Début 2020, avant l’ère du Covid-19 et des grands tourments, une app d’un nouveau genre fait son apparition. Destinée essentiellement aux jeunes (entre 15 et 25 ans), TADATA leur propose de monnayer leurs données personnelles.

Dans la foulée de son lancement, l’application a fait l’objet d’un signalement auprès de la Cnil.

La Cnil a récemment mis fin au contrôle et n’a procédé à aucune sanction.

Le principe est donc acté : les utilisateurs (jeunes ou moins jeunes) peuvent vendre leurs données personnelles : Oui, mais à quelles conditions ? et surtout comment ?

Sans faire un cours de droit ni rentrer dans des polémiques, l’objectif de ce billet est d’apporter quelques éclaircissements.

Le règlement nᵒ 2016/679, dit Règlement général sur la protection des données (ci-après « RGPD ») a donné plus de droits aux personnes sur les données, plus de « contrôle ». Les personnes sont donc mieux informées sur les finalités des traitements de données, et peuvent consentir de manière plus éclairée au traitement de leurs données.

Désormais, la mise en œuvre de ces traitements est plus encadrée. Les finalités doivent être définies, et surtout les responsables de traitement doivent préciser la base légale de leur traitement.

Si les finalités mises en place ne posent pas de problème, en revanche, la définition de la base légale est la pierre d’achoppement de tout traitement.

Chaque opérateur doit répondre à ces questions :

• Quelle est la raison de la collecte de ces données ?
• Quelle est la base légale de la collecte de ces données dont la contrepartie est un avantage financier ?

L’article 6 du RGPD vise 6 bases possibles (sans entrer dans le détail des exceptions).

Dans le cas de la monétisation des données, deux fondements sont envisageables : le consentement ou l’exécution d’un contrat.

Stratégiquement, se focaliser sur le consentement est à manier avec précaution. En effet, la validité du consentement repose sur plusieurs exigences : libre, éclairé et non équivoque.

Le consentement libre signifie que la personne ne doit pas subir de pression ou de contrainte pour le donner. Cette liberté se retrouve également lors du retrait  du consentement. Ce retrait de consentement ne doit pas avoir de conséquence ou être source de préjudice pour la personne concernée. Or, dès lors que les utilisateurs ne peuvent pas bénéficier du service sans consentir aux finalités du service, le consentement ne peut pas être considéré comme donné librement (cf. lignes directrices du CEPD sur le consentement).

Dans le cas d’un traitement relatif à la monétisation des données, le retrait du consentement emporte la fin de la monétisation. La personne ne touche plus d’argent, un préjudice apparait donc.

Ici, la liberté du consentement est contestable.

Pour la monétisation des données, cette base ne semble pas pertinente.

Reste comme base possible l’exécution d’un contrat entre la personne concernée et le responsable de traitement.

En l’espèce, la vente des données personnelles repose sur un contrat entre le responsable de traitement et les personnes concernées.

La collecte des données est en effet nécessaire à la fourniture du service, à savoir la monétisation des données, la perception d’un prix.

A la lecture de la Politique de confidentialité des données de TADATA, la base légale de ce traitement semble donc être l’exécution d’un contrat.

Dans le cas de TADATA, le service est uniquement à destination des 15-25 ans.

Que dit la Cnil ? la majorité numérique en France est située à 15 ans, à partir de cet âge, les données des personnes peuvent librement faire l’objet de traitements.

Que craint-on ? un manque d’information des plus jeunes. Bien que l’information des personnes concernées par le traitement des données soit obligatoire (article 12 et suivants du RGPD), cette information se situe toujours (ou presque) dans les Politiques données personnelles ou les CGV/CGU.

Or d’après une étude (cabinet Deloitte 2017) : aux Etats-Unis 97% des 18/34 ans ne lisent pas les CGV/CGU et 91% des plus de 34 ans ne lisent pas les CGV/CGU.

Pour TADATA, la base de leur traitement serait l’exécution d’un contrat. Au regard du public visé, les CGV/CGU et la Politique données personnelles sont donc un point de vigilance.

Si comme TADATA vous souhaitez mettre en place ce modèle économique et monétiser les données personnelles, nous vous préconisons :

• Outre l’audit conformité RGPD,
• De choisir soigneusement vos sous-traitants / vos partenaires,
• De prévoir des Politiques données personnelles et des CGV/CGU facilement compréhensibles pour le public visé.

 

 

 

 

 

 

Billet co-écrit par :

• Aurélie BOURGAUT, Avocat ;
• Marion DRAPPER, Juriste IP/IT – Elève avocat.

[avatar user= »AB » /] [avatar user= »MD » /]