Accueil > Droit civil > Personnes / Famille
Dossier Personnes / Famille
3e commission : Numérique

La donnée numérique : l’or noir du XXIe siècle ?

Publié le 08/09/2017
Mathieu Fontaine
président de la commission numérique du 113e Congrès des notaires de France
Sylvain Juillet
rapporteur
Didier Froger
conseiller

 

L’ère numérique est caractérisée notamment par la croissance exponentielle de la création de données numériques faisant entrer nos sociétés dans une « ère de l’information » caractérisée, notamment, par la constitution du Big Data. Les techniques de l’information et les supports de stockage se sont transformés au fil du temps. La donnée numérique est aujourd’hui omniprésente et alimente tous les fantasmes.

Toutefois, le cœur du Big Data n’est pas l’information (laquelle peut être interprétée) mais bien la donnée, stockée en vue d’une utilité future. De fait, le Big Data renferme un nombre croissant de données. Son intérêt pratique résulte des possibilités offertes d’exploiter ces données jusque-là dormantes, de faire des corrélations que l’homme n’aurait pas vues et ainsi aider à la prise de décision dans un environnement où l’information est un atout stratégique. Mais si certaines de ces applications sont vertueuses, les risques de dérives sont extrêmement nombreux.

Ainsi, la collecte de données au sein du commerce électronique doit être strictement encadrée (I), comme celle liée aux réseaux sociaux (II). L’intérêt économique lié à cette collecte rend néanmoins la tâche difficile, la valorisation de ces éléments étant complexe (III).

I – E-commerce et données personnelles

Le respect de la vie privée des utilisateurs est un enjeu majeur de confiance et d’efficacité dans les relations d’e-commerce. C’est d’ailleurs ce que rappellent sans détours les textes européens en la matière1. Toutefois, de nombreuses techniques de marketing reposent sur l’enregistrement et le traitement de données personnelles des consommateurs permettant d’établir des « profils » de plus en plus précis. S’il est légitime pour une entreprise de vente de produits de vouloir connaître ses clients et ses prospects pour mieux comprendre leurs besoins et leurs attentes, il est indispensable de maintenir un équilibre entre la connaissance des comportements et la protection de leur vie privée. Cet équilibre passe par une bonne compréhension des droits et des obligations de chacun et par le respect du cadre légal applicable.

Souvent, néanmoins, sans le savoir, les utilisateurs laissent derrière eux des informations (catégories de produits achetés, code postal, pages internet visitées, adresse IP, identifiant de cookie, géolocalisation, etc.) permettant aux commerçants et aux régies publicitaires de déduire leur profil et leurs comportements d’achats. Ils peuvent également fournir des informations à leur insu lors de la constitution de profils à partir d’un historique quelconque, ou de l’analyse des requêtes sur les moteurs de recherche. Les entreprises d’e-commerce sont particulièrement intéressées par cette mine d’or constituée de toutes ces données. Ces dernières doivent néanmoins être précédées d’un certain formalisme afin d’être valablement récupérées.

Préalablement, le site d’e-commerce doit recueillir le consentement de la personne avant de collecter des données sensibles, d’utiliser un service de géolocalisation à des fins commerciales, de déposer ou lire des cookies ou autre traceur. Par ailleurs, à tout moment, les consommateurs doivent pouvoir s’opposer à la réutilisation de leurs données à des fins commerciales. Les informations stockées dans le terminal des utilisateurs ou tout autre élément utilisé pour identifier les utilisateurs et permettant de les tracer ne doivent pas être conservés au-delà de 13 mois. Par ailleurs, les sites d’e-commerce doivent mettre en place des mesures de sécurité pour éviter que ces données soient endommagées, déformées ou que des tiers non autorisés y aient accès.

II – Web social et données personnelles

La vocation du « web social » est d’assurer une interaction entre utilisateurs pour maximiser un contenu d’information permanent. C’est le fondement du web 2.0, considéré comme un véritable phénomène de société.

Pour favoriser cette interaction, les réseaux sociaux proposent principalement quatre fonctionnalités :

  • un espace de présentation sur lequel l’utilisateur précise son profil et publie des éléments (variant d’un site à l’autre, tels que des publications éditoriales, des photographies, des vidéos, des articles, des liens, etc.) ;

  • un outil de recherche pour identifier des membres partageant des zones d’interaction (passions, vie professionnelle, cursus scolaire, liens familiaux, etc.) et ainsi permettre à l’utilisateur d’élargir ses réseaux ;

  • des solutions pour échanger et partager avec la communauté (une messagerie interne, la possibilité de commenter ou d’aimer une publication) ;

  • des outils collaboratifs élargissant les possibilités d’interaction entre les membres d’un même réseau social. Des groupes permettent par exemple d’échanger sur un sujet commun, de construire un débat, les pages pouvant fédérer autour d’un projet.

Les réseaux sociaux connaissent un fort engouement. De nombreux sites tentent d’exister en adoptant un modèle économique original clairement différenciateur. Deux grandes tendances se dégagent :

  • les réseaux sociaux de contact misent sur la constitution de cercles de connaissances. Ils offrent des outils pour rechercher d’autres membres et interagir directement avec eux. Facebook, avec ses nombreuses fonctionnalités interactives, est le plus célèbre. En février 2017, le site comptait 1,86 milliard d’utilisateurs actifs dans le monde. En 2016, 4 100 statuts étaient partagés chaque seconde, 8 millions de « likes » distribués chaque minute. 4,75 milliards de contenus ont été partagés chaque jour, 10 milliards de messages envoyés chaque jour et 350 gigaoctets de données échangées chaque minute2 ! Il n’y a pas moins de 350 millions de photos ajoutées chaque jour, et 240 milliards de photos sont stockées. Le nombre d’amis moyen en France est de 177 par utilisateur, 338 dans le reste du monde ;

  • les réseaux sociaux de contenu favorisent la publication d’un contenu original, destiné à être partagé avec la communauté. Pour exister dans un environnement fortement concurrentiel, ils adoptent souvent un positionnement particulier. Twitter, par exemple, a misé sur la publication de messages courts, tandis que Pinterest s’attache essentiellement à l’image.

Le modèle économique des réseaux sociaux est simple. Ils se font rémunérer par les publicités présentes sur leurs sites. Couplés au système de cookies, ils sont commercialement redoutables.

Par ailleurs, la vente des données collectées est une source importante de revenus. Les conditions d’utilisation de ces plates-formes les autorisent systématiquement à collecter et exploiter les données personnelles mises à disposition, volontairement d’ailleurs, par l’utilisateur.

Dans une décision rendue publique par le bureau de l’autorité administrative, la Cnil a mis en demeure Facebook de se conformer aux exigences de la loi Informatique et libertés. Ont ainsi été remis en cause « l’absence de fondement des traitements combinant les données relatives aux utilisateurs du réseau social pour afficher de la publicité ciblée, le défaut de formalités préalables s’agissant de traitement relatif à la fraude, le traitement de données sensibles sans recueil du consentement exprès, le recueil de données non pertinentes et non adéquates pour justifier de son identité, la collecte déloyale de données relatives aux internautes non utilisateurs du réseau, l’insuffisante information des personnes notamment sur les transferts de données hors Union européenne, le défaut de base légale de ces transferts, la fixation de durées de conservation disproportionnées par rapport aux finalités du traitement et le non-respect du cadre législatif relatif aux cookies »3.

III – La donnée numérique, une valeur marchande ?

Incontestablement, les données personnelles sont devenues « l’or noir » du XXIe siècle, exploitées et stockées pour une utilisation ultérieure.

Mais quelle est la valeur de ces données ? Comment les estimer ?

Plusieurs méthodes de valorisation sont envisageables. En prenant par exemple la capitalisation de Facebook divisée par le nombre d’abonnés, on pourrait estimer à plusieurs dizaines de dollars par profil la valeur des données (en moyenne 150 dollars). En prenant simplement le chiffre d’affaires déclaré en 2016 par Facebook divisé par le nombre d’abonnés, le coût ressortirait à environ 15 dollars par profil.

Plus difficile mais tout aussi intéressante serait l’estimation de cette valeur en calculant la perte financière d’une grande entreprise à la suite d’un piratage. C’est ce qui est arrivé à la société Target4 aux États-Unis dont les données de 110 millions de personnes ont été volées5. La chute en bourse du titre démontre que les données pouvaient être évaluées à un peu plus d’1 dollar par personne. C’est également ce qui est arrivé à Yahoo en 2013 et 2015 avec le vol de pas moins d’1 milliard de comptes sur ces deux incidents ! Compte tenu de l’absence de vol de données bancaires, et de la gestion par l’entreprise de ce vol, l’impact de ce piratage a été modéré sur le titre.

Par ailleurs, la collecte massive de données a fait naître une nouvelle économie.

Aux États-Unis, les data brokers, véritables courtiers au sein de l’écosystème numérique, spécialisés dans la vente de données destinées au ciblage publicitaire, ont débuté une bourse des données. Sur ce marché, une adresse courriel aux États-Unis vaut 50 cents, une date de naissance 2 dollars, un numéro de sécurité sociale 8 dollars… une carte grise française 40 centimes d’euro… !

Il serait ainsi possible de déterminer le coût global des données personnelles d’un individu en additionnant l’ensemble de ces éléments en fonction de son profil. Dans ce schéma, les données d’un cadre supérieur, célibataire, vivant à Paris ont plus de valeur que celles d’un ouvrier, marié et père de deux enfants dans le nord de la France.

Il serait possible, par ailleurs, d’estimer la valeur globale des données personnelles d’un individu en calculant le coût de leur protection. Aux États-Unis, la société « Protect my ID » propose par exemple une protection moyennant un abonnement de 15,95 dollars par mois. Les antivirus disponibles sur le marché permettent également d’atteindre cet objectif pour des coûts moyens de l’ordre de 150 euros par an. De nombreuses plates-formes proposent des coffres-forts numériques permettant de stocker de manière sécurisée des éléments numériques pour des coûts variant de quelques euros par mois à plusieurs centaines !

Mais en réalité, il est aujourd’hui admis que les données nues ont peu de valeur. Elles doivent être manipulées pour être valorisées. Il est ainsi nécessaire d’analyser et compiler des millions de comportements pour arriver à faire émerger des types de consommation, des tendances sociales et proposer de nouveaux services. De ce fait, la donnée n’est rien sans l’analytics.

Quant à la rémunération de la donnée, elle est souvent implicite : le consommateur accède à un service gratuit en échange de quoi il fournit des données. C’est le modèle économique utilisé par la plupart des applications téléchargées sur son smartphone : elles réclament le droit d’accéder au carnet d’adresses, à l’historique de navigation, à la géolocalisation, aux photos, donc à la quasi-totalité des informations contenues dans le téléphone, faute de quoi l’installation est impossible. Le développeur de l’application se rémunère en monétisant les informations ainsi récupérées.

Mais dans cet écosystème numérique, le principal enjeu économique est porté par la statistique.

En effet, il sera bien plus intéressant pour un opérateur de connaître des chiffres massifs, analysés, liés à une tendance sociale ou une typologie de comportement de consommation que de connaître individuellement les habitudes de consommation ou de recueillir des données brutes. Prenons l’exemple d’une enseigne de grande distribution souhaitant s’établir dans un secteur géographique donné. Les analystes auront bien plus intérêt à recueillir des statistiques liées à la géolocalisation par tranche d’âge et par catégorie socio-professionnelle que d’acquérir individuellement les données des smartphones de Pierre, Paul ou Jacques. En revanche, il leur sera tout à fait utile d’acquérir des statistiques liées à la géolocalisation des appareils mobiles d’une foultitude d’individus.

En France, contrairement aux États-Unis, le croisement et la vente des données sont réglementés. Les premiers acheteurs d’analytics sont les acteurs de la grande distribution, les banques, les opérateurs télécoms et les transporteurs.

Malgré les réglementations internes ou européennes, il demeure difficile de garantir aux citoyens l’anonymat complet, les appareils mobiles étant de véritables mouchards transmettant des informations sensibles en quasi continu, et souvent sans demander l’autorisation, celle-ci n’étant requise qu’à l’installation d’applications !

Des algorithmes permettent par ailleurs de prévoir et d’anticiper les actes du consommateur. La synchronisation de son agenda, couplé aux divers cookies et traceurs laissés en permanence derrière soi, par exemple lors des dernières recherches réalisées sur la toile permettent à certains opérateurs puissants de déterminer vos préférences sexuelles, vos goûts, vos penchants politiques, vos habitudes de consommation, le lieu où partir en vacances et les livres que vous êtes susceptible de lire à un certain moment afin de cibler au mieux vos besoins et de vous proposer un service avant que vous n’en fassiez la demande.

Les spécialistes s’accordent à dire que le Big Data sera l’arme économique de demain.

Mais nous n’en sommes qu’aux balbutiements de l’organisation et de l’exploitation du Big Data, et il y a fort à parier que le phénomène deviendra un enjeu majeur du développement de l’exploitation de la donnée dans les relations internationales.

Notes de bas de pages

  • 1.
    Règl. (UE) n° 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la dir. n° 95/46/CE (règlement général sur la protection des données).
  • 2.
    Source : facebook.com.
  • 3.
    Cnil, Déc. n° 2016-007, 26 janv. 2016, mettant en demeure les sociétés Facebook Inc. et Facebook Ireland, Cnil, Délib. n° 2016-026, 4 févr. 2016, décidant de rendre publique la mise en demeure n° 2016-007 du 26 janvier 2016 prise à l'encontre des sociétés Facebook Inc. et Facebook Ireland.
  • 4.
    Target est une entreprise de grande distribution américaine considérée comme le deuxième plus gros distributeur discount du pays.
  • 5.
    Le Figaro, 13 janv. 2014, disponible sur www.lefigaro.fr/secteur/high-tech/2014/01/13/32001-20140113ARTFIG00380-les-etats-unis-secoues-par-le-piratage-geant-de-donnees-chez-target.php.
LPA 08 Sep. 2017, n° 129m1, p.90

Référence : LPA 08 Sep. 2017, n° 129m1, p.90

Référence : AJU56421

icone presse-papiers
Plan
X