Résumé issu des travaux de Laura Tomasso, Doctorante à l’Université de Montpellier et DigitAg
Version résumée du 15/05/2019
Accéder à la version complète
Avec l’explosion de la quantité de données disponible dans les exploitations et leur captation à la source, la question de l’accès aux données agricoles devient une question importante (voir l’accès aux données pour la recherche et l’innovation en agriculture. Position des Instituts Techniques Agricole, paru en 2016 ou encore La valeur des données en agriculture par Renaissance Numérique paru en 2018).
Le projet Multipass (en savoir plus) lancé en 2018 vise à mettre à disposition des producteurs et valorisateurs de données agricoles, un écosystème de gestion des consentements des agriculteurs protégeant les échanges de données des exploitations. En renforçant la confiance des producteurs nécessaire au partage de leurs données, le projet permettra de faire émerger de nouveaux services innovants.
Afin de construire cet écosystème, nous souhaitons définir avec les différents acteurs, dont les agriculteurs, les conditions d’établissement de la confiance dans le cadre du partage de données en agriculture. Cet article est une des contributions à ce travail d’analyse de cette problématique et de concertation avec les acteurs.
Les points de vue exprimés dans le présent article sont ceux des auteurs et ne reflètent pas nécessairement ceux du Réseau Numérique et Agriculture de l’ACTA – les instituts techniques agricoles.
L’agriculture est confrontée aux exigences du développement du numérique et à ses limites. Dans ce contexte, les services numériques et objets connectés contribuent au développement du big data agricole, autour duquel de nouveaux acteurs interagissent.
Tout d’abord, des acteurs interviennent en début de vie de la donnée avec les activités de production et de collecte (Wanaka, Naïo, Weenat…), ensuite, ces données sont agrégées et commercialisées (Dawex, Api-Agro, Proagrica…), puis, transformées (Data2Be, SMAG, DecisionNext…) et, enfin, utilisées par les intégrateurs et distributeurs de solution (ServiceCoop, Synevop, Niji…).
De ces nouvelles relations juridiques naissent de nombreuses questions auxquelles le droit doit contribuer à apporter des réponses dans l’objectif de trouver un équilibre entre ces différents acteurs. À l’inverse, la maîtrise exclusive des données par un opérateur pourrait avoir des conséquences en termes de concurrence. Il se retrouverait, alors éventuellement en situation de monopole et se placerait en situation d’abus de position dominante. En effet, les données octroient, incontestablement, à qui les contrôlent un pouvoir considérable ; elles permettent un positionnement stratégique et l’acquisition de parts de marché, dans un marché mondial estimé à plus de 3000 milliards de dollars.
Pour rappel, la donnée est une « représentation d’une information sous une forme conventionnelle destinée à faciliter son traitement ». D’un point de vue juridique, seules les données personnelles, les données publiques, et les bases de données sont protégées par le législateur. Cependant, la notion de donnée, dans son acception la plus large, n’est pas appréhendée par le droit. Aucun régime juridique n’est applicable aux données à caractère non personnel alors même qu’elles sont l’intrant de l’économie de l’agriculture numérique.
Des contrats pour encadrer l’usage des données agricoles
Au titre de la liberté d’expression et de la liberté du commerce et de l’industrie, la donnée qui n’est pas soumise au droit de propriété intellectuelle doit circuler afin de garantir la transparence et la loyauté de la concurrence et de l’information.
Un règlement a été proposé par la Commission européenne pour encadrer la libre circulation des données à caractère non personnel dans l’Union européenne[i]. Celui-ci s’applique aux données d’agriculture de précision et va à l’encontre de la conception de l’appropriation privée. Il encourage, au contraire, « les acteurs du marché à créer des codes de conduite afin de faciliter pour les utilisateurs professionnels le changement de fournisseur de services en nuage et le transfert de données vers leur propre système informatique »[ii]. Il est question d’éviter l’accaparement des données par un seul acteur du marché.
Ainsi, la collecte des données agricoles n’entraîne pas de droit de propriété pour le collecteur ou le détenteur des données : ils n’en ont pas la maîtrise absolue et exclusive. Ces données restent donc de « libre parcours ».
Compte tenu des enjeux économiques importants autour de la donnée agricole, et en l’absence de réglementation sur la maîtrise de l’usage des données, le contrat est la seule alternative permettant de rétablir les rapports de force dans les relations commerciales entre les acteurs de l’agriculture numérique.
1. Le principe de liberté contractuelle et ses limites
Tout d’abord, le contrat est défini comme « un accord de volontés entre deux ou plusieurs personnes, destiné à créer, modifier, transmettre ou étendre des obligations »[iii]. De ce principe découle celui de la liberté contractuelle : chacun est libre de contracter ou non et de choisir son cocontractant et la teneur de ses obligations.
Cependant, cette liberté est contrôlée par une autorité extérieure qui peut être le juge ou le législateur. En effet, dès lors que les contrats conclus par la pratique deviennent trop déséquilibrés entre les parties en présence alors, la loi ou la jurisprudence intervient afin de rétablir un équilibre contractuel.
Ainsi, bon nombre de contrats de l’agriculture numérique prévoient une clause de propriété des données, ce qui a pour conséquence, dans ces contrats, de reconnaître la donnée comme un bien appropriable et de modifier sa nature juridique.
A priori, le contrat doit toujours respecter le droit objectif : puisque la loi ne reconnait pas les données comme un bien, ce type de clause serait alors invalide.
À l’heure actuelle, il n’existe pas de réglementation ou de jurisprudence contraignant la liberté contractuelle dans les contrats portant sur les données agricoles en tant que telles. Le législateur européen a seulement proposé l’adoption d’un règlement européen, voté par le Parlement, le 4 octobre 2018, qui prévoit le cadre applicable à la libre circulation des données à caractère non personnel et ouvre la possibilité de stocker et de traiter des données non personnelles n’importe où dans l’Union européenne, et laisse le soin aux acteurs du marché de définir les conditions de portage des données, ou le changement d’un fournisseur de service de stockage ou de traitement. Le législateur impose donc aux acteurs de l’agriculture numérique d’ouvrir les données à caractère non personnel.
Pour conclure, les acteurs de l’agriculture numérique sont, en principe, libres de choisir le contenu de leur contrat à condition de respecter le droit objectif.
Ce principe est néanmoins limité dans les contrats d’adhésion dans lesquels seule une partie détermine à l’avance les conditions contractuelles (Conditions générales de vente (CGV) ou Conditions Générales d’Utilisation (CGU)). La même limitation existe dans les contrats conclus avec des consommateurs et des non-professionnels pour lesquels le législateur est venu imposer des obligations aux professionnels afin de protéger la partie faible.
Cependant, les spécificités juridiques des données agricoles obligent les acteurs à porter une attention particulière à certaines clauses régissant ces données dans leur contrat.
2. Les spécificités juridiques des données agricoles dans les contrats de l’agriculture numérique
Les contrats de l’agriculture numérique sont, à l’heure actuelle, toujours en construction. En l’absence de cadre juridique applicable aux données, il est primordial de soumettre leur usage à un cadre contractuel dans les relations commerciales, qu’elles soient échangées, vendues ou louées entre deux ou plusieurs parties.
Le contrat doit contenir l’utilisation qui sera faite de la donnée afin d’assurer sa traçabilité, de savoir où elle est stockée, comment elle est diffusée, si oui ou non elle est transmise à d’autres acteurs, afin de rendre l’usage qui est fait des données le plus transparent possible.
De cette manière, le contrat permet d’encadrer au mieux les droits et obligations de chaque partie et de prévoir les bénéfices qu’ils tireront de cette relation.
Afin d’analyser les contrats portant sur les données agricoles, il convient d’envisager chacune des clauses qui s’y réfèrent.
2.1 La clause de propriété des données agricoles à caractère non personnel
Une grande partie des contrats de l’agriculture numérique prévoit une clause de propriété ou de copropriété des données brutes ou collectées, à l’exception des données analysées ou transformées, en faveur du client, fournisseur des données.
La clause de propriété des données est une clause inventée par la pratique, elle n’a pas, encore, été admise par la jurisprudence ou la doctrine.
Comme décrit plus haut, les données restent de libre parcours et ne peuvent pas faire l’objet d’un droit de propriété (elles n’entrent pas dans la catégorie des biens appropriables du fait, notamment, de leur caractère reproductible et non rival).
Il apparaît que cette clause non seulement n’est pas valable, mais en plus ne produit aucun effet et n’a pas vraiment d’intérêt (car aucune contrepartie financière n’est jamais envisagée dans les contrats de l’agriculture numérique), à part celui de rassurer le fournisseur des données. La clause de propriété des données n’a donc pas lieu d’être dans les contrats de l’agriculture numérique.
2.2 La clause de protection des données à caractère personnel
L’ensemble des contrats de l’agriculture numérique prévoit une clause sur la protection des données personnelles.
2.2.1 Les obligations légales relatives aux données personnelles
Les données personnelles sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable ».[iv] Cette identification peut être directe ou indirecte. Les juges de la haute cour ont retenu que des données de géolocalisation, un numéro de sécurité sociale, les coordonnées bancaires, les informations fiscales ou encore une simple adresse IP pouvaient être considérées comme des données personnelles du moment qu’elles rendent identifiable une personne physique.
Aussi, dès lors qu’une entreprise collecte des données à caractère personnel, elle doit respecter certaines obligations lors du traitement de ces données, dont l’obligation de collecter le consentement explicite de la personne concernée.
De plus, le professionnel doit prévoir contractuellement le droit à l’oubli des utilisateurs[v], les conséquences de la fin de contrat quant aux données personnelles, puisque la personne a un droit de rectification[vi] et le droit de limiter le traitement de ses données[vii].
Il faut aussi prévoir le droit à la portabilité des données de l’utilisateur[viii], afin que l’individu puisse réclamer au responsable de traitement le transfert de ses données sous un format réutilisable pour pouvoir les transférer à un tiers.
Enfin, concernant la sécurité du traitement des données à caractère personnel, le responsable de traitement doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »[ix].
2.2.2 Les obligations contractuelles relatives aux données personnelles
Afin de prévoir l’ensemble de ces obligations relatives aux données personnelles dans les contrats de l’agriculture numérique, plusieurs clauses doivent être envisagées :
- Clause sur la base légale
De manière préliminaire, le responsable de traitement doit définir la base légale du traitement des données personnelles. Tout d’abord, il peut obtenir le consentement [x] de la personne concernée, qui peut aussi le retirer à tout moment.
La base légale peut également reposer sur l’exécution d’un contrat ou de mesures pré-contractuelles, sur une obligation légale, sur la sauvegarde des intérêts vitaux d’une personne, sur une mission d’intérêt public ou d’autorité publique et sur les intérêts légitimes du responsable du traitement.
- Clause sur l’étendue du traitement des données personnelles
Une clause doit décrire les objectifs pour lesquels les données sont collectées, et donner des informations claires et sans ambiguïtés sur la façon dont sont traitées les données des personnes physiques.
- Clause sur la durée de conservation des données personnelles
Une clause doit prévoir la durée pendant laquelle les données devront être conservées, durée au-delà de laquelle les données seront archivées, supprimées ou anonymisées[xi].
- Clause sur les destinataires des données personnelles
Une clause doit détailler précisément les personnes qui auront accès aux données personnelles.
- Clause sur l’exigence ou non de la fourniture des données personnelles
Le responsable de traitement doit prévoir contractuellement si la personne concernée est tenue de fournir ses données personnelles ou non.
- Les autres mentions obligatoires devant apparaitre dans le contrat
Le responsable de traitement doit indiquer :
- Son identité et ses coordonnées, ou celles du délégué à la protection des données
- « L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données » (RGPD, art. 13.2.b)
- Et le « le droit d’introduire une réclamation auprès d’une autorité de contrôle » (RGPD, art. 13.2.d)
La circulation des données personnelles est libre au sein de l’Union européenne [xii] ; cependant, si les données personnelles sont susceptibles d’être transférées en dehors de l’Union européenne, le responsable de traitement doit informer la personne concernée.
2.3 La clause de sécurité et de confidentialité des données agricoles
Certains acteurs de l’agriculture numérique prévoient une ou plusieurs clauses portant sur la sécurité et la confidentialité des données agricoles collectées.
Les questions de sécurisation des données sont des problématiques avant tout techniques. Le prestataire doit prévoir l’hébergement des données sur un matériel et les garanties techniques qu’offrent cette solution.
- Données personnelles
En ce qui concerne les données personnelles, le RGPD prévoit que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »[xiii].
Dans le même sens, la loi informatique et liberté (LIL) impose au responsable de traitement « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »[xiv].
Le prestataire peut mettre en place différents moyens pour respecter ces lois :
- Pseudonymisation ou chiffrement des données à caractère personnel ;
- Contrôle des données par les utilisateurs pour respecter la confidentialité (connexions sécurisées, authentification des utilisateurs, procédures de réplication des données) ;
- Procédure de traçabilité des données en cas d’accident technique ou physique ;
- Procédure de test pour évaluer la sécurité du traitement.
- Données agricoles
À l’heure actuelle, la réglementation européenne sur le secret des affaires [xv] permet d’assurer la confidentialité des données agricoles. Son objectif est de mieux protéger les entreprises européennes réputées vulnérables face à l’espionnage économique et industriel.
Elle a été transposée en droit français par la loi du 30 juillet 2018 relative à la protection du secret des affaires.
La notion retenue de « secret d’affaires » est très large, elle inclut toutes les informations, quelle que soit leur nature (technique, commerciale, etc.), dès lors qu’elles « sont secrètes », qu’elles ont une « valeur commerciale parce qu’elles sont secrètes » et qu’elles « ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances destinées à les garder secrètes »[xvi].
Aussi, toutes informations de toute nature peuvent être soumises à cette règlementation, dont les informations de nature industrielle. La formule relevant que les données « ont une valeur commerciale parce qu’elles sont secrètes », laisse entendre une interprétation très large des informations couvertes par le secret des affaires.
Ainsi, devrait pouvoir être protégé par le secret des affaires un grand nombre d’informations tels qu’une recette, un procédé de fabrication, les plans d’un nouveau produit, les méthodes de vente, les méthodes de distribution, les profils des consommateurs, les stratégies publicitaires, les listes des fournisseurs et de clients, etc. De ce fait, le secret des affaires permet de conserver la confidentialité de tout renseignement commercial qui donne à une entreprise un avantage concurrentiel.
Dans cette réglementation, les entreprises sont encouragées à prendre des mesures techniques, comme des mesures de restriction d’accès par exemple, et juridiques, comme la conclusion de contrat ou d’engagement de confidentialité imposée à toute personne ayant accès aux informations, afin de pouvoir bénéficier de la protection du secret des affaires.
Les données agricoles sont donc éligibles à la protection du secret des affaires du moment qu’elles sont gardées secrètes et que des mesures techniques et juridiques sont prises afin de conserver le secret.
Aussi, les acteurs de l’agriculture numérique peuvent tout à fait imposer des clauses de confidentialité dans leur contrat.
2.4 La clause d’exclusivité des données transformées
Les données transformées sont les données brutes auxquelles l’entreprise est venue apporter un enrichissement par son savoir-faire et qui ont nécessité un investissement substantiel afin d’enrichir ces données. De fait, si les données brutes n’ont pas de valeur et ne peuvent pas être protégées par le droit de propriété, les données transformées, enrichies par la société, obtiennent une valeur substantielle. Il semble alors qu’elle puisse faire l’objet d’un droit de propriété.
Par conséquent, il semble qu’un droit de propriété puisse s’appliquer aux données enrichies selon la théorie, selon laquelle, un bien qui peut être échangé et qui a un intérêt économique, peut être qualifié de bien.
L’application de la clause d’exclusivité aux données est une invention de la pratique. Les acteurs de l’agriculture numérique qui enrichissent les données brutes souhaitent, dans les faits, s’octroyer l’usage exclusif de données transformées.
Rien ne permet d’affirmer la non-validité de la clause d’exclusivité des données transformées : elle peut être prévue au contrat afin de réserver l’usage des données transformées ou enrichies.
Enfin, il faut prendre en compte le droit des bases de données : si les données sont organisées de manière originale dans une base, le droit d’auteur trouve à s’appliquer et la base de données peut être protégée.
De même, lorsque le contenu de la base de données est constitué, vérifié et présenté de façon à attester un investissement financier, matériel ou humain substantiel, alors le producteur de la base de données bénéficie du droit sui generis des bases de données.
Dès lors que la base de données est reconnue, le producteur bénéficie de divers droits : il peut empêcher l’extraction et la réutilisation non autorisées de la totalité ou d’une partie substantielle du contenu de la base de données.
Il est à noter que la numérisation, l’intégration ou la réunion des données dans la base ne changent pas, par elles-mêmes, le régime juridique de la donnée. Cela signifie qu’une donnée non protégée avant son intégration restera de libre parcours après son insertion dans la base, sauf si elle a fait l’objet d’un enrichissement formel original.
Ainsi, chaque élément recevra le régime juridique qui lui est dû en fonction de sa nature.
Laura Tomasso (Doctorante à l’Université de Montpellier et DigitAg) et, pour le résumé, Géraldine Hirschy (Acta – les instituts techniques agricoles. Contact : geraldine.hirschy@acta.asso.fr
Le projet Multipass
Multipass “Faire émerger de nouveaux services pour l’agriculteur dans une chaîne de confiance gérant les gestions des consentements d’accès aux données des exploitations” est mené par ARVALIS, ACTA, FIEA, IDELE, IRSTEA, ORANGE et SMAG et ses réflexions impliquent d’autres acteurs incontournables du secteur agricole. Lauréat de l’AAP Recherche Technologique 2017, il est financé par le compte d’affectation spéciale « développement agricole et rural » (CASDAR). En savoir plus.
[i] COM(2017)0495 final
[ii] http://www.europarl.europa.eu/news/fr/press-room/20180926IPR14403/libre-circulation-des-donnees-a-caractere-non-personnel-la-5e-liberte-de-l-ue
[iii] C. civ. Art. 1101
[iv] RGPD, art. 4
[v] RGPD, art. 17
[vi] RGPD, art. 16
[vii] RGPD, art. 18
[viii] RGPD, art. 20
[ix] Loi n°78-17 du 6 janvier 1978 LIL, art. 34
[x] RGPD, art. 6.1.a
[xi] RGPD art. 13.2.a
[xii] Article 1, 3e RGPD
[xiii] RGPD, art. 32
[xiv] Loi informatique et liberté (LIL), art. 34.
[xv] Directive 2016/943/UE adoptée par le Parlement européen le 8 juin 2016
[xvi] Directive 2016/943/UE adoptée par le Parlement européen le 8 juin 2016, art 2,1
No responses yet