English version HERE

Le rôle des données personnelles dans l’économie collaborative : les données comme monnaie d’échange

Les données personnelles sont essentielles à l’existence et la fonction mêmes des plateformes collaboratives. Ces dernières collectent et traitent une grande quantité de données concernant l’âge, le genre, la résidence, l’emploi, les qualifications professionnelles, le régime ou les préférences alimentaires, la condition physique, les traitements médicaux, la localisation, la situation économique des deux côtés du marché biface afin d’optimiser les mises en relation entre les utilisateurs des plateformes. Les données sont, dans un premier temps, collectées, puis analysées par des algorithmes et, enfin, utilisées afin d’assurer la fonction de mise en relation des plateformes.

La collecte des données

Les plateformes collectent les données directement auprès de leurs utilisateurs, lorsque ceux-ci renseignent et / ou téléchargent leurs données personnelles (nom, photographie, …) afin de s’enregistrer sur la plateforme, ou lorsqu’ils se connectent via un compte qu’ils possèdent déjà auprès d’un réseau social, ce qui permet aux plateformes de mettre en commun leurs données et ainsi d’obtenir un profil virtuel complet (données obligatoires). Par la suite, les utilisateurs continuent à fournir activement des données aux plateformes (localisation, préférences culturelles, situation financière, état de santé, etc.). Ces données sont nécessaires aux plateformes pour fournir les services sous-jacents, augmenter la confiance entre pairs et aux fournisseurs de services afin de développer leur image de marque (données d’usage). Les plateformes collectent également passivement des données par l’intermédiaire des navigateurs internet de leurs utilisateurs (tels que l’adresse IP), les cookies ou simplement en utilisant des statistiques. En outre, pour pouvoir recourir à leur application mobile, les plateformes exigent de leurs utilisateurs l’accès à leurs contacts, leur localisation, leurs SMS, leurs appels téléphoniques, leurs photos, leur caméra, etc. (c’est-à-dire à leurs données techniques). Ces données peuvent même être accessibles aux plateformes alors que l’application n’est pas utilisée. Les plateformes peuvent également obtenir des données personnelles auprès de courtiers, qui assurent la vente et / ou l’échange de données entre compagnies, ou même à la suite de fusions et d’acquisitions. Enfin, le croisement et l’analyse d’un ensemble de données concernant un individu, ou le croisement de données personnelles d’un utilisateur avec celles d’autres utilisateurs, permettent la création de nouvelles données.

Le traitement des données

L’intelligence artificielle permet de traiter et de tirer des conclusions rapidement à partir d’une grande quantité de données de nature diverse. L’extraction de données par des algorithmes « intelligents » à partir de bases de données existantes (ou data mining) permet de dégager des modèles cachés soit de manière automatique et indépendante, soit sur la base d’hypothèses et de requêtes insérées dans l’algorithme. Par exemple, les recommandations proposées par une plateforme pour un produit ou un service similaire, telles que la section « Pour vous » d’Airbnb, découlent de l’extraction des données relatives aux préférences d’un utilisateur de manière à dégager des tendances dans le comportement commercial de cet utilisateur.

L’utilisation des données

Les informations acquises, puis analysées sont utilisées, d’une part, pour assurer la mise en relation entre fournisseur et consommateur et, d’autre part, pour personnaliser la publicité et promouvoir des contenus sponsorisés. Le contenu personnalisé peut découler d’un profil psychologique dressé et attribué à l’utilisateur sur la base des données collectées, sans nécessairement se baser sur ses préférences et ses comportements en ligne. De plus, les données personnelles collectées et / ou les profils peuvent être vendus à d’autres entreprises et générer un revenu direct pour les plateformes collaboratives.

Le traitement des données, ainsi conçu, montre que les données constituent une monnaie d’échange : elles sont offertes par les utilisateurs en contrepartie des services rendus par la plateforme (ou « freemium », voy. également l’article 3, § 1^er, de la proposition de directive de la Commission concernant certains aspects des contrats de fourniture de contenu numérique), tout en représentant une marchandise que les plateformes peuvent ensuite revendre.

La protection des données personnelles dans le droit de l’Union européenne

Plutôt que de les envisager comme une monnaie d’échange, le droit de l’Union appréhende et protège les données personnelles et le droit à la vie privé sous l’angle des droits fondamentaux, notamment aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union, à l’article 16, § 1^er, TFUE, ainsi qu’à l’article 8 de la Convention européenne des droits de l’homme et dans la Convention n° 108 du Conseil de l’Europe. Le règlement général sur la protection des données (RGPD)[1], ainsi que le nouveau règlement « vie privée et communications électroniques »^[2] remplaçant la directive 2002/58/CE devraient entrer en vigueur en mai 2018 et consacrer des règles strictes en matière de protection des données et des sanctions sévères. Cependant, seulement quelques unes de ces règles, voire peut-être même aucune, ne semblent prendre en compte le rôle joué par les données dans l’économie collaborative et la manière dont les plateformes fonctionnent :

a) Le consentement donné aux plateformes est rarement aussi explicite et spécifique que les règles l’exigent. Il n’est pas certain non plus que ce consentement soit préalable, puisqu’un grand nombre d’informations (comme la géo localisation, l’adresse IP, …) sont à la disposition des plateformes avant même que le consentement ne soit donné. Il est également peu probable que le consentement soit libre lorsqu’il conditionne l’accès aux (principaux) services ou lorsqu’il existe un déséquilibre évident entre les parties (comme entre une plateforme et ses prosommateurs). Le consentement ne peut davantage être pleinement informé étant donné que les utilisateurs ne peuvent probablement pas imaginer toutes les utilisations qu’une plateforme peut faire de leurs données.

b) Les données sensibles : les plateformes collaboratives traitent des données sensibles liées aux dossiers médicaux de leurs utilisateurs, comme les maladies, les handicaps, les traitements médicaux, les résultats d’analyse, les antécédents médicaux, les allergies, la santé mentale, la consommation de stupéfiants, … En outre, le croisement de données personnelles liées à la santé et de données qui ne le sont pas permet l’établissement d’un profil médical détaillé. En effet, mêmes les données les plus anodines, ne se rapportant pas à la santé, lorsqu’elles sont collectées sur une période de temps significative, puis croisées et analysées, peuvent révéler des informations sur l’état de santé d’un utilisateur et, par conséquent, être considérées comme des données concernant la santé. D’autres données, telles que l’itinéraire souvent suivi par des clients d’Uber, peuvent révéler leur préférences et leur vie sexuelles, comme le célèbre scandale « Rides of Glory » d’Uber l’a montré[3]. Dès lors, il est nécessaire de vérifier, plateforme par plateforme, selon les algorithmes utilisés et l’usage qui en est fait, quelles données doivent être soumises aux règles plus strictes de l’article 9 du RGPD.

c) Le droit à l’oubli a été reconnu par la CJUE dans l’arrêt Google Spain^[4], et a été consolidé dans le RGPD, en son article 17. Cependant, le RGPD ne clarifie pas comment / si un utilisateur pourrait exiger l’effacement de ses données personnelles fournies à l’occasion d’un service déjà presté et consommé, si un tel droit peut être cédé à la plateforme et si des tiers affectés (par exemple, parce que leur notation a été réduite) ont leur mot à dire quant à un éventuel effacement.

d) Le profilage : les personnes concernées ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage (article 22 du RGPD). Pourtant, d’innombrables décisions sont prises par des algorithmes sur la base d’un traitement automatisé, comme le signalement des activités suspectes à la suite de l’examen du contenu de messages, les décisions concernant les performances professionnelles d’un prestataire prises en fonction des avis reçus, l’utilisation des données concernant la localisation afin de mettre en contact un fournisseur avec un utilisateur, par exemple, dans le cadre d’un service de conduite, le paiement automatisé ou la suspension d’un tel paiement et même le licenciement d’un fournisseur de services. A moins d’introduire des mécanismes de contrôle impliquant une intervention humaine à chaque phase du processus de décision (et donc de le ralentir), les plateformes violent l’article 22 du RGPD.

La protection des données en dehors de l’Union européenne

Les difficultés soulevées par le RGPD se complexifient lorsque la plateforme est située dans un Etat tiers. Le RGPD peut produire des effets extraterritoriaux de sorte que la Commission peut exiger d’une plateformes l’accès à ses dossiers. Parallèlement, la libre circulation des données entre un Etat tiers et l’Union nécessiterait l’adoption d’une décision par la Commission constatant que le niveau de protection garanti par cet Etat tiers est substantiellement équivalent à celui garanti par le RGPD. Or, de telles décisions sont étroitement contrôlées, et souvent annulées, par la Cour (voy. arrêt de la Cour du 6 octobre 2015, Maximillian Schrems c. Data Protection Commissioner, C-362/14, EU:C:2015:650 et l’affaire Digital Rights Ireland c. Commission, T-670/16, J.O. C 410 du 7 novembre 2016).

Les données à caractère non personnel

Combinées aux données personnelles, les données non personnelles peuvent également être utilisées à l’encontre des intérêts des personnes concernées. Uber a ainsi révélé que « des clients désespérés par le faible niveau de leur batterie sont prêts à payer jusqu’à dix fois plus que d’habitude pour un trajet en voiture  »^[5]. Dès lors, une plateforme pourrait modifier sa politique des prix en fonction du niveau de batterie de ses utilisateurs. Les consommateurs pourraient donc être négativement affectés par des informations alors même que ces dernières ne sont pas considérées comme des données à caractère personnel et, partant, ne sont pas protégées.

La conciliation entre les données comme monnaie d’échange et les données comme droit : responsabiliser les utilisateurs ?

Il ressort des développements ci-dessus qu’il existe une tension entre la protection des données personnelles et leur utilisation par les plateformes collaboratives. Jusqu’à présent, le législateur européen et la Cour semblent privilégier la protection des données sur les autres droits qui pourraient entrer en conflit. Une telle attitude paraît toutefois incompatible avec le développement d’une économie collaborative basée sur la manipulation massive de données.

L’information et la responsabilisation des personnes concernées sont essentielles à la protection effective de leurs données personnelles. Les utilisateurs de plateformes sont déjà plus actifs que le consommateur moyen. Ils le seront encore plus une fois conscientisés sur le contrôle qu’ils possèdent sur leurs données. Conformément à la culture d’autorégulation de l’économie collaborative, les plateformes pourraient donner aux personnes concernées la possibilité de choisir la manière dont leurs données sont traitées à chaque étape du processus, grâce à des boîtes de dialogue et des questions compréhensible et ne plus recourir à leurs conditions générales exhaustives. En outre, les clauses de confidentialité des plateformes pourraient être accompagnées d’un label, c’est-à-dire d’un symbole visuel expliquant les effets de leur décision[6]. « Un tel label devrait être associé à une échelle graduée selon les niveaux de protection des données, similaire aux avertissements utilisés dans l’étiquetage des produits alimentaires »[7], afin que les utilisateurs de plateformes connaissent immédiatement le niveau de protection des données garanti par la plateforme. Cela pourrait également renforcer la compétition entre les plateformes sur la base du niveau de protection des données conféré à leurs utilisateurs potentiels.

La semaine prochaine : l’économie collaborative et le droit de la concurrence

Pour revoir les posts précédents :

• Introdution: notions essentielles sur l’économie collaborative
• Qui fait quoi dans l’économie collaborative ? Qualification des relations juridiques dans les marchés bifaces
• L’accès au marché dans l’économie collaborative
• La protection du consommateur en économie collaborative

Vassilis Hatzopoulos, est professeur de droit et politiques de l’UE à l’Université Panteion d’Athènes, Professeur visiteur au Collège d’Europe, Bruges et Professeur visiteur honoraire à l’Université de Nottingham, Avocat au Barreau d’Athènes. Grand spécialiste de droit européen, il est notamment l’auteur du premier ouvrage de référence sur l’économie collaborative, The Collaborative Economy and EU Law, Oxford, Hart, 2018

 

 

 

[1] Règlement 2016/679.

[2] COM/2017/010 final.

[3] D. Perry, « Sex and Uber’s “Rides of Glory”: The company tracks your one-night stands – and much more », The Oregonian/Oregon Live (20 novembre 2014), disponible sur http://www.oregonlive.com/today/index.ssf/2014/11/sex_the_single_girl_and_ubers.html

[4] Arrêt de la Cour du 13 mai 2014, Google Spain, C-131/12 , EU:C:2014:317, point 99.

[5] O. Zezulka, « The Digital Footprint and Principles of Personality Protection in the European Union », Prague Law Working Papers Series, n° 2016/III/2, 2016, 3, ; voy. également B. Carson, « You’re more likely to order a pricey Uber ride if your phone is about to die », Business Insider, 12 septembre 2016.

[6] Cette solution a également été proposée par un rapport de la Chambre des Lords britannique, §§ 237-239.

[7] Ibid., § 235.