Prospective : les règles des creative commons comme modèle à la gestion des données personnelles ?
(article écrit le 12 février 2010)
Inspirés par les licences de logiciels libres et le mouvement open source, les Creative Commons facilitent l’utilisation d’une œuvre de l’esprit : au lieu de soumettre toute exploitation des œuvres à l’autorisation préalable des titulaires de droits, ces licences permettent à l’auteur d’autoriser à l’avance certaines utilisations selon des conditions qu’il a déterminées.
Ce dernier offre ainsi différentes options en informant le public que certaines utilisations sont autorisées à l’avance, protégeant ainsi son œuvre sans trop limiter sa diffusion en ligne.
Il est intéressant de se demander si les règles relatives au fonctionnement des creative commons sont applicable au régime des données personnelles, à savoir s’il est possible pour un internaute, de déterminer à l’avance quelle sera l’utilisation qui sera faite des données qu’il fournit.
On le sait, les données personnelles jouent aujourd’hui un rôle important dans l’économie du numérique. L’indispensable utilisation qui en est faite par de grandes entreprises est parfois susceptible de poser problème vis-à-vis des libertés individuelles et de la protection de la vie privée. Il existe cependant une législation claire à ce sujet afin de réglementer le maniement et le sort des données personnelles. Souvent dépassée par les nouvelles technologies, véritable secteur mouvant, cette législation apparaît pour certains insuffisantes et la CNIL, bras armé de cette dernière, n’a pas assez de moyens.
Il semble ainsi pertinent de s’interroger sur les solutions les mieux adaptées pour réguler les éventuels problèmes. Parmi ces solutions, pourquoi ne pas envisager que les particuliers sont les plus compétents pour gérer eux-mêmes leurs données ?
L’idée serait ainsi de permettre à l’internaute, dès qu’il consent à fournir des informations, d’en baliser l’usage et de le restreindre à ce à quoi il consent (ex : pas d’utilisation commerciale, pas d’utilisation à des fins de statistiques…).
Il serait techniquement possible de le déterminer à l’avance grâce aux opt’in. Cette « option d’adhésion » permet de consentir préalablement à une utilisation prédéfinie. Ce procédé a le mérite d’être reconnu par le législateur dans le code des postes et des communications électroniques, à la section dédiée à la protection de la vie privée des utilisateurs de réseaux.
L’article L 34- 5 dudit code dispose en effet qu’ « Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.
Pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe ».
Pourquoi ne pas songer à de telles précautions pour d’autres préoccupations que celles des dérives commerciales ? Ne pourrait pas prévoir que l’internaute qui fournit ses informations sur Internet décide à l’avance ce qu’il autorise de la part du responsable du traitement ?
Au-delà de la relation commerciale ou informative directe entre le responsable et l’intéressé, il serait ici question de limiter l’utilisation des données après son traitement par le responsable de ces données. Cette idée consisterait en pratique à interdire la transmission de ces informations à d’autres entités.
Cette solution supposerait que le responsable du traitement détaille toutes les utilisations qui sont susceptibles d’être faites par lui, directement (sollicitation commerciale, envoi d’une newsletter..) ou indirectement (constitution d’une base de données pour des partenaires, statistiques, et qu’il procède à une actualisation en cas de nouveau procédé.
A supposer que le responsable ne respecterait pas l’usage consenti par l’intéressé, il conviendrait de se référer aux principes de la responsabilité contractuelle.
Cette solution comporte l’inconvénient majeur de la traçabilité des données : comment savoir si la donnée traitée par un tiers provient du responsable à qui l’on a confié des informations dont a balisé l’utilisation. Cela supposerait d’attribuer un code permanent à chaque donnée qui permettrait de connaître l’origine du traitement ainsi que son parcours sur Internet afin de déterminer quelles sont les personnes qui les ont manipulées.
Pourtant séduisantes, les règles propres aux Creative Commons supposent la mise en place d’un véritable dispositif technique et peuvent sans doute décourager certains practiciens peu sensibilisés au renouvellement constant des nouvelles technologies. Mais pourquoi ne peut envisager cette solution lorsque la technique le permettra ? C’est une piste qu’il faudra sans doute creuser pour résoudre ce problème de la gestion des données et responsabiliser par la même occasion ceux qu’elles concernent.
Avocat au Barreau de Paris
Spécialiste en droit de la propriété intellectuelle
Avec la participation de Pierre Miriel