Conditions de commercialisation des données personelles : aspects
publicité
Alice Parmentier Conditions de commercialisation des données personelles : aspects de droit privé Die personenbezogenen Daten, eine neue Form des Geldes in unserem digitalen Zeitalter, stellen heute wahre Vermögenswerte für Unternehmen dar. Wenn festgestellt wird, dass ein Anstieg ihrer Sammlung niemandem entgangen ist, muss festgestellt werden, dass ihre Verarbeitung dort von Störungen geprägt ist, wo die rechtlichen Grenzen unzureichend definiert sind. Diese Studie setzt sich zum Ziel, die Kommerzialisierungsprozesse personenbezogener Daten und die Grenzen ihrer Kommerzialisierung zu analysieren, die Risiken und Lücken, die dem Cyberspace aktuell innewohnen, deutlich aufzuzeigen und so Interventionsmöglichkeiten zu umreissen. Beitragsarten: Wissenschaftliche Beiträge Rechtsgebiete: Datenschutz Zitiervorschlag: Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 ISSN 1424-7410, http://jusletter.weblaw.ch, Weblaw AG, [email protected], T +41 31 380 57 77 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 Table des matières I. II. Introduction De la commercialisation des données personnelles A. De l’acquisition des données personnelles 1. Du but de l’acquisition des données personnelles 2. Des procédés d’acquisition des données personnelles a. Des types de données collectées b. Des méthodes de collecte des données c. De l’utilisation des données collectées B. Des types de contrats permettant la commercialisation 1. Des licences d’utilisation de données personnelles a. Le contrat de licence i. Définition ii. Qualification juridique b. La licence positive onéreuse c. La licence positive gratuite d. La licence négative 2. De la publicité ciblée a. Notion b. Types de publicités en ligne c. Organisations des systèmes de publicité en ligne d. Illustration de systèmes de publicité en ligne i. Google : la publicité contextuelle et la publicité comportementale ii. Facebook: la publicité personnalisée sur site iii. LinkedIn: la publicité personnalisée en réseau C. De la légalité de telles clauses contractuelles : considérations relevant de la LPD 1. Applicabilité de la LPD aux profils utilisés pour cibler la publicité 2. Concrétisation des exigences légales et obligations qui en découlent pour les exploitants de sites web III. Des limites à la commercialisation des données personnelles A. De la liberté contractuelle B. Des limites découlant du droit privé (art. 27 al. 2 CC) C. Des limites découlant du droit public (LPD) 1. En droit interne suisse a. L’illicéité b. La contrariété aux mœurs 2. En droit international privé IV. Du sentiment de contentement face au cadre juridique actuel ou du besoin de réglementation? A. Des risques et des lacunes du système actuel 1. Du manque de contrôle des utilisateurs sur leurs propres données 2. De la conservation et de l’utilisation des données non limitées dans le temps 3. De la validité et de la portée du consentement des utilisateurs B. Des possibilités d’interventions permettant de combler ces lacunes 1. Principe d’opt-in 2. Privacy by design 3. Conséquences juridiques en cas de traitement contrevenant aux règles de la LPD C. Réflexions prospectives 1. De la révision de la LPD 2. De l’autoréglementation 3. De la sensibilisation des utilisateurs V. Conclusions 2 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 I. Introduction « Personal data is the new oil of the internet and the new currency of the digital world ». Meglena Kuneva1 [Rz 1] Cette phrase de l’ancienne Commissaire européenne à la Protection des consommateurs illustre le rôle central que jouent actuellement les données personnelles. Les données numériques connaissent une croissance exponentielle et représentent de véritables actifs pour les entreprises. [Rz 2] Aujourd’hui plus que jamais, grâce aux progrès de la technologie, l’accès à nos données personnelles permet aux entreprises de cibler leurs publicités et d’adapter leurs services à nos besoins. En effet, plus l’on connaît le consommateur, plus il est aisé de satisfaire à ses désirs. [Rz 3] La valeur totale des données personnelles des consommateurs européens était évaluée, en 2011, à 315 milliards d’euros. Toutefois, d’ici 2020, le marché européen de l’identité numérique pourrait atteindre un trillion d’euros, soit 8 % du PIB actuel de l’Union européenne des Vingthuit2 . Ces chiffres mettent en exergue l’importance croissante qu’accordent et qu’accorderont les entreprises aux données personnelles. Dans une société de plus en plus numérique, les données personnelles sont devenues une nouvelle forme de monnaie. [Rz 4] Si le constat d’une augmentation de la collecte des données personnelles et, en conséquence, d’un essor de la publicité ciblée n’a échappé à personne, force est de constater que leurs fonctionnements restent peu connu du grand public. Les limites légales peu définies, voire lacunaires, constituent une pierre d’achoppement, ouvrant la voie à de potentiels dérives et risques. Le défi auquel sont confrontés les dirigeants politiques consiste à établir et à maintenir la confiance des consommateurs, afin de conserver cette « monnaie courante ». [Rz 5] Nous débuterons notre recherche par un examen des procédés de commercialisation des données personnelles. Le premier développement se concentrera sur l’acquisition de ces dernières. Dans le second, il sera question des différents types de contrats permettant la commercialisation desdites données. Enfin, nous analyserons la légalité de tels contrats sous l’angle de la Loi fédérale sur la protection des données du 19 juin 1992 (LPD3 ) (cf. chapitre II). [Rz 6] Nous serons ainsi amenés à nous interroger sur les limites à la commercialisation des données personnelles. Cette réflexion sera envisagée sous deux angles : d’une part, les limites découlant de l’art. 27 al. 2 Code civil (CC) et, d’autre part, celles découlant de la LPD (cf. chapitre III). [Rz 7] Nous conclurons en nous prononçant sur l’adéquation, ou plutôt l’inadéquation, du cadre juridique actuel face aux nouveaux défis qu’engendrent les évolutions de la technologie. A cette fin, nous mettrons en exergue les risques et lacunes qui habitent le cyberespace. Ceci nous mènera à esquisser des possibilités d’interventions. Finalement, nous nous prononcerons sur l’opportunité d’une intervention législative et suggérerons d’autres moyens tendant à mettre en œuvre nos idées d’actions (cf. chapitre IV). 1 Discours 09/156 du 31 mars 2009 de Meglena Kuneva, Commissaire européenne à la Protection des consommateurs (http://europa.eu/rapid/press-release_SPEECH-09-156_en.htm) (15 août 2014). 2 Ces chiffres proviennent d’une étude menée par le Boston Consulting Group : John Rose / Olaf Rehse / Björn Röber, The value of our digital identity, bcg.perspectives, 20 novembre 2012 (https://www.bcgperspectives.com/content/articles/digital_economy_consumer_insight_value_of_our_digital_identity/) (5 novembre 2013). 3 RS 235.1. 3 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 [Rz 8] Pour une analyse du cadre juridique visant à garantir la protection des données personnelles, plus particulièrement du traitement illicite de données personnelles par des personnes privées (art. 12 ss. LPD), nous renvoyons notamment le lecteur à une version étendue de ce travail4 . II. De la commercialisation des données personnelles [Rz 9] La commercialisation des données personnelles résulte de la toute-puissance du marché publicitaire, au moment où l’industrie a changé de paradigme : désormais, on ne produisait plus pour vendre, on vendait pour produire5 . A. De l’acquisition des données personnelles 1. Du but de l’acquisition des données personnelles [Rz 10] « Every breath you take, every move you make, [...] I’ll be watching you ». Ce refrain d’une chanson du groupe The Police semble être devenu le mantra de nombreuses entreprises de nos jours6 . « A l’origine, la collecte de données personnelles dans les environnements numériques avait pour seuls buts d’assurer le fonctionnement technique optimal des réseaux et des logiciels, ainsi que le confort de l’usager. Si ces buts restent à l’ordre du jour, la collecte poursuit désormais d’autres objectifs comme la sécurité, le marketing, la personnalisation de l’offre de services, la lutte contre le piratage de logiciels, la surveillance des employés, l’authentification des utilisateurs ou la simplification des transactions liées au commerce électronique »7 . [Rz 11] Grâce aux progrès de la technologie, l’accès à nos données personnelles permet aujourd’hui aux entreprises de cibler leurs publicités et d’adapter leurs services aux besoins des clients. En effet, plus l’on connaît le consommateur, plus il est aisé de satisfaire à ses désirs. Il est en effet aisé d’établir des profils de consommateurs ; l’analyse de leurs données comportementales permet de déterminer leurs habitudes comportementales. [Rz 12] De plus, ajoutées aux métadonnées (durée de la connexion, origine géographique de l’adresse IP, durée de la consultation du site, etc.), les données personnelles sont susceptibles de définir des profils de la personnalité détaillés, dont l’exploitation peut engendrer de substantiels bénéfices8 . [Rz 13] Les réseaux sociaux, offrant des prestations aux utilisateurs en échange de leurs données personnelles, présentent un pouvoir commercial redoutable ; « la valeur boursière de certains de ces 4 Alice Parmentier, Conditions de commercialisation des données personnelles, in Magister, Editions Weblaw, Berne 2014 (http://www.weblaw.ch/fr/shop/ebooks.html) (28 janvier 2015), p. 5 ss. 5 Julien Breitfeld, De l’économie des données personnelles, 13 janvier 2013 (http://blog.marklor.org/post/2013/01/ 13/De-l-economie-des-donnees-personnelles) (29 septembre 2013). 6 Catherine Clifford, How Google, Apple, Facebook and others use your personal data (Infographic), Entrepreneur, 28 juin 2013 (http://www.entrepreneur.com/article/227248) (3 novembre 2013). 7 Stéphane Bondallaz, La protection des personnes et de leurs données dans les télécommunications, Zurich (Schulthess) 2007, N 128. 8 Observations du Préposé fédéral à la protection des données et à la transparence (PFPDT) concernant les sites de réseautage social. 4 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 sites en dit long sur l’intérêt que présentent ces données »9 . [Rz 14] Selon Arnaud Belleil, c’est la nature même d’Internet, à savoir l’absence de contact direct avec les clients potentiels, qui rend inévitable la collecte d’informations concernant ces derniers. Plusieurs théories marketing ont été élaborées à ce sujet10 : le marketing one to one (permettant de personnaliser une offre par le moyen du ciblage ou du profilage), le permission marketing (lequel repose sur le principe de l’obtention d’une autorisation préalable de l’internaute afin d’entrer en communication avec lui, puis consiste à entretenir la relation par l’envoi d’offres commerciales pertinentes) et la gratuité sur Internet (où la personne, ayant bénéficié d’un service, fournit en contrepartie de la valeur à l’entreprise sous la forme de données la concernant)11 . 2. Des procédés d’acquisition des données personnelles a. Des types de données collectées [Rz 15] Parmi les types de données collectées, l’on peut notamment citer les adresses e-mail, numéros de téléphone, informations fournies lors de l’inscription sur un site, habitudes de navigation, localisation géographique, adresse IP, sites consultés, clics sur les publicités, etc.12 . b. Des méthodes de collecte des données [Rz 16] Différents outils permettent de récolter les données des internautes. Il s’agira ici d’en présenter quelques-uns de manière sommaire. [Rz 17] L’enregistrement et l’analyse des fichiers journaux sur le serveur du site web consulté sont une des techniques de webtracking les plus simples. Ainsi, lors de chaque consultation, le navigateur transmet diverses informations au serveur, telles que le type de navigateur, le système d’exploitation, la langue du navigateur, l’adresse IP ou l’adresse URL de la page consultée13 . [Rz 18] L’on peut également citer le témoin de connexion, plus communément appelé cookie. Il s’agit d’un moyen de traitement invisible. Un cookie est un petit fichier déposé par le serveur du site visité sur le disque dur de notre ordinateur. Il contient des données, dont le nom du serveur qui l’a écrit, un identifiant sous forme de numéro unique et une date d’expiration14 . Ainsi, certaines préférences de l’utilisateur peuvent être mémorisées et réactivées par le site à chaque visite15 . [Rz 19] Les moteurs de recherches, quant à eux, conservent des informations sur les dates de nos 9 Observations du PFPDT concernant les sites de réseautage social. 10 Par contrainte spatiale, nous ne pourrons examiner plus en détail ces théories. A cet effet, nous renvoyons le lec- teur à l’ouvrage d’Arnaud Belleil, ePrivacy. Le marché des données personnelles : protection de la vie privée à l’âge d’Internet, Paris (Dunod) 2001. 11 Franck Garnier, Bienfaits supposés et dégâts prévisibles de la commercialisation des données personnelles par les Internautes eux-mêmes, L’Econovateur, avril 2002 (http://www.econovateur.com/rubriques/anticiper/ ethsociete010402.shtml) (1er octobre 2013). 12 Clifford, How Google, Apple, Facebook and others use your personal data (Infographic). 13 Explications du Préposé fédéral à la protection des données et à la transparence (PFPDT) concernant le webtracking (état : août 2013). 14 Définition de la CNIL concernant les cookies (http://www.cnil.fr/vos-droits/vos-traces/les-cookies/) (20 novembre 2013). 15 18e Rapport d’activités du Préposé fédéral à la protection des données et à la transparence (PFPDT), 2010/2011, p. 36. 5 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 visites, les mots-clefs que l’on entre ainsi que les liens sur lesquels on clique16 . Ils permettent également de retrouver les informations publiées sur une personne ou diffusées par celle-ci sur le web17 . [Rz 20] Quant aux JavaScripts, il s’agit de « lignes de programme insérées dans le code source des pages HTML. Ces hyperliens invisibles contraignent les navigateurs web à exécuter sur la machine de l’internaute des programmes conçus et stockés sur des sites extérieurs. Ils provoquent des animations sur les pages web consultées ou déclenchent l’ouverture de fenêtres publicitaires dites "pop up". Ils servent également à collecter des données personnelles (configuration technique de la machine, historique des sites visités, adresse de courrier électronique, etc.). L’expéditeur d’un message de courrier électronique en format HTML peut suivre le cheminement de son message, recueillir les adresses des destinataires et lire les commentaires qui y sont ajoutés en lui insérant un code espion "JavaScript"»18 . c. De l’utilisation des données collectées [Rz 21] Ainsi, grâce à des mécanismes de profilage et d’extraction de connaissances à partir de données (data mining), les informations collectées pourront notamment être utilisées à des fins de publicités ciblées19 . [Rz 22] Par le biais des procédés de géolocalisation, l’on pourra également fournir aux consommateurs des services localisés (Location Based Services) en relation directe avec le lieu où ces derniers se trouvent20 . B. Des types de contrats permettant la commercialisation [Rz 23] Différentes approches de commercialisation des données personnelles sont envisageables. Dans le cadre de ce travail, nous allons d’abord nous intéresser aux contrats de licence, puis analyser des mécanismes de publicité ciblée. Cette chronologie nous est en effet dictée par la pratique, la publicité constituant une étape subséquente à la collecte et à la commercialisation directe entre l’internaute et le premier intermédiaire. 1. Des licences d’utilisation de données personnelles a. Le contrat de licence i. Définition [Rz 24] L’on peut retenir deux éléments constitutifs essentiels pour le contrat de licence21 . D’une part, il s’agit de l’élément objectivement essentiel de ce contrat, à savoir la cession de l’usage d’un droit immatériel. Ainsi, le donneur autorise le licencié à utiliser un droit qui lui est propre, tout en 16 Explications de la CNIL sur les moteurs de recherche (http://www.cnil.fr/vos-droits/vos-traces/les-moteurs-de- recherche/) (20 novembre 2013). 17 Bondallaz, N 138. 18 Bondallaz, N 135. 19 David Forest, Droit des données personnelles, Paris (Gualino) 2011, p. 77. 20 Clifford, How Google, Apple, Facebook and others use your personal data (Infographic). 21 Julien Rouvinez, La licence des droits de la personnalité : étude de droit privé suisse, Genève (Schulthess) 2011, N 667. 6 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 conservant sa titularité. Cette obligation peut prendre des traits positifs, soit l’acte de disposition du preneur de licence quant au droit d’exploiter la valeur patrimoniale de l’attribut concerné, ou négatifs, soit le fait de tolérer l’atteinte qui y est portée22 . D’autre part, l’élément subjectivement essentiel de ce contrat a trait au fait qu’il peut être conclu à titre onéreux ou gratuit23 . [Rz 25] Dans un contrat de licence, l’usage cédé porte sur un droit immatériel ; ce dernier peut être protégé par une réglementation de propriété intellectuelle ou par le droit civil général24 . Les droits de la personnalité peuvent donc faire l’objet d’une telle convention25 . [Rz 26] Au surplus, on peut distinguer différentes sortes de contrats de licence. Le contrat de licence simple permet au donneur d’accorder une licence, concurremment et simultanément, à plusieurs bénéficiaires, tandis que celui de licence exclusive n’implique qu’un seul preneur26 . [Rz 27] En outre, la licéité du contrat de sous-licence, par lequel le preneur devient à son tour donneur de licence et remet à un tiers l’usage du droit dont il est lui-même preneur, est reconnue lorsque le donneur principal y consent27 . ii. Qualification juridique [Rz 28] La qualification juridique du contrat de licence diffère selon ses composantes (positive, négative, gratuite ou onéreuse). « Ainsi, [...] lorsque la licence est positive et onéreuse, elle présente tous les éléments essentiels du bail à ferme, au sens des articles 275 ss. CO. Lorsqu’elle est positive et gratuite, elle prend les traits d’un contrat innommé sui generis, et non ceux d’un contrat de prêt à usage. A l’inverse, lorsque la licence est négative, elle s’apparente au pactum de non petendo »28 . b. La licence positive onéreuse [Rz 29] Une telle licence, comme énoncé ci-dessus, présente tous les éléments essentiels du contrat de bail à ferme, régi par les art. 275 à 304 du Code des obligations (CO). L’on se limitera à une brève analyse de ce dernier. [Rz 30] A teneur de l’art. 275 CO, « le bail à ferme est un contrat par lequel le bailleur s’oblige à céder au fermier, moyennant un fermage, l’usage d’un bien ou d’un droit productif et à lui en laisser percevoir les fruits ou les produits ». La notion de droits productifs ne vise que les droits de jouissance durables de droit privé, parmi lesquels figurent les droits des biens immatériels29 . Ainsi, lorsque le bail a pour objet un droit productif, seul l’usage de ce dernier est cédé ; le bailleur en reste seul titulaire30 . Le contrat de bail à ferme est de surplus onéreux ; la contreprestation 22 Stéphane Manaï, Les attributs de la personnalité du sportif et leur commercialisation dans le contexte du contrat de sponsoring individuel, Etude de droit privé suisse, vol. 19, éd. bis et ter, Lausanne (Quater) 2008, N 850 et 851. 23 Rouvinez, N 823. 24 Jacques de Werra, La gestion contractuelle du droit à l’image des sportifs, in Citius, altius, fortius. Mélanges en l’honneur de Denis Oswald, [Rigozzi Antonio/Sprumont Dominique/Hafner Yann, édit.], Bâle (Helbing Lichtenhahn) et Neuchâtel (Faculté de droit de l’Université de Neuchâtel) 2012, p. 243 ss, p. 248. 25 Rouvinez, N 680 et 681. 26 Manaï, N 858 et 860. 27 Rouvinez, N 692 et 825. 28 Rouvinez, N 826. 29 Rouvinez, N 736. 30 Rouvinez, N 737. 7 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 du fermier représente sa prestation principale31 . Il sied de relever que le contrat de bail, contrairement à la licence qui peut être simple, est nécessairement exclusif32 . [Rz 31] Pour illustrer ce point, examinons l’approche adoptée par la société Yes Profile. Sa plateforme permet à un internaute de créer son profil et de fournir ses données personnelles, notamment en répondant à des questionnaires. Par la suite, l’utilisateur pourra, s’il le souhaite, louer son profil à des marques qu’il choisira de ses propres soins. Il percevra de ce fait une rémunération, laquelle sera versée soit directement sur son compte bancaire, soit en faveur d’une association caritative ; en contrepartie, ce dernier recevra des publicités ciblées. Le service Yes Profile est défini de la manière suivante : il « consiste, pour les Propriétaires inscrits aux services Yesprofile.com, à être rémunérés pour la Location de leur Profil. Ainsi, le Propriétaire bénéficie aussi de la valorisation de ses données à caractère personnel »33 . Cette démarche constitue l’essence même du permission marketing. [Rz 32] Partant, à supposer que le droit suisse soit applicable à cette relation contractuelle, nous estimons que les données personnelles des utilisateurs des services Yesprofile.com sont soumises à un contrat de licence positive onéreuse, donc un contrat de bail à ferme. c. La licence positive gratuite [Rz 33] Le Tribunal fédéral est d’avis que le contrat de licence appartient à la catégorie des contrats innommés sui generis34 . [Rz 34] A ce stade de notre développement, il nous semble pertinent de se pencher sur la Déclaration des droits et responsabilités de Facebook35 , régissant la relation de ce réseau social avec les utilisateurs et les personnes qui interagissent avec celui-ci. Son art. 2 § 1, relatif au partage 31 Pierre Tercier / Pascal G. Favre, Les contrats spéciaux, 4e éd., Genève, Zurich, Bâle (Schulthess) 2009, N 2799 et 2807. 32 Rouvinez, N 743. 33 Conditions d’utilisation de Yes Profile, 19 mars 2013 (https://www.yesprofile.com/terms) (16 novembre 2013), artic- le 3. 34 ATF 96 II 154, consid. 2. 35 Déclaration des droits et responsabilités de Facebook, 11 décembre 2012 (https://www.facebook.com/legal/terms? locale=fr_FR) (8 octobre 2013). 8 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 du contenu et des informations des utilisateurs, comprend la clause suivante : « le contenu et les informations que vous publiez sur Facebook vous appartiennent [. . . ] vous nous accordez une licence non-exclusive, transférable, sous-licenciable, sans redevance et mondiale pour l’utilisation des contenus de propriété intellectuelle que vous publiez sur Facebook ou en relation avec Facebook (licence de propriété intellectuelle) ». [Rz 35] Le réseau social LinkedIn suit également la même démarche. La clause 2.2. de ses conditions d’utilisation36 mentionne que les utilisateurs concèdent « à LinkedIn un droit non exclusif, irrévocable, pour le monde entier, perpétuel, illimité, cessible, qui peut être l’objet de souslicences, entièrement payé et libre de toute obligation à payer une redevance, de copier, élaborer des œuvres dérivées, améliorer, diffuser, publier, retirer, retenir, ajouter, analyser et utiliser ou commercialiser de toute façon actuellement connue ou à venir, tout élément que vous fournissez, directement ou indirectement, à LinkedIn, et notamment tout contenu généré par un utilisateur, toute idée, tout concept, toutes techniques ou données que vous soumettez à LinkedIn, sans autre autorisation, notification, et/ou contrepartie pour vous ou tout autre tiers ». [Rz 36] Ainsi, à supposer que le droit suisse soit applicable, nous sommes enclins à penser que les données personnelles des internautes membres de Facebook et LinkedIn sont soumises à un contrat de licence positive gratuite, donc un contrat innommé sui generis. Notons néanmoins que l’objet de ces contrats diffère : la licence de LinkedIn porte sur tout élément que l’internaute fournit audit réseau, alors que celle de Facebook se limite aux contenus de propriété intellectuelle (ce qui a pour conséquence de restreindre le type de données visées). d. La licence négative [Rz 37] Sans toutefois entrer dans les détails, il semble intéressant d’évoquer les similitudes que présente la licence négative avec le contrat de précaire et le pactum de non petendo. Tout comme le contrat de licence, le précaire est un contrat d’usage par lequel une partie cède temporairement à une autre l’usage d’un bien, corporel ou incorporel. De plus, le précaire est conclu à titre 36 Conditions d’utilisation de LinkedIn, 12 septembre 2013 (http://www.linkedin.com/legal/user-agreement) (8 no- vembre 2013). 9 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 gratuit, possibilité également envisageable dans un contrat de licence37 . En outre, le donneur de précaire cède l’usage d’un bien, tout en évitant d’être contraint par d’autres obligations. Il y a là un rapprochement avec le contrat de licence, par lequel le donneur d’une licence négative s’engage uniquement à renoncer à l’exercice des actions en protection de ses droits immatériels et n’est assujetti à aucune obligation accessoire38 . Par conséquent, nous estimons que le contrat de licence négative s’apparente au pactum de non petendo. 2. De la publicité ciblée a. Notion [Rz 38] La publicité ciblée, et en conséquence la collecte des données personnelles des internautes, se présente comme la contrepartie de l’accès « gratuit » à certains services. Le modèle économique de nombreuses sociétés d’Internet est basé sur la fourniture de services apparemment gratuits, mais financés majoritairement par la publicité39 . [Rz 39] Dans son Avis 5/2009 sur les réseaux sociaux en ligne, le G29 a constaté que les services de réseaux sociaux « génèrent la plupart de leurs revenus avec la publicité diffusée sur les pages web que les utilisateurs créent et auxquelles ils accèdent. Les utilisateurs qui publient sur leurs profils beaucoup d’informations concernant leurs centres d’intérêt offrent un marché précis aux publicitaires souhaitant diffuser des publicités ciblées sur la base de ces informations»40 . b. Types de publicités en ligne [Rz 40] L’on peut retenir quatre types de publicités en ligne : personnalisée, contextuelle, comportementale et géolocalisée. 37 Rouvinez, N 776. 38 Rouvinez, N 777. 39 Christiane Féral-Schuhl, Cyberdroit, le droit à l’épreuve de l’internet, 6e éd., Paris (Dalloz) 2010, p. 215. 40 Avis 5/2009 du Groupe de travail « article 29 » sur la protection des données (G29) du 12 juin 2009 sur les réseaux sociaux en ligne, p. 5. 10 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 [Rz 41] La publicité personnalisée est choisie en fonction des caractéristiques connues de l’internaute, qu’il a lui-même renseignées ; l’on peut à cet égard citer son âge, sexe, localisation, etc.41 . [Rz 42] La publicité contextuelle est choisie en fonction du contenu immédiat fourni par l’internaute, tel qu’une page consultée ou un mot saisi dans un moteur de recherche42 . [Rz 43] Quant à la publicité comportementale, elle est choisie en observant le comportement de l’internaute à travers le temps. Ainsi, en se fondant sur l’attitude de navigation de ce dernier, elle vise à déduire ses centres d’intérêt supposés afin de lui proposer des publicités adaptées43 . [Rz 44] Enfin, la publicité géolocalisée déduit la localisation d’une personne à partir de l’adresse IP du WiFi ou de la RFID44 . c. Organisations des systèmes de publicité en ligne [Rz 45] L’on peut retenir deux approches principales des systèmes de distribution de publicité sur Internet : la publicité sur site et la régie publicitaire. [Rz 46] Dans le mécanisme de la publicité sur site, l’annonceur contacte le site Internet et indique sa cible selon des critères variables ; il spécifie également le contenu publicitaire à afficher. Par la suite, le site prend en charge la diffusion du contenu publicitaire auprès des cibles choisies. Ainsi, l’annonceur ne sera mis en relation avec l’internaute que dans la situation où ce dernier clique sur la publicité45 . [Rz 47] Dans le cadre d’une régie publicitaire, le fournisseur de contenu délègue l’affichage et le choix des publicités à une régie spécialisée dans la diffusion de ces dernières. La régie sera donc en charge de diffuser les publicités sur plusieurs sites. Partant, l’annonceur n’aura en principe pas connaissance de l’identité de l’ensemble des fournisseurs de contenus qui vont diffuser sa publicité46 . [Rz 48] Il sied de relever que certaines sociétés, dont Google et Yahoo, ont adopté les deux procédés et portent ainsi une double casquette. d. Illustration de systèmes de publicité en ligne i. Google : la publicité contextuelle et la publicité comportementale [Rz 49] Google met en œuvre le mécanisme de publicité contextuelle, d’une part en affichant des publicités en fonction de mots-clefs que l’on tape dans son moteur de recherche, et, d’autre part, en offrant la possibilité d’insérer de la publicité dans son site par le biais de son outil AdSense. De plus, il affiche également des publicités à travers sa plateforme Gmail47 . [Rz 50] Au demeurant, Google s’est également lancé depuis quelques années dans le domaine de 41 Forest, p. 78. 42 Forest, p. 78. 43 Forest, p. 78. 44 Forest, p. 78. 45 Rapport de la Commission nationale informatique et libertés (CNIL) du 5 février 2009 sur la publicité ciblée en li- gne, p. 6. (20 mars 2015) 46 Rapport de la CNIL sur la publicité ciblée en ligne, p. 6. 47 Rapport de la CNIL sur la publicité ciblée en ligne, p. 14. 11 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 la publicité comportementale. Ses Règles de confidentialité48 indiquent désormais que l’affichage des publicités peut se baser sur « la façon dont vous avez utilisé le service concerné, telle que vos requêtes de recherche ». En outre, au début de l’année 2007, Google a acheté la régie publicitaire DoubleClick49 et a lancé, le 11 mars 2009, une plateforme permettant de cibler les centres d’intérêt des utilisateurs en fonction de leurs visites sur YouTube et sur le réseau de sites partenaires AdSense50 . [Rz 51] Enfin, Google fournit aux responsables de sites Internet un outil gratuit d’analyse statistique. Analytics permet ainsi d’évaluer le nombre de ventes, savoir comment les visiteurs utilisent le site, comment ils y accèdent, etc.51 . ii. Facebook: la publicité personnalisée sur site [Rz 52] Parmi les différents mécanismes de publicité proposés par Facebook, l’on peut relever celui nommé Personalized Ads, dont le fonctionnement est le suivant : l’annonceur contacte Facebook en décrivant sa cible selon des critères qu’il choisit de manière très précise. Subséquemment, l’annonceur soumet un texte et un lien publicitaire. Il appartient ensuite à Facebook de diffuser la publicité auprès des personnes répondant au profil désigné par l’annonceur52 . Pour se faire, Facebook ne transmet aucune donnée personnelle aux annonceurs ; ceci ressort en effet de sa Politique d’utilisation des données, laquelle prévoit que « nous [Facebook] ne communiquons pas vos informations aux annonceurs [. . . ] nous pouvons communiquer vos informations après avoir retiré toutes les informations qui permettraient de vous identifier ou les combiner avec d’autres informations de façon à ne plus permettre l’identification »53 . [Rz 53] De plus, Facebook a également noué un partenariat avec Amazon, permettant aux utilisateurs du réseau social d’accéder à la liste des livres que leurs amis souhaiteraient acheter. Ce service est toutefois en opt-in54 . iii. LinkedIn: la publicité personnalisée en réseau [Rz 54] La démarche adoptée par ce réseau social est opposée à celle de Facebook, où le processus de publicité ciblée est entièrement contrôlé par ce dernier. En effet, LinkedIn, quant à lui, délègue l’affichage de ses publicités ciblées à DoubleClick. Pour se faire, LinkedIn transmet à cette régie publicitaire le numéro identifiant interne à LinkedIn, la région et l’entreprise de l’utilisateur55 . [Rz 55] En outre, ce réseau social a également conclu un partenariat avec le New York Times, permettant d’afficher, lorsque l’utilisateur se rend sur le site de ce quotidien new-yorkais, des 48 Règles de confidentialité de Google, 24 juin 2013 (http://www.google.fr/intl/fr/policies/privacy/) (7 novembre 2013). 49 Hélène Puel, Google devient un géant de la publicité en ligne, 01net, 16 avril 2007 (http://www.01net.com/ editorial/346103/google-devient-un-geant-de-la-publicite-en-ligne/) (7 novembre 2013). 50 Google se met à la pub ciblée selon les centres d’intérêts des internautes. 51 (http://www.google.ch/intl/fr/analytics/). 52 Politique d’utilisation des données de Facebook, 11 décembre 2012 (https://fr-fr.facebook.com/full_data_use_ policy) (21 octobre 2013), Chap. IV, rubrique relative aux publicités personnalisées. 53 Politique d’utilisation des données de Facebook, Chap. IV, rubrique relative aux publicités personnalisées. 54 Rapport de la CNIL sur la publicité ciblée en ligne, p. 16. 55 Rapport de la CNIL sur la publicité ciblée en ligne, p. 16. 12 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 informations personnalisées en rapport avec le secteur économique dans lequel travaille ce dernier56 . C. De la légalité de telles clauses contractuelles : considérations relevant de la LPD 1. Applicabilité de la LPD aux profils utilisés pour cibler la publicité [Rz 56] L’analyse du comportement de navigation ainsi que la segmentation comportementale établissent des profils de la personnalité au sens de l’art. 3 let. d LPD57 . En effet, quand bien même les données seraient en elles-mêmes totalement ou partiellement anodines, leur assemblage est susceptible de donner « une image complète d’une personne ou de ses caractéristiques essentielles » ; par exemple, des données « sur des références de lecture, sur des habitudes de voyage ou sur les loisirs en général peuvent dévoiler des aspects secrets d’une personnalité, telle sa vision du monde »58 . Quant aux adresses IP, notons que notre Haute Cour a reconnu qu’elles doivent être qualifiées de données personnelles au sens de l’art. 3 let. a LPD59 . Par conséquent, dès lors que le contenu d’une publicité est ciblé en fonction d’un profil préalablement établi, la législation sur la protection des données est applicable60 . [Rz 57] Cependant, l’on ne doit pas oublier qu’en cas d’anonymisation, la donnée échappe à la LPD61 . S’agissant de données où l’anonymisation n’est pas complète et où une possibilité de réidentification subsiste, le Tribunal fédéral considère qu’elles bénéficient d’une anonymisation « de facto » lorsque la reconnaissance nécessite des moyens tels que, selon le cours ordinaire des choses, aucun intéressé ne les mettra en œuvre ; dans ce cas, on ne peut en effet pas parler de possibilité d’identification. Le degré d’anonymisation requis dépend des circonstances du cas d’espèce, des possibilités offertes par la technique et de l’importance des moyens à mettre en œuvre pour pouvoir rattacher les informations considérées à une personne déterminée ainsi que de l’intérêt de l’auteur du traitement à l’identification62 . Il est intéressant de relever que le Conseil d’Etat français, amené à se prononcer sur la pratique de la segmentation comportementale, a estimé que « si le segment [. . . ] ne constitue pas à lui seul une information nominative, [. . . ] il le devient dès lors qu’il est associé à une personne identifiée ou indirectement identifiable et figure dans un traitement automatisé ; [. . . ] les personnes concernées doivent pouvoir avoir connaissance des mentions relatives à la segmentation qui figurent dans le fichier en cause »63 . Ainsi, les données anonymisées ne sem- 56 Rapport de la CNIL sur la publicité ciblée en ligne, p. 16. 57 Le droit européen retient la même solution. Dans son Avis 4/2007 du Groupe de travail « article 29 » sur la protec- tion des données (G29) du 20 juin 2007 sur le concept de données à caractère personnel (p. 11), le G29 a relevé que « les données concernent une personne si elles ont trait [. . . ] au comportement d’une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée ». 58 FF 1988 II 421, p. 454. 59 ATF 136 II 508, in JdT 2011 II 446, consid. 3.8. 60 Au vu du fait que les données traitées à des fins de publicité en ligne ont trait au comportement d’une personne (Rapport de la CNIL sur la publicité ciblée en ligne, p. 26), cette conclusion vaut également en droit communautaire. 61 Philippe Meier, Protection des données, fondements, principes généraux et droit privé, Berne (Staempfli) 2011, N 438. 62 ATF 136 II 508, in JdT 2011 II 446, consid. 3.2. 63 Décision du Conseil d’Etat (CE 10/7 SSR) n° 148659 du 7 juin 1995, publiée au recueil Lebon (http://legimobile.fr/ fr/jp/a/ce/ad/1995/6/7/148659/) (20 mars 2015) 13 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 bleraient pas entièrement exclues du champ d’application de la législation sur la protection des données. 2. Concrétisation des exigences légales et obligations qui en découlent pour les exploitants de sites web [Rz 58] Quand bien même la jurisprudence a admis l’invocabilité des motifs justificatifs en présence de violations des principes généraux (alors que la version actuelle de l’art. 12 al. 2 let. a LPD ne réserve plus de tels motifs), il convient de garder à l’esprit que la justification d’un traitement de données contrevenant aux principes des art. 4, 5 al. 1 et 7 al. 1 LPD ne peut être admise qu’avec grande retenue, en tenant compte du cas d’espèce64 . [Rz 59] S’agissant d’un traitement de données à des fins commerciales, le principal motif justificatif réside dans le consentement des personnes intéressées. En effet, pour pouvoir bénéficier des services proposés par les exploitants de sites web, les utilisateurs doivent accepter, en principe dans les conditions générales, des clauses relatives au traitement de leurs données. Nous reviendrons sur la question de la validité et de la portée d’un tel consentement dans la dernière partie de ce travail (cf. ci-après Chapitre IV, lettre A, chiffre 3). [Rz 60] Les principes de finalité (art. 4 al. 3 LPD) et de reconnaissance (art. 4 al. 4 LPD) commandent que les internautes soient informés en toute transparence du fait que leurs données personnelles sont collectées, analysées, ainsi que du but poursuivi par le traitement de cellesci65 . Ainsi, si un réseau social entend communiquer à des tiers les données personnelles de ses utilisateurs à des fins de marketing, l’exploitant dudit réseau doit en avertir les personnes visées. [Rz 61] S’agissant du but du traitement, les principes de proportionnalité (art. 4 al. 2 LPD) et de finalité (art. 4 al. 3 LPD) interdisent la collecte, le traitement et la conservation de données plus nombreuses que celles nécessaires afin d’atteindre les objectifs de traitement indiqués66 . Or, l’indication de propos de traitement très généraux nous semble susceptible de ne pas satisfaire au principe de finalité dans la mesure où, au moment de la collecte, les internautes n’ont pas suffisamment conscience de l’utilisation qui sera faite ultérieurement des données ainsi récoltées67 . [Rz 62] La création de profils de la personnalité peut également faire entorse au principe de l’exactitude des données (art. 5 al. 1 LPD) au vu du fait que les procédés de data mining aboutissent à la perte du contexte d’origine dans lequel les données ont été obtenues68 . [Rz 63] Au demeurant, il incombe aux exploitants de site web de prendre les mesures organisationnelles et techniques appropriées afin de protéger les données contre tout traitement non autorisé (art. 7 al. 1 LPD). Or, si les données d’un réseau social font l’objet d’un vol ou d’une fuite, le principe de sécurité des données se verra violé. Ainsi, selon les circonstances, une obligation pour l’exploitant de la plateforme de signaler la fuite ou le vol de données peut être déduite des 64 ATF 136 II 508, in JdT 2011 II 446, consid. 5.2.4. Pour plus de détails, cf. Parmentier, p. 7 ss. 65 Explications du PFPDT concernant le webtracking. 66 Rapport du Conseil fédéral (CF) en réponse au postulat Amherd 11.3912 du 29 septembre 2011, Cadre juridique pour les médias sociaux, p. 22 (20 mars 2015). 67 Rapport du CF sur le cadre juridique pour les médias sociaux, p. 28. 68 Alex Schweizer, Data Mining — ein rechtliches Minenfeld Rechtliche Aspekte von Methoden des Customer Relati- onship Management (CRM) wie Data Mining, in Digma : Zeitschrift für Datenrecht und Informationssicherheit [Baeriswyl Bruno, Rudin Beat, Hämmerli Bernhard M., Opplinger Rolf, Schweizer Rainer J., édit.], Zurich (Schulthess) 2001, p. 108 ss, p. 109. 14 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 principes de sécurité des données et de la bonne foi (art. 4 al. 2 LPD)69 . [Rz 64] Un problème vis-à-vis des principes de finalité (art. 4 al. 3 LPD) et de reconnaissabilité (art. 4 al. 4 LPD) peut surgir lorsque les utilisateurs, d’un réseau social par exemple, chargent sur ce dernier leurs répertoires de numéros téléphoniques et d’adresses e-mail. Afin de respecter lesdits principes, les exploitants de plateformes ainsi que les utilisateurs qui publient ces données sont tenus d’informer les personnes concernées de la collecte et de l’utilisation qui va être faite de leurs données70 . Il nous semble toutefois qu’une telle manière de faire est difficilement conciliable avec les réalités de la pratique. [Rz 65] Au surplus, le traitement de données personnelles collectées, notamment par voie de webtracking, doit être approuvé par la personne concernée. L’exploitant du site web peut remplir son obligation d’information s’agissant du fait qu’il utilise des outils de webtracking au moyen, par exemple, d’une déclaration de protection des données71 . Lorsque sont visées des données personnelles ordinaires, l’approbation peut également se déduire du comportement de la personne concernée, lequel constituerait un consentement tacite. L’on ne saurait toutefois parler de consentement volontaire (donné de son plein gré et sur la base d’informations appropriées, au sens de l’art. 4 al. 5 ab initio LPD) lorsque les instruments de webtracking se mettent à collecter des données personnelles dès qu’un internaute se rend sur un site web72 . En outre, s’agissant de données sensibles et de profils de la personnalité, une confirmation expresse sur le fait qu’il a été informé et qu’il approuve le webtracking est requise (art. 4 al. 5 in fine LPD). Notons que l’exploitant doit également informer les internautes des possibilités de s’opposer au tracking73 . [Rz 66] Quant aux clauses prévoyant la cession de l’usage d’un droit immatériel en faveur des exploitants de plateforme, il convient de s’interroger sur leur validité au regard du principe de la proportionnalité garanti à l’art. 4 al. 2 LPD. Nous sommes d’avis que la proportionnalité entre la prestation, à savoir la mise à disposition d’une infrastructure de communication, et la contreprestation, à savoir le transfert irrévocable, illimité et cessible de droits d’utilisation des données personnelles, peut être mise en doute74 . [Rz 67] Le transfert des données des utilisateurs par le biais de plug-ins sociaux peut également contrevenir au principe de reconnaissabilité (art. 4 al. 4 LPD) en raison d’un manque d’information des internautes s’agissant du transfert desdites données75 . Ainsi, si l’exploitant souhaite intégrer des plug-ins sociaux à son site, il doit recourir à la solution dite « à deux clics ». Dans un premier temps, les plug-ins sociaux sont désactivés ; l’internaute pourra les activer au moyen d’un curseur, puis partager la page avec d’autres utilisateurs76 . A cet effet, l’on peut citer l’exemple du bouton « J’aime », plus connu sous son appellation anglaise « Like », de Facebook. La Politique d’utilisation des données de ce réseau social prévoit en effet que les utilisateurs peuvent « reconnaître ces modules, car ils [ces modules] vous demandent l’autorisation d’accéder à vos [celles 69 Rapport du CF sur le cadre juridique pour les médias sociaux, p. 23. 70 Rapport du CF sur le cadre juridique pour les médias sociaux, p. 23. 71 Explications du PFPDT concernant le webtracking. 72 Explications du PFPDT concernant le webtracking. 73 Explications du PFPDT concernant le webtracking. 74 Rapport du CF sur le cadre juridique pour les médias sociaux, p. 26. 75 Rapport du CF sur le cadre juridique pour les médias sociaux, p. 28. 76 Explications du PFPDT concernant le webtracking. 15 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 des utilisateurs] informations ou de publier des informations sur Facebook »77 . III. Des limites à la commercialisation des données personnelles A. De la liberté contractuelle [Rz 68] Les relations contractuelles en droit suisse sont régies par le principe de la liberté contractuelle, caractérisé par le Tribunal fédéral comme l’un des principaux piliers des libertés fondamentales garanties par le droit privé78 . Ce principe trouve son fondement à l’art. 19 al. 1 CO, selon lequel « l’objet d’un contrat peut être librement déterminé [. . . ] ». [Rz 69] Toutefois, ce principe ne va pas sans restrictions. En effet, la conception a partiellement évolué ; « les conditions économiques et sociales qui justifiaient la consécration de la liberté contractuelle comme postulat de base se sont profondément modifiées »79 . A teneur de l’art. 19 al. 2 CO, les conventions des parties dérogeant à une règle de droit strict ou entraînant une contrariété aux mœurs, à l’ordre public ou aux droits de la personnalité sont exclues. S’agissant de l’art. 20 al. 1 CO, il frappe de nullité un contrat ayant pour objet une chose impossible, illicite ou contraire aux mœurs. Pour limiter le contenu du contrat, le législateur peut également soumettre certains contrats — pourtant de droit privé — à des autorisations données par des autorités étatiques. B. Des limites découlant du droit privé (art. 27 al. 2 CC) [Rz 70] L’art. 27 al. 2 CC, auquel renvoie l’art. 19 al. 2 CO, reflète l’ambiguïté inhérente au droit à l’autodétermination, du fait qu’il constitue concomitamment une protection des droits de la personnalité et une limitation de ceux-ci. Ainsi, les droits de la personnalité fondent et limitent en même temps la liberté contractuelle80 . [Rz 71] En proscrivant à une personne d’aliéner ou de céder à autrui un droit de sa personnalité en tant que tel, l’art. 27 CC n’est pas sans conséquence quant à l’objet du droit commercialisé81 . Comme le soulignent Deschenaux et Steinauer, « les actes de disposition sur des biens de la personnalité ne sont possibles que comme dispositions de fait ; on ne peut en effet renoncer au droit qui porte sur ce bien, pas plus qu’on ne peut le transférer »82 . Partant, la titularité d’un tel droit ne pouvant être acquise par autrui, le droit de la personnalité en tant que tel ne peut aucunement faire l’objet d’une commercialisation, faisant perdre à son titulaire sa maîtrise absolue sur les éléments de sa personnalité83 . [Rz 72] Il convient donc de s’interroger sur la question suivante : les attributs de la personnalité peuvent-ils être considérés comme objets du commerce ? Pour ce faire, il convient d’appréhender 77 Politique d’utilisation des données de Facebook, Chap. III, rubrique relative aux modules sociaux. 78 ATF 129 III 276, in JdT 2003 I 346, consid. 3.1. 79 Pierre Tercier / Pascal Pichonnaz, Le droit des obligations, 5e éd., Zurich (Schulthess) 2012, N 520. 80 CR CO I-Guillod/Steffen, in Commentaire romand, Code des obligations I, 2e éd. [Thévenoz Luc/Werro Franz, édit.], Genève, Bâle, Munich (Helbing) 2012, CO 19 et 20 N 74 81 Manaï, N 888. 82 Henri Deschenaux / Paul-Henri Steinauer, Personnes physiques et tutelle, 4e éd., Berne (Staempfli) 2001, N 319a. 83 Manaï, N 888. 16 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 la disponibilité des attributs de la personnalité eu égard à l’art. 27 CC. [Rz 73] Il est pour cela nécessaire d’opérer une distinction selon le degré de disponibilité des divers attributs de la personnalité (principe de disponibilité différenciée des attributs de la personnalité). En effet, d’un point de vue économique, tous les biens de la personnalité ne sont pas susceptibles d’une exploitation commerciale84 . Deux catégories d’attributs peuvent être dressées. D’une part, les biens dont l’usage, notamment commercial, peut être aliéné ou concédé à autrui par le titulaire desdits attributs. En font partie ceux qui, d’une manière générale, servent à identifier ou à individualiser leur titulaire (le nom, l’image, etc.). D’autre part, ceux dont l’usage, pour des raisons liées à la nature intrinsèque des attributs concernés ou des motifs d’ordre moral, n’est pas en mesure d’être aliéné ou concédé à autrui. L’on peut notamment songer à la vie ou à l’intégrité physique85 . L’exploitation commerciale de cette deuxième catégorie impliquerait immanquablement une violation de l’art. 27 al. 2 CC86 . [Rz 74] Ainsi, dès lors que la commercialisation des données personnelles a trait aux attributs de la personnalité sociale de l’individu concerné87 , un contrat d’usage ou d’aliénation portant sur l’un de ceux-ci est tout à fait admissible et ne contrevient pas à l’art. 27 al. 2 CC88 . Par conséquent, seuls les biens susceptibles d’une telle exploitation doivent être considérés comme des biens du marché89 . Telle est d’ailleurs la solution retenue par le Tribunal fédéral, dans un arrêt concernant un contrat relatif à l’exploitation de l’image d’une personne90 . Notre Haute Cour met en avant l’importance que revêt la commercialisation des attributs de la personnalité dans notre société pour admettre qu’« il serait totalement inadéquat de soutenir que le consentement à une cession des droits à l’image ne pourrait pas faire l’objet d’un accord contractuel contraignant »91 . Elle conclut donc à la validité des engagements contractuels sur la base desquels le droit à l’image a été cédé92 . [Rz 75] Toutefois, s’agissant des attributs de la personnalité pouvant faire l’objet d’un contrat, une exploitation commerciale sans limites n’est pas envisageable. Pour que cette dernière soit jugée admissible sous l’angle de l’art. 27 al. 2 CC, le consentement doit avoir été clairement circonscrit93 . C. Des limites découlant du droit public (LPD) [Rz 76] Il convient à ce stade d’examiner les conséquences juridiques, et partant le sort du contrat de commercialisation, en cas de violation des règles relatives au traitement de données personnelles par des personnes privées94 . 84 Manaï, N 115. 85 Manaï, N 122. 86 Manaï, N 863. 87 Elle se rattache donc à la première catégorie d’attributs de la personnalité ci-dessus mentionnée. 88 Manaï, n. 3088. 89 Manaï, N 863. 90 ATF 136 III 401. 91 de Werra, La gestion contractuelle, p. 245. 92 ATF 136 III 401, consid. 5.2.3. 93 Manaï, N 453 et 1232. 94 Sur la question de savoir si, en raison de son décloisonnement, la LPD fait partie du droit public ou du droit privé, le lecteur pourra consulter la contribution d’Alexandre Staeger, LPD : le décloisonnement entre droit privé et droit public fait loi, in Le droit décloisonné, interférences et interdépendances entre droit privé et droit public [Dunand 17 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 1. En droit interne suisse [Rz 77] Quel serait l’impact de la violation des règles de la LPD sur un contrat soumis au droit suisse ? Pourrait-on tout de même conclure un contrat de licence de données personnelles récoltées en violation des exigences de la LPD ? [Rz 78] Selon l’art. 20 al. 1 CO, un contrat ayant un contenu illicite ou contraire aux mœurs est nul. a. L’illicéité [Rz 79] Un contrat est illicite, au sens de cette disposition, lorsque son objet, le résultat auquel il conduit ou le but qu’il poursuit indirectement contrevient à un droit objectif95 , plus spécifiquement lorsqu’il contrevient à la lettre ou au but d’une disposition légale96 . L’illicéité suppose une contravention à une norme de l’ordre juridique suisse, à savoir une norme de droit international, de droit fédéral privé (pour autant qu’elle soit impérative ou semi-impérative), de droit fédéral public ou de droit intercantonal ou cantonal97 . [Rz 80] Lorsque la loi ne consacre pas expressément la nullité d’un acte violant une disposition légale, cette conséquence juridique ne doit être admise que si elle ressort du sens et du but de la norme violée, c’est-à-dire si elle est appropriée compte tenu de l’importance de l’effet combattu98 . [Rz 81] La LPD ne prévoit pas la sanction de la nullité. Il convient donc de se demander si une telle nullité serait appropriée eu égard à l’importance de l’effet combattu aux art. 12 ss. LPD, à savoir la protection de la personnalité de la personne dont les données sont traitées et la consécration au plan privé de son droit à l’autodétermination informationnelle (déjà reconnu sur le plan constitutionnel à l’art. 13 al. 2 de la Constitution [Cst.]). [Rz 82] A l’heure actuelle, il ne nous semble pas que le Tribunal fédéral se soit penché sur cette question. La Cour de cassation française s’est toutefois prononcée sur le sujet récemment99 . La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après Loi n° 78-17), transposant en droit interne la directive 95/46, prévoit à ses art. 22 ss. une procédure de déclaration à la Commission nationale informatique et libertés (ci-après CNIL) valant engagement de conformité à la loi. Ainsi, et sous réserve d’exceptions, les traitements automatisés de données à caractère personnel doivent faire l’objet de ladite déclaration (art. 22 al. 1 Loi n° 78-17). L’arrêt portait sur la vente d’un fichier de clients informatisé. Il a été constaté que ledit fichier, tenu par la défenderesse, n’avait pas, quand bien même il l’aurait dû, été déclaré à la CNIL. En outre, la loi n° 78-17 ne prévoit pas que l’absence d’une telle déclaration soit sanctionnée par la nullité. Nonobstant, la Cour a conclu que la vente d’un tel fichier, « n’ayant pas été déclaré, n’était pas dans le commerce, avait [donc] un objet illicite ». Par conséquent, le contrat de vente a été frappé de nullité. Jean-Philippe/Mahon Pascal, édit.], Genève, Zurich, Bâle (Schulthess) 2009, p. 151 ss. 95 ATF 119 II 222, in JdT 1994 I 598, consid. 2. 96 CR CO I-Guillod/Steffen, CO 19 et 20 N 60. 97 CR CO I-Guillod/Steffen, CO 19 et 20 N 62. 98 Tercier/Pichonnaz, N 738. 99 Arrêt n° 685 du 25 juin 2013 (12-17.037) — Cour de cassation — Chambre commerciale, financière et économique — ECLI:FR:CCASS:2013:CO00685 (20 mars 2015). 18 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 [Rz 83] Quelques mois avant l’entrée en vigueur de la LPD, le Tribunal fédéral eut à se prononcer sur l’éventuelle illicéité, au regard du droit de la personnalité, d’un contrat de transfert d’un cabinet médical, lequel comprenait la remise des fichiers et des dossiers des personnes soignées100 . Il s’agissait d’un médecin âgé (docteur E.) qui souhaitait dans un premier temps s’associer à un confrère dans le but de lui remettre, dans un deuxième temps, son cabinet. Monsieur M. s’est montré intéressé par cette reprise ; les parties ne conclurent cependant aucun contrat. Peu après, le docteur E. mourut. Une convention portant sur la cession du cabinet et des dossiers médicaux des patients du Dr E. a néanmoins abouti entre la veuve E. et monsieur M., le prix du goodwill étant toutefois resté un point litigieux. En outre, il avait été expressément convenu que monsieur M. serait en droit d’aviser par écrit les patients du fait qu’il avait repris le cabinet du docteur E. [Rz 84] Notre Haute Cour commence son raisonnement en nous rappelant le principe de l’art. 20 al. 1 CO, à savoir le fait qu’un contrat ayant un contenu illicite est nul. En premier lieu, elle retient que dans la mesure où un contrat portant sur la reprise d’un cabinet médical a pour objet la cession du goodwill, à savoir la clientèle du cabinet, il n’apparaît pas illicite sous l’angle de la protection de la personnalité101 . Le Tribunal poursuit en mentionnant que les données personnelles contenues dans le fichier des patients d’un cabinet médical appartiennent en principe au domaine secret de ces personnes, lequel bénéficie de la protection de l’art. 28 CC. Il évoque par ailleurs que les données personnelles sur la santé sont considérées comme des données sensibles au sens de l’art. 3 let. c ch. 2 LPD (laquelle n’était pas encore entrée en vigueur au moment où cet arrêt a été rendu). Le fait de remettre à autrui des données constitue une atteinte illicite aux droits de la personnalité des patients, à moins que cette remise intervienne avec le consentement de ces derniers, qu’elle soit justifiée par un intérêt prépondérant ou qu’elle soit autorisée par la loi (art. 28 al. 2 CC). Ainsi, si le médecin confiant son cabinet dispose de suffisamment de temps pour annoncer à ses patients la remise envisagée et recueillir leur consentement à ce que leur dossier soit transmis à son successeur, les exigences relatives à la protection de la personnalité ne feront pas obstacle au dit transfert. Toutefois, en cas de décès d’un médecin en exercice, il appartient à des tiers de demander aux patients ce qu’il doit advenir de leur dossier. Pour ce faire, il est donc inévitable de prendre connaissance de documents les concernant. Dans une telle situation, le Tribunal fédéral soutient à juste titre que les patients « ont un intérêt légitime à ce que leur dossier ne soit pas détruit, mais que, dans le cas où un autre médecin continuerait le traitement, celui-ci puisse en disposer afin d’être informé le plus sûrement possible de leurs antécédents médicaux ». Ainsi, un intérêt prépondérant des patients a justifié le fait que les héritiers, afin de se conformer à leurs devoirs, vis-à-vis des patients, de reddition de compte et de restitution fondés sur les art. 400 et 402 CO, remettent clientèle et dossiers à un successeur qualifié. Toutefois, n’étant pas partie au rapport de mandat médical, monsieur M. ne s’est pas vu conféré, de par la simple remise des dossiers, le droit de prendre connaissance des informations médicales sans le consentement des personnes soignées. L’octroi d’un tel droit n’est justifié que si cela est nécessaire pour sauvegarder les intérêts objectifs des intéressés. Par conséquent, et en second lieu, notre Haute Cour affirme que dans la mesure où le médecin reprenant était autorisé à disposer du fichier des patients et donc que les droits de la personnalité de ces derniers étaient respectés, le transfert du goodwill du cabinet médical souhaité était possible. Elle arrive donc à la conclusion que le contrat n’est pas 100 ATF 119 II 222, in JdT 1994 I 598. 101 ATF 119 II 222, in JdT 1994 I 598, consid 2.a. 19 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 nul au sens de l’art. 20 CO102 . [Rz 85] Quand bien même cet état de fait diffère de celui examiné à ce stade, à savoir les conséquences en cas de violation de la LPD (or, l’arrêt admet un motif justificatif ; il n’y a donc pas d’atteinte à la personnalité des patients), il nous semble pertinent de relever la systématique du raisonnement adoptée par le Tribunal fédéral. Elle laisse en effet supposer que dans l’hypothèse où un motif justificatif n’aurait pas été reconnu, le transfert du cabinet médical aurait contrevenu aux règles de la LPD ; le contrat aurait de ce fait été considéré comme nul. Ainsi, le Tribunal fédéral ne semble pas exclure la nullité d’un acte violant l’art. 28 CC et, partant, les art. 12 ss. LPD. [Rz 86] Nous sommes donc enclins à penser que la commercialisation de données personnelles récoltées en violation des exigences de la LPD, constituant ainsi une atteinte illicite à la personnalité de la personne concernée, devrait être considérée comme illicite au sens de l’art. 20 CO au vu du fait que son objet et le résultat auquel elle conduit contreviendraient au but des art. 12 ss. LPD. Par conséquent, le contrat devrait être tenu pour nul. b. La contrariété aux mœurs [Rz 87] Nonobstant, à supposer que le Tribunal fédéral doive considérer que le contrat de commercialisation de données personnelles, récoltées en violation des exigences de la LPD, ne puisse être tenu pour nul, il convient de se demander si la contrariété aux mœurs pourrait, elle, être reconnue. [Rz 88] Un contrat est contraire aux bonnes mœurs lorsque, sans violer une disposition légale impérative, il est condamné par la morale dominante, c’est à dire par le sentiment général des convenances ou par les principes et jugements de valeur qu’implique l’ordre juridique considéré dans son ensemble103 . « Les mœurs correspondent à des principes éthiques susceptibles de réunir un consensus [. . . ] et reflètent un essai d’assurer une certaine cohérence entre les normes juridiques et l’échelle des valeurs sociales. C’est l’opinion moyenne des personnes « justes et raisonnables » qui fonde la conception des bonnes mœurs à un moment donné »104 . [Rz 89] Peuvent être contraires aux mœurs aussi bien le contenu du contrat que le fait de conclure, ou le but indirectement visé par les parties105 . [Rz 90] Le juge dispose ainsi d’un large pouvoir d’appréciation ; dans l’exercice de celui-ci, il conviendra de prendre en considération d’autres expressions des valeurs protégées. Il pourra notamment s’inspirer des pratiques nationales ou internationales ainsi que des règles étrangères, dans la mesure où ces dernières tranchent positivement une question aux implications comparables106 . [Rz 91] Relativement à un traitement illicite de données par des personnes privées, il nous semble difficile d’admettre une contrariété aux mœurs lorsque celles-ci sont commercialisées. Un éventuel arrêt du Tribunal fédéral à venir permettrait d’éclaircir ces points. 102 ATF 119 II 222, in JdT 1994 I 598, consid. 2.b. 103 ATF 132 III 455, in JdT 2007 I 251, consid. 4.1. 104 CR CO I-Guillod/Steffen, CO 19 et 20 N 69. 105 Tercier/Pichonnaz, N 744. 106 Tercier/Pichonnaz, N 745. 20 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 2. En droit international privé [Rz 92] Quelle serait la situation face à un contrat portant sur la licence de données personnelles récoltées à l’étranger, et pour lesquelles les autorisations étrangères nécessaires n’ont pas été obtenues, mais que celui-ci est soumis au droit suisse et contient une clause d’élection de for devant les tribunaux suisses ? Reprenons l’exemple de l’arrêt de la Cour de cassation française107 et supposons que celui-ci contient une prorogation de droit suisse ainsi qu’une clause d’élection de for devant les tribunaux suisses. Quel serait l’impact de la violation du droit français, à savoir l’absence de déclaration auprès de la CNIL108 , sur un contrat portant sur des données personnelles françaises et soumis au droit suisse ? [Rz 93] A titre préliminaire109 , il sied de relever que la clause d’élection de for devant les tribunaux suisses est valable en vertu de l’art. 23 ch. 1 de la Convention concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale du 30 octobre 2007 (Convention de Lugano, CL)110 . Ainsi, devant les tribunaux suisses, l’art. 116 al. 1 de la Loi fédérale sur le droit international privé du 18 décembre 1987 (LDIP)111 prévoit que le contrat est régi par le droit choisi par les parties. L’élection de droit suisse est donc admissible. [Rz 94] Le caractère illicite, au sens de l’art. 20 CO, peut être écarté d’emblée. Il suppose en effet la violation d’une règle de droit suisse, condition non réalisée en l’espèce. En effet, l’exigence d’une déclaration à une autorité administrative de protection des données, en cas de traitements automatisés de données personnelles par des personnes privées, fait défaut en droit suisse. [Rz 95] Cependant, la violation de normes de droit impératif étranger peut conduire à la contrariété aux mœurs au sens de l’art. 20 CO. A cet effet, la violation de prescriptions étrangères doit être perçue, selon les conceptions suisses, comme contraire aux mœurs112 . « Cela suppose que la norme étrangère violée protège des intérêts d’importance fondamentale et vitale de l’individu et de la collectivité humaine ou des biens juridiques qui selon les principes éthiques doivent l’emporter sur celui de la liberté contractuelle »113 . Dans le cas d’espèce, la violation de la procédure de déclaration à la CNIL ne peut indubitablement pas protéger des intérêts d’importance fondamentale et vitale de l’individu, au point de l’emporter sur la liberté contractuelle. Cette conclusion est renforcée par le fait qu’en droit suisse le défaut d’une autorisation exigée par le droit public n’entraîne en principe pas à lui seul la nullité du contrat114 . Somme toute, ce contrat soumis au droit suisse ne porte pas atteinte aux mœurs. [Rz 96] L’art. 19 LDIP prévoit qu’une loi d’application immédiate étrangère, non désignée par le 107 Arrêt n° 685 du 25 juin 2013 (12-17.037) — Cour de cassation — Chambre commerciale, financière et économique — ECLI:FR:CCASS:2013:CO00685 (20 mars 2015). 108 Autre est la question de l’impact de la violation d’une norme française — autre que celle prévoyant une déclaration à la CNIL — dont on retrouve le pendant en droit suisse (tel que l’absence de consentement de la personne concernée). En effet, dans cette situation, l’on serait face à une violation du droit suisse ; l’on retombe donc sur la problématique examinée ci-dessus (cf. Chapitre III, lettre C, chiffre 1). 109 L’on exclura de cette hypothèse de travail les usages à des fins privées. 110 RS 0.275.12. 111 RS 291. 112 ATF 80 II 49, in JdT 1954 I 581, consid. 3. 113 Jacques de Werra, Droit des contrats : Partie générale et contrats spéciaux, in Journal des tribunaux — Poursuite II (JdT) 2013, p. 163 ss, p. 167. 114 Pierre Engel, Traité des obligations en droit suisse, Dispositions générales du CO, 2e éd., Berne (Staempfli) 1997, p. 279. 21 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 droit applicable, peut être considérée par le juge, sans qu’il doive nécessairement l’appliquer comme telle115 . La prise en compte de ces dispositions étrangères ne vise pas à sauvegarder l’ordre public suisse, mais un ordre public étranger116 . Toutefois, la prise en considération de telles normes doit rester l’exception117 . Pour que l’art. 19 LDIP puisse intervenir, les conditions suivantes doivent être remplies. Tout d’abord, la norme de l’Etat tiers doit être applicable impérativement dans les relations internationales ; ceci suppose que la disposition étrangère ait vocation à s’appliquer hors des frontières de son ordre juridique. De plus, la situation doit présenter un lien étroit avec le droit auquel appartient la norme étrangère. En outre, des intérêts légitimes et manifestement prépondérants, au regard du droit suisse, doivent exiger l’application de cette disposition. Finalement, la prise en considération de la norme étrangère par le juge suisse doit permettre, compte tenu du but qu’elle vise et des conséquences qu’aurait son application, de rendre une décision adéquate au regard de la conception suisse du droit118 . Sous ce rapport, le Tribunal fédéral a précisé qu’« il n’est pas nécessaire que le droit suisse connaisse des normes impératives semblables ; il suffit que le but poursuivi par la disposition étrangère soit conforme à la conception suisse »119 . In casu, vu les conditions extrêmement restrictives sous-tendant l’application de l’art. 19 LDIP, il appert que l’intérêt à l’application de l’art. 22 al. 1 Loi n° 78-17 (à supposer qu’on puisse la considérer comme étant d’application immédiate) n’atteint pas le degré de prépondérance requis, au point de l’emporter manifestement sur l’intérêt à l’application de la lex causae. Par conséquent, l’art. 19 LDIP, et donc la disposition impérative du droit français, ne trouvent pas application. [Rz 97] Pour conclure, ce contrat portant sur des données personnelles françaises et soumis au droit suisse n’est pas illicite, ne porte pas atteinte aux mœurs et n’exige pas l’application de l’art. 19 LDIP. Nous sommes donc enclins à admettre sa validité. IV. Du sentiment de contentement face au cadre juridique actuel ou du besoin de réglementation? [Rz 98] Les développements technologiques intervenus depuis l’entrée en vigueur de la LPD ont entraîné de nouveaux risques pour le respect du droit à la protection des données. En effet, par la multiplication des possibilités de collecter, de relier, de transmettre et d’exploiter des données à caractère personnel, les risques d’utilisation abusive se sont vus d’autant aggravés120 . Or, ayant été adoptée avant l’émergence d’Internet, de grands réseaux de données, de la globalisation des traitements de l’information et de la dispersion des systèmes interconnectés, la LPD ne s’est pas vue dotée de dispositions spécifiques aux nouvelles technologies121 . [Rz 99] Il convient donc de s’attarder sur la question de savoir si les instruments de la LPD sont 115 Bernard Dutoit, Le droit international privé ou le respect de l’altérité, Genève, Zurich, Bâle (Schulthess) 2006, p. 30 et 31. 116 Florence Guillaume, Droit international privé, Principes généraux, 2e éd., Bâle (Helbing Lichtenhahn) et Neuchâtel (Faculté de droit de l’Université de Neuchâtel) 2013, p. 106. 117 ATF 130 III 620, in JdT 2004 I 555, consid. 3.5.1. 118 Guillaume, p. 107. 119 ATF 136 III 392, consid. 2.3.3.1. 120 Rapport du Conseil fédéral (CF) du 9 décembre 2011 sur l’évaluation de la loi fédérale sur la protection des données, FF 2012 255, p. 267. 121 Antonio Hodgers, Postulat du 8 juin 2010, 22 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 encore adaptés pour répondre à ces nouveaux défis. Ainsi, après avoir mis en exergue certains risques liés aux changements intervenus au cours de ces dernières années, nous analyserons certaines possibilités d’interventions. Pour conclure, l’on s’adonnera à une réflexion prospective tendant à prendre position tout en suggérant quelques idées permettant la mise en pratique de ces possibilités d’interventions. A. Des risques et des lacunes du système actuel 1. Du manque de contrôle des utilisateurs sur leurs propres données [Rz 100] L’un des grands défis d’Internet a trait à la maîtrise des internautes sur les données les concernant. En effet, « une fois en ligne, l’information demeure et peut faire l’objet de traitements multiples et infinis dans des contextes différents, pour des finalités diverses et souvent pas compatibles entre elles »122 . [Rz 101] La complexité des traitements de données, l’opacité grandissante qui les entoure ainsi que la multiplication des acteurs ayant accès à ces dernières provoquent une perte de contrôle des utilisateurs sur les informations les concernant123 . Ce phénomène est en outre renforcé par le fait que les indications relatives à l’utilisation des données personnelles sont souvent difficiles à trouver et que les explications quant aux objectifs de traitement et à leur transmission à des tiers ne sont pas fournies de manière transparente124 . Par ailleurs, la dispersion des informations au travers du nuage numérique conduit à faire régner le brouillard dans un environnement déjà trouble. 2. De la conservation et de l’utilisation des données non limitées dans le temps [Rz 102] A l’heure actuelle, de nombreux réseaux sociaux ne prévoient pas de limite temporelle s’agissant de la conservation et de l’utilisation des données récoltées. Ceci ne fait qu’accroître la perte de contrôle des internautes sur ces dernières et éloigne ces derniers de leur souhait tendant à davantage de transparence. [Rz 103] Quand bien même cette situation serait appréhendable sous l’angle des principes de proportionnalité et de finalité, il s’avère regrettable que la LPD ne prévoie pas une limite temporelle aux traitements admissibles. 3. De la validité et de la portée du consentement des utilisateurs [Rz 104] Consentir, certes, mais consentir à quoi ? En quoi est-il pertinent d’ériger le consentement en motif justificatif, si, dans les faits, les personnes n’ont pas pleinement conscience de ce à quoi elles consentent ? [Rz 105] Eu égard à l’aridité stylistique caractérisant les conditions générales ainsi qu’à l’opacité des déclarations relatives à la protection des données, l’on peut s’interroger sur la validité du 122 Walter, Exposé du PFPDT), Chapitre III point 4. 123 Walter, Exposé du PFPDT, Chapitre III point 4. 124 Rapport du CF sur le cadre juridique pour les médias sociaux, p. 20. 23 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 consentement initialement donné. Est-il réellement le fruit d’une manifestation de volonté libre et éclairée ? De surcroît, les conséquences de certains types de traitement étant souvent étrangères aux protagonistes, dans quelle mesure et jusqu’à quel point peut-on prétendre être encore sous le couvert dudit consentement ? [Rz 106] En outre, de nombreuses sociétés d’Internet fournissent leurs services à condition que l’utilisateur ait accepté leurs conditions générales. Peut-on donc parler de véritable consentement libre et éclairé si le refus de l’internaute à consentir a pour conséquence de le priver de l’accès auxdits services ? [Rz 107] Cette problématique se pose également en aval, s’agissant de la révocation du consentement. La LPD prévoit que la personne concernée doit pouvoir révoquer en tout temps son consentement, manifestant ainsi sa volonté de s’opposer au traitement de ses données125 . Or, une telle révocation trouve toutefois ses limites lorsque le consentement est donné dans un cadre contractuel, tel que dans les conditions générales d’un réseau social. En effet, la seule façon d’exprimer son désaccord consisterait à supprimer son compte, et par conséquent, résilier le contrat (révoquer uniquement le consentement est à ce jour impossible et va à l’encontre des principes soustendant les réseaux sociaux gratuits). [Rz 108] Quant aux clauses autorisant une adaptation unilatérale des conditions générales par les exploitants, sans préavis ni communication personnelle aux utilisateurs, leur conformité au nouvel art. 8 de la Loi fédérale contre la concurrence déloyale du 19 décembre 1986 (LCD)126 peut être remise en question127 . Sur ce point, les conditions générales de Facebook stipulent que « si nous apportons des modifications aux règles mentionnées ou incorporées à la présente Déclaration, nous pouvons vous en informer sur la Page Facebook Site Governance. Votre utilisation de Facebook après la modification de nos conditions générales indique que vous acceptez nos nouvelles conditions »128 . N’est-il toutefois pas contraire au principe de la bonne foi que d’admettre la perpétuation du consentement, malgré un changement de la situation ? Erigée en simple possibilité, et non en obligation, de même que prévoyant un avis général, et non individuel auprès de chaque utilisateur, la conformité d’une telle clause aux règles de la bonne foi nous semble douteuse. B. Des possibilités d’interventions permettant de combler ces lacunes [Rz 109] Sans vouloir prétendre à l’exhaustivité de cette analyse, nous nous permettons d’esquisser trois idées d’interventions. 1. Principe d’opt-in [Rz 110] Selon le principe d’opt-in, « les applications Internet notamment sont configurées par défaut pour une utilisation minimale des données à disposition par l’usager, qui doit approuver de façon expli- 125 Paul-Henri Steinauer, Le droit privé matériel, in La nouvelle loi fédérale sur la protection des données [Gillard Nicolas, édit.], Lausanne (Cedidac) 1994, p. 85 ss, p. 101. 126 RS 241. 127 Rapport du CF sur le cadre juridique pour les médias sociaux, p. 26. 128 Déclaration des droits et responsabilités de Facebook, clause 14 ch. 2 et 3 relatifs aux amendements. 24 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 cite chaque extension de cette utilisation »129 . [Rz 111] Ainsi, ériger le principe du consentement préalable actif en obligation légale permettrait de renforcer la transparence des traitements et d’améliorer la maîtrise ainsi que le droit de regard des internautes sur les données les concernant. 2. Privacy by design [Rz 112] Le principe de privacy by design (protection intégrée de la vie privée) consiste à ce que les éventuels problèmes relatifs à la protection des données soient soulevés et contrôlés lors de la phase de conception d’un nouvel outil ou système. Le but est ainsi d’éviter d’avoir à corriger des problèmes ultérieurement, par le biais de programmes de correction130 . Cette solution de contrôle préalable figure déjà à l’art. 20 de la directive 95/46 s’agissant de nouveaux traitements de données personnelles. [Rz 113] Nous sommes d’avis qu’assurer la protection des données en amont — impliquant de ce fait la prise en compte des principes et exigences de la protection des données dans l’organisation et la conception des systèmes d’information et des technologies — permettrait d’éviter la collecte et le traitement de données superflues, de limiter la conservation de ces données au minimum nécessaire ainsi que d’offrir aux personnes concernées une meilleure maîtrise de leurs données131 . C’est à travers la mise en place de paramètres plus adaptés à la protection des données que la confiance, dans les systèmes de traitement des données, pourra être renforcée. 3. Conséquences juridiques en cas de traitement contrevenant aux règles de la LPD [Rz 114] Pour faire suite aux difficultés auxquelles nous avons été confrontés dans la détermination des conséquences juridiques, et partant le sort du contrat de commercialisation, en cas de violation des règles relatives au traitement des données personnelles par les personnes privées, nous sommes d’avis qu’il serait préférable de prévoir, dans la LPD, les sanctions qui en résulterait. Une telle solution garantirait en effet une meilleure sécurité juridique et serait probablement de nature à inciter les personnes concernées à agir afin de garantir leurs droits. [Rz 115] L’on pourrait également songer à introduire dans notre droit une responsabilité objective du fait du traitement. Le lésé ne devant pas établir la faute, il reviendrait ainsi au responsable du traitement de prouver qu’il a agi conformément à la loi132 . C. Réflexions prospectives [Rz 116] A notre sens, la mise en œuvre des possibilités d’interventions ci-dessus mentionnées devrait s’articuler autour de trois axes. 129 Rapport du CF sur l’évaluation de la loi fédérale sur la protection des données, n. 10. 130 Rapport du CF sur l’évaluation de la loi fédérale sur la protection des données, n. 11. 131 Walter, Exposé du PFPDT, Chapitre III point 5.1. 132 Walter, Exposé du PFPDT, Chapitre III point 4.6. 25 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 1. De la révision de la LPD [Rz 117] Les mesures qui viennent d’être avancées (cf. Chapitre IV, lettre B) nous semblent aptes à ajuster la LPD aux nouvelles menaces et partant à atteindre les objectifs souhaités par le Conseil fédéral133 . Toutefois, la mise en œuvre de telles mesures nécessite une adaptation de la LPD. Ainsi, sans remettre en question les principes de base de la protection des données, il nous semblerait judicieux de compléter ces derniers, en intégrant de nouveaux principes tels que ceux d’opt-in ou de la protection intégrée de la vie privée (privacy by design). Afin de renforcer la prévisibilité juridique, il nous paraîtrait pertinent d’introduire également une disposition prévoyant la sanction imposable en cas de traitements illégaux. [Rz 118] Notre proposition de révision serait la suivante : Principe d’opt-in : Art. 4 al. 2bis LPD « Leur traitement doit être effectué conformément au principe du consentement préalable actif (opt-in) ». Principe de la protection intégrée de la vie privée (privacy by design) : Art. 7 LPD «1 Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées, tant au moment de la conception que de l’exécution du traitement. 2 Le préposé fédéral à la protection des données et à la transparence procède à un contrôle préalable, après réception de la notification du responsable du traitement. 3 Le Conseil fédéral précise les traitements devant être examinés avant leur mise en œuvre. 4 Le Conseil fédéral édicte des dispositions plus détaillées sur les exigences minimales en matière de sécurité des données ». [Rz 119] Sanction en cas de violation des règles relatives au traitement des données personnelles par des personnes privées : Art. 15bis LPD « La violation des art. 12 à 14 entraîne la nullité du contrat portant sur des données personnelles ». [Rz 120] La passivité du Conseil fédéral, pourtant conscient de la problématique, nous apparaît critiquable134 . Une position attentiste ne nous semble pas des plus adéquate ; il conviendrait au contraire d’entamer sans plus attendre des réflexions de fond, afin d’agir de manière coordonnée et uniforme avec le mouvement de modernisation qui se déploie au sein de l’Union européenne et au Conseil de l’Europe. Nous partageons l’avis de Jean-Philippe Walter, lequel considère que 133 Pour une description détaillée des objectifs sous-tendant les travaux de révision de la LPD, l’on renverra le lecteur au point 5.2.2 du Rapport du CF sur l’évaluation de la loi fédérale sur la protection des données. 134 Le Conseil fédéral avait déjà évoqué les problèmes engendrés par les développements technologiques en 2011, dans le Rapport sur l’évaluation de la loi fédérale sur la protection des données, puis en 2013, dans le cadre du Rapport sur le cadre juridique pour les médias sociaux. Aujourd’hui, il attend les propositions que lui soumettra fin 2014 au plus tard le DFJP dans le cadre des travaux de révision de la LPD. Quant à la problématique des réseaux sociaux, il lui paraît souhaitable d’établir, sous forme de bilan intermédiaire, un nouvel état des lieux d’ici fin 2016. 26 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 « si nous voulons favoriser le recours aux technologies de l’information et des communications, encourager l’innovation et bénéficier des avantages notamment sociaux, scientifiques, culturels, économiques qu’elles apportent aux individus et à la société, il est important de créer les conditions nécessaires à ce que chacun et chacune d’entre nous puissent y recourir en toute confiance. La réussite de la société numérique passe obligatoirement par un haut niveau de protection des données »135 . Il n’apparaît donc pas justifié de craindre une révision du droit et de l’organisation de la protection des données. [Rz 121] Ne perdons toutefois pas de vue qu’une telle mesure, quand bien même nécessaire, ne sera pas à elle seule suffisante. Eu égard au fait que le traitement des données à l’ère d’Internet ne s’arrête pas aux frontières nationales, mais présente le plus souvent une portée internationale, l’application de la législation suisse peut, dans une telle situation, atteindre ses limites. Un renforcement de la collaboration internationale serait donc également une piste à envisager. 2. De l’autoréglementation [Rz 122] L’on peut également envisager de développer davantage136 les instruments d’autoréglementation, en s’inspirant par exemple de l’approche adoptée par la bourse suisse. Ainsi, des organisations sectorielles — à créer — auraient pour mission d’élaborer des règles de bonne pratique, lesquelles feraient l’objet d’une approbation par le préposé fédéral à la protection des données et à la transparence. [Rz 123] Dès lors, nous pourrions introduire la disposition suivante : Art. 7a LPD Autorégulation « 1 Les organisations sectorielles garantissent l’organisation adéquate, l’administration ainsi que la surveillance de leur domaine d’activité. Elles sont nommées par le Conseil fédéral, lequel précise leur rôle et leurs tâches. 2 Les organisations sectorielles soumettent leurs règlements et leurs modifications à l’approbation du préposé fédéral à la protection des données et à la transparence ». [Rz 124] Une telle solution aurait l’avantage, à la différence de la législation, de pouvoir s’adapter rapidement aux changements et évolutions dans le secteur des nouvelles technologies. Néanmoins, face à des acteurs étrangers, et par conséquent non sujets à la surveillance des organisations sectorielles suisses, l’autoréglementation atteint également ses limites. 3. De la sensibilisation des utilisateurs [Rz 125] Il ne faut pas perdre de vue qu’en pratique, de nombreux enjeux ne peuvent point être résolus uniquement à l’aide d’instruments juridiques. La sensibilisation et l’information des internautes jouent également un rôle non négligeable. [Rz 126] En effet, les utilisateurs du web font parfois acte d’imprudence et méconnaissent les possibilités d’utilisation de leurs données ainsi que les risques qui en découlent137 . Il nous appa- 135 Walter, Exposé du PFPDT, préambule du Chapitre III. 136 L’on peut notamment citer, s’agissant des fournisseurs de services d’hébergement, l’exemple du Code of Conduct éla- boré sous la direction de l’association professionnelle simsa. 137 Rapport du CF sur l’évaluation de la loi fédérale sur la protection des données, p. 256. 27 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 raît indispensable de sensibiliser davantage les personnes concernées des risques que représentent les nouvelles technologies pour la protection de la personnalité ainsi que d’améliorer leurs connaissances dans l’utilisation du web d’une manière générale, et celle des médias sociaux en particulier. [Rz 127] Les enfants et adolescents étant particulièrement touchés par cette problématique, il nous semblerait judicieux de promouvoir des programmes d’éducation aux médias. Sur ce point, nous ne pouvons qu’approuver le programme national « Jeunesse et médias » lancé par le Conseil fédéral pour les années 2011 à 2015, et encourager sa publicité à plus grande échelle138 . V. Conclusions [Rz 128] Aujourd’hui plus que jamais, avec l’avènement de l’ère numérique et l’apparition des traces immatérielles, les données personnelles sont devenues une nouvelle forme de monnaie. La valeur des données numériques augmentant de manière exponentielle, ces dernières seront sans aucun doute un accélérateur de croissance au sein de l’économie européenne globalement stagnante. [Rz 129] A un univers marqué par l’augmentation constante de la collecte de données personnelles, l’opacité et la complexité de leurs traitements ainsi que la multiplication des acteurs ayant accès à ces dernières, s’oppose un univers légal lacunaire où limites peu définies et perte de contrôle des utilisateurs sur leurs propres données règnent. [Rz 130] Cet écosystème, régi par le principe d’un service gratuit en échange de données personnelles, est toutefois vulnérabilisé par le fait qu’il repose sur la confiance des consommateurs. Or, face au manque de maîtrise engendré par Internet, les internautes ne sont pas sans inquiétudes. Maintenir la confiance des utilisateurs sera donc l’enjeu de ces prochaines années, en vue de conserver cette « monnaie courante ». [Rz 131] Comment dès lors mieux appréhender ces risques ? Pour assurer la pérennité d’un modèle économique par nature fragile, trois facteurs doivent être réunis. [Rz 132] En premier lieu, et bien qu’à elle seule insuffisante, nous sommes encline à penser qu’une révision de la législation, intégrant de nouveaux principes permettant d’adapter la LPD aux nouveaux défis technologiques, serait de rigueur. Il conviendrait de mettre en place des normes évolutives, permettant un meilleur contrôle des utilisateurs sur leurs propres données, une conservation de ces dernières limitée au minimum nécessaire ainsi qu’un renforcement de la confiance portée aux systèmes de traitement des données. Dans la mesure du possible, ces normes devraient être harmonisées internationalement. [Rz 133] En second lieu, il conviendrait de développer des mécanismes d’autorégulation et de les soumettre à l’approbation du préposé fédéral à la protection des données et à la transparence. De telles mesures permettraient de procéder à des ajustements prompts et flexibles, accroissant ainsi l’efficacité du système de protection. [Rz 134] En troisième lieu, nous apprécions positivement les tentatives de programmes de sensibilisation et sommes d’avis qu’il conviendrait d’encourager davantage leurs développements. [Rz 135] Dès lors, bien que l’essence même de tout système juridique rende ces derniers incapa- 138 Rapport du CF sur le cadre juridique pour les médias sociaux, p. 79. 28 Alice Parmentier, Conditions de commercialisation des données personelles : aspects de droit privé, in: Jusletter 23. März 2015 bles de s’adapter en temps réel aux évolutions de la technologie, rejeter la thèse d’une révision législative reviendrait à nier la réalité et à priver les utilisateurs d’un cadre protecteur aspirant à d’avantage de transparence. Alice Parmentier a effectué un Bachelor en droit à l’Université de Genève de 2010 à 2013. Elle a ensuite participé, en juillet 2013, au Duke-Geneva Institute in Transnational Law. En juin 2014, elle a obtenu un Master en droit économique ainsi qu’un Certificat en droit transnational, décernés par l’Université de Genève. 29
