Par Haas Avocats
Dans une économie désormais largement fondée sur l’exploitation des données, la question de leur appropriation est au cœur des réflexions stratégiques des entreprises. Si la valeur économique des données ne fait plus débat, il n’existe pourtant, contrairement à une idée reçue, aucun droit de propriété sur les données brutes. Ces dernières n’en constituent pas moins une véritable manne financière pour les entreprises qui les intègrent à leurs actifs immatériels et les transfèrent dans le cadre d’opérations de fusion-acquisition.
Pour pallier l'absence de droit réel, les acteurs économiques mettent en place des mécanismes de contrôle : à défaut de pouvoir revendiquer une propriété juridique, ils s’efforcent d’en maîtriser l’accès et l’usage au moyen d’une combinaison d’outils juridiques, contractuels et techniques. Ainsi, pour en conserver la maîtrise, les entreprises verrouillent leurs écosystèmes : plateformes fermées, restrictions d’accès aux API, ou encore limitation des interconnexions.
Toutefois, une telle stratégie de rétention peut engendrer des tensions, notamment lorsque plusieurs parties sont susceptibles de faire valoir des droits concurrents sur un même jeu de données. Dans ce contexte, comment les entreprises peuvent-elles organiser une maîtrise efficiente de leurs données sans basculer dans une logique de rétention excessive, au risque de freiner l’innovation ou d’engager leur responsabilité à l’égard des autres acteurs de l’écosystème ?
Contrairement aux données personnelles, qui bénéficient d’une protection renforcée grâce au RGPD, les données brutes non personnelles ne relèvent d’aucun régime de droit exclusif. Si la propriété laisse croire en la possibilité d’en obtenir une maîtrise absolue, elle est en réalité inadaptée à la nature même des données.
Mais qu’entend-on par donnée brute ? Il s’agit d’une donnée qui n’a fait l’objet d’aucun traitement, ni d’aucune mise en forme. Par essence, la donnée est non rivale (plusieurs personnes peuvent l’utiliser simultanément) et reproductible à l’infini (elle peut être copiée, transférée, partagée, etc.).
Or, en droit, seul un bien présentant un caractère de rareté et d’exclusivité peut faire l’objet d’un droit de propriété. La donnée brute, dépourvue de ces attributs, échappe donc à cette qualification.
Comme les idées ou les connaissances, les données brutes sont par conséquent de libre parcours : tant qu’elles ne sont pas protégées par un droit spécifique ou un verrou technique, elles peuvent circuler librement, et ne peuvent, en principe, faire l’objet d’une revendication.
Face à cette limite, certains juristes ont tenté de contourner l’absence de propriété en appliquant, par analogie, des mécanismes classiques du droit des biens :
Cependant, ces deux théories montrent rapidement leurs limites : elles supposent que les données soient elles-mêmes des biens appropriables, ce que le droit, en l’état actuel, ne reconnaît pas. En outre, la valeur de la donnée n’est pas intrinsèque, mais dépend de son usage, de sa mise en contexte et de son exploitation.
Si la donnée brute ne bénéficie pas en elle-même d’un droit de propriété, le droit récompense, cependant, les efforts et les moyens mis en œuvre, par les entreprises, pour la traiter, la structurer ou encore la sécuriser. En effet, plusieurs régimes juridiques permettent d’offrir une véritable maîtrise de l’accès, voire de l’usage des données brutes.
Instauré en 1996, le droit sui generis sur les bases de données vise, tout d’abord, à protéger l’investissement substantiel — qu’il soit financier, humain ou technique — réalisé par un acteur pour constituer, vérifier ou présenter le contenu d’une base de données.
Ce droit ne confère pas une protection sur les données elles-mêmes, mais sur la structure de la base, à condition qu’un véritable effort d’investissement puisse être démontré.
Toutefois, cette protection connaît plusieurs limites dans la mesure où certaines catégories de données en sont exclues, telles que les données publiques ou les données industrielles. Elle est par ailleurs assortie de plusieurs exceptions, notamment lorsque les usages poursuivent des fins pédagogiques ou de recherche ou relèvent de la fouille de textes et de données.
En l’absence d’un droit spécifique protégeant l’investissement sur les données brutes, le secret des affaires – issu de la directive n°2016/943 transposée en droit français en 2018 – offre un cadre de protection alternatif. Il permet en effet à l’entreprise de protéger des données qui ont une valeur commerciale, à condition qu’elle ait mis en place des mesures appropriées : clauses de confidentialité ou de secret, mesures techniques, restriction d’accès etc.
Cette protection est essentielle pour les entreprises innovantes, notamment dans les secteurs du numérique, de l’intelligence artificielle ou encore de la santé, dans lesquels les jeux de données sont au cœur de la différenciation concurrentielle.
Néanmoins, cette protection reste précaire : dès lors que les données sont divulguées, aucun « droit de suite » ne permet d’en reprendre le contrôle. Seule une action en responsabilité contre l’auteur de la divulgation fautive peut être envisagée. Ainsi, le secret des affaires sanctionne l’atteinte à la confidentialité, mais n’organise pas de maîtrise juridique sur les données une fois qu’elles échappent à leur détenteur.
Enfin, d’un point de vue technique, les articles 323-1 et suivants du Code pénal répriment l’accès frauduleux à un système de traitement automatisé de données, mais aussi, l’extraction ou encore la suppression de données qui y sont contenues. Ce verrou technique constitue une sécurité informatique efficace contre les cybermenaces ou l’espionnage industriel.
Le Data Act, adopté en 2023, redonne notamment aux utilisateurs la maîtrise sur l’accès mais aussi sur l’usage des données générées par leurs objets connectés, en facilitant leur portabilité et leur réutilisation.
Il vise à rééquilibrer les rapports de force entre les fournisseurs de services et les utilisateurs, en conférant à ces derniers un véritable pouvoir sur les données issues de leurs équipements. Désormais, les utilisateurs peuvent non seulement accéder aux données produites, mais également en déterminer les usages, renforçant ainsi leur autonomie dans un environnement numérique largement dominé par les acteurs industriels.
Cependant, ce droit d’usage reste limité aux données non personnelles générées dans ce cadre spécifique et ne constitue pas un droit de propriété au sens classique du terme.
En conclusion, si les données brutes échappent à la propriété classique, les entreprises disposent déjà d’un ensemble d’outils pour en conserver le contrôle. L’enjeu n’est pas tant qu’elles soient propriétaires des données brutes, mais qu’elles s’assurent d’en garder la maîtrise quand cela se justifie. Cette maîtrise passe donc par :
À défaut de propriété, la gouvernance des données permet d’en conserver un avantage concurrentiel essentiel.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.