exclusif serait attribué aux fabricants des objets connectés, soit à ceux qui utilisent des objets connectés pour capter des données. Imaginons une société de transports qui s’équipe d’une flotte de véhicules connectés : soit les données collectées par le biais des senseurs installés dans les voitures appartiendraient au constructeur (Tesla ou Google par exemple), soit les données appartiendraient à la société propriétaire de ces véhicules. Cela fait une certaine différence…
Le CNNum pointe d’ailleurs à raison dans son avis ce flottement, comme source d’incertitudes juridiques redoutables si ce nouveau droit venait à être instauré par la législation de l’Union :
il serait très difficile de déterminer les régimes de propriété et leurs bénéficiaires : qui possède une donnée ? Celui qui possède le capteur ? Celui qui possède l’immeuble dans lequel se situe le capteur ? Celui qui fait l’objet de la mesure par le capteur ? Contrairement à l’objectif affiché de clarification du cadre légal, une telle mesure multiplierait dès lors les risques de contentieux autour des contrats encadrant de tels échanges. L’insécurité juridique pourrait être ainsi considérablement accrue.
Au-delà du droit des bases de données
Ce qui fait la nouveauté dans la proposition de la Commission, c’est qu’elle envisage la création d’un nouveau droit qui porterait directement sur les données, alors que jusqu’à présent, la propriété intellectuelle ne s’est jamais saisie des informations en tant que telles.
Il existe en effet un droit des bases de données, créé en 1996 par le biais d’une directive européenne, qui a mis en place un système de double protection juridique. Le producteur qui réalise des investissements substantiels pour créer une base de données possède un droit spécial (dit sui generis) lui permettant pendant 15 ans – renouvelables à chaque nouvel investissement – de s’opposer à ce que des tiers procèdent à des extractions substantielles de données. Par ailleurs, si la structure de la base présente une originalité, elle est protégée par le droit d’auteur en tant qu’oeuvre de l’esprit, et il est alors interdit de copier cette structure pour réaliser une autre base similaire.
Ces deux droits peuvent se cumuler ou exister indépendamment l’un de l’autre. Mais ce qui est certain, c’est que le droit des bases de données n’est pas conçu comme un droit de propriété qui porterait sur les données en elles-mêmes. Il y a pu y avoir à ce sujet une ambiguïté dans les premières années d’application de ce régime, mais elle a été dissipée par la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE). De nombreux litiges sont en effet survenus pour savoir à partir de quel seuil un investissement devenait suffisamment « substantiel » pour faire naître le droit sui generis. A cette question, la Cour a répondu en 2004 de la manière suivante :
la notion d’investissement lié à l’obtention du contenu d’une base de données […] doit s’entendre comme désignant les moyens consacrés à la recherche d’éléments existants et à leur rassemblement dans ladite base. Elle ne comprend pas les moyens mis en oeuvre pour la création des éléments constitutifs du contenu d’une base de données.
Le droit est donc bien attaché à la base comme « enveloppe » contenant les données, mais pas aux données en tant que telles, dont les coûts de production ne rentrent pas dans le calcul de l’investissement substantiel donnant droit à la protection. Le contenu n’est saisi que de manière indirecte, par le biais de l’interdiction de procéder à des extractions substantielles des données, mais chaque information considérée en elle-même, n’est pas appropriée. Cette distinction peut paraître subtile, mais elle est essentielle, car c’est ce qui permet qu’existe encore un « domaine public de l’information ».
Vers une nouvelle enclosure du domaine public de l’information ?
En 2011, l’UNESCO a adopté une déclaration reconnaissant l’existence d’un « domaine public informationnel » ou « indivis mondial de l’information » :
L’UNESCO soutient fortement l’accès au domaine public informationnel ou « indivis mondial de l’information ». Ce domaine public informationnel est constitué par l’information publiquement accessible, dont l’utilisation ne porte atteinte à aucun droit légal, ne viole aucun autre droit communautaire (par exemple les droits des populations autochtones) ou n’enfreint aucune obligation de confidentialité.
Le domaine public informationnel englobe donc l’ensemble des oeuvres ou objets de droits apparentés qui peuvent être exploités par quiconque sans autorisation […]
Même si l’introduction d’un droit des bases de données a constitué une première manière de saisir juridiquement les informations, ce régime constituait quand même un compromis qui laissait persister un domaine public informationnel demeurant dans la sphère de l’inappropriable. Les faits, informations, les idées, les données constituent ainsi un bien commun, au sens de714Code Civil(« choses n’appartenant à personne et dont l’usage est commun à tous« ). Ce que la Commission laisse entendre, c’est que l’Union européenne pourrait créer un nouveau type de droit de propriété portant directement sur les données, lorsqu’elles sont captées par des senseurs. On aboutirait alors à une nouvelle forme d’enclosure informationnelle, mais bien plus profonde que les précédentes qui ne saisissaient les informations que de manière indirecte.
Ce qui est surprenant, c’est que la Commission envisage cette solution, alors même qu’elle s’est déjà montrée très sceptique sur l’efficacité du droit des bases de données. Celui-ci n’existe en effet qu’au sein de l’Union européenne et aucune étude n’a jamais réussi à établir de manière certaine que ce surcroît de protection avait donné un avantage significatif aux entreprises européennes, notamment par rapport à leurs homologues américaines. En 2016, le Parlement européen a même adressée une recommandation à la Commission lui suggérant de supprimer purement et simplement ce droit des bases de données :
Le parlement Européen note que l’évaluation par la Commission Européenne de la directive sur le droit des bases de données conclut que ce dispositif nuit au développement d’une économie de la donnée (« data-driven ») européenne ; il appelle la commission à en tirer les conséquences qui s’impose en supprimant la directive 96/9/EC.
On comprend mal du coup comment la Commission peut à présent envisager de créer encore une nouvelle couche de droits sur les données, alors que la précédente s’est avérée, de son propre aveu, au mieux inutile et au pire néfaste pour l’économie européenne.
Le retour du risque de patrimonialisation des données personnelles
Le CNNum pointe un autre problème lié à cette idée de création d’un nouveau droit de propriété portant directement sur les données. La Commission précise bien que ce régime ne s’appliquerait qu’aux données « non-personnelles ». Mais comment distinguer ce qui relève des données à caractère personnel de celles qui ne le seraient pas, surtout dans un domaine aussi sensible que celui des objets connectés ?
De plus, la frontière entre données personnelles et données non-personnelles est très fine compte tenu des risques réels de réidentification. En effet, les limites de l’anonymisation et de la pseudonymisation ayant été maintes fois démontrées, il n’existe pas, à ce jour, de garanties techniques à l’exclusion des données personnelles d’un tel droit patrimonial. Ce changement de paradigme risque par conséquent de créer un effet domino et de concerner à terme l’ensemble des données. Or l’introduction d’un système patrimonial pour les données à caractère personnel est une proposition dangereuse à plusieurs titres. Elle remettrait en cause la nature même de cette protection pour les individus et la collectivité dans une société démocratique, puisque la logique de marchandisation s’oppose à celle d’un droit de la personnalité placé sur le terrain de la dignité humaine.
Cette objection est d’autant plus justifiée que l’idée de créer un droit de propriété privée sur les données personnelles revient périodiquement, poussée par des intérêts puissants. En 2014, le CNNum avait déjà eu l’occasion de critiquer cette conception dans un rapport consacré à la neutralité des plateformes. Quelques mois plus tard, alors que commençaient les travaux préparatoires de la loi République numérique, c’est le Conseil d’Etat qui avait lui aussi rejeté l’idée d’instaurer un droit de propriété sur les données personnelles dans son rapport sur le numérique et les droits fondamentaux :
Le rééquilibrage de la relation entre les éditeurs de services numériques et les internautes, qui découlerait de la reconnaissance d’un tel droit de propriété, apparaît largement illusoire. Sauf pour des personnalités d’une particulière richesse ou notoriété, la valeur des données d’un seul individu est très limitée, de l’ordre de quelques centimes ou dizaines de centimes […] Le rapport de force entre l’individu, consommateur isolé et l’entreprise, resterait marqué par un déséquilibre structurel.
Par définition, un droit de propriété est cessible à des tiers. Reconnaître aux individus un droit patrimonial sur leurs données, c’est donc courir le risque qu’ils se dépouillent eux-mêmes de leurs droits par le biais de cession contractuelle, et ce d’autant plus que l’on voit déjà apparaître des places de marchés proposant aux individus de commercialiser leurs propres données.
C’est ce type de risques que le CNNum pointe à nouveau dans son avis et il estime que ce droit de propriété sur les données non-personnelles pourrait très bien à terme constituer un « cheval de Troie » pour réintroduire l’idée d’une patrimonialisation des données personnelles. Or ce n’est pas la direction prise par la législation européenne, qui a préféré rester fidèle à la conception « personnaliste » des données personnelles avec le Règlement Général de Protection des Données adopté en 2016, qui garantit les droits fondamentaux des individus distincts de la propriété.
Toujours plus loin dans l’idéologie propriétaire…
On a vraiment l’impression que les institutions européennes s’enfoncent toujours plus loin dans le paradigme propriétaire, avec des dommages collatéraux considérables sur le domaine public informationnel. Tout se passe comme si la Commission restait bloquée sur les vieilles conceptions de la « Tragédie des Communs« , véhiculées notamment par Garret Hardin à la fin des années 60. Dans cette vision, on ne peut aboutir à une gestion efficace des ressources qu’à la condition de distribuer des droits de propriété sur tout ce qui est susceptible d’avoir une valeur, de manière à les faire régenter par les mécanismes du marché. C’est cette approche qui a conduit historiquement à l’enclosure progressive des Communs fonciers et on voit le même processus se répéter avec les Communs informationnels.
Cette nouvelle offensive de la Commission européenne fait écho à d’autres évolutions inquiétantes. Depuis quelques années, la Cour de Justice de l’Union Européenne développe ainsi une jurisprudence qui tend à soumettre les liens hypertexte à l’emprise du droit d’auteur, par le biais d’un usage extrêmement contestable du concept de « communication au public ». Là où l’établissement de liens hypertexte est resté pendant longtemps un acte libre et un constituant essentiel de la liberté d’information, des restrictions de plus en plus fortes apparaissent qui peuvent à terme fragiliser les liens hypertexte et littéralement finir par « casser Internet ». Une autre discussion est actuellement en cours au niveau du Parlement européen pour créer un nouveau droit voisin au profit des éditeurs de presse de manière à pouvoir contrôler l’indexation de leurs contenus par les moteurs de recherche. Ce serait encore un nouveau recul dans la liberté de traiter et de diffuser l’information.
On le voit, un étau juridique de plus en plus dense se resserre autour des données. On se souvient de la phrase « Information wants to be free » (l’information veut être libre) prononcée par Stewart Brand en 1984, qui est longtemps restée un des mots d’ordre de la révolution numérique. Mais les temps ont changé et aujourd’hui, on sent que la tendance est plutôt à « Information will be mine ! » (l’information sera à moi !), parce que de nombreux acteurs font pression pour que la propriété intellectuelle s’étende toujours plus loin, jusqu’à leur permettre de se saisir des données en elles-mêmes.
Dystopie en marche…
Il est assez significatif que ce soit l’Internet des Objets – surnommé par certains The Internet of Shit – qui provoque cette tentation d’une appropriation des informations. Il n’est en effet quasiment pas une semaine sans qu’un bidule connecté (poupée, brosse à dents, assistant personnel, montre, préservatif, tout y passe !) n’apporte un nouveau scandale, généralement à base de fuite de données personnelles et d’atteintes gravissimes à la vie privée…
Imaginez à présent que l’on fasse miroiter aux acteurs économiques du secteur la possibilité de bénéficier d’un droit de propriété sur les données directement captées par les senseurs incorporés dans ces objets qui s’accumulent autour de nous, sans même avoir à faire les investissements pour les rassembler dans une base de données. Nul doute que l’on trouvera beaucoup d’entreprises pour défendre une telle idée…
Mais comme le fait très justement remarquer le CNNum, en quoi ce nouveau droit de propriété constituera-t-il un atout pour faire mieux circuler les données en Europe ? C’est tout l’inverse qui risque de se produire au contraire. Ce droit sui generis sera une nouvelle barrière et un instrument très utile pour conforter les monopoles de fait qui pourraient naître dans le secteur des objets connectés. Pour parer à ce genre de risques, le CNNum propose au contraire d’imposer aux plateformes des « obligations de mise à disposition de base de donnée sous licence non-discriminatoire » dans les secteurs où les données peuvent être considérées comme des « infrastructures essentielles« .
C’est par exemple ce que l’Etat de Californie a fait dès 2014 en réquisitionnant les données de trafic collectées par les véhicules d’Uber, considérant qu’elles avaient une valeur trop importante pour les laisser entre les mains d’un seul acteur. Mais on aboutit alors à une idée exactement inverse de celle de créer une nouvelle couche de droits pour les données. Ce qui importe au contraire, c’est de maximiser leur valeur à d’usage et d’éviter que des acteurs à tendance monopolistique n’emmagasinent à titre exclusif des masses de données sans les partager avec leur écosystème. Dès lors, on retombe sur la notion de « données d’intérêt général », un temps explorée par la Loi République numérique, mais finalement réduite à peu de choses dans le texte final.
***
Espérons à présent que la Commission ne cédera pas à ces nouvelles sirènes en venant poser de nouveaux verrous sur les données et l’information. C’est aussi pour parer à ce genre de dérives qu’il aurait été fondamental que la loi République numérique consacre la notion de domaine commun informationnel, en protégeant les données, les faits, les idées et les informations contre les risques d’accaparement. On mesure aujourd’hui combien il est dommageable que le gouvernement ait cédé aux lobbies et reculé sur ce point.
Classé dans:Domaine public, patrimoine commun Tagged: CNNum, Commission européenne, données, données personnelles, droit de propriété, droit des bases de données, informations, Union européenne