Produits connectes : qui est proprietaire des donnees generees

La question de la propriete des donnees generees par les produits connectes constitue l’un des debats juridiques les plus structurants de l’economie numerique europeenne. Qui detient les droits sur les donnees produites par un vehicule connecte, un equipement industriel intelligent ou un appareil electromenager dote de capteurs ? Le droit europeen, et singulierement le Data Act (reglement (UE) 2023/2854), apporte des reponses nuancees qui s’ecartent deliberement du paradigme classique de la propriete pour lui substituer un regime fonde sur les droits d’acces.

L’absence de droit de propriete sur les donnees en droit europeen

Un paradigme juridique deliberement ecarte

Le droit europeen ne consacre pas de droit de propriete sur les donnees au sens du droit des biens. Cette position, constante depuis les travaux preparatoires du Data Act, repose sur des considerations tant juridiques que politiques.

Sur le plan juridique, les donnees ne presentent pas les caracteristiques classiques des biens susceptibles d’appropriation : elles sont non-rivales (leur utilisation par une personne n’empeche pas leur utilisation par une autre), non-exclusives par nature et reproductibles a cout marginal nul. Le droit de la propriete intellectuelle protege certaines mises en forme de donnees (bases de donnees, oeuvres de l’esprit), mais pas les donnees brutes elles-memes.

Sur le plan politique, la Commission europeenne a explicitement rejete l’instauration d’un nouveau droit de propriete sur les donnees. La communication de la Commission de fevrier 2020 sur la strategie europeenne pour les donnees souligne que la creation d’un tel droit risquerait de concentrer les donnees entre les mains des acteurs les plus puissants et de freiner l’innovation fondee sur les donnees.

Le regime sui generis des bases de donnees

Avant le Data Act, le principal outil juridique invoque pour revendiquer des droits sur les donnees etait le droit sui generis des bases de donnees, issu de la directive 96/9/CE. Ce droit protege le producteur d’une base de donnees ayant fait l’objet d’un investissement substantiel contre l’extraction ou la reutilisation non autorisee d’une partie substantielle du contenu.

Le Data Act modifie sensiblement l’articulation de ce regime avec l’acces aux donnees des produits connectes. L’article 43 du reglement precise que le droit sui generis des bases de donnees ne s’applique pas aux bases de donnees contenant des donnees obtenues ou generees par l’utilisation d’un produit connecte ou d’un service connexe. Cette disposition est capitale : elle neutralise l’argument selon lequel le fabricant pourrait opposer son droit de producteur de base de donnees pour refuser l’acces aux donnees IoT.

Le regime du Data Act : des droits d’acces, pas de propriete

Les droits de l’utilisateur

Le Data Act ne confere pas de droit de propriete a l’utilisateur. Il lui reconnait en revanche un droit d’acces aux donnees generees par l’utilisation du produit connecte, qui s’apparente fonctionnellement a un droit d’usage etendu.

Ce droit d’acces, consacre par l’article 4 du reglement, presente plusieurs caracteristiques :

• Il est gratuit : le detenteur des donnees ne peut exiger aucune remuneration de l’utilisateur pour la fourniture des donnees.
• Il est continu : l’utilisateur peut acceder aux donnees de maniere permanente, en temps reel si la nature des donnees le permet.
• Il est direct ou sur demande : selon l’architecture du produit, l’acces peut etre integre au produit lui-meme ou passer par une demande formelle.
• Il est transferable : l’utilisateur peut demander que ses donnees soient transmises a un tiers de son choix (article 5).

Les droits et obligations du detenteur des donnees

Le detenteur des donnees – generalement le fabricant du produit connecte ou le fournisseur du service connexe – conserve des prerogatives significatives sur les donnees, sans pour autant en etre proprietaire.

Il peut notamment :

• Utiliser les donnees non personnelles generees par le produit dans le cadre de l’accord contractuel avec l’utilisateur.
• Proteger ses secrets d’affaires en limitant, de maniere proportionnee, la granularite des donnees fournies.
• Exiger une compensation raisonnable des tiers auxquels les donnees sont transmises a la demande de l’utilisateur.

Il doit en contrepartie :

• Concevoir ses produits pour permettre l’acces aux donnees des leur mise sur le marche.
• Informer l’utilisateur, avant l’achat, de la nature et du volume des donnees generees par le produit.
• Ne pas utiliser les donnees pour concurrencer directement l’utilisateur sur un marche derive.

Les restrictions imposees aux tiers

Les tiers destinataires des donnees ne disposent pas non plus d’un droit de propriete. Leur acces est conditionnel et encadre :

• Ils ne peuvent utiliser les donnees que pour la finalite convenue avec l’utilisateur.
• Ils ne peuvent les mettre a disposition d’un autre tiers sans l’accord de l’utilisateur.
• Ils ne peuvent les utiliser pour developper un produit en concurrence avec le produit dont elles sont issues.
• Ils ne peuvent les utiliser pour du profilage au sens du RGPD sauf fondement juridique independant.

Les implications concretes par secteur

Vehicules connectes

Le secteur automobile illustre parfaitement les enjeux de la question. Un vehicule moderne genere en moyenne 25 gigaoctets de donnees par heure. Ces donnees – telemetrie moteur, habitudes de conduite, localisation, diagnostic – interessent a la fois le constructeur, le conducteur, les assureurs, les reparateurs independants et les gestionnaires de flottes.

Sous le regime du Data Act, le conducteur (ou le proprietaire du vehicule) a un droit d’acces a l’ensemble de ces donnees. Il peut exiger qu’elles soient transmises au reparateur independant de son choix, brisant ainsi le monopole des reseaux constructeurs sur les donnees de diagnostic. Les recommandations de l’EDPB sur les vehicules connectes rappellent que nombre de ces donnees constituent egalement des donnees personnelles soumises au RGPD.

Equipements industriels

Dans l’industrie, les machines equipees de capteurs IoT generent des donnees de production, de performance et de maintenance predictive. L’utilisateur – typiquement l’exploitant industriel – peut acceder a ces donnees et les transmettre a un prestataire de maintenance tiers, mettant fin a la dependance exclusive envers le fabricant de la machine.

Cette evolution modifie profondement les modeles economiques fondes sur le verrouillage des donnees et contraint les fabricants a repenser leur proposition de valeur autour du service plutot que du controle des donnees.

Domotique et electromenager

Les appareils domotiques – thermostats intelligents, enceintes connectees, appareils electromenagers – generent des donnees d’usage qui revelent les habitudes de vie des occupants du foyer. La question est ici doublement sensible car ces donnees sont presque systematiquement des donnees personnelles au sens du RGPD.

L’utilisateur peut acceder a ses donnees de consommation energetique, par exemple, et les transmettre a un fournisseur d’energie alternatif pour obtenir une offre tarifaire optimisee. Le fabricant de l’appareil ne peut s’y opposer, sous reserve du respect des obligations de securite et de protection des donnees personnelles.

L’articulation avec la propriete intellectuelle

Les secrets d’affaires

Le Data Act prevoit un regime d’equilibre entre l’acces aux donnees et la protection des secrets d’affaires du detenteur. L’article 4, paragraphe 6, autorise le detenteur a prendre des mesures techniques et organisationnelles pour preserver la confidentialite de ses secrets d’affaires, notamment en anonymisant certains parametres ou en limitant le niveau de detail des donnees fournies.

Toutefois, le detenteur ne peut invoquer le secret d’affaires pour refuser en bloc l’acces aux donnees. Il doit demontrer, pour chaque donnee ou categorie de donnees, que sa divulgation porterait effectivement atteinte a un secret d’affaires et que les mesures de restriction adoptees sont proportionnees.

Les brevets et le droit d’auteur

Les droits de propriete intellectuelle classiques – brevets, droit d’auteur – ne conferent pas non plus de droit de propriete sur les donnees brutes generees par un produit connecte. Un brevet protege une invention technique, non les donnees produites par l’exploitation de cette invention. Le droit d’auteur protege une expression originale, non les faits ou les informations brutes.

Les perspectives d’evolution

La question de la propriete des donnees n’est pas definitivement tranchee. Le Data Act pose un cadre fonde sur les droits d’acces qui pourrait evoluer a mesure que la pratique revele ses limites. Le calendrier d’application du Data Act prevoit un reexamen du reglement par la Commission europeenne au plus tard le 12 septembre 2028, qui pourrait conduire a des ajustements du regime.

Par ailleurs, certains Etats membres pourraient etre tentes d’introduire dans leur droit national des mecanismes s’apparentant a un droit de propriete sectoriel sur certaines categories de donnees, dans les limites du cadre europeen. La Cour de justice de l’Union europeenne sera inevitablement saisie de questions prejudicielles relatives a l’interpretation des droits d’acces consacres par le Data Act.

FAQ

Un fabricant peut-il revendiquer la propriete des donnees generees par ses produits connectes ?

Non. Le droit europeen ne reconnait pas de droit de propriete sur les donnees brutes. Le Data Act ecarte expressement le droit sui generis des bases de donnees pour les donnees issues de produits connectes (article 43). Le fabricant conserve des droits d’utilisation contractuels et peut proteger ses secrets d’affaires, mais il ne peut se prevaloir d’un droit de propriete pour refuser l’acces aux donnees de l’utilisateur.

L’utilisateur est-il proprietaire des donnees generees par le produit connecte qu’il a achete ?

L’utilisateur n’est pas proprietaire des donnees au sens juridique. Le Data Act lui confere un droit d’acces gratuit, continu et transferable aux donnees generees par l’utilisation du produit. Ce droit s’apparente fonctionnellement a un droit d’usage etendu qui lui permet d’acceder aux donnees, de les utiliser librement et de les faire transmettre a un tiers de son choix.

Comment le Data Act s’articule-t-il avec le RGPD concernant les donnees des produits connectes ?

Le RGPD et le Data Act s’appliquent de maniere cumulative. Lorsque les donnees generees par un produit connecte constituent des donnees personnelles, le RGPD prevaut en cas de conflit (article 1er, paragraphe 5, du Data Act). Le detenteur des donnees doit donc respecter simultanement les obligations d’acces du Data Act et les principes du RGPD, notamment la minimisation, la limitation des finalites et les droits des personnes concernees.