Et pour 0,26 dollar de plus ?

Le code civil est formel : « Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ». Il s’agit du principe de base de la responsabilité extra-contractuelle.

Tout fait donc , y compris l’appropriation, l’utilisation frauduleuse ou l’utilisation de données personnelles.

Lesdites données peuvent certes cesser d’être exploitées, restituées à leur propriétaire, effacées des bases de données de l’entreprise les ayant collectées. Mais ces corrections techniques, ne permettent de réparer qu’une partie, du dommage issu de l’exploitation des données personnelles.

Mieux vaut donc ajouter 0,26 dollar de plus - le prix moyen d’un set de données de qualité - à votre réclamation pour le symbole.

Ou demander une valorisation sérieuse de vos données.

Présentation d’un casse-tête chinois.

Un champ de valorisation encore peu défini

Au-delà des quelques définitions (est une donnée personnelle, « toute donnée se rapportant à une personne physique identifiée ou identifiable » à partir de cette seule donnée ou d’un croisement de données) et distinctions (es une donnée personnelle sensible, toute donnée se rattachant aux origines raciales ou ethniques, à la confession religieuses, aux orientations sexuelles à l’appartenance syndicale, au passé judiciaire, aux opinions politiques, à l’état de santé ou au patrimoine génétique d’une personne) relevant de la RGPD, la loi demeure muette sur les données personnelles.

Et plus particulièrement sur leur méthode de valorisation. Les standards comptables internationaux se limitent pour l’heure aux règles d’immobilisations des instruments constitutifs des base de données, et non des données en elles-mêmes.

Cette situation s’explique principalement par un manque de recul sur la question, y compris en ce qui concerne la légalité de la collecte et de l’utilisation des données personnelles.

A l’heure où la RGP commence seulement à être réellement appliquée en Europe (et dans le monde) – notons une importante augmentation des sanctions à ce titre en France en 2021 -, les limites entre utilisations légales ces des données et abus sont encore floues.

Outre les questions déontologiques que ne manqueraient pas de soulever la valorisation de données illégalement collectées (surtout en cas de revente sur la base de cette dernière), ce flou ne permet pas de cerner parfaitement tout le potentiel légal de l’exploitation de données personnelles – et, partant, de leur confier une valeur.

Une seconde explication technique de la rareté des techniques de valorisations des données personnelles réside dans la multiplicité des métiers à maitriser pour produire une valorisation adéquate. Celle-ci se trouve en effet au croisement de considérations :

• juridiques : peut-on collecter ces données ? dans quelle mesure peut-on les exploiter Et sous quelle juridiction ?

• techniques : ces données sont-elles complètes et pertinentes ? Sont-elles traçables et sécurisées ? Que permette-t-elles techniquement de réaliser ? Quelles possibilités de conversion en chiffre d’affaires ?

• économiques et financières : y-a-t-il eu des ventes de données comparables ? Quel étalon de valeur retenir ?

Le principe du no bridge

Est-ce à dire qu’il ne s’agit que d’une question de maturité ou de temps ? Pas totalement. En fait, l’une des difficultés inhérentes à la valorisation de données personnelles se résume à un problème d’économie : le no-bridge.

Le no-bridge est une théorie (keynésienne contestable) selon laquelle il n’existe pas de pont entre le raisonnement individuel (microéconomique) et le raisonnement collectif (macroéconomique).

En cas de d’inflation, il va ainsi de l’intérêt de chaque acteur d’acheter au plus vite (lorsque sa monnaie a encore la plus grande valeur), mais ce faisant, cet acteur entretien le mouvement macroéconomique d’inflation (augmentation de la vitesse de circulation de la monnaie, et de la tension sur la production).

Le problème de la valorisation des données personnelle est similaire.

Prises individuellement, ces données ont une valeur très faible – de quelques centimes à une donnée individuelle à dizaine de centimes pour un jeu de données complet (nom, prénom, adresse, habitudes de consommations, etc.).

Les données relatives à des gros consommateurs, de nouveaux propriétaires ou de jeunes parents (par exemple) ou extrêmement requises valent plus chères mais excèdent rarement un euro par tête. De sorte qu’il est finalement assez peu intéressant pour un individu de vendre ses données personnelles (même à plusieurs entreprises).

Toutefois, parmi un vaste jeu de données personnelles – provenant de plusieurs (dizaines de) millions de personnes, ces données permettent de prédire ,voire de créer, des comportements d’achats et constituent un avantage inestimable pour les entreprises.

En bref, les entreprises souhaitent acheter en gros ; les particuliers ne souhaitent pas vendre au détail… quand bien même ils souhaitent vendre (alors que l’exploitation de données personnelles est regardée avec de plus en plus de méfiance).

Il n’y a donc pas lieu de s’étonner de l’absence de marché primaire d’achat-vente de données personnelles.

A la place, s’est plutôt constitué un marché informel de collecte des données personnelles, fonctionnant sur la base de l’échange implicite entre données personnelles et fourniture d’un service gratuit (Facebook étant bien évidemment le champion de ce modèle).

Il est même possible de parler de marché de dupes : l’exploitant devant trouver des revenus pour maintenir son service gratuit, et l’individu devant se satisfaire de cette solution pour utiliser le service. Ce faisant, les individus cèdent toutefois leur données sous forme brute, sans transformation ni raffinage (et donc pour une valeur unitaire faible).

Habituellement, les exploitants collecteurs de ces données primaires les revendent à des agrégateurs (marché secondaire), qui se chargent de constituer ces données en profils utilisables puis les cèdes à des services marketing pour exploitation (marché tertiaire).

Facebook (et les autres GAFAM) intègrent bien évidemment l’ensemble de cette chaîne de valeur.

En l’absence d’un véritable marché primaire, qui n’a à ce stade que peu de chances d’être institué, reste à savoir à quel hauteur devrait être valorisée la donnée personnelle :

• celle de la donnée brute renseignée par le client ;

• celle de la donnée pertinente revendue par à l’agrégateur (nos fameux 0,26 dollar pour un bon set de données) ;

• ou celle de la donnée transformée réutilisée par l’entreprise.

Valoriser l’utilisation

Dans ce dernier cas, la valorisation de la donnée imposerait, en outre, une étude économique de l’utilisation et de la monétisation des données par l’entreprise exploitante.

Au-delà du taux de conversion des publicité ciblées ou de la possibilité d’affecter les données à de la prospection commerciale, il est également important d’apprécier la sensibilité de l’activité en elle-même à la donnée.

Ainsi, une entreprise de fintech, et notamment d’octroi de crédit, est extrêmement dépendante des données qu’elle traite, tandis qu’un site e-commerce plus classique y est moins sensible.

Par ailleurs, dans une perspective plus spécifique au contentieux, il convient également d’envisager une valorisation (indemnisation) supplémentaire pour toutes les pratiques potentiellement nuisibles entourant la cession de données personnelles, telles que la revente à des démarcheurs intempestifs ou l’utilisation de certaines informations dans le cadre d’activités sensible.

Pour l’heure, les risques induis par une utilisation litigieuse des données personnelles (telles que l’usurpation d’identité par exemple) sont traités sous l’angle du préjudice moral.

Conclusions

Si la régulation (voire l’institution) du marché des données personnelles est inéluctable, la réponse des autorités risque de se faire attendre quelques années encore ; ne serait-ce que pour laisser le temps aux acteurs économiques de digérer les premières réformes entreprises.

Cette régulation se fondera de toute manière sur l’étude des dizaines de transactions d’ores et déjà effectuées sur les marchés secondaires et tertiaires de la donnée personnelle.

De sorte qu’il est aujourd’hui déjà possible de mener une valorisation des données personnelles.

Si le principe semble trop fastidieux pour un résultat trop déceptif dans le cadre de données individuelles, il prend tout son sens pour apprécier le bénéfice indu de sociétés qui se sont construire sur la base de données personnelles collectées sans véritable consentement ni paiement.