Conditions de commercialisation des données personelles : aspects
Alice Parmentier
Conditions de commercialisation des données
personelles : aspects de droit privé
Die personenbezogenen Daten, eine neue Form des Geldes in unserem digi-
talen Zeitalter, stellen heute wahre Vermögenswerte für Unternehmen dar.
Wenn festgestellt wird, dass ein Anstieg ihrer Sammlung niemandem entgan-
gen ist, muss festgestellt werden, dass ihre Verarbeitung dort von Störungen
geprägt ist, wo die rechtlichen Grenzen unzureichend definiert sind. Diese Stu-
die setzt sich zum Ziel, die Kommerzialisierungsprozesse personenbezogener
Daten und die Grenzen ihrer Kommerzialisierung zu analysieren, die Risiken
und Lücken, die dem Cyberspace aktuell innewohnen, deutlich aufzuzeigen
und so Interventionsmöglichkeiten zu umreissen.
Beitragsarten: Wissenschaftliche Beiträge
Rechtsgebiete: Datenschutz
Zitiervorschlag: Alice Parmentier, Conditions de commercialisation des données personelles :
aspects de droit privé, in: Jusletter 23. März 2015
ISSN 1424-7410, http://jusletter.weblaw.ch, Weblaw AG, info@weblaw.ch, T +41 31 380 57 77
Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23.
März 2015
Table des matières
I. Introduction
II. De la commercialisation des données personnelles
A. De l’acquisition des données personnelles
1. Du but de l’acquisition des données personnelles
2. Des procédés d’acquisition des données personnelles
a. Des types de données collectées
b. Des méthodes de collecte des données
c. De l’utilisation des données collectées
B. Des types de contrats permettant la commercialisation
1. Des licences d’utilisation de données personnelles
a. Le contrat de licence
i. Définition
ii. Qualification juridique
b. La licence positive onéreuse
c. La licence positive gratuite
d. La licence négative
2. De la publicité ciblée
a. Notion
b. Types de publicités en ligne
c. Organisations des systèmes de publicité en ligne
d. Illustration de systèmes de publicité en ligne
i. Google : la publicité contextuelle et la publicité comporte-
mentale
ii. Facebook: la publicité personnalisée sur site
iii. LinkedIn: la publicité personnalisée en réseau
C. De la légalité de telles clauses contractuelles : considérations relevant de la LPD
1. Applicabilité de la LPD aux profils utilisés pour cibler la publicité
2. Concrétisation des exigences légales et obligations qui en découlent pour les
exploitants de sites web
III. Des limites à la commercialisation des données personnelles
A. De la liberté contractuelle
B. Des limites découlant du droit privé (art. 27 al. 2 CC)
C. Des limites découlant du droit public (LPD)
1. En droit interne suisse
a. L’illicéité
b. La contrariété aux mœurs
2. En droit international privé
IV. Du sentiment de contentement face au cadre juridique actuel ou du besoin de réglementati-
on?
A. Des risques et des lacunes du système actuel
1. Du manque de contrôle des utilisateurs sur leurs propres données
2. De la conservation et de l’utilisation des données non limitées dans le temps
3. De la validité et de la portée du consentement des utilisateurs
B. Des possibilités d’interventions permettant de combler ces lacunes
1. Principe d’opt-in
2. Privacy by design
3. Conséquences juridiques en cas de traitement contrevenant aux règles de la
LPD
C. Réflexions prospectives
1. De la révision de la LPD
2. De l’autoréglementation
3. De la sensibilisation des utilisateurs
V. Conclusions
2
Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23.
März 2015
I. Introduction
«Personal data is the new oil of the internet and the new currency of the digital world ».
Meglena Kuneva1
[Rz 1] Cette phrase de l’ancienne Commissaire européenne à la Protection des consommateurs
illustre le rôle central que jouent actuellement les données personnelles. Les données numériques
connaissent une croissance exponentielle et représentent de véritables actifs pour les entreprises.
[Rz 2] Aujourd’hui plus que jamais, grâce aux progrès de la technologie, l’accès à nos données
personnelles permet aux entreprises de cibler leurs publicités et d’adapter leurs services à nos
besoins. En effet, plus l’on connaît le consommateur, plus il est aisé de satisfaire à ses désirs.
[Rz 3] La valeur totale des données personnelles des consommateurs européens était évaluée, en
2011, à 315 milliards d’euros. Toutefois, d’ici 2020, le marché européen de l’identité numérique
pourrait atteindre un trillion d’euros, soit 8 % du PIB actuel de l’Union européenne des Vingt-
huit2. Ces chiffres mettent en exergue l’importance croissante qu’accordent et qu’accorderont les
entreprises aux données personnelles. Dans une société de plus en plus numérique, les données
personnelles sont devenues une nouvelle forme de monnaie.
[Rz 4] Si le constat d’une augmentation de la collecte des données personnelles et, en conséquence,
d’un essor de la publicité ciblée n’a échappé à personne, force est de constater que leurs fonction-
nements restent peu connu du grand public. Les limites légales peu définies, voire lacunaires,
constituent une pierre d’achoppement, ouvrant la voie à de potentiels dérives et risques. Le défi
auquel sont confrontés les dirigeants politiques consiste à établir et à maintenir la confiance des
consommateurs, afin de conserver cette « monnaie courante ».
[Rz 5] Nous débuterons notre recherche par un examen des procédés de commercialisation des
données personnelles. Le premier développement se concentrera sur l’acquisition de ces der-
nières. Dans le second, il sera question des différents types de contrats permettant la commer-
cialisation desdites données. Enfin, nous analyserons la légalité de tels contrats sous l’angle de la
Loi fédérale sur la protection des données du 19 juin 1992 (LPD3) (cf. chapitre II).
[Rz 6] Nous serons ainsi amenés à nous interroger sur les limites à la commercialisation des
données personnelles. Cette réflexion sera envisagée sous deux angles : d’une part, les limites
découlant de l’art. 27 al. 2 Code civil (CC) et, d’autre part, celles découlant de la LPD (cf. chapitre
III).
[Rz 7] Nous conclurons en nous prononçant sur l’adéquation, ou plutôt l’inadéquation, du cadre
juridique actuel face aux nouveaux défis qu’engendrent les évolutions de la technologie. A cet-
te fin, nous mettrons en exergue les risques et lacunes qui habitent le cyberespace. Ceci nous
mènera à esquisser des possibilités d’interventions. Finalement, nous nous prononcerons sur
l’opportunité d’une intervention législative et suggérerons d’autres moyens tendant à mettre en
œuvre nos idées d’actions (cf. chapitre IV).
1Discours 09/156 du 31 mars 2009 de Meglena Kuneva, Commissaire européenne à la Protection des consommateurs
(http://europa.eu/rapid/press-release_SPEECH-09-156_en.htm) (15 août 2014).
2Ces chiffres proviennent d’une étude menée par le Boston Consulting Group : John Rose / Olaf
Rehse / Björn Röber, The value of our digital identity, bcg.perspectives, 20 novembre 2012 (htt-
ps://www.bcgperspectives.com/content/articles/digital_economy_consumer_insight_value_of_our_digital_identity/)
(5 novembre 2013).
3RS 235.1.
3
Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23.
März 2015
[Rz 8] Pour une analyse du cadre juridique visant à garantir la protection des données person-
nelles, plus particulièrement du traitement illicite de données personnelles par des personnes
privées (art. 12 ss. LPD), nous renvoyons notamment le lecteur à une version étendue de ce tra-
vail4.
II. De la commercialisation des données personnelles
[Rz 9] La commercialisation des données personnelles résulte de la toute-puissance du marché
publicitaire, au moment où l’industrie a changé de paradigme : désormais, on ne produisait plus
pour vendre, on vendait pour produire5.
A. De l’acquisition des données personnelles
1. Du but de l’acquisition des données personnelles
[Rz 10] « Every breath you take, every move you make, [...] I’ll be watching you ». Ce refrain d’une
chanson du groupe The Police semble être devenu le mantra de nombreuses entreprises de nos
jours6. « A l’origine, la collecte de données personnelles dans les environnements numériques avait pour
seuls buts d’assurer le fonctionnement technique optimal des réseaux et des logiciels, ainsi que le confort
de l’usager. Si ces buts restent à l’ordre du jour, la collecte poursuit désormais d’autres objectifs comme
la sécurité, le marketing, la personnalisation de l’offre de services, la lutte contre le piratage de logiciels,
la surveillance des employés, l’authentification des utilisateurs ou la simplification des transactions liées
au commerce électronique »7.
[Rz 11] Grâce aux progrès de la technologie, l’accès à nos données personnelles permet aujourd’hui
aux entreprises de cibler leurs publicités et d’adapter leurs services aux besoins des clients. En
effet, plus l’on connaît le consommateur, plus il est aisé de satisfaire à ses désirs. Il est en effet aisé
d’établir des profils de consommateurs ; l’analyse de leurs données comportementales permet de
déterminer leurs habitudes comportementales.
[Rz 12] De plus, ajoutées aux métadonnées (durée de la connexion, origine géographique de
l’adresse IP, durée de la consultation du site, etc.), les données personnelles sont susceptibles de
définir des profils de la personnalité détaillés, dont l’exploitation peut engendrer de substantiels
bénéfices8.
[Rz 13] Les réseaux sociaux, offrant des prestations aux utilisateurs en échange de leurs données
personnelles, présentent un pouvoir commercial redoutable ; « la valeur boursière de certains de ces
4Alice Parmentier, Conditions de commercialisation des données personnelles, in Magister, Editions Weblaw, Berne
2014 (http://www.weblaw.ch/fr/shop/ebooks.html) (28 janvier 2015), p. 5 ss.
5Julien Breitfeld, De l’économie des données personnelles, 13 janvier 2013 (http://blog.marklor.org/post/2013/01/
13/De-l-economie-des-donnees-personnelles) (29 septembre 2013).
6Catherine Clifford, How Google, Apple, Facebook and others use your personal data (Infographic), Entrepreneur,
28 juin 2013 (http://www.entrepreneur.com/article/227248) (3 novembre 2013).
7Stéphane Bondallaz, La protection des personnes et de leurs données dans les télécommunications, Zurich (Schul-
thess) 2007, N 128.
8Observations du Préposé fédéral à la protection des données et à la transparence (PFPDT) concernant les sites de
réseautage social.
4
Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23.
März 2015
sites en dit long sur l’intérêt que présentent ces données »9.
[Rz 14] Selon Arnaud Belleil, c’est la nature même d’Internet, à savoir l’absence de contact direct
avec les clients potentiels, qui rend inévitable la collecte d’informations concernant ces derniers.
Plusieurs théories marketing ont été élaborées à ce sujet10 : le marketing one to one (permettant de
personnaliser une offre par le moyen du ciblage ou du profilage), le permission marketing (lequel
repose sur le principe de l’obtention d’une autorisation préalable de l’internaute afin d’entrer en
communication avec lui, puis consiste à entretenir la relation par l’envoi d’offres commerciales
pertinentes) et la gratuité sur Internet (où la personne, ayant bénéficié d’un service, fournit en
contrepartie de la valeur à l’entreprise sous la forme de données la concernant)11.
2. Des procédés d’acquisition des données personnelles
a. Des types de données collectées
[Rz 15] Parmi les types de données collectées, l’on peut notamment citer les adresses e-mail,
numéros de téléphone, informations fournies lors de l’inscription sur un site, habitudes de navi-
gation, localisation géographique, adresse IP, sites consultés, clics sur les publicités, etc.12.
b. Des méthodes de collecte des données
[Rz 16] Différents outils permettent de récolter les données des internautes. Il s’agira ici d’en
présenter quelques-uns de manière sommaire.
[Rz 17] L’enregistrement et l’analyse des fichiers journaux sur le serveur du site web consulté
sont une des techniques de webtracking les plus simples. Ainsi, lors de chaque consultation, le
navigateur transmet diverses informations au serveur, telles que le type de navigateur, le système
d’exploitation, la langue du navigateur, l’adresse IP ou l’adresse URL de la page consultée13.
[Rz 18] L’on peut également citer le témoin de connexion, plus communément appelé cookie. Il
s’agit d’un moyen de traitement invisible. Un cookie est un petit fichier déposé par le serveur
du site visité sur le disque dur de notre ordinateur. Il contient des données, dont le nom du
serveur qui l’a écrit, un identifiant sous forme de numéro unique et une date d’expiration14. Ainsi,
certaines préférences de l’utilisateur peuvent être mémorisées et réactivées par le site à chaque
visite15.
[Rz 19] Les moteurs de recherches, quant à eux, conservent des informations sur les dates de nos
9Observations du PFPDT concernant les sites de réseautage social.
10 Par contrainte spatiale, nous ne pourrons examiner plus en détail ces théories. A cet effet, nous renvoyons le lec-
teur à l’ouvrage d’Arnaud Belleil, ePrivacy. Le marché des données personnelles : protection de la vie privée à l’âge
d’Internet, Paris (Dunod) 2001.
11 Franck Garnier, Bienfaits supposés et dégâts prévisibles de la commercialisation des données personnelles
par les Internautes eux-mêmes, L’Econovateur, avril 2002 (http://www.econovateur.com/rubriques/anticiper/
ethsociete010402.shtml) (1er octobre 2013).
12 Clifford, How Google, Apple, Facebook and others use your personal data (Infographic).
13 Explications du Préposé fédéral à la protection des données et à la transparence (PFPDT) concernant le webtracking
(état : août 2013).
14 Définition de la CNIL concernant les cookies (http://www.cnil.fr/vos-droits/vos-traces/les-cookies/) (20 novembre
2013).
15 18e Rapport d’activités du Préposé fédéral à la protection des données et à la transparence (PFPDT), 2010/2011, p.
36.
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
1
/
29
100%
