Qu'est-ce qu'une donnée personnelle?

En mai dernier, Facebook a annoncé étendre la protection européenne à ses utilisateurs dans le monde entier. Le règlement européen sur la protection des données (RGPD), entré en vigueur au sein de l'Union européenne en mai 2018, définit une donnée personnelle comme "toute information qui, directement ou indirectement, peut être rattachée à une personne physique", expose à l'AFP Etienne Papin, avocat associé du cabinet Feral-Schul/Sainte-Marie.

"A la base, c'est le nom, le prénom, l'état civil donc. A côté de ça, cela peut aussi être les caractéristiques morphologiques, biométriques, et toute information qu'on a par rapport à cette personne, qu'elle soit directement identifiée ou indirectement, via un identifiant, un matricule par exemple. C'est très vaste", note l'avocat spécialisé en droit de l'informatique, de l'internet et des médias.

Leur commerce est-il réglementé ?

Le commerce des données personnelles n'est pas réglementé, au sens strict, par l'Union européenne. Mais cette dernière, qui "réglemente tout un tas d'aspects liés à la collecte, au traitement, au transfert des données en dehors de l'Union européenne", l'encadre "de manière indirecte", poursuit le spécialiste.

"On a le droit de vendre ou de donner des données personnelles librement, sous réserve que le reste de la réglementation ait été respectée". C'est-à-dire? "Par exemple, qu'elles aient été collectées licitement, loyalement, après information des personnes". Le RGPD requiert un consentement "libre, spécifique, éclairé et univoque". Difficile par exemple pour une entreprise de faire commerce des données de ses salariés, dans la mesure où leur relation est "par essence contrainte", note Etienne Papin.

Quelles perspectives pour cette exploitation?

"La capacité que les entreprises commerciales ont à revendre ces données va clairement en se limitant avec le RGPD", poursuit-il. La récupération de données sur smartphone, notamment la géolocalisation, "se faisait largement sans que l'utilisateur soit au courant, ce qui a fait l'objet de sanctions de la CNIL, le gendarme français en charge de la protection des données personnelles, dernièrement. Idem avec l'utilisation des cookies pour le ciblage publicitaire. On est dans une législation qui impose à ces sociétés de revoir leurs pratiques", ajoute-t-il.

Jean-David Benassouli, associé en charge de l'activité Data Analytics & Intelligence Artificielle au sein du cabinet PwC (PricewaterhouseCoopers), nuance: "le fait que ce soit encadré peut permettre de libérer un peu les +business models+. Il faut un consentement explicite et éclairé, mais si l'utilisateur donne ce consentement à partager sa donnée, à recevoir des offres personnalisées, voire à ce que ses données puissent être communiquées à des partenaires, on peut partager ces données, faire du +profiling+, de la segmentation, voire monétiser ces données".

Quel poids économique?

Le cabinet de conseil et d'audit PwC a chiffré auprès de l'AFP le marché mondial de la donnée personnelle à environ 188 milliards de dollars en 2017 (164,5 milliards d'euros), dont 162 milliards représentés par la publicité numérique directement liée aux données."Les gens nous disent que s'ils doivent voir des publicités, celles-ci doivent être pertinentes pour eux", exposait Marc Zuckerberg dans une tribune à plusieurs médias, dont Le Monde, le 24 janvier. "Pour cela, nous devons comprendre leurs centres d'intérêt" à l'aide de leurs données.

Les milliards restants se partagent entre deux secteurs: 19 milliards de dollars pour les "data brokers", ces courtiers de la donnée comme Acxiom, qui revendique une base regroupant des données sur 2,5 milliards de personnes dans 62 pays, ou Datalogix, spécialisé dans l'analyse de données à destination des annonceurs et racheté en 2014 par Oracle.

Enfin PwC estime à 7 milliards de dollars la vente directe de données par les entreprises.

Des conséquences indirectes?

Jean-David Benassouli souligne qu'une partie de cette économie de la donnée est aussi indirecte: "les entreprises essaient de collecter énormément de données supplémentaires sur leurs clients", mais pour leur usage propre. "Pour les garder, pour les retenir, pour leur vendre plus; pour attirer des segments de populations similaires; ou encore pour mettre en place des +pricings+ (tarifs, NDLR) personnalisés", énumère-t-il.

Enfin, les cabinets d'avocats et de juristes, les entreprises de conseil, les vendeurs de matériels ou logiciels ont largement profité de l'entrée en vigueur du RGPD: les entreprises européennes ont dû recourir à leurs services pour se mettre en conformité avec les nouvelles réglementations. "Il y a des investissements importants qui ont été faits, et qui continuent d'être faits", note M. Benassouli.