Economie digitale : vers une protection des données personnelles marginalisée ?

Alors que les technologies de l’information et de la communication n’ont jamais été aussi sollicitées, l’on assiste paradoxalement à la marginalisation du cadre législatif censé encadrer leur utilisation.

Une place toujours plus importante du traitement de données

Au cours des dernières années, la question de la protection des données à caractère personnel s’est invitée dans le débat public, notamment suite à la place croissante que prennent dans notre vie quotidienne les technologies de l’information et de la communication, basées sur le traitement de données personnelles (réseaux sociaux, smartphones, ou encore les objets connectés également connus comme faisant partie de l’internet des objets).

Afin de faire face à ces développements, le législateur européen a mis à jour le cadre législatif en adoptant entre autres le Règlement général pour la protection des données à caractère personnel (2016/679), directement applicable dans tous les états membres et mettant à jour la Directive originale de 1995 (le « RGPD »).

Dès lors, vu la « déferlante » des technologies de l’information et de la communication, ainsi que la mise à jour du cadre réglementaire, l’on pourrait logiquement s’attendre à une extension consubstantielle du champ d’application de ce dernier.

Une marginalisation de la protection des données personnelles ?

Pourtant, et de façon paradoxale, cette importance croissante du traitement de données pourrait conduire à une restriction de son cadre réglementaire. D’une part, de par leur utilisation dans des champs toujours plus variés, le traitement de données se confronte à des cadres juridiques préexistants, et réglementant les champs en question. D’autre part, leur utilisation pour des finalités nouvelles, par exemple comme moteur de la croissance économique européenne, suscite de nouvelles questions juridiques échappant au cadre traditionnel de la protection des données.

Le cas de la digitalisation de l’économie européenne

Dans une Communication du 10 janvier 2017 intitulée « Building a European Data Economy » (construire une économie européenne digitale), la Commission européenne partage sa vision sur le rôle majeur qu’elle attribue aux données –et en particulier au « big data », comme nouveau moteur de la croissance économique européenne.

Source : [Explorateur de données](https://www.mesdatasetmoi-observatoire.fr/explorer/social-networks/nsn-socialusage) - Mes datas et moi

Dans un contexte économique et technologique où un nombre croissant de données est généré de façon automatique par des machines connectées entre elles, les données sont sources de création de richesse, de par leur utilisation en matière d’innovation, comme outil de prise de décision et de prédiction. L’idée étant que plus les données circulent et sont réutilisées, plus elles permettent la création de valeur. Il est ainsi prévu qu’elles soient utilisées dans tous les secteurs d’activité, tels que la santé, l’environnement, la sécurité alimentaire, la lutte contre le réchauffement climatique, les politiques énergétiques, le transport, etc.

La prémisse de cette économie digitale est donc l’accès et la réutilisation illimités de données générées par des machines au quotidien. En ceci, elle s’oppose directement aux principes fondamentaux de protection des données à caractère personnel, qui prévoient au contraire que ces dernières ne peuvent être échangées et réutilisées qu’à certaines conditions précises.

Selon la Commission européenne, les données générées par les machines sont des « données brutes » (par exemple, données relatives au réchauffement climatique), à caractère non personnel, et donc échappant au régime de protection des données. Et quand bien-même ces données seraient personnelles (par exemple, données relatives à la consommation d’énergie), il suffirait de les anonymiser (le Règlement ne s’appliquant pas aux données anonymes).

La Commission considère alors plusieurs régimes juridiques alternatifs tels que la propriété intellectuelle, la protection des bases de données, ou encore la protection des secrets commerciaux. Néanmoins, aucun de ces régimes juridiques n’apparaît satisfaisant. Elle explore donc de futures pistes qui offriraient un cadre juridique permettant d’atteindre les objectifs de cette économie digitale. Sont ainsi évoquées des solutions issues du droit du marketing et de la protection des consommateurs ; du droit des contrats ; ou encore un cadre juridique prévoyant l’accès aux données contre rémunération.

Une importance croissante du traitement de données et concurrence des régimes juridiques

Alors même que la communication de la Commission européenne souligne l’importance du nouveau Règlement européen pour la protection des données personnelles, ce constat est rapidement mis de côté aux fins d’établir un régime juridique alternatif. Comme indiqué précédemment, cette stratégie doit être comprise à la lumière du fait que les logiques relatives à la protection des données personnelles d’une part et à l’économie digitale d’autre part sont diamétralement opposées. Alors que la première interdit le partage et la réutilisation par défaut, la seconde les encourage.

Afin d’échapper à l’application de la législation sur la protection des données personnelles, la Commission avance que la plupart des données générées dans le cadre de cette économie digitale sont des données dites « brutes » et donc non-personnelles. Et au cas même où elles le fussent, il suffirait simplement de les anonymiser. Cette solution est spécieuse à deux égards. Premièrement, il est communément admis qu’il est tout à fait impossible de garantir l’anonymisation des données à cent pour cent. Il existe toujours une chance de ré-identification des données. En ce sens, une donnée n’est jamais non-personnelle, car il suffit de l’associer aux identifiants idoines pour qu’elle en acquière le statut. Deuxièmement, le fait que les données ne soient pas à caractère personnel ne revêt au final qu’une importance marginale. Une des caractéristiques du « big data », duquel se réclame cette économie digitale, consiste précisément en l’utilisation de bases de données triviales (et/ou brutes) et non personnelles qui, une fois passées au crible d’algorithmes, permettent la prise de décision concernant des individus spécifiques ; rendant de la sorte la distinction entre données personnelles et non personnelles quelque peu obsolète.

L’initiative de la Commission apparaît donc dangereuse dans la mesure où elle cherche à éviter l’application des règles protégeant les données personnelles dans un secteur d’activité où elles ont justement vocation à s’appliquer.

Néanmoins, et au-delà de ces faiblesses juridiques, le fait de voir des régimes juridiques concurrents s’appliquer au traitement de données personnelles n’est au final pas nécessairement surprenant. Historiquement, les premières législations avaient des objets assez restreints (banque de données, activités de crédit) dans la mesure où l’utilisation des données n’avait pas encore acquis sa prévalence contemporaine. En ce sens, il est peut être illusoire de prétendre qu’une législation unique puisse s’appliquer à l’ensemble toujours croissant d’activités impliquant le traitement de données. C’est ainsi que la régulation des services en ligne implique un savant mélange de droit de la concurrence, de la protection des consommateurs, et de la protection des données personnelles.

Paradoxalement donc, alors que l’utilisation des données dans tous les secteurs d’activités de la vie contemporaine ne fait qu’augmenter et que l’on pourrait s’attendre à une extension parallèle du champ d’application des règles relatives à la protection de ces données, c’est une situation inverse qui pourrait bien advenir.