Données personnelles : sont-elles vendues comme n'importe quel autre bien ?

Poursuivi dans le cadre d'une action collective aux États-Unis pour avoir vendu des données à caractère personnel à des annonceurs sans le consentement de 89 millions d'utilisateurs, TikTok a récemment proposé de verser 92 millions de dollars pour mettre fin aux poursuites.

En France, en 2020, la CNIL avait engagé une procédure pour dénoncer les pratiques de l’application TaData qui proposait d’échanger les données personnelles des étudiants contre de l’argent ; une procédure qui avait fait suite au signalement de l’association de défense des internautes Internet Society France, finalement classée sans suite.

Ce phénomène croissant de monétisation fait ressortir les différentes opinions qui existent actuellement en matière de protection des données à caractère personnel et de la vie privée. En effet, certains utilisateurs sont prêts à céder leurs données personnelles contre de l’argent, car ils estiment que ce sont des biens comme les autres. L’échange de données contre un service est donc considéré comme une pratique acceptable. Ces transactions soulèvent néanmoins de nombreuses questions. Si nous acceptons de vendre nos données, comment évaluons-nous ce qu’elles valent ? Il est difficile de répondre à cette question de manière très précise, mais un certain nombre de facteurs essentiels sont susceptibles d’influencer cette évaluation.

Exhaustivité, profondeur et contexte des données vendues

Sans ordre particulier, l’exhaustivité, la profondeur et le contexte des données vendues, ainsi que les personnes auxquelles elles sont vendues, sont des facteurs déterminants pour la valeur des données fournies.

Une donnée en elle-même, par exemple, le sexe, l’origine ethnique, la localisation physique ou encore l’activité de navigation en ligne, peut avoir une certaine valeur, mais une palette complète de marqueurs d’identification d’un individu aurait une valeur bien plus grande pour une entreprise intéressée par des opportunités de publicité ciblée ou pour un attaquant vendant un ensemble de données à d’autres attaquants sur le dark web.

Par opposition à l’exhaustivité, la profondeur fait référence à l’historique des données personnelles d’un individu. Plutôt que de se contenter d’un instantané à un moment précis, le fait de comprendre comment un individu et ses préférences ont évolué au fil du temps apporte une dimension supplémentaire aux annonceurs et aux cybercriminels. Par exemple, connaître les lieux de résidence actuels et passés d’une personne s’avère très utile pour solliciter un prêt frauduleux.

Différents points de données seront naturellement valorisés différemment en fonction des besoins ou des aspirations de celui qui obtient ces informations. Par exemple, si l’historique de la consommation de médicaments sur ordonnance peut se révéler inutile pour une enseigne de prêt-à-porter, il serait extrêmement précieux pour une société pharmaceutique cherchant à commercialiser son nouveau médicament auprès d’une personne ayant suivi un traitement similaire dans le passé.

Données partagées, avec qui et dans quel but 

ll est raisonnable de souhaiter que les données vendues à une entreprise ne soient exploitées que par cette dernière, et dans l’unique but pour lequel elles ont été cédées. Toutefois, cela peut réduire la valeur des données aux yeux de l’organisation qui les a achetées. Cette situation laisse à penser qu’une majoration de la valeur des données pourrait être justifiée si nous, en tant qu’individus, accordons à l’entreprise la possibilité d’utiliser ces données à n’importe quelle fin ou de les vendre à un tiers. C’est peut-être l’occasion de créer un système dans lequel les individus recevraient une redevance lorsque leurs données sont revendues à une organisation, un peu comme un artiste qui reçoit une rétribution si une chanson qu’il a écrite est utilisée dans une publicité télévisée ou un film.

Toutefois, à moins que des réglementations ne soient adoptées et appliquées pour obliger les organisations à prouver la manière dont les données qu’elles ont achetées ont été exploitées, et dans quel but, il serait très difficile de déterminer comment les informations à caractère personnel d’un individu ont été utilisées.

La conscience des risques et de l’usage des données 

Les entreprises souhaiteraient sans aucun doute pouvoir utiliser sans restriction les données qu’elles achètent, ce qui, si cela leur était accordé, pourrait poser un problème aux individus. Ils n’auraient en effet pas la possibilité de savoir, et donc de contrôler, comment leurs données sont exploitées par la suite. Par exemple, une personne peut être tout à fait à l’aise à l’idée de fournir à une entreprise des informations sur son groupe sanguin dans le cadre de recherches sur des maladies chroniques, mais pas dans le contexte d’une étude moins importante ou qui va à l’encontre de ses convictions morales. Toutefois, les individus devront peut-être prendre ce risque, car les entreprises seront peu enclines à révéler la nature de leurs recherches ou de leurs travaux chaque fois qu’elles auront besoin d’utiliser une donnée particulière. À cet égard, les individus peuvent estimer qu’il est contraignant d’examiner et d’approuver ces demandes chaque fois que les données qu’ils ont partagées sont nécessaires à des fins d’analyse. La coordination de ce type d’approbations ainsi que la gestion des accords et des refus peuvent se révéler si laborieuses qu’aucune des parties n’accepterait de s’y soumettre.

Certaines personnes considèrent que les données personnelles sont déjà connues et partagées par les grandes entreprises technologiques. Dans ce contexte, se pose la question de la possibilité de recouvrer sa vie privée et de quelle manière. Il existe certainement une différence entre les informations qu’une organisation possède sur un individu et celles qu’un cybercriminel détient à son sujet. Dans ce dernier cas, il est probablement déjà trop tard, et aucune mesure raisonnable ou unilatérale ne peut être prise pour reconquérir nos identités dans une telle perspective. En ce qui concerne les données déjà connues, et partagées par les géants de la Tech, les individus ont déjà la possibilité de voir et même de contrôler ce qui est connu ou supposé à leur sujet. Par exemple, Google offre aux utilisateurs la possibilité de voir comment et pourquoi il personnalise ses annonces publicitaires.

La vente de données personnelles représente un marché lucratif mais qui n’est pas sans susciter des inquiétudes à mesures qu’elles deviennent des biens commerciaux comme les autres. Si le RGPD régit depuis trois ans maintenant l'usage des données personnelles, et selon lequel l'internaute doit donner son consentement « spécifique, éclairé, et univoque » pour autoriser le traitement et le partage de ses données, il ne régule pas à proprement parler l’achat et la vente de données. Au regard de ce phénomène grandissant, un renforcement et une adaptation du cadre législatif qui s’y rapporte serait certainement nécessaire afin d’en éviter les dérives potentielles. Enfin, la monétisation des données est légale mais il est important que chaque individu prenne la mesure des risques engendrés en donnant aux données personnelles un caractère patrimonial.