Note rédigée par Alba ILARI
Par ce slogan TADATA, une société par actions simplifiées créée en 2019, propose, via une application, aux personnes entre 15 et 25 ans de les rémunérer en contrepartie de la vente de leurs données à caractère personnel à des annonceurs préalablement sélectionnés. Cette proposition de rétribution des utilisateurs d’internet qui dévoilent leurs données personnelles n’est pas nouvelle, la plateforme My Data Is Rich a d’ores et déjà déployé ce même mécanisme[1], ainsi que l’application WeWard[2] ces deux outils sont français, le premier basé à La Rochelle, l’autre sur Paris, ils sont donc soumis aux mêmes législations et réglementations que TADATA. Cette dernière se veut rassurante à l’égard de ses utilisateurs et des régulateurs en affirmant qu’elle ne traitera pas de données sensibles, telles que l’orientation sexuelle, politique, religieuse ou encore des données de santé. L’application fonctionne par une série de questionnaires qu’elle transmet à ses utilisateurs. Une fois les réponses récoltées elle va demander à ses partenaires quel type de profil les intéressent pour leur vendre les données dont elle dispose sur les utilisateurs. Les partenaires annonceurs de l’application sont, selon elle, des écoles supérieures, des organismes bancaires, des opérateurs de téléphonie et des entreprises de la grande distribution. Il paraît pertinent de préciser que c’est partiellement faux. Aujourd’hui[3] les partenaires de Tadata sont exclusivement des écoles supérieures privées ainsi que divers organismes et instituts de formation.
Le 11 février 2020, l’association Internet Society France alerte la CNIL sur cette application. Pour elle, les données à caractère personnel relèvent d’un droit fondamental et ne peuvent faire l’objet d’aucune transaction. Elle soulève également plusieurs non-conformités de TADATA au Règlement Général pour la Protection des Données (RGPD).
Le 6 octobre 2020, la Commission Nationale Informatique et Libertés (CNIL) a clôturé la procédure d’enquête à l’encontre de TADATA. Ce n’est pas pour autant que l’application est déclarée conforme au RGPD. En effet, lors du contrôle par la CNIL, Tadata n’avait pas encore commencé son activité, aucun partage des données n’avait été effectué avec ses annonceurs. Depuis la Commission reste en discussion avec la plateforme en vue d’obtenir une conformité aussi élevée que possible au RGPD.
Plusieurs problématiques apparaissent, dans un premier temps le débat sur la patrimonialisation des données est plus que jamais ravivé (I). La question du business model de TADATA quant à sa conformité aux législations en vigueur inquiète (II) mais se révèlent également toutes les préoccupations relatives au statut des personnes visées (III).
I/ La thèse de patrimonialisation des données à caractère personnel
Le chercheur américain Jason Lanier est le premier à avoir proposé ce concept de patrimonialisation des données à caractère personnel dans le livre qu’il a publié en 2014 aux éditions Simon & Schuster « Who owns the Future ? ». Ce concept vise à considérer la donnée comme un bien meuble ; soumise donc au régime général des biens elle en devient cessible. L’utilisateur peut alors choisir de vendre ses données personnelles et ainsi récupérer une forme de contrôle dessus car jusque là il les communique ‘’gratuitement’’, du moins la contrepartie qu’il en tire se trouve dans la possibilité d’utiliser le service.
En l’espèce, Tadata consacre cette thèse. La société précise d’ailleurs que ses conditions générales d’utilisation constituent un contrat de vente. En suivant cette conception l’utilisateur perd certaines prérogatives sur ses données personnelles, mais uniquement dans sa relation contractuelle qui le lie à l’acheteur de données. De quel recours disposera alors l’utilisateur de Tadata contre l’annonceur publicitaire à qui la plateforme a revendu ses données ? A priori aucun, du moins la plateforme ne prévoit pas dans ses conditions générales une telle possibilité.
A cette vision patrimonialiste de la donnée, d’autres théories s’opposent. D’aucuns furent amenés à considérer la donnée comme un droit fondamental attaché à la personne en tant qu’attribut du corps humain, toute cession serait alors proscrite. Cette conception est la plus proche de celle adoptée par l’Europe, dès lors elle se reflète tout au long du Règlement Général pour la Protection des Données qui confère à l’utilisateur des droits personnels sur les données le concernant quant bien même il les auraient communiquées intentionnellement[4]. Une autre théorie a également vu le jour, elle aborde la protection des données sous un autre angle, celui du droit de la concurrence. Dans cette optique, en considérant les données personnelles au titre des infrastructures essentielles, l’accès à la donnée serait une « condition du développement des services numériques » qui implique une « sécurisation de la mise à disposition et de l’accès aux données ». C’est la vision défendue par l’administrateur général des données[5] Henri Verdier dans un rapport « La donnée comme infrastructure essentielle 2016-2017 »[6] .
II/ La question de la conformité au règlement général pour la protection des données
Suite à l’alerte de l’association Internet Society France, la CNIL s’est demandée si l’application Tadata respectait le RGPD. Plusieurs infractions à différents articles du RGPD sont susceptibles d’apparaître.
Premièrement, la question du consentement. L’article 7 du RGPD impose aux plateformes de recueillir le consentement libre, spécifique, éclairé, et sans équivoque de l’utilisateur. En pratique Tadata, dans ses Conditions Générales d’Utilisation et sa politique de protection des données, s’assure que le consentement de ses utilisateurs respecte toutes ces caractéristiques. Aucun document ne mentionne le consentement des utilisateurs mineurs, toutefois au regard de l’article 70 de la loi Informatique et Libertés de 1978 et du Considérant 38 du RGPD, les utilisateurs mineurs de plus de 15 ans n’ont pas à recevoir d’autorisation parentale. En matière de consentement, l’application semble effectivement respecter les exigences du RGPD.
Deuxièmement, Tadata se définit, dans sa politique de protection des données, comme le responsable de traitement des données à caractère personnel de ses utilisateurs. L’application fait l’objet d’un certain nombre d’obligations dont une obligation de sécurité[7], une obligation claire d’information ou encore une obligation d’identifier les parties prenantes. En l’espèce, Tadata y satisfait par ses CGU, notamment dans leur article 5 par lequel l’application s’engage à « mettre en œuvre et maintenir les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au regard des risques d'accès ».
Enfin, la problématique du respect du droit à l’oubli s’est posée. L’article 17 du RGPD confère aux utilisateurs européens un droit à l’effacement de leurs données à caractère personnel pour plusieurs motifs, dont particulièrement le retrait du consentement. La directive 95/46 dans son article 12 oblige le responsable de traitement à notifier aux « tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné ». Ici Tadata, en tant que responsable de traitement, devra notifier aux partenaires auxquels elle a autorisés l’utilisation des données de ses utilisateurs de la volonté de ces derniers à les effacer.
Toutefois au sein de ses CGU, l’application a introduit une clause visant à anéantir sa responsabilité dans l’hypothèse où les partenaires à qui elle a transmis les données des utilisateurs refusent de les effacer[8]. Cette clause limitative de responsabilité, insérée au sein d’un contrat qui rentre dans la définition des contrats d’adhésion, serait-elle susceptible de tomber sous le régime de l’article 1171 du Code civil[9] ? Si tel est le cas, Tadata serait alors tenue d’une obligation de s’assurer de l’effacement des données personnelles de tout utilisateur en faisant la demande auprès de ses partenaires. L’enjeu alors est de caractériser la présence d’un déséquilibre significatif entre les droits et obligations des parties au contrat, engendré par cette clause.
Dans son enquête, la CNIL s’est concentrée sur « La validité du consentement recueilli auprès des personnes et les modalités d’exercice des droits des utilisateurs, notamment sur les conditions de désinscription du service »[10]. Elle a déduit de ses investigations que l’application n’était pas encore déployée sur le territoire français. Toutefois, Tadata affirmait avoir pu, alors même que la CNIL effectuait son contrôle, verser déjà quelques 30 000€ à ses utilisateurs[11].
Cependant la clôture de l’enquête par la CNIL n’équivaut pas à une autorisation pour Tadata d’exercer ses activités, ni même une déclaration de conformité avec le RGPD selon Valérie Peugeot (Membre du collège des commissaires de la CNIL en charge des données de santé) lors d’une interview pour le média France Culture[12].
Pour l’instant TADATA satisferait donc aux obligations posées par le RGPD. Pour quelle raison alors l’application soulève autant de polémiques ? Une réponse pourrait se trouver quant à la situation des personnes visées par l’application Tadata.
III/ La situation des personnes
Les personnes visées par l’application TADATA sont « les étudiants et jeunes entre 15 et 25 ans ». Ce cœur de cible n’a pas été choisi au hasard. Selon Laurent Pomies, le cofondateur de TADATA, dans une interview donnée pour le média Tom Travel[13], l’idée était de verser entre 5 et 20 euros par mois aux utilisateurs. Il explique donc qu'une si faible rémunération n’intéresserait pas les personnes plus âgées ou déjà dans la vie active. Par cette interview le cofondateur de TADATA montre qu’il a conscience que le public qu’il vise est en situation précaire, c’est pour cette raison que l’application leur offre un complément de revenu.
Pour autant, l’application semble réservée à la tranche de population économiquement la plus vulnérable, mais également la moins à même de comprendre les problématiques liées à la communication de leurs données à caractère personnel. Il apparaît évident que, pour un peu d’argent de poche, ils n’hésiteraient pas à confier à l’application des informations pouvant paraître anodines tel que, quelle série ils préfèrent, s'ils donnent de l’argent à des associations ou encore dans quel cursus universitaire ils veulent s’orienter. La crainte devient alors que la protection de la vie privée soit réservée à une forme d'élite de la jeunesse, c'est-à-dire, les privilégiés qui ont à la fois la conscience et les moyens de protéger leurs données personnelles.
C’est dans cette optique que Olivier Ertzscheid, Enseignant-Chercheur en sciences de l’information, parle de ‘’prostitution 2.0’’[14]. Un tel modèle d’affaires participe à creuser le fossé des inégalités sociales. Il va plus loin dans son analyse en identifiant les utilisateurs de Tadata comme des travailleurs en situation précaire. C’est un parallèle à nuancer car les utilisateurs ne sont soumis à aucun lien de subordination, qui est le critère essentiel pour caractériser un contrat de travail. De plus un tel système, rétribuer des individus contre les réponses qu’ils fournissent à un questionnaire, n’a rien de novateur. En effet, les instituts de sondages rémunérés bourgeonnent sur internet[15], et ce depuis plusieurs années. Si la question de la condition de travailleur précaire se pose pour les utilisateurs de Tadata, elle devrait se poser également pour ces personnes qui ont fait de ce système un véritable complément de revenu et plus seulement du small money, ou argent de poche.
Pour les besoins de la recherche, j’ai moi même tenté de m’inscrire sur Tadata. Après avoir renseigné diverses informations personnelles (nom, prénom, date de naissance, RIB) et envoyé une photocopie de ma carte d’identité, j’ai pu accéder aux fameux questionnaires. Je les ai tous remplis avec assiduité. Depuis, plusieurs mois se sont écoulés et je n’ai pu observer de la part de Tadata aucun versement. Cependant, l’application possède désormais diverses informations plus ou moins sensibles sur moi sans avoir versé de contrepartie monétaire pour ce qui est quand même le cœur de leur modèle économique.
JE RETIENS...
Tadata est une société qui propose aux 15-25 ans de monétiser leurs données à caractère personnel. Pour ce faire, l’application leur demande de répondre à des questionnaires, ces réponses sont par la suite vendues à des annonceurs qui sont des écoles et instituts de formation. Elle a fait l’objet d’un contrôle par la CNIL en octobre 2020. Cette dernière a estimé qu’aucune violation au RGPD n’a été effectuée par Tadata. Pourtant, cette société touche un public qualifié de vulnérable.
Bibliographie
- TADATA Conditions générales d’utilisation https://tadata-france.fr/docs/TADATA-conditions-generales-d-utilisation (consultées le 28 janvier 2021)
- TADATA Politique de protection des données https://tadata-france.fr/docs/Tadata-Politique_de_Protection_des_Donnees (consultée le 28 janvier 2021)
- « Données personnelles : l’éthique et la conformité », Louis COLIN, 3 novembre 2020 https://www.institutsapiens.fr/donnees-personnelles-lethique-et-la-conformite/#_ftn2 (consulté le 28 janvier 2021)
- « Mes datas sont à moi » https://www.generationlibre.eu/data-a-moi/ (consulté le 28 janvier 2021)
- « L’Internet Society France alerte la CNIL au sujet du site tadata-france.fr », 11 février 2020 https://www.isoc.fr/linternet-society-france-alerte-la-cnil-au-sujet-du-site-tadata-france-fr/ (consulté le 28 janvier 2021)
- « Monétisation des données : la data aux œufs d’or » dans l’émission « La méthode scientifique » par Nicolas MARTIN https://www.franceculture.fr/emissions/la-methode-scientifique/monetisation-des-donnees-la-data-aux-oeufs-dor (consulté le 28 janvier 2021)
Ce travail a bénéficié d'une aide de l’État gérée par l'Agence Nationale de la Recherche au titre du projet Investissements d’Avenir 3IA Côte d’Azur portant la référence n° ANR-19-P3IA-0002
[1]https://mydataisrich.com/ Ce site perçoit les données comme une œuvre de propriété intellectuelle, il distribue des ‘’royalties’’ à ses clients. Avec toutefois des effets plus pervers tel que la proposition d’acheter un boîtier à brancher sur l’allume cigare d’un véhicule qui va récupérer des données à plus forte valeur et donc plus sensibles, le tout en promettant à ses utilisateurs une meilleure rétribution.
[2]https://www.weward.fr/ Cette application est quelque peu différente, elle va rémunérer ses utilisateurs en fonction du nombre de pas qu’ils effectuent dans une journée.
[3]La liste des partenaires de TADATA est accessible depuis l’application, la dernière vérification en date du 28 janvier 2021
[4]Par exemple le droit à l’oubli garanti par l’article 17 du RGPD
[5]La fonction d’administrateur général des données a été créée en 2014 en vue de permettre à l’État français « d’utiliser ses données pour mieux piloter ses politiques publiques et concevoir de nouveaux services »
[6]« La donnée comme infrastructure essentielle » Rapport de l’Administrateur général des données https://www.etalab.gouv.fr/wp-content/uploads/2018/04/RapportAGD_2016-2017_web.pdf
[7]Article 32.1 du RGPD
[8]4. de la politique de Protection des données de Tadata p.7 « Attention: la suppression de tes données par TADATA ne signifie pas que les Partenaires de TADATA suppriment les données qu’ils détiennent déjà et dont ils ont la responsabilité. TADATA transmettra ta demande de suppression à ces Partenaires qui seront alors tenus d’accéder à ta demande et de procéder à cette suppression. Tadata ne pourra être tenu responsable en cas de non-respect de cette règle par ces Partenaires »
[9]Article 1171 du Code Civil « Dans un contrat d'adhésion, toute clause non négociable, déterminée à l'avance par l'une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite.
L'appréciation du déséquilibre significatif ne porte ni sur l'objet principal du contrat ni sur l'adéquation du prix à la prestation ».
[10]« La CNIL met fin au contrôle visant TADATA, « pour le moment » » ; 8 octobre 2020 https://www.nextinpact.com/lebrief/44078/la-cnil-met-fin-au-controle-visant-tadata-pour-moment
[11]« Tadata, l’application qui permet aux jeunes de monnayer leurs données personnelles » Yann GALLIC ; 12 octobre 2020 ; https://www.franceinter.fr/economie/tadata-l-application-qui-permet-aux-jeunes-de-monnayer-leurs-donnees-personnelles
[12]Cf point 6 de la bibliographie
[13]« TaData pose la première pierre de la monétisation des données en France »; Julia LUCZAK-ROUGEAUX ; 27 octobre 2020 https://www.tom.travel/2020/10/27/tadata-pose-premiere-pierre-monetisation-donnees-france/
[14]« Tadata ou la prostitution comme business model » 8 octobre 2020 Olivier ERTZSCHEID ; https://www.affordance.info/mon_weblog/2020/10/tadata-ou-la-prostitution-comme-business-model.html
[15]De nombreux sites de sondages rémunérés existent aujourd’hui dont Yogov (https://fr.yougov.com/ )un site britannique créé en 2000, ou encore Gaddin ( https://www.gaddin.com/ ) fondé en 2014, en passant par MarketAgent (https://www.marketagent.fr/ ) un site allemand présent depuis 2001