Peut-on payer avec ses données personnelles ?
Publié le 19/09/2019 par Thierry Léonard
On ne l’attendait plus et pourtant … Dans une relative indifférence, la Directive (UE) 2019/770 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques a été adoptée le 20 mai 2019. Elle pose avec une acuité particulière la question de la fourniture de données à caractère personnel comme contrepartie de la fourniture d’un produit ou d’un service et en filigrane, l’opposition radicale entre les approches consuméristes contractuelles et la protection des données à caractère personnel du GDPR
Deux nouvelles directives en rapport avec les contenus et services numériques aux consommateurs
Dans le cadre de la construction du grand marché numérique, l’UE continue à lutter contre les principaux obstacles au développement du commerce électronique transfrontière, principalement à destination des consommateurs.
Deux nouvelles directives ont été édictées le 20 mai 2019 :
- la Directive (UE) 2019/770 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques ;
- la Directive (UE) 2019/771 relative à certains aspects concernant les contrats de vente de biens, modifiant le règlement (UE) 2017/2394 et la directive 1009/22/CE et abrogeant la directive 1999/44/CE ;
La directive (UE) 2019/771 s’applique aux contrats de vente de biens, y compris de biens comportant des éléments numériques conclus avec des consommateurs . Le concept de biens comportant des éléments numériques fait référence aux biens qui intègrent un contenu numérique ou un service numérique ou qui sont interconnectés avec un tel contenu ou service d’une manière telle que l’absence de ce contenu numérique ou de ce service numérique empêcherait ce bien de remplir ses fonctions. On pense par exemple à une montre connectée ou à un smartphone contenant un système d’exploitation et des applications préinstallées ou qui permet un stockage externe dans le cloud.
Cette directive prévoit principalement des règles concernant la conformité des biens, les recours en cas de défaut de conformité et leurs modalités d’exercice.
La Directive (UE) 2019 /770 s’applique par contre à la fourniture de contenus ou de services numériques par un professionnel à un consommateur. Le contenu numérique vise toutes les données produites ou fournies sous forme numérique (applications, fichiers vidéo ou musicaux, livres électroniques etc.). Le service numérique est celui qui permet de créer, de traiter, de stocker ou d’accéder à un tel contenu (hébergements de fichiers photos, accès à un réseau social, accès en streaming à des vidéos etc…). Diverses exceptions sont prévues (services de communications électroniques (comme un service d’accès à l’internet), soins de santé, jeux de hasard, services financiers etc.).
Elle vise aussi les contenus numériques fournis sur un support matériel, comme les DVD, les CD, les clés USB et les cartes à mémoire, ainsi qu’au support matériel lui-même, pour autant que le support matériel serve exclusivement à transporter le contenu numérique. Si ces biens requièrent un contenu numérique ou un service numérique pour fonctionner, on retombe alors normalement sous le couvert de la directive (UE) 2019/771.
La directive (UE) 2019/770 prévoit quant à elle des règles relatives à la conformité d’un contenu numérique ou d’un service numérique avec le contrat, aux recours en cas de défaut de conformité ou de défaut de fourniture et aux modalités d’exercice de ces recours, ainsi qu’aux conditions de modification par le professionnel d’un contenu numérique ou d’un service numérique.
Le champ d’application spécifique de la directive (UE) 2019/770 : un paiement en données qui ne dit plus son nom.
L’objet de la présente nouvelle n’est pas de passer en revue le contenu et régime de ces deux textes (nous reviendrons sur ceux-ci ultérieurement) mais de s’arrêter sur une particularité du champs d’application de la directive (UE) 2019/770 sur les contenus et services numériques.
Son article 3.1. indique qu’elle s’applique «à tout contrat par lequel le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur et le consommateur s’acquitte ou s’engage à s’acquitter d’un prix. » (nous soulignons).
A l’alinéa suivant, la même disposition précise que « La présente directive s’applique également lorsque le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au professionnel, sauf lorsque les données à caractère personnel fournies par le consommateur sont exclusivement traitées par le professionnel pour fournir le contenu numérique ou le service numérique conformément à la présente directive ou encore pour permettre au professionnel de remplir les obligations légales qui lui incombent, pour autant que le professionnel ne traite pas ces données à une autre fin. ».
En résumé, la directive paraît s’appliquer aux contrats portant sur un contenu ou service numérique contre paiement d’un prix en numéraire mais aussi lorsque la prestation ou le contenu est fourni en contrepartie de la fourniture de données à caractère personnel.
C’est la première fois à notre connaissance qu’un texte reconnaît officiellement et consacre des effets juridiques spécifiques à ce modèle commercial pourtant courant sur internet et que d’aucuns s’évertuent encore à considérer comme ‘gratuit’. Comme l’indique le considérant 24 de ladite directive : « Les contenus numériques ou les services numériques sont également souvent fournis lorsque le consommateur ne s’acquitte pas d’un prix mais fournit des données à caractère personnel au professionnel. Ces modèles commerciaux sont appliqués sous de multiples formes dans une grande partie du marché. Tout en reconnaissant pleinement que la protection des données à caractère personnel est un droit fondamental et que, par conséquent, les données à caractère personnel ne peuvent être considérées comme des marchandises, la présente directive devrait garantir aux consommateurs, dans le cadre de ces modèles commerciaux, le droit à des recours contractuels. ». On pense évidemment principalement -mais pas uniquement- au modèle qui sous-tend l’offre de services des réseaux sociaux de Facebook, linkedIn et autres.
Pour bien comprendre la portée du présent texte et ses diverses implications, il convient de rappeler que le point précis relatif au paiement en données a donné lieu depuis la proposition de texte initial à un débat passionné où l’on a vu le Contrôleur européen de la protection des données (CEPD) –dans un avis du 14 mars 2017– condamner fermement l’idée que des données à caractère personnel pourraient être considérées comme la contrepartie non pécuniaire d’un contenu ou service numérique. Non seulement sur base de l’idée que ces données ne peuvent être reléguées au statut de simples marchandises mais aussi en raison de l’incohérence de cette approche avec les règles contenues dans le GDPR.
L’article 3.1 de la proposition initiale de 2015 contrairement à la nouvelle version du texte indiquait explicitement que le contrat visé impliquait la fourniture d’un contenu numérique « en échange duquel (…) une contrepartie non-pécuniaire, sous la forme de données personnelles ou de toutes autres données doit être apportée de façon active par le consommateur ».
Comment comprendre la modification du texte qui distingue comme le fait la Directive le paiement d’un prix et la fourniture de données comme des prestations distinctes du consommateur ?
Il nous semble en réalité que l’objet réglementé est identique au projet initial. On doit comme point de départ revenir au constat de l’existence d’une convention entre parties : un contenu ou service est obtenu contre la fourniture de données. La directive ne s’applique en effet qu’en constatant l’existence de deux engagements corrélatifs qui ne peuvent être que contractuels : il faut qu’il y ait, dit le texte une fourniture ou un engagement à fournir des données. Il s’agit bien là d’un paiement dans le chef du consommateur -l’exécution volontaire d’une obligation contractuelle- portant sur des données. Le texte de l’article 3.1. va dans ce sens, ce qui est confirmé par le considérant (24) lorsqu’il énonce que « La présente directive devrait dès lors s’appliquer aux contrats par lesquels le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur et le consommateur fournit ou s’engage à fournir des données à caractère personnel (…) La présente directive devrait s’appliquer à tout contrat par lequel un consommateur fournit ou s’engage à fournir des données à caractère personnel au professionnel ». Du point de vu de l’objet, on ne voit donc pas de changement significatif par rapport à la première version du texte.
Le problème est ailleurs : ils ‘agit de savoir comment appliquer les règles spécifiques issues du GDPR et principalement les règles relatives à la licéité du traitement.
Une application du GDPR autonome et indépendante de la directive ?
La directive proclame ne pas vouloir interférer avec les règles issues du GDPR qui restent pleinement d’application. Les article 3.7 et 3.8 sont limpides :
- S’il y a conflit avec une disposition d’un autre acte de l’Union régissant un secteur particulier ou une matière spécifique, la disposition de cet autre acte prévaut (3.7.) ;
- Le droit de l’Union en matière de protection des données à caractère personnel s’applique à toutes les données traitées en lien avec les contrats visés à l’article 3.1. et en particulier en cas de conflit avec le GDPR et la directive 2002/58/CE, ces réglementations prévalent (3.8).
Pour que le régime de la directive puisse s’appliquer, il faut un contrat valide portant sur les obligations précitées ET que les traitements opérés en exécution de celui-ci soient conformes aux dispositions relatives à la protection des données.
Le régime de la directive et son approche consumériste est-il compatible avec le GDPR et l’approche de la protection des données ?
On entre ici dans le nœud du problème. Comment principalement concilier l’objet contractuel réglementé par le directive avec le régime issu du GDPR, en particulier l’épineux problème de la base de licéité des traitements subséquents ?
Le choix de la base de licéité sera très dépendant de la finalité d’utilisation finale des données par le prestataire. En effet, ces finalités d’utilisations peuvent être multiples : des nécessités même de l’exécution du contrat et à la fourniture de service, au profilage de clientèle en vue d’une finalité de marketing, à la commercialisation des données en passant par des finalités statistiques pour le prestataire lui-même ou des tiers.
La nécessité de l’exécution du contrat comme condition de licéité du traitement d’exploitation ?
A priori, l’application de ce critère de licéité ne va pas de soi. Si le traitement était nécessaire à cette exécution, on ne voit pas en quoi le prestataire aurait avantage à obtenir contractuellement la fourniture des données pour des traitements permises par le GDPR, sauf peut-être à récupérer des armes purement contractuelles en cas de non-respect de l’engagement de fourniture des données.
C’est tellement vrai que la directive semble prévoir l’exclusion de son application au cas où le traitement est strictement nécessaire à l’exécution du contrat c’est-à-dire « lorsque les données à caractère personnel fournies par le consommateur sont exclusivement traitées par le professionnel pour fournir le contenu numérique ou le service numérique conformément à la présente directive » ainsi d’ailleurs « que pour permettre au professionnel de remplir les obligations légales qui lui incombent » et « pour autant que le professionnel ne traite pas ces données à une autre fin » (cfr supra, l’article 3.1.).
La lecture du considérant (24) semble le confirmer lorsqu’il vise des finalités de prospection en identifiant alors la base de licéité du consentement ou exclue le traitement des données utiles à l’ouverture d’un compte auprès d’un réseau social pour des fins autres que la simple fourniture du contenu ou service numérique.
Il faut également rappeler que la condition de nécessité est interprétée de manière stricte, voire restrictive par les autorités de contrôle sur la protection des données . Il faut arriver à prouver que sans le traitement, l’exécution du contrat n’est pas possible (pas moyen de payer un salaire sans traiter les coordonnées bancaires, pas moyen de livrer un bien sans traiter les adresses etc.). Le lien de nécessité entre le traitement et la finalité doit donc être direct et objectif. Ainsi, une finalité de marketing direct sera normalement exclue du lien de nécessité avec l’exécution du contrat : le marketing n’est pas objectivement et directement nécessaire à l’exécution du contrat.
Sauf à opérer une révolution copernicienne improbable et à considérer que l’exécution de l’engagement contractuel -la collecte/transfert des données par le consommateur et leur traitement ultérieur par le fournisseur pour une finalité convenue- rend ces traitements nécessaires à l’exécution du contrat, cette base de licéité paraît exclue. Rappelons que cette base de licéité ne permettra pas non plus de faire tomber in se l’interdiction de traitement de données sensibles.
Le consentement du consommateur comme base de licéité des traitements tombant sous le champ d’application du contrat ?
Le consentement de l’article 6 (1) a du GDPR devrait alors être envisagé.
La première question : pourrait-on inférer du consentement contractuel un consentement suffisant au sens du GDPR ? On sait la réponse discutée et on ne peut reprendre le débat dans ce rapide commentaire (sur ce vaste sujet, voy. notre article dans le Liber amicorum Yves Poullet, Yves, si tu exploitais tes données ?).
Partant de l’opinion semble-t-il majoritaire que le consentement du GDPR est à considérer comme une condition supplémentaire et distincte du consentement contractuel, il risque alors de constituer une limite infranchissable dans le contexte contractuel.
Outre ses conditions intrinsèques relatives au caractère éclairée et spécifique, se pose la question délicate du caractère « libre » de celui-ci.
L’article 7.(4) du GDPR impose de tenir compte de la subordination de l’exécution du contrat au consentement dans l’appréciation du caractère libre de celui-ci. Il énonce, plus précisément, que : « Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution du contrat ».
On sait que le caractère libre du consentement renvoie à la réalité du choix de la personne concernée. Le refus de consentement ne peut normalement pas impliquer le refus d’exécution du contrat. En effet, la perspective du refus d’exécution est alors perçue comme une pression inacceptable en vue d’obtenir le consentement. Dans ce contexte, le consentement éventuel de la personne risque de ne plus être libre. Le feu G29 y voit d’ailleurs à la suite du considérant 43 du GDPR, « a strong presumption that consent to the processing of personal data that is unnecessary, cannot be seen as a mandatory consideration in exchange for the performance of a contract or the provision of the service ».
La règle n’est certes pas catégorique et une marge existe encore pour le responsable du traitement permettant de lier l’exécution du contrat au consentement, même s’il n’est pas nécessaire à l’exécution de celui-ci. A la suite du G29, il s’agira de cas très exceptionnels où le responsable devra donner des garanties particulières afin de permettre une expression libre du consentement .
Ainsi, la règle de présomption d’invalidité du consentement au cas où l’exécution du contrat est directement conditionné par le consentement s’oppose frontalement à l’hypothèse même de départ. On tente d’obtenir le consentement pour un traitement qui n’est pas absolument nécessaire a priori à l’exécution du contrat : tel paraît être l’hypothèse de base d’application de la directive commenté, un prix en monnaies sonnantes et trébuchantes aurait sans doute pu être convenu pour l’obtention du contenu ou du service à la place de la collecte des données en cause et de leur traitement subséquent.
Vu la sévérité déjà affiché par feu le G29 ,cela risque d’être une tâche difficile, voire insurmontable et partant un frein à la volonté du législateur européen de rendre possible une telle utilisation des données . C’est en ce sens également qu’a conclu le CEPD dans au-moins deux avis récents où elle conclut à l’incohérence et l’incompatibilité de l’utilisation de données en tant que contrepartie à un service .
Rappelons enfin qu’une autre règle paraît également poser une limite très sérieuse à l’applicabilité de la directive en cas de contrat prévoyant la fourniture de données comme contrepartie au contrat : la personne concernée a le droit de retirer son consentement à tout moment (art. 7 (3) du GDPR).
Or, si elle retire son consentement, elle risque de se retrouver en contradiction directe avec son obligation de fourniture de données dont le traitement deviendrait illicite. Le retrait libre peut certes se comprendre comme une condition de résiliation spécifique du contrat qui s’imposerait aux parties par la loi. Mais si le contrat disparaît, ou que le consentement n’est tout simplement pas donnée ou est invalidé, le régime de protection de la directive perdrait aussi son objet.
L’équilibre des intérêts comme base de licéité des traitements ?
Reste alors la base de licéité de l’équilibre des intérêts visé à l’article 6 (1) f du GDPR. On ne peut l’exclure pour certaines finalités de traitements. Mais il faut être cohérant : l’enjeu de la fourniture des données en contrepartie de la prestation est la possibilité d’exploitation pour soi ou pour un tiers, voire la commercialisation de celles-ci (finalités de marketing avec profilage etc.). Or, lorsque les autorités de protection des données admettent cette exploitation subséquente et le profilage qui l’accompagne la plupart du temps, c’est en exigeant le consentement des personnes comme base de licéité du traitement.
Conclusions
L’inclusion de la fourniture de données comme contrepartie de la fourniture d’un contenu ou service numérique dans le champs d’application de la directive commentée pose plus de questions qu’elle n’en résout. Loin de nous l’idée d’avoir pu dans ce commentaire rapide identifier, et encore moins résoudre, toutes les difficultés d’implémentation du texte en cause. La parole revient maintenant au lecteur. Qu’il nous soit néanmoins permis de clore l’analyse rapide qui précède par certains constats ou questionnements :
1er constat : la directive matérialise l’opposition pouvant exister entre l’approche consumériste et la protection des données. S’il apparaît légitime de faire entrer dans la protection du consommateur le modèle de la contractualisation de la fourniture des données (données contre service), elle remet en cause certains principes de base de la protection des données. Un texte de cette importance aurait mérité une recherche commune de solution pour concilier les deux approches.
2ème constat : en appelant à une application de la directive dans le strict respect du GDPR, Le législateur européen n’a pas éclairé l’interrelation entre les deux régimes juridiques mobilisés : le régime contractuel et le régime de la protection des données . Il se contente d’en appeler à une application cumulative en laissant in fine le soin aux Etats de régler le problème. Le texte actuel ne solutionne pas l’antagonisme et crée une insécurité juridique inutile et contreproductive si le but est de favoriser la création d’un grand marché numérique. Problème qui d’ailleurs risque de rejaillir sur les conditions de validité du contrat lui-même. Ainsi, le considérant (24) seul à envisager la question de l’application de la directive au regard du GDPR conclut en rappelant qu’il reviendra aux Etats de membres de décider si les conditions relatives à la conclusion, à l’existence et à la validité d’un contrat prévues par le droit national sont remplies dans ce contexte;
3ème constat : le présupposé même de la directive -l’existence d’un contrat prévoyant tant la fourniture du contenu et service numérique que la fourniture de données- risque d’être facilement contourné par l’exclusion du contrat, prôné par le GDPR lui-même, des questions de protection de données. Si les informations relatives à la protection des données et, en particulier, l’obtention du consentement nécessaire à la licéité du traitement, sont conçues dans des documents formellement distincts de la convention conclue entre parties (cfr l’article 7.2 du GDPR), ne faudra-t-il pas conclure à la non applicabilité de la protection prévue par la directive ? La stratégie de la dissociation nette entre les deux régimes n’implique-t-il pas à l’impossibilité de constater l’existence d’un engagement contractuel de fourniture des données dans le chef du consommateur ?
4ème constat : en filigrane de cette opposition d’approche, réapparaît LE débat de fond de l’évolution actuelle de la protection des données à caractère personnel : la patrimonalisation des données. Si on inclut la fourniture des données dans le contrat comme un engagement de la personne concernée par la donnée, en s’en remettant de plus en plus au consentement de la personne –qu’il soit contractuel ou non- pour valider l’opération, on renforce l’idée que la donnée est plus protégée pour elle-même et pour sa valeur économique intrinsèque que pour neutraliser les atteintes aux libertés individuelles –mais aussi à l’intérêt général- que leur utilisation peut entraîner. On peut dès lors se demander si la protection des données ne risque pas de perdre son âme dans un mouvement initié par le GDPR lui-même et la place mystifié d’une soi-disant maîtrise rendue à la personne concernée sur ses données, notamment par une place trop importante laissée au consentement comme condition de validité des traitements.
5ème constat : les Etats membres auront énormément de mal à concilier les deux approches dans leur législations nationales d’implémentation de la directive. Il y a fort à parier que leur application entraîne in fine la saisine de la CJUE afin d’y voir plus clair. Ce qui laisse présager une longue période d’incertitude juridique. Etait-ce bien nécessaire dans une matière qui, c’est le moins que l’on puisse dire, ne brille pas par sa transparence et sa facilité de mise en application ? Ni la protection du consommateur, ni la protection des données ne parait a priori en sortir gagnante.
Plus d’infos ?
En lisant les documentés de référence, joints à la présente.