« ET SI ON CHANGEAIT LA DONNE ENSEMBLE ? Tous les jours, les acteurs d’internet utilisent tes données personnelles à ton insu et se font de l’argent sur ton dos ! Avec Tadata, dis STOP : reprends le contrôle de tes données perso et gagne de l’argent avec »,

Ainsi nous propose la récente application française Tadata. En somme, l’application surprend à proposer, sans la nommer, une volonté de patrimonialité des données personnelles. Celle-ci s’est fait contrôler par la CNIL qui a rendu un avis fin octobre 2020.

Tadata est une plateforme mobile française créée en janvier 2018, par deux communicants. Elle propose de rémunérer les utilisateurs en échange de leurs données personnelles. La collecte se faisant par un ensemble de sondage proposé par des annonceurs « vertueux » (globalement des écoles de commerces privées). Les données sont ensuite revendues et une (maigre) rémunération est perçue par l’utilisateur, quelques euros. La start-up vise explicitement un public jeune, celui des 15-25 ans. L’entreprise n’est pas la première à proposer ce type de service, nous pouvons citer my data is rich ou bien Weward. Cependant, notre sujet du jour se différencie par le public visé, en partie mineur et par une communication agressive mais honnête sur la collecte des données.

La Commission nationale de l’informatique et des libertés, autorité administrative indépendante française, s’est vue naturellement intéressée par l’application.

La « décision » de la CNIL en octobre dernier

En effet, l’association Internet Society France s’est, dans un premier temps, inquiétée de l’application éponyme dès février. Elle évoque dans son article concernant Tadata ses angoisses concernant la non-conformité au RGPD, les risques liés aux publics visés et plus globalement les risques idéologiques concernant la patrimonialité des données. Elle alerte donc la CNIL.

Fin Octobre, la commission avorte son contrôle n’ayant rien à redire concernant l’application. Elle donne son feu vert.

Le 04 novembre, chez France Culture, Valérie Peugeot, membre de la CNIL nous explique qu’au moment du contrôle de Tadata, l’entreprise n’avait pas commencé à collecter des données. Dès lors, la CNIL n’a pas pu contrôler la conformité au RGPD. La Start up a alors pris un malin plaisir à conduire sa communication sur la fictive autorisation d’exercer par la CNIL. Pour autant, il n’en est rien et la question s’est élevée au niveau du Contrôleur européen de la protection des données (CEPD).

En attendant le rapport du CEPD, nous allons analyser les questions juridiques concernant le projet de Tadata.

Tadata face au RGPD

Nombreux sont les juristes à soulever les questions juridiques eu égard à la plateforme et au RGPD. Au micro de France culture, V. Peugeot nous rappelle que deux questions se posent : la monétisation des données ainsi que le public visé.

Les données personnelles sont définies par le RGPD dans son article 4

« comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; ».

Une définition non exhaustive qui a le mérite d’être large et d’englober nombre de potentialité. L’application se targue de collecter les données personnelles issues de questionnaires afin de rémunérer l’utilisateur, pourtant à la lecture des CGU les données collectées sont plus larges – Carte d’identité, Données du terminal utilisées, profil Facebook, etc. – et donc, le consentement ne semble plus être libre et éclairé comme l’énonce cet article de février.

La question est d’autant plus sensible que le public visé est jeune. Le RGPD dans son considérant 38 nous apprend que

« Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel […]  Le consentement du titulaire de la responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant. ».

De même, le droit français autorise le mineur à contracter, mais seulement sur des actes courants. Est-ce ici un acte courant ? En l’occurrence, concernant les mineurs, ils devraient avoir à minima l’autorisation des parents, sinon un questionnement sérieux sur la nature des données partagées par les plus jeunes.

Concernant la monétisation des données, il n’y a rien qui permet ou non de considérer que le RGPD interdit cette pratique puisque le texte normatif entend autant protéger les citoyens que favoriser la libre circulation des données. Il faudra donc attendre le rapport du CEPD, l’affaire est dès lors à suivre. Pour autant la question est plus large que le domaine juridique, elle pose un débat idéologique de fond entre les libéraux d’un côté et les défenseurs de l’inaliénabilité des données personnelles de l’autre.

Un débat idéologique

Le 27 octobre 2020, le créateur de la plateforme a donné une interview dans laquelle il revient sur la philosophie de sa start up et la décision de la CNIL. Tadata, dans sa communication, entend la donnée personnelle comme un bien dont on pourrait disposer. Elle patrimonialise celle-ci. Le professeur de droit P. Mouron nous rappelle que la donnée est « entre l’être et l’avoir » et que sa catégorisation juridique est alors peu évidente, flou.

Le concept de patrimonialité des données personnelles est originaire des États-Unis, mais il a été popularisé en France par le Think tank ultra libéral Génération libre dans plusieurs tribunes. L’idée aurait le privilège de responsabiliser les individus sur le sort de leurs données personnelles en leur donnant les différents droits de propriété dessus. Par conséquent, elle rétablirait un équilibre des pouvoirs entre les GAFAM et les utilisateurs. De façon analogue d’autres idées existent comme un impôt sur les entreprises gourmandes en données qui serait redistribué aux citoyens. En définitive, c’est une volonté libérale.

Cependant, les risques seraient nombreux. D’une part, la valeur économique des données personnelles ramenée aux individus n’est pas exorbitante. D’autre part, la patrimonialisation des données pourrait inciter les plus précaires à vendre leurs données pour subsister. Dès lors, une nouvelle forme de « travailleur du clic » naitrait. De cette façon, certains vont jusqu’à parler de « prostitution 2.0 »  puisqu’il en résulte une forme de marchandisation de l’Humain, de sa vie.

En définitive, Tadata surf sur l’absence de jurisprudence concernant la monétisation des données personnelles. Elle entend, en outre, dans sa communication prônée une patrimonialité des données. Nous pouvons ici douter des choix éthiques de l’entreprise qui vise un public jeune et précaire tout en prônant une idéologie. Il nous faudra attendre l’avis du CEPD pour avoir le fin mot de cette histoire, mais espérons que l’agence européenne freine les prétentions de ces startups.