Les données sont-elles des biens ? Le débat juridique fondamental

La question de la nature juridique des données constitue l’un des débats les plus fondamentaux du droit du numérique. Les données sont-elles des “choses” susceptibles d’appropriation ? Peut-on en être propriétaire au même titre qu’un bien meuble ou immeuble ? La réponse à cette question conditionne directement l’architecture de la protection des données personnelles sous le RGPD, les mécanismes d’accès aux données du Data Act et la répression pénale des atteintes aux systèmes informatiques. Loin d’être un exercice purement théorique, ce débat irrigue l’ensemble du droit du numérique contemporain.

La donnée : entre res nullius et objet de propriété

L’héritage du droit civil classique

Le Code civil de 1804 distingue biens meubles et immeubles, corporels et incorporels. Les données numériques ne s’inscrivent dans aucune de ces catégories : elles ne sont pas des corps certains, mais elles occupent un espace physique sur un support de stockage et se transmettent par des signaux électromagnétiques. La doctrine classique tend à considérer l’information comme une res communis insusceptible d’appropriation, en raison de son caractère non rival : communiquer une information ne prive pas son détenteur initial de cette information.

La réalité physique des biens informatiques

Comme nous l’analysons dans notre thèse de doctorat sur la propriété informatique (T. Devergranne, Paris II), cette opposition classique entre corporel et incorporel mérite d’être revisitée à la lumière de la réalité physique des biens informatiques. Un fichier numérique, un logiciel, une base de données ne sont pas de pures entités intellectuelles : ils sont constitués d’états physiques de la matière – des charges électriques dans une mémoire vive, des orientations magnétiques sur un disque dur, des structures cristallines dans une mémoire flash. La donnée numérique possède une réalité physique incontestable, même si celle-ci est imperceptible à l’oeil nu.

Cette réalité physique à des conséquences juridiques considérables. Si les biens informatiques possèdent une dimension corporelle, alors les règles du droit des biens corporels – et notamment le droit de propriété au sens de l’article 544 du Code civil – pourraient leur être applicables. C’est la thèse que nous défendons : les biens informatiques (logiciels, fichiers, systèmes) présentent une corporalité qui, bien que particulière, les rend susceptibles d’appropriation au sens du droit civil.

Les approches doctrinales concurrentes

La thèse de l’incorporalité

La majorité de la doctrine continue de considérer les données comme des biens incorporels, relevant de droits spéciaux : droit d’auteur pour les logiciels, droit sui generis pour les bases de données, droits de la personnalité pour les données personnelles. Mais cette approche ne rend pas compte de la manière dont les tribunaux traitent ces biens en pratique : condamner le vol d’un fichier ou la destruction d’une base de données suppose de les traiter comme des objets concrets susceptibles d’atteinte matérielle.

La thèse de la corporalité informatique

Dans notre thèse de doctorat sur la propriété informatique (T. Devergranne, Paris II), nous avons proposé une approche différente. Nous démontrons que les biens informatiques possèdent une triple dimension :

• Une dimension physique : toute donnée numérique est matérialisée par des états physiques de la matière (signaux électriques, orientations magnétiques, états quantiques). Cette matérialisation n’est pas accessoire ; elle est constitutive de l’existence même de la donnée numérique.
• Une dimension fonctionnelle : les biens informatiques sont destinés à être traités par des machines, ce qui leur confère une utilité économique mesurable et échangeable.
• Une dimension systémique : les biens informatiques n’existent pas isolément mais au sein de systèmes (les STAD) qui leur confèrent leur pleine utilité.

Cette analyse conduit à reconnaître aux biens informatiques une forme de corporalité spécifique – non pas identique a celle des biens tangibles, mais suffisante pour fonder des droits de propriété au sens classique du terme.

L’approche par les droits d’accès

Plus récemment, le droit européen a adopté une troisième voie : plutôt que de trancher le débat sur la nature juridique des données, il a choisi de créer des droits d’accès aux données. C’est l’approche retenue par le Data Act, qui ne confère pas de droit de propriété sur les données mais cree des droits d’accès, de portabilité et de partagé au bénéfice des utilisateurs et de tiers autorisés.

Cette approche pragmatique évite le débat théorique sur la propriété des données, mais elle ne le résout pas. La question de savoir qui “possède” les données générées par un objet connecté reste pertinente, notamment pour déterminer qui supporte le risque de perte et qui peut disposer de ces données en cas de litige.

Les implications pour le RGPD

Le RGPD n’utilise pas le vocabulaire de la propriété pour décrire la relation entre la personne et ses données personnelles. Il parle de “personne concernée” et de “responsable de traitement”, et confère à la personne des droits d’accès, de rectification, d’effacement et de portabilité – des droits qui ressemblent davantage à des droits de la personnalité qu’à des attributs de la propriété.

Pourtant, dans le langage courant et politique, l’idée que les individus sont “propriétaires” de leurs données personnelles est omniprésente. Cette intuition n’est pas sans fondement juridique. Le droit à la protection des données personnelles, consacré par l’article 8 de la Charte des droits fondamentaux de l’Union européenne, confère à la personne un pouvoir de contrôle sur ses données qui presente certains attributs du droit de propriété : le droit d’autoriser ou d’interdire l’usage (usus), le droit de tirer un bénéfice (fructus, via le consentement conditionnel), et dans une certaine mesure le droit de disposer (abusus, via le droit à l’effacement).

La question n’est pas purement sémantique. Si les données personnelles étaient qualifiées de biens, les règles de la responsabilité du fait des choses (article 1242 du Code civil) pourraient s’appliquer au responsable de traitement en cas de fuite de données, rendant sa responsabilité quasi automatique.

Les implications pour le Data Act

Le Data Act illustre la tension entre propriété et accès : il cree des droits d’accès et de partagé (articles 4 et 5) sans trancher la question propriétaire. La distinction avec le RGPD est révélatrice : le RGPD protégé la personne à travers ses données (droits fondamentaux), le Data Act protégé l’accès indépendamment du caractère personnel (droit économique). En cas de conflit fabricant-utilisateur, le Data Act fournit des mécanismes d’accès mais ne détermine pas qui est “propriétaire” – une lacune que la jurisprudence devra combler.

Les implications pour la sécurité des données

La qualification à des conséquences sur les obligations de sécurité (article 32 du RGPD). Si les données sont des biens susceptibles de propriété, l’obligation de sécurité s’apparente a celle du dépositaire (article 1927 du Code civil). En matière pénale, la loi du 24 juillet 2015, en incriminant l’extraction frauduleuse de données d’un STAD (article 323-3 du Code pénal), a partiellement comble la lacune du vol de données sans résoudre le débat doctrinal.

Conclusion

La question de savoir si les données sont des biens reste ouverte. Le droit positif a contourne le débat en créant des régimes spécifiques – RGPD pour les données personnelles, Data Act pour les données des produits connectés, droit pénal pour la protection des systèmes – sans jamais trancher la question de principe. Cette prudence législative est compréhensible : qualifier les données de biens susceptibles de propriété bouleverserait l’ensemble du droit des biens et de la responsabilité civile.

Toutefois, l’analyse que nous développons dans notre thèse de doctorat sur la propriété informatique (T. Devergranne, Paris II) démontre que les biens informatiques possèdent une réalité physique qui les distingue des pures informations incorporelles. Cette réalité physique pourrait fonder une qualification de bien corporel, au moins pour les données en tant qu’elles sont materialisees sur un support. Le débat, loin d’être clos, continue d’irriguer les évolutions du droit du numérique, du Data Act à la cybersécurité.

FAQ

Les données personnelles appartiennent-elles à la personne concernée ?

En droit, les données personnelles ne font pas l’objet d’un droit de propriété au sens strict. Le RGPD confère à la personne concernée des droits de contrôle (accès, rectification, effacement, portabilité) qui s’apparentent à des droits de la personnalité plutôt qu’à des attributs de la propriété. Toutefois, l’idée d’une “propriété” des individus sur leurs données irrigue le débat politique et pourrait influencer les évolutions législatives futures, notamment dans le cadre de la souveraineté numérique européenne.

Le Data Act cree-t-il un droit de propriété sur les données IoT ?

Non. Le Data Act cree des droits d’accès aux données générées par les produits connectés, des droits de partagé avec des tiers et des obligations de portabilité, mais il ne confère pas de droit de propriété sur ces données. L’approche du législateur européen est fondée sur l’accès plutôt que sur l’appropriation, ce qui évite de trancher le débat sur la nature juridique des données tout en garantissant des droits effectifs aux utilisateurs.

Peut-on voler des données en droit français ?

La qualification de vol au sens de l’article 311-1 du Code pénal (soustraction frauduleuse de la chose d’autrui) reste débattue pour les données, dans la mesure où la copie d’un fichier ne prive pas son détenteur initial de l’original. Toutefois, l’article 323-3 du Code pénal sanctionne spécifiquement l’extraction frauduleuse de données d’un STAD, ce qui couvre en pratique la plupart des situations de “vol” de données informatiques. La Cour de cassation a par ailleurs admis dans certaines décisions que la copie de fichiers pouvait constituer un vol (Cass. crim., 20 mai 2015).