Data : pas de droit de propriété, mais un droit d'accès et d'utilisation
Souvent invoquée par les entreprises, la propriété des données ne se traduit pourtant par aucune réalité juridique. RGPD, Data Act, secret des affaires ne traitent nullement de la propriété. Le droit ne s'intéresse qu'à l'accès et à l'usage. Mieux vaut ainsi cartographier ces derniers, et en définir les contours précis dans un contrat, dans le cas d'un partage avec d'autres organisations.
PublicitéLes données techniques issues de machines, d'objets innovants ou d'autres objets connectés peuvent être une véritable mine d'or à exploiter dans l'industrie. Les politiques publiques en la matière, établies par les institutions de l'Union européenne, visent à favoriser autant que possible l'ouverture et le partage de ces données industrielles aux différents acteurs du marché à des fins tout à fait louables. Il peut s'agir d'accroître la compétitivité et l'innovation, d'améliorer la qualité des produits et services, ou encore d'assurer des services de maintenance.
Toutefois, les entreprises sont généralement frileuses à l'idée de devoir partager leurs données, et voient un risque d'atteinte à leurs intérêts, de fragilisation et même de menace de leur position concurrentielle sur un marché. Il est vrai qu'en partageant leurs données, elles peuvent prendre le risque de dévoiler des informations sensibles, d'atteindre au secret des affaires, de perdre leur avantage concurrentiel sur un marché ou de perdre le contrôle sur l'utilisation ultérieure de ces données.
Le bon équilibre doit être trouvé entre la création de valeur par le partage de données et le verrouillage de ces dernières au titre de la préservation des intérêts de l'entreprise, étant précisé que la protection des données par la propriété intellectuelle notamment est loin d'être évidente.
Inscrire le partage de données dans un contrat
Cet exercice d'équilibriste peut être difficile à mettre en oeuvre sur le terrain. D'autant plus que sur le plan réglementaire, la complexité et la prolifération de normes font qu'il n'est pas toujours facile de trouver le juste équilibre entre partage et rétention des données. Cela peut par exemple être le cas avec le Data Act - qui pose un principe de portabilité et de partage des données - et le Règlement général sur la protection des données (RGPD) - qui pose un principe de minimisation des traitements et des partages de données personnelles.
Afin d'éviter tout risque de non-conformité, de surprise et de désaccord entre les différents acteurs du marché, il est vivement recommandé de préciser clairement dans un contrat, si les données sont partagées entre les parties, et dans quelle mesure elles le sont. Cela permet de déterminer celles concernées par le partage, leur modalité de diffusion, d'accès et d'utilisation dans une optique de sécurisation du risque de perte de contrôle sur les données.
Le contrat est certes un outil adapté à cet exercice d'équilibriste, mais pas nécessairement équitable pour autant. En effet, le rapport de force économique entre généralement en ligne de compte entre les parties lors de la négociation commerciale, et le partage des données - lorsqu'il est encadré par contrat - peut alors rapidement tourner à l'avantage de la partie en position de force économique.
PublicitéPas de notion explicite de propriété des données en droit français
Beaucoup d'entreprises se focalisent sur la question de la propriété des données. On constate même souvent un rapport de possession par rapport à celles-ci. La propriété des données est souvent considérée comme un point clé de négociations dans de nombreuses industries. Pourtant, le droit français ne consacre pas explicitement la notion de propriété des données. Dans ce contexte, d'un point de vue juridique, il est plus exact de parler de droit d'accès et d'utilisation sur les données que de droit de « propriété ». Les termes « détenteurs » et « utilisateurs » sont plus adaptés à la réalité concrète. Si les données ont incontestablement une valeur et peuvent être une source importante de revenus, elles ne sont pas en soi appropriables par telle ou telle autre entreprise.
La propriété intellectuelle et le droit d'auteur ne confèrent pas de droit de propriété sur les données industrielles brutes. Même si les producteurs de bases de données peuvent bénéficier d'une protection spécifique dès lors qu'un investissement substantiel a été réalisé, cette protection porte sur la base de données, et non sur les données elles-mêmes. Dès lors, la protection des data d'une entreprise par la propriété matérielle, par la propriété intellectuelle ou par les bases de données est plutôt aléatoire.
En revanche, la directive de l'Union européenne sur le secret des affaires peut apporter une protection intéressante et adaptée aux données industrielles. Sont couvertes par le secret des affaires les informations qui ne sont pas généralement connues, ou qui ne sont pas aisément accessibles, et qui ont une valeur commerciale parce qu'elles sont secrètes. Néanmoins, afin d'utiliser cette réglementation, il convient d'identifier les données dont il pourrait être question et s'assurer qu'elles remplissent les conditions pour bénéficier de l'application de cette protection, voire de mettre en place toutes les mesures pour ce faire. Cela ne pourra pas être improvisé lorsque la demande d'accès sera formulée.
La question des données personnelles
Une attention particulière doit être apportée aux données personnelles qui suivent un régime juridique spécifique. Toutes les données industrielles ne sont pas des données personnelles, mais certaines d'entre elles peuvent conduire à identifier directement ou indirectement un individu et donc constituer des données personnelles au sens de la réglementation. Sur le terrain, la frontière entre les données personnelles et non personnelles n'est pas toujours aisée. Une cartographie, si cette dernière n'a pas encore été faite, est réellement indispensable.
La réglementation relative aux données personnelles confère un droit de protéger et de contrôler leur diffusion et non un droit de propriété. Les personnes concernées ont des droits sur les données les concernant, par exemple le droit à l'information sur les traitements réalisés, un droit d'accès ou un droit à la limitation du traitement. Mais le RGPD ne discute jamais de propriété.
Article rédigé par
Annabelle Richard, avocate à la Cour, attorney at law - New-York Bar, Pinsent Masons France LLP
Annabelle Richard, avocate associée au sein du cabinet Pinsent Masons France, est à la fois avocate à la Cour au barreau de Paris et avocate au barreau de l'État de New York. Spécialiste du domaine des nouvelles technologies informatiques et télécoms d'un point de vue opérationnel et réglementaire, avec des qualifications internationales, elle dispose d'une expertise spécifique dans la protection des données, le jeu et le jeu en ligne, le e-commerce, internet, la cybersécurité, etc.
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire