L’appréhension juri­dique des « données person­nelles » est un casse-tête qui tient – et qui tien­dra encore long­temps – tête aux juristes. Par nature, les données person­nelles sont en effet imma­té­rielles, dupli­cables et inti­me­ment liées à la person­na­lité de la personne concer­née (ou des personnes concer­nées puisqu’une même donnée peut concer­ner plusieurs indi­vi­dus). Considérées comme le nouvel or noir, les données person­nelles peuvent non seule­ment rendre riche celui ou celle qui les détient, mais aussi et surtout lui confé­rer le pouvoir. Dans ce contexte, le déve­lop­pe­ment de nouveaux outils permet­tant la collecte de données person­nelles en masse a engen­dré de nouveaux marchés, où les indi­vi­dus « sont » le produit, à l’image des sites web ou des appli­ca­tions propo­sant des services gratuits contre des collectes de données person­nelles à demi cachées. Ces pratiques ont inévi­ta­ble­ment engen­dré la ques­tion de savoir si et comment les données person­nelles ainsi collec­tées pouvaient être commer­cia­li­sées, le respect des droits des personnes concer­nées étant alors au centre des inquié­tudes. C’est à cette théma­tique épineuse et haute­ment actuelle qu’Eva Cellina a consa­cré sa thèse de doctorat.

L’ouvrage, publié en automne 2020, part du postu­lat que la personne concer­née par les données commer­cia­li­sées se situe en Suisse. Eu égard à la nature trans­fron­ta­lière des échanges de données person­nelles, l’auteure prend en compte les hypo­thèses selon lesquelles le respon­sable du trai­te­ment peut quant à lui se trou­ver non seule­ment en Suisse, mais aussi en Europe ou aux Etats-Unis. Sans propo­ser une étude de droit comparé au sens strict, la thèse offre des éclai­rages régu­liers, bien­ve­nus et précieux sur le RGPD et le droit étasunien.

La thèse se compose de trois parties. La première partie est consa­crée à la notion de données person­nelles ainsi qu’à leurs modes de collecte, et offre une compa­rai­son inté­res­sante entre le droit suisse et étran­ger, en parti­cu­lier sur les limites de ce qui doit ou non être consi­déré comme une « donnée person­nelle » (problé­ma­tique des données anony­mi­sées). L’auteure y souligne les dispa­ri­tés de régimes juri­diques et met en lumière le défi qui consis­tera à trou­ver des normes harmo­ni­sées dans un monde où les collectes et les trai­te­ments de données s’effectuent aujourd’hui rare­ment sur un terri­toire natio­nal unique.

La deuxième partie a pour objet le contrat de commer­cia­li­sa­tion des données person­nelles, selon une métho­do­lo­gie clas­sique d’étude des contrats (obli­ga­tion des parties, inexé­cu­tion, fin du contrat, etc.). Un chapitre en parti­cu­lier retient l’attention : celui dédié à la quali­fi­ca­tion du contrat. Au terme d’une analyse convain­cante, l’auteure parvient à la conclu­sion que le contrat de commer­cia­li­sa­tion des données person­nelles est un contrat innommé sui gene­ris, et plus parti­cu­liè­re­ment un contrat de licence. Deux situa­tions peuvent plus préci­sé­ment être distin­guées. Il faut recon­naître l’existence d’une licence propre­ment dite si le respon­sable du trai­te­ment a collecté lui-même les données et dispose d’une licence non exclu­sive sur les droits de la person­na­lité de la personne concer­née. A l’inverse, une licence impro­pre­ment dite doit être admise si le respon­sable du trai­te­ment traite les données en l’absence d’une licence propre­ment dite ou pour les cas où les données proviennent d’une collecte indirecte.

Dans la troi­sième et dernière partie, l’auteure aborde la ques­tion des limites à la commer­cia­li­sa­tion des données person­nelles. Le chapitre dédié aux limites décou­lant de la collecte des données person­nelles est parti­cu­liè­re­ment digne d’attention. L’auteure y analyse de manière appro­fon­die dans quelle mesure et à quelles condi­tions l’usage des données person­nelles peut être cédé, en parti­cu­lier dans le contexte d’une collecte en ligne. Sont en parti­cu­lier discu­tées la vali­dité du consen­te­ment des personnes concer­nées (ex.: par l’acceptation de condi­tions géné­rales) ainsi que les autres limites posées par le droit de la protec­tion des données (ex.: respect des prin­cipes géné­raux de la protec­tion des données, commu­ni­ca­tions trans­fron­tières). L’auteure déplore dans ce contexte un défi­cit d’information à l’égard des personnes concer­nées, un manque de trans­pa­rence ainsi que des atteintes aux prin­cipes géné­raux de propor­tion­na­lité, de fina­lité et d’exactitude.

Au final, il ressort de cette thèse que l’un des prin­ci­paux défis de la commer­cia­li­sa­tion des données person­nelles réside dans la clari­fi­ca­tion des liens complexes entre le prin­cipe de liberté contrac­tuelle et les normes de protec­tion des données, voire plus géné­ra­le­ment les normes de protec­tion du consommateur.

Dans un monde où les tech­no­lo­gies évoluent à une vitesse fulgu­rante, Eva Cellina est parve­nue à publier une thèse de docto­rat plei­ne­ment actuelle, surmon­tant ainsi l’écueil pour­tant impor­tant de la « thèse tech­no­lo­gique dépas­sée une fois publiée ». S’il est évident que de nombreuses ques­tions restent ouvertes (ex.: comment amélio­rer la trans­pa­rence dont la défi­cience est dénon­cée ?), cet ouvrage offre une contri­bu­tion notable à la construc­tion du cadre juri­dique helvé­tique de la numérisation.