RGPD : des données mieux protégées mais pas plus faciles à valoriser
L’entrée en vigueur du règlement européen sur la protection des données améliore la protection des individus en ce qui concerne leurs données personnelles, dont le champ est élargi. Mais il ne clarifie pas pour autant les façons de valoriser les data.
Depuis le 25 mai, le RGPD (Règlement général sur la protection des données) est entré en vigueur. Vous n’avez pas pu le manquer : comme tous les citoyens européens, votre boîte mail s’est retrouvée saturée de courriers, les uns vous assurant que les données fournies à tel ou tel organisme ne seront pas partagées avec un tiers sans votre accord, les autres vous demandant votre « accord explicite » de demeurer dans telle ou telle base de données. Adopté en 2016 par le Parlement européen, ce texte « encadre le consentement à partager ses données personnelles à titre individuel », résume Rémi Laurent, directeur adjoint Innovation, recherche et développement à la chambre d’agriculture de Normandie. Et pour ce faire, il impose aux entreprises de s’assurer de l’accord des personnes quant à la collecte de leurs données et aux utilisations qui en seront faites. Le règlement leur fixe deux obligations : tenir un registre de l’ensemble des traitements de données qu’elles réalisent et s’assurer que pour une opération précise, elles ne traitent que les données qui leur sont nécessaires.
Droit à l’effacement et à la portabilité des données personnelles
« Il y a là une volonté de sécuriser les données personnelles, en gardant des traces des process qui permettent de fournir des preuves a posteriori », indique Marine Pouyat, juriste spécialisée dans les nouvelles technologies. Pour la professionnelle, « ce règlement s’inscrit dans la continuité de ce qui existait déjà. Son objectif est essentiellement de prendre en compte la technologie, le digital qui n’existait pas lorsque les principaux textes régissant le partage des données ont été votés, soit en 1978 pour la loi Informatique et libertés ou en 1995 pour la directive européenne sur la protection des données ». Dans cet esprit, le texte donne le choix aux personnes de faire ce qu’elles veulent de leurs données personnelles, établissant notamment le droit à l’effacement mais aussi à la portabilité. « Dans le domaine du streaming musical, la playlist d’une personne devra pouvoir migrer d’une plateforme à l’autre si celle-ci le souhaite », indique par exemple Marine Pouyat. Pour favoriser l’application de cette législation, Bruxelles a prévu des pénalités importantes : « en cas de manquement, les montants des sanctions sont alignés sur le droit de la concurrence, analyse la juriste. Une entreprise peut encourir une pénalité équivalente à 4 % de son chiffre d’affaires mondial ».
Reste à identifier ce que sont les données personnelles. « Ce texte a excessivement élargi leur champ, puisqu’il s’agit de toute information qui permet d’identifier directement ou indirectement une personne physique », considère la juriste. Autrement dit, « dès lors que l’on peut rattacher une donnée à quelqu’un, elle est personnelle », résume Thibault Douville, codirecteur du master droit du numérique à l’université de Caen et professeur à l’université du Mans. Ces données peuvent donc être produites tant dans le cadre privé que professionnel. Une bonne partie des data présentes sur les fermes sont potentiellement concernées. « Parce qu’elles vont contenir des informations personnelles sur les salariés de l’exploitation telles que leurs noms et prénoms, les données de comptabilité seront considérées comme telles, note Thibault Douville. De même pour un fournisseur qui n’est pas une entreprise dotée d’une personnalité morale, tel un exploitant agricole : on est en présence de données personnelles ». Autre cas, celui des données saisies dans les logiciels de gestion parcellaire : rattachées par nature à une exploitation, donc pour les structures individuelles au moins, à une personne, elles peuvent être considérées comme personnelles. À ce titre, les concepteurs de ces logiciels risquent de devoir autoriser leur transfert si l’utilisateur veut changer de fournisseur…
Des situations à examiner au cas par cas
Dans les faits, le caractère personnel de la donnée est très subtil. « Un capteur qui mesure un rendement produit des données brutes qui, telles quelles, ne sont a priori pas reliées à des informations personnelles », estime Thibault Douville. Mais les situations sont à examiner au cas par cas. « Les données produites par une station météo installée sur une parcelle et rattachée à une commune entrent dans la catégorie des données brutes, mais si la commune ne compte qu’un seul agriculteur, elles deviennent des données personnelles : l’agriculteur est identifiable », poursuit le professeur. « Nous sommes dans l’interprétation, on n’a pas de réponse nette, estime de son côté Rémi Laurent. Il faudra attendre la jurisprudence. »
Pour simplifier un peu les choses, la FNSEA a lancé le 12 juin une charte sur l’utilisation des données agricoles au sens large. « Nous avons travaillé sur 13 axes dans l’objectif d’instaurer un climat de confiance entre les agriculteurs et leurs partenaires, explique Guillaume Joyau, chargé d’études économiques à la FNSEA. L’enjeu est de favoriser la concurrence et la R & D, mais aussi d’assurer un retour de valeurs pour les agriculteurs. » Les entreprises qui respectent la charte se voient décerner un label. « Il repose sur un audit des documents contractuels entre la structure et l’agriculteur, soit les CGU/CGV (conditions générales d’utilisation et de vente), explicite le chargé d’études. Un audit sur les process serait beaucoup plus cher et impliquerait une structure beaucoup plus lourde. » Or le syndicat souhaite que la charte soit adoptée par le plus grand nombre, pour développer les bonnes pratiques. La démarche coûte aux entreprises 1000 € jusqu’à 2 M€ de chiffre d’affaires puis 2000 € au-delà. Réalisé par un cabinet d’avocat, l’audit est valable trois ans. « Aller plus loin dans la charte signifierait que nous nous positionnons sur certaines utilisations et que d’une certaine manière, nous préjugeons de ce qui est bon pour l’agriculteur ou des usages futurs », souligne par ailleurs Guillaume Joyau.
En juillet, cinq structures, essentiellement des start-up, avaient déposé un dossier. De fait, l’audit est plus simple pour des entreprises qui ne sont pas encore en phase commerciale. Mais les coopératives devraient suivre, Coop de France étant associé au dossier.
Des contrats de transfert de données toujours valables
« Ma moiss’-batt’ est équipée d’un capteur de rendement, j’édite des cartes assez facilement, mais ces données restent sur l’exploitation. C’est pour cela que j’ai choisi Claas plutôt que John Deere et son portail connecté », remarque Gilles Lievens, agriculteur et coordinateur e-agriculture du pôle de compétitivité numérique de Normandie (pôle TES). Que font les constructeurs, collecteurs, instituts et organismes divers des données fournies par les agriculteurs ? Les valorisent-ils ? Et si oui, contre quelle contrepartie ? Les réponses demeurent assez floues. En établissant les règles d’une protection de la personne, le RGPD n’apporte pas d’éclaircissement. « Il impose de prendre des mesures vis-à-vis des données personnelles et ouvre le droit à la contestation si ce n’est pas le cas, analyse Thibault Douville, professeur à l’université du Mans. Mais il ne porte aucune contre-indication à la commercialisation de ces données. C’est un autre sujet. La relation entre producteur de données et utilisateur relève des stipulations contractuelles. » Le RGPD ne remet donc pas en cause les contrats liés au transfert de données, qu’elles soient ou non personnelles, dès lors qu’ils ont été signés par les deux parties…
Pas de droit de propriété pour les data
La donnée brute considérée comme une simple information : « Une donnée brute, prise individuellement, est une sorte d’information, un élément de la connaissance. Or la connaissance – comme la science, les idées, le savoir-faire – est hors du champ de la propriété intellectuelle », écrit Christophe Alleaume, professeur à l’université de Caen-Normandie, dans une publication à paraître (1). De ce fait, elle n’a donc pas de valeur intrinsèque. « C’est par la seule voie du droit commun, du droit des contrats, par exemple, ou du droit de la responsabilité et tout particulièrement du droit de la concurrence, que la collecte ou l’utilisation déloyale des données d’autrui pourrait être sanctionnée, et non sur le fondement d’un droit réel de propriété », souligne le spécialiste.
Les bases de données protégées : le droit de la propriété intellectuelle s’applique en revanche aux bases de données. Elles sont protégées par les droits d’auteur, à la condition d’être « originales » (choix dans les données collectées, dans leur présentation…). Le producteur d’une base de données est également protégé par le droit sui generis, créé par la directive européenne 96/9. Il lui permet d’interdire l’extraction ou la réutilisation du contenu de base des données.
(1) Revue de droit rural chez LexisNexis en décembre prochain.