Anonymiser, c’est aliéner : données personnelles, patrimonialité et captation des individus

Introduction

Il y a une confusion entre la protection de données personnelles et la protection de la vie privée. En réalité, la réglementation organise surtout les conditions d’exploitation d’une matière première informationnelle produite par les personnes. Cette exploitation crée des marchés, des rentes, des positions de pouvoir économique. Le tout exacerbé par l’intelligence artificielle et la guerre économique qu’elle anime.

Or les individus, qui sont les producteurs initiaux de ces données, n’accèdent ni à un véritable statut de titulaires de droits patrimoniaux, ni aux fruits tirés de cette exploitation. Le système est construit pour couper ce lien au moment précis où les données prennent leur pleine valeur économique.

ANONYMISER, C’EST ALIENER.

I. Cadre et diagnostic : un droit de contrôle sans droit aux fruits

Le RGPD repose sur une définition fonctionnelle de la donnée personnelle. Est donnée à caractère personnel toute information se rapportant à une personne physique, vivante, identifiée ou identifiable. Pour l’instant, tant qu’un lien, direct ou indirect, peut être établi entre la donnée et une personne vivante, le régime protecteur s’applique. Ce lien est entendu de façon très large par la jurisprudence européenne :

- CJUE – Nowak (2017) – Affaire C‑434/16

Une copie d’examen anonyme est une données personelle car elle permet d’évaluer la performance de son auteur. Les annotations de correction en sont aussi à double titre : car elles concernent la performance de l’auteur et elle émane de la prestation de correction du correcteur Alors ce sont aussi des données personnelles de ce dernier.

- CJUE – Breyer (2016) – Affaire C‑582/14

L’IP dynamique collectée par un prestataire de service internet est une donnée personnelle car potentiellement croisable avec les données de connexion détennues par le fournisseur internet sur autorisation judiciaire.

Ce régime accorde à la personne concernée des droits qualifiés de fondamentaux ou renforcés: droit d’accès, de rectification, d’effacement, de limitation, d’opposition, droit à la portabilité. Mais ces droits restent, pour l’essentiel, extra-patrimoniaux. Ils organisent l’information, la transparence, la possibilité de reprendre la main sur certains traitements. Ces droits sont largement entendus et défendus par les magistrats dans leur juris diction. Ils n’ouvrent pas, en revanche, un droit aux fruits issus de l’exploitation économique des données.

L’individu n’est pas titulaire d’un droit réel sur une chose, mais d’un faisceau de prérogatives de contrôle. Dans le même temps, les données sont au cœur de modèles d’affaires entiers, de valorisations boursières, de stratégies industrielles. Elles sont devenues un actif, un capital, un élément du patrimoine des entreprises et des institutions qui les exploitent.

Ce décalage est structurel. Le droit reconnaît l’existence d’un capital informationnel, mais il ne reconnaît pas l’individu comme titulaire d’un droit patrimonial sur ce capital qu’il produit. Il protège un sujet de droit abstrait, mais il ignore le producteur et le propriétaire initial de la valeur.

En ce sens je cite l’Avocat Général de la CJUE en ses conclusions (CJUE – Google Spain (2014) – Affaire C‑131/12) :

“ Le fournisseur de services de moteur de recherche sur Internet ne tire pas ses revenus des utilisateurs qui saisissent des termes de recherche dans le moteur de recherche, mais des annonceurs qui achètent des termes de recherche en tant que mots clés de manière à ce que leur publicité s’affiche simultanément avec les résultats de recherche des personnes utilisant ce mot clé “

Il est à noter que cette protection est à relativiser au vu des avancées qui se préparent à travers l’Omnibus européen.

Donc en l’état actuel du Droit, le personne physique dispose de prérogatives sans pour autant jouir pleinement de la propriété des données. On lui laisse le droit de poser des questions mais pas de participer à la répartition de l’argent généré.

Puis, le Droit prévoit un moyen radical pour se délester de l’individu et ses droits sans cash.

L’ANONYMISATION.

II. L’anonymisation comme aliénation et capture patrimoniale

Tout le système est conçu pour que, dès qu’une donnée n’est plus rattachable à une personne, elle cesse d’être une donnée personnelle. À partir du moment où l’on considère que l’identification n’est plus possible, directement, indirectement, raisonnablement, probablement.. la donnée sort du champ du RGPD et autres. Elle est traitée comme une ressource informationnelle neutre, sans lien juridique avec son origine humaine, son producteur.

Anonymiser, dans cette perspective, revient à opérer une véritable aliénation. On coupe le lien entre la donnée et la personne, non seulement sur le plan de la protection, mais aussi sur le plan patrimonial. L’individu perd tout droit subjectif sur cette donnée : il n’a plus de droit d’accès, plus de droit d’opposition, plus de droit à exiger une contrepartie.

Le paradoxe est évident. La donnée n’a aucune valeur par elle-même. Elle prend sens et valeur parce qu’elle émane d’un individu, de sa santé, de ses déplacements, de ses habitudes, de ses échanges. Pourtant, une fois anonymisée, c’est précisément ce lien d’origine qui est effacé. Au moment où les données agrégées et croisées deviennent un actif stratégique, le producteur initial disparaît juridiquement.

Si l’on t’ouvre l’accès à un commerce et que tu enlèves l’enseigne, tu ne deviens pas propriétaire du fonds. En matière de données, le droit accepte pourtant une fiction inverse. À partir du moment où l’on retire les signes d’identification, la ressource devient librement appropriable, comme si son lien d’origine avec les personnes n’avait jamais existé.

Ce blanchiment autorise une capture patrimoniale silencieuse. Les acteurs qui collectent, agrègent, anonymisent et revendent des données construisent leur patrimoine informationnel sur la base d’une ressource qui vient des individus, mais dont le lien avec eux a été juridiquement et politiquement effacé. L’anonymisation n’est pas seulement une technique de protection. C’est le moment où la donnée bascule du côté du patrimoine des exploitants, en étant sortie du champ de toute revendication individuelle.

Attention, il ne s’agit évidemment pas de diaboliser ceux qui travaillent avec cette donnée. C’est un commerce tout à fait légitime à condition de respecter les droits des producteurs. De plus, la donnée n’a de valeur que si elle est échangée. Une donnée statique, figée, immobile, ne répond pas à son utilité essentielle. L’Europe, avec son corpus, constitue un exemple tout à fait édifiant. Nous y voyons comment un marché, une industrie, s’organise tout en laissant pour compte le producteur de la matière première.

III. DGA, intermédiaires de données et IA : institutionnalisation de la captation

Les textes europées confortent cette architecture. Le Data Governance Act, par exemple, consacre l’existence d’intermédiaires de données, de mécanismes de partage, de mutualisation et de circulation de données, notamment publiques. Il offre un cadre à la mise à disposition et, inévitablement, à la valorisation de jeux de données, présentés comme anonymisés. Ainsi, les Etats peuvent échanger leurs jeux de données anonymisés. Ces données, issues des individus, sont affranchies de la protection des données personnelles et librement collectables, traitables exploitables.

Si vous me vendez votre voiture. Le fait de la repeindre me dispense t’il de vous payer le prix ? Vous me direz qu’en pratique il ne nous est pas demandé si nous consentons à vendre nos données mais nous permettons plutôt au responsable de traitement de les collecter à des fins précisées.

ET BIEN OUI ET C’EST JUSTEMENT L’ENJEU ! C’est le point central qui fait que le sujet est confondu avec la protection de la vie privée.

Revenons donc à ce cadre qui instaure la figure de tiers, de courtier institutionnalisé. Les États et certaines entités peuvent collecter des données issues des individus, les anonymiser, puis les échanger ou les monétiser dans un environnement présenté comme sécurisé et vertueux. Le discours est clair : il ne s’agirait plus de données personnelles, donc il n’y aurait ni atteinte à la vie privée ni à la protection des données personnelles. Mais, en réalité, les individus sont surtout tenus à l’écart de l’organisation et de la répartition de la valeur ainsi créée.

Le règlement sur l’intelligence artificielle s’inscrit dans la même logique. L’entraînement des modèles sur des volumes massifs de données, personnelles ou anonymisées, est intégré comme une pièce du problème. Le droit IA cherche à encadrer les risques les plus élevés, à imposer des exigences de transparence ou de robustesse, mais il ne remet pas en cause le principe même d’une exploitation intensive des données. Il renforce l’idée que la donnée, une fois intégrée dans des corpus d’apprentissage et, au besoin, anonymisée ou agrégée, devient un actif technique et économique au service de l’innovation.

L’ensemble de ces textes construit une économie de la donnée structurée, où les données circulent, sont recombinées, valorisées, sans que les individus soient jamais reconnus comme titulaires d’un droit patrimonial. Leur rôle reste celui de fournisseurs naifs d’une matière première gratuite, dont la valeur leur échappe au moment même où le système prétend les protéger par l’anonymisation.

IV. Enjeux : vers une reconnaissance du producteur et de la patrimonialité des données

La question n’est pas seulement de savoir si la vie privée est suffisamment protégée. Elle est de savoir si l’on peut continuer à faire comme si les individus n’étaient pas les producteurs et les propriétaires initiaux des données qui alimentent cette économie.

Si l’on appliquait aux données les intuitions du droit civil le plus classique, retirer les signes d’identification ne suffirait pas à faire disparaître l’origine de la chose. Comme dans les exemples évoqués, enlever un logo ou une enseigne ne transfère pas la propriété. Il en va aujourd’hui autrement pour les données. Cette divergence révèle une zone de non-droit assumée, ou plutôt un droit orienté à sens unique : la sécurité juridique de l’exploitation prime sur la reconnaissance patrimoniale des individus.

Reconnaître la patrimonialité des données personnelles ne signifie pas nécessairement instaurer une propriété absolue, exclusive, opposable à tous. Mais cela suppose au minimum de poser que l’individu a un droit aux fruits, un droit de participation à la valeur créée à partir des données qu’il génère. Ce pourrait être un droit à rémunération, un droit à dividende numérique, un droit de co-gouvernance sur certains usages, ou une combinaison de ces instruments.

Tant que cette dimension patrimoniale reste absente, l’anonymisation demeure ce qu’elle est aujourd’hui : un geste qui prétend protéger, mais qui achève surtout de déposséder. Elle clôt juridiquement le cycle de la donnée personnelle en faisant disparaître le seul sujet susceptible de revendiquer la maîtrise ou le partage de la valeur.

Conclusion

Le droit contemporain présente la protection des données personnelles comme un rempart au service des individus. En réalité, il organise une chaîne d’extraction, de traitement, d’anonymisation et de valorisation des données produites par ces mêmes individus. En définissant la donnée personnelle par sa rattachabilité à une personne vivante, il construit en même temps le moment de sa sortie du champ protecteur.

Anonymiser, dans ce système, n’est pas seulement masquer un nom ou un identifiant. C’est couper juridiquement le lien entre la donnée et son producteur, au moment précis où cette donnée devient un actif. C’est permettre à d’autres d’en revendiquer l’usage et la valeur, comme si l’origine humaine de cette ressource n’avait plus aucune pertinence.

Sous cet angle, la formule s’impose. Anonymiser, c’est aliéner. Non seulement la personne est effacée comme sujet du droit, mais elle est aussi exclue comme sujet patrimonial. Le débat à venir ne peut pas se limiter à un ajustement des garanties procédurales. Il doit porter sur la place de l’individu dans l’économie de la donnée : producteur invisible, ou titulaire reconnu d’un droit aux fruits des informations qu’il génère et qui, aujourd’hui, lui échappent dès qu’elles passent dans l’ombre rassurante de l’anonymisation.

A cela s’ajoute la nouvelle donne de l’Omnibus. Je vous propose un regard pragmatique et concret sur ses conséquences réelles, dans un prochain article.