Multipass. “Episode Analyse juridique contractuelle des données de l’agriculture numérique”

Par Laura Tomasso, Doctorante à l’Université de Montpellier et #DigitAg
Version complète du 15/05/2019
Version résumée

Avec l’explosion de la quantité de données disponible dans les exploitations et leur captation à la source, la question de l’accès aux données agricoles devient une question importante (voir l’accès aux données pour la recherche et l’innovation en agriculture. Position des Instituts Techniques Agricole, paru en 2016 ou encore La valeur des données en agriculture par Renaissance Numérique paru en 2018).

Le projet Multipass (en savoir plus) lancé en 2018 vise à mettre à disposition des producteurs et valorisateurs de données agricoles, un écosystème de gestion des consentements des agriculteurs protégeant les échanges de données des exploitations. En renforçant la confiance des producteurs nécessaire au partage de leurs données, le projet permettra de faire émerger de nouveaux services innovants.

Afin de construire cet écosystème, nous souhaitons définir avec les différents acteurs, dont les agriculteurs, les conditions d’établissement de la confiance dans le cadre du partage de données en agriculture. Cet article est une des contributions à ce travail d’analyse de cette problématique et de concertation avec les acteurs.

Les points de vue exprimés dans le présent article sont ceux des auteurs et ne reflètent pas nécessairement ceux du Réseau Numérique et Agriculture de l’ACTA – les instituts techniques agricoles.

L’agriculture est confrontée aux exigences du développement du numérique et à ses limites. Dans ce contexte, les objets connectés contribuent au développement du big data agricole, autour duquel de nouveaux acteurs interagissent.

Tout d’abord, des acteurs interviennent en début de vie de la donnée avec les activités de production et de collecte (Wanaka, Naïo, Weenat…), ensuite, ces données sont agrégées et commercialisées (Dawex, Api-Agro, Proagrica…), puis, transformées (Data2Be, SMAG, DecisionNext…) et, enfin, utilisées par les intégrateurs et distributeurs de solution (ServiceCoop, Synevop, Niji…).

De ces nouvelles relations juridiques naissent de nombreuses questions auxquelles le droit doit contribuer à apporter des réponses dans l’objectif de trouver un équilibre entre ces différents acteurs. À l’inverse, la maîtrise exclusive des données par un opérateur pourrait avoir des conséquences en termes de concurrence. Il se retrouverait, alors éventuellement en situation de monopole et se placerait en situation d’abus de position dominante. En effet, les données octroient, incontestablement, à qui les contrôlent un pouvoir considérable ; elles permettent un positionnement stratégique et l’acquisition de parts de marché, dans un marché mondial estimé à plus de 3000 milliards de dollars.

Pour rappel, la donnée est une « représentation d’une information sous une forme conventionnelle destinée à faciliter son traitement ». D’un point de vue juridique, seules les données personnelles, les données publiques, et les bases de données sont protégées par le législateur. Cependant, la notion de donnée, dans son acception la plus large, n’est pas appréhendée par le droit. Aucun régime juridique n’est applicable aux données à caractère non personnel alors même qu’elles sont l’intrant de l’économie de l’agriculture numérique.

Par conséquent et de manière liminaire, il faut se demander si les données agricoles peuvent faire l’objet d’un droit de propriété. En droit des biens, le propriétaire a « le droit de jouir et de disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par la loi ou les règlements » (C. civ. Art. 544). Ce qui implique que le propriétaire a une maîtrise absolue et exclusive sur une chose susceptible de faire l’objet d’une appropriation privée, autrement dit, un bien. Or, si dans la tradition juridique, l’appropriation d’une chose incorporelle n’est pas possible puisque les attributs du droit de propriété ne s’appliquent, par essence, qu’à une chose matérielle, le droit de propriété intellectuelle est venu changer la donne. Le législateur a en effet reconnu l’application de la notion de propriété à certaines choses incorporelles, qualifiables à certaines conditions d’objets de propriété intellectuelle.

En dehors de toute possibilité d’appropriation par le droit de la propriété intellectuelle, il faut rappeler qu’au titre de la liberté d’expression et de la liberté du commerce et de l’industrie, la donnée doit circuler afin de garantir la transparence et la loyauté de la concurrence et de l’information.  C’est d’ailleurs en ce sens que la Commission européenne a proposé l’adoption d’un règlement concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne (COM(2017)0495 final). Ce règlement s’applique aux données de l’agriculture de précision, comme le précise le parlement européen dans son communiqué de presse, allant ainsi à l’encontre de la conception de l’appropriation privée. L’objectif de ce règlement est, d’une part, de « garantir aux autorités compétentes un accès aux données traitées dans un autre État membre à des fins de contrôles réglementaires, comme l’inspection et l’audit » ; d’autre part, d’encourager « les acteurs du marché à créer des codes de conduite afin de faciliter pour les utilisateurs professionnels le changement de fournisseur de services en nuage et le transfert de données vers leur propre système informatique »[1]. Il est question d’éviter l’accaparement des données par un seul acteur du marché.

Ainsi, sauf à être considérées comme des œuvres de l’esprit susceptibles d’être protégées par le droit d’auteur ou comme des bases de données susceptibles d’être protégées par le droit sui generis des bases de données, les données ne peuvent être appropriées au titre du droit de la propriété intellectuelle. Leur collecte n’entraîne donc pas de droit de propriété pour le collecteur ou le détenteur des données, elles restent de « libre parcours ».

Partant de ce constat, et afin de préserver un équilibre dans les relations contractuelles entre les acteurs de l’agriculture numérique, la régulation de la maîtrise de l’usage des données doit nécessairement passer par la technique contractuelle. De ce fait, la problématique principale soulevée est celle de savoir comment la maîtrise juridique de l’usage des données agricoles doit être appréhendée par la technique contractuelle ? Si le principe est la liberté contractuelle, à quelques exceptions près (I), il convient, néanmoins, d’analyser les clauses des contrats de l’agriculture numérique portant sur les données, afin d’envisager les obligations légales pouvant contraindre les acteurs du monde agricole (II).

1. Le principe de liberté contractuelle et ses limites

Compte tenu des enjeux économiques importants autour de la donnée agricole, et en l’absence de réglementation, le contrat est la seule alternative permettant de rétablir les rapports de force dans les relations commerciales. Or, le contrat est d’abord soumis à un principe de liberté qu’il convient d’envisager. À cette fin, il faut, dans un premier temps, analyser l’autonomie des volontés (A), pour, dans un second temps, s’intéresser aux exceptions à cette liberté (B).

1.1 L’autonomie des volontés

Tout d’abord, le contrat est défini comme « un accord de volontés entre deux ou plusieurs personnes, destiné à créer, modifier, transmettre ou étendre des obligations » (C. civ. Art. 1101). Il s’agit de la loi des parties. De ce principe découle celui de la liberté contractuelle, qui est une liberté fondamentale fondée sur l’article 4 de la Déclaration des Droits de l’Homme et du Citoyen de 1789 et l’article 1102 du Code civil. Ainsi, chacun est libre de contracter ou non et de choisir son cocontractant et la teneur de ses obligations. Cette liberté connait, toutefois, des limites fixées aux articles 6 et 1102 du Code civil, que sont l’ordre public et les bonnes mœurs. Par conséquent, la pratique est libre de former les contrats qu’elle souhaite, ce qui a pour conséquence un renouvellement, une évolution rapide et constante des contrats.

Cependant, cette liberté est contrôlée par une autorité extérieure qui peut être le juge ou le législateur. En effet, dès lors que les contrats conclus par la pratique deviennent trop déséquilibrés entre les parties en présence alors, la loi ou la jurisprudence intervient afin de rétablir un équilibre contractuel. De cette façon, l’autonomie des contractants peut parfois se trouver réduite.

Ainsi, par exemple, bon nombre de contrats de l’agriculture numérique prévoient une clause de propriété des données, ce qui a pour conséquence, dans ces contrats, de reconnaître la donnée comme un bien appropriable et de modifier sa nature juridique. La question est de savoir si la liberté contractuelle permet aux parties de modifier la nature juridique des choses ?

A priori, le contrat doit, toujours, respecter le droit objectif, « c’est la loi qui garantit l’exécution de la convention telle que l’ont voulu les parties » [2]. Ainsi, il ne semble pas possible de déroger à la loi qui ne reconnait pas les données comme un bien, ce qui a pour conséquence, semble-t-il, d’invalider ce type de clause.

Également, dans le mouvement d’une préservation de l’ordre public de protection et afin de trouver un équilibre dans les relations contractuelles, le législateur protège parfois la partie la plus faible « en lui donnant plus de poids dans la balance contractuelle » [3], et en imposant un « consentement libre et réfléchi » [4]. L’objectif, ici, est de retrouver de la confiance dans les relations contractuelles.

À l’heure actuelle, il n’existe pas de réglementation ou de jurisprudence contraignant la liberté contractuelle dans les contrats portant sur les données agricoles en tant que telles. Le législateur européen a seulement proposé l’adoption d’un règlement européen, voté par le Parlement, le 4 octobre 2018, qui prévoit le cadre applicable à la libre circulation des données à caractère non personnel et ouvre la possibilité de stocker et de traiter des données non personnelles n’importe où dans l’Union européenne, et laisse le soin aux acteurs du marché de définir les conditions de portage des données, ou le changement d’un fournisseur de service de stockage ou de traitement. Le législateur impose donc aux acteurs de l’agriculture numérique d’ouvrir les données à caractère non personnel.

Pour conclure, les acteurs de l’agriculture numérique sont, en principe, libre de choisir le contenu de leur contrat à condition de respecter le droit objectif. Néanmoins, il existe quelques exceptions à cette liberté.

1.2 Les exceptions à la liberté de négociation

La liberté de négociation est restreinte voire nulle dans deux situations que sont les contrats d’adhésion (1) et les contrats de consommation (2).

1.2.1 Les contrats d’adhésion

Il faut distinguer les contrats de gré à gré des contrats d’adhésion :

• Le contrat de gré à gré est celui dont les stipulations sont négociables entre les parties[5]. Il résulte d’une négociation des termes du contrat, entre particuliers ou entre professionnels.
• Le contrat d’adhésion est celui dont les conditions générales, soustraites à la négociation, sont déterminées à l’avance par l’une des parties[6]. Il repose sur une volonté exprimée par un seul contractant, l’autre partie ne faisant qu’acquiescer sans discussion. Ils se retrouvent dans les relations entre professionnels et dans les relations entre professionnels et consommateurs. Il peut s’agir de Conditions générales de vente (CGV) ou encore de Conditions Générales d’Utilisation (CGU).

Les Conditions Générales de Vente (CGV) sont le contrat en ligne par lequel le professionnel propose la vente de biens ou la fourniture d’un service, alors que les Conditions Générales d’Utilisation (CGU) régissent l’utilisation de différentes fonctionnalités proposées par la plateforme ou le site internet aux utilisateurs. Ce type de contrat limite la liberté contractuelle de l’une des parties qui se retrouve contrainte d’accepter des conditions imposées par l’autre partie. Il faut savoir que la publication de ces contrats d’adhésion est obligatoire sur le site internet, dans un format accessible et lisible, que ce soit dans les relations entre professionnels ou entre professionnels et consommateurs (C.com., art. L441-6). Elles doivent, également, être connues et acceptées (C. civ., art. 1119 et 1120) et ne pas venir en contradiction avec les conditions particulières. Il est, donc, nécessaire, de faire apparaître les Conditions Générales sur les sites internet afin d’éviter d’éventuels litiges.

De plus, la loi n°2018-287 du 20 avril 2018 est venu modifier le régime des contrats d’adhésion au sujet, notamment, des clauses abusives. Elle fait, en effet, application de la réglementation des clauses abusives aux contrats d’adhésion, limitée jusque-là au droit de la consommation (C. conso., art. L212-1) et aux pratiques restrictives de concurrence (C. com., art. L. 442-6, I, 2°).

En vertu du principe de non rétroactivité cette loi n’est applicable qu’aux contrats conclus après le 1^e octobre 2018. Ainsi, toute clause non négociable déterminée à l’avance par l’une des parties qui créée un déséquilibre significatif entre les droits et les obligations des parties au contrat, peu importe leur qualité, sera réputée non écrite (C. civ., art. 1171 al.1).

Dans le secteur de l’agriculture numérique, de nombreux contrats sont des contrats d’adhésion, telles que les Conditions Générales de Vente (CGV) et Conditions Générales d’Utilisation (CGU) auxquels les utilisateurs adhérent en consultant un site internet, par exemple. Il convient de porter une attention particulière aux clauses non négociables de ce type de contrat, afin d’éviter de créer un déséquilibre significatif entre les droits et les obligations des parties au contrat pour ne pas que la clause soit réputée non écrite.

1.2.2 Les contrats conclus avec des consommateurs ou des non professionnels

Un autre type de relation limite la liberté contractuelle de l’une des parties, il s’agit des contrats conclus avec des consommateurs ou des non professionnels régis par le droit de la consommation.

Tout d’abord, il faut définir ce qu’est un consommateur, un non professionnel et un professionnel (C. consom., art. liminaire) :

• Est considéré comme consommateur « toute personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole »,
• Est non professionnelle « toute personne morale qui n’agit pas à des fins professionnelles »,
• Est professionnelle « toute personne physique ou morale, publique ou privée, qui agit à des fins entrant dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole, y compris lorsqu’elle agit au nom ou pour le compte d’un autre professionnel ».

Le législateur est venu imposer des obligations contractuelles afin de protéger le consommateur ou le non professionnel. C’est ainsi que, de la même manière que pour les contrats d’adhésion, les clauses abusives sont sanctionnées en droit de la consommation et, d’autant plus dans les contrats à distance.  Aussi, outre l’obligation d’information (C. consom., art. L111-1) qui est renforcée dans ce type de contrat[7], le professionnel doit respecter la réglementation des clauses abusives dans les relations avec les professionnels et les non-consommateurs (C. consom., art. L212-1 s. et R212-1 s.). Sont considérées comme abusives, les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et les obligations des parties au contrat (C. consom., art. L212-1). Ces clauses sont réputées non écrites (C. consom., art. L241-1), le contrat reste, néanmoins, applicable dans toutes ses autres dispositions s’il peut subsister sans les clauses affectées (C. consom., art. L241-1, al. 2^e).

C’est pourquoi, par exemple, la clause qui stipule que la seule navigation emporte l’adhésion du consommateur aux conditions générales d’utilisation à un moment où il n’a pas pu avoir accès à celles-ci est présumée, de manière irréfragable, abusive (C. consom., R212-1).

Ensuite, l’obligation d’information des plateformes numériques envers les consommateurs a été, une fois encore, renforcées par la loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques (JO 7 août 2015), dite loi Macron, dont le contenu a été développé par la loi n°2016 -1321 du 7 octobre 2016. Cette loi impose à tout opérateur de plateforme en ligne de délivrer au consommateur une information loyale, claire et transparente sur les conditions générales d’utilisation du service d’intermédiation qu’il propose, sur les modalités de référencement, de classement et de déréférencement des contenus, des biens ou des services auxquels ce service permet d’accéder. Le non-respect de cette obligation d’information loyale et transparente et sanctionné à l‘article L131- 4 du Code de la consommation par le versement d’une amende administrative directe qui ne peut excéder 75 000 euros pour une personne morale.

Le consommateur bénéficie, en outre, d’un droit de rétractation, au titre des articles L121-16 et suivants du code de la consommation.

Pour conclure, le contenu des contrats de l’agriculture numérique peut, par principe, être librement fixé par les acteurs du marché à condition de respecter l’ordre public et les bonnes mœurs. Ce principe est, néanmoins, limité dans les contrats d’adhésion dans lesquels seule une partie détermine, à l’avance, les conditions contractuelles et dans les contrats conclus avec des consommateurs et des non-professionnels pour lesquels le législateur est venu imposer des obligations aux professionnels afin de protéger la partie faible. 

Cependant, les spécificités juridiques des données agricoles obligent les acteurs à porter une attention particulière à certaines clauses régissant ces données dans leur contrat. 

2. Les spécificités juridiques des données agricoles dans les contrats de l’agriculture numérique

Les contrats de l’agriculture numérique sont, à l’heure actuelle, toujours en construction. En l’absence de cadre juridique applicable aux données, dans son acception la plus large, il est primordial de soumettre leur usage à un cadre contractuel dans les relations commerciales, qu’elles soient échangées, vendues ou louées entre deux ou plusieurs parties. Aussi, la pratique s’est saisie de cette problématique et a rédigé des chartes d’utilisation (FNSEA et JA), des grands principes (Copa Cogeca), etc. En outre, le contrat doit, préalablement, répondre à plusieurs conditions de validité. Hormis la capacité des parties, il faut nécessairement, un contenu licite et certain, il s’agira, ici, de prévoir l’usage qui sera fait des données et des droits et obligations de chaque partie, et un consentement libre et éclairé de la part de celui qui s’engage, autrement dit celui qui fournit les données. Pour protéger au mieux les parties, le contrat doit, nécessairement, répondre à trois questions qui sont : pourquoi les parties contractent-elles ? pour qui ? et pour combien ?

Ainsi, le contrat doit contenir l’utilisation qui sera faite de la donnée afin d’assurer sa traçabilité, de savoir où elle est stockée, comment elle est diffusée, si oui ou non elle est transmise à d’autres acteurs etc. En réalité, il s’agit de rendre l’usage qui est fait des données le plus transparent possible. De cette manière, le contrat permet d’encadrer au mieux les droits et obligations de chaque partie et de prévoir les bénéfices qu’ils tireront de cette relation. Afin d’analyser les contrats portant sur les données agricoles, il convient d’envisager chacune des clauses qui s’y référent.

2.1 La clause de propriété des données agricoles à caractère non personnel

Une grande partie des contrats de l’agriculture numérique prévoit une clause de propriété ou de copropriété des données brutes ou collectées, à l’exception des données analysées ou transformées, en faveur du client, fournisseur des données. Il convient de s’interroger sur la validité d’une clause de propriété portant sur la donnée agricole ?

La clause de propriété des données est une clause inventée par la pratique, elle n’a pas, encore, été admise par la jurisprudence ou la doctrine. Cependant, comme mentionné plus haut, le droit de propriété confère à son titulaire une maitrîse exclusive et absolue[8] sur la chose objet du droit de propriété. Ces attributs vont à l’encontre même de la nature des données. Elles n’entrent pas dans la catégorie des biens appropriables du fait, notamment, de leur caractère reproductible et non rival. Les données restent donc de libre parcours. Elles ne peuvent ainsi pas faire l’objet d’un droit de propriété.

De même, l’appropriation des données agricoles est une solution qui va à l’encontre de celle adoptée par l’Union européenne avec le règlement portant sur la libre circulation des données à caractère non personnel adopté par le parlement européen le 4 octobre 2018. L’objectif, ici, recherché est de créer un marché numérique unique dans l’Union européenne et pour cela le texte prévoit l’interdiction pour les États membres d’adopter des règles nationales exigeant le stockage et le traitement des données non personnelles dans un État membre donné. Cette réglementation impose, donc, la libre circulation des données, de la même manière que les personnes, les biens, les capitaux et les services.

De plus, le fait dans un contrat de prévoir la propriété des données entraîne la reconnaissance de la valeur de la donnée. Ce qui a pour conséquence d’admettre la donnée comme un bien de manière contractuelle. De ce fait, le fournisseur ou collecteur de données serait, dès lors, titulaire des attributs du droit de propriété sur celles-ci, ce qui entraînerait le droit d’en disposer, de les utiliser et d’en retirer les fruits de la manière la plus exclusive et absolue et, ainsi, d’exiger une contrepartie financière en cas de vente ou de location de ces données à une tierce personne. Or, cette contrepartie financière n’est jamais envisagée dans les contrats de l’agriculture numérique. Par ailleurs, il semble bien difficile et contre-productif pour les acteurs du marché de la donnée agricole d’envisager une contrepartie financière en échange de l’usage des données appartenant à une personne.

Il apparaît, alors, que cette clause, non seulement, n’est pas valable, mais en plus ne produit aucun effet et n’a pas vraiment d’intérêt, à part celui de rassurer le fournisseur des données. Elle n’a, donc, pas lieu d’être dans les contrats de l’agriculture numérique. Néanmoins, il est primordial de prévoir la maîtrise de l’usage des données agricoles partagées selon les intérêts de chaque acteur parti au contrat.

2.2 La clause de protection des données à caractère personnel

L’ensemble des contrats de l’agriculture numérique prévoit une clause sur la protection des données personnelles. Dans un premier temps, il faut se demander quelles sont les obligations légales applicables aux données à caractère personnel (1), pour, dans un second temps, envisager leur traduction dans la pratique contractuelle (2).

2.2.1 Les obligations légales relatives aux données personnelles

Tout d’abord, les données personnelles sont protégées à la fois par la loi informatique et liberté n°78-17 du 6 janvier 1978 (LIL) et par le Règlement Général de Protection des données n°2016/679 entrée en vigueur le 24 mai 2016 (RGPD) et transposé en droit français par la loi relative à la protection des données personnelles n°2018-493 du 20 juin 2018.

Les données personnelles sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (RGPD, art. 4). Cette identification peut être directe ou indirecte. Les juges de la haute cour ont retenu que des données de géolocalisation, un numéro de sécurité sociale, les coordonnées bancaires, les informations fiscales ou encore une simple adresse IP pouvaient être considérées comme des données personnelles du moment qu’elles rendent identifiable une personne physique. Cette identification doit pouvoir se faire par le biais de moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement, lesquels doivent s’apprécier au regard de l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire, en tenant compte à la fois des technologies disponibles au moment du traitement et de l’évolution de celles-ci.

Aussi, dès lors qu’une entreprise collecte des données à caractère personnel, elle doit respecter certaines obligations lors du traitement de ces données. Alors que la loi informatique et liberté reposait, en grande partie, sur une logique de formalités préalables, le règlement européen repose, lui, sur une logique de responsabilisation renforcée des acteurs responsables de traitements et sous-traitements. L’utilisation des données personnelles oblige le responsable de traitement à un certain nombre de règles de formalismes. Il doit respecter le privacy by design qui est une obligation de conformité aux règles et remplace la déclaration préalable, ainsi que l’accountability, qui consiste à veiller à la conformité de chaque opération de traitement et d’en rapporter la preuve. Il doit, également, respecter l’obligation de collecter le consentement explicite de la personne concernée.

De plus, le professionnel doit prévoir contractuellement le droit à l’oubli des utilisateurs (RGPD, art. 17), puisque l’utilisateur a le droit de demander l’effacement de ses données et le responsable de traitement a un mois à compter de la demande pour effacer les données personnelles (loi n°78-17 du 6 janvier 1978 LIL, art. 40). De même, les parties doivent prévoir les conséquences de la fin de contrat quant aux données personnelles, puisque la personne a un droit de rectification (RGPD, art. 16), le droit de limiter le traitement de ses données (RGPD, art. 18), et de « s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant » (RGPD, art. 21).

Dorénavant, il faut aussi prévoir le droit à la portabilité des données de l’utilisateur (RGPD, art. 20), afin que l’individu puisse réclamer au responsable de traitement le transfert de ses données sous un format réutilisable pour pouvoir les transférer à un tiers. Il convient, alors, d’imposer la restitution des données en l’état et l’interopérabilité entre les services.

Enfin, concernant la sécurité du traitement des données à caractère personnel, le responsable de traitement doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (loi n°78-17 du 6 janvier 1978 LIL, art. 34). En cas de piratage des données, il doit en informer les personnes concernées.

À cette fin, il doit, selon les besoins, mettre en place, au titre de l’article 32 du RGPD :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

En cas de manquement à ces obligations, les sanctions envisagées peuvent atteindre 20 000 000 d’euros ou 4% du chiffre d’affaire annuel global de l’entreprise.

Les acteurs de l’agriculture numérique doivent répondre à l’ensemble de ces obligations, il faut alors se demander comment celles-ci se traduisent dans la technique contractuelle.

2.2.2 Les obligations contractuelles relatives aux données personnelles

Afin de prévoir l’ensemble de ces obligations dans les contrats de l’agriculture numérique, plusieurs clauses doivent être envisagées :

• Clause sur la base légale

De manière préliminaire, le responsable de traitement doit définir la base légale du traitement des données personnelles. D’abord, il peut obtenir le consentement (RGPD, art. 6.1.a) de la personne concernée qui doit être donné « par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale » (raison 32 du RGPD). Et ce consentement peut être retiré à tout moment par la personne concernée (RGPD, art. 7).

Ensuite, la base légale peut, également, reposer sur l’exécution d’un contrat ou de mesures précontractuelles (RGPD, art. 6.1.b), sur une obligation légale (RGPD, art. 6.1.c), sur la sauvegarde des intérêts vitaux d’une personne (art. 6.1.d), sur une mission d’intérêt public ou d’autorité publique (art. 6.1.e) et, enfin, sur les intérêts légitimes du responsable du traitement (art. 6.1.f).

• Clause sur l’étendue du traitement des données personnelles

Ensuite, le responsable de traitement doit déterminer la finalité du traitement des données des personnes concernées (RGPD, art. 13.1.c). Pour cela, il doit prévoir contractuellement les objectifs pour lesquels les données seront collectées. Cette obligation est combinée avec celle de réaliser un traitement de manière licite et loyale pour des finalités strictement déterminées, explicites et légitimes (RGPD, art. 5). Ainsi, les entreprises doivent donner des informations claires et sans ambiguïtés sur la façon dont sont traitées les données des personnes physiques (RGPD, Art. 12).

• Clause sur la durée de conservation des données personnelles

Mais aussi, une clause doit prévoir la durée pendant laquelle les données devront être conservées, durée au-delà de laquelle les données seront archivées, supprimées ou anonymisées (RGPD art. 13.2.a). De plus, cette conservation doit être faite sous une forme permettant l’identification des personnes concernées (RGPD, art. 5)

• Clause sur les destinataires des données personnelles

Également, une clause doit prévoir « les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent » (RGPD, art. 13.1.e).

Il s’agit, ici, de détailler précisément les personnes qui auront accès aux données personnelles, autrement dit, « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement » (RGPD, art. 4).

• Clause sur l’exigence ou non de la fourniture des données personnelles

De même, le responsable de traitement doit prévoir contractuellement si la personne concernée est tenue de fournir ses données personnelles ou non. Cette obligation repose sur l’article 13.2.e du RGPD qui dispose que le responsable de traitement doit fournir « des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données »

• Les autres mentions obligatoires devant apparaitre dans le contrat

Puis, le responsable de traitement doit indiquer :

• Son identité et ses coordonnées (RGPD, art. 13.1.a),
• Le cas échéant, les coordonnées du délégué à la protection des données (RGPD, art. 13.1.b)
• « L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données » (RGPD, art. 13.2.b)
• Et le « le droit d’introduire une réclamation auprès d’une autorité de contrôle » (RGPD, art. 13.2.d)

Pour terminer, la circulation des données personnelles est libre au sein de l’union européenne (article 1, 3^e RGPD) mais en dehors de l’union européenne, le responsable de traitement doit informer la personne concernée que des données personnelles le concernant sont susceptibles d’être transférées en dehors de l’union européenne. Ce transfert ne peut avoir lieu que dans un pays qui assure un niveau de protection des données suffisant et approprié.

Aussi, si le responsable de traitement envisage d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, il doit indiquer, selon l’article 13.1.f du RGPD, s’il existe ou non une décision d’adéquation rendue par la Commission. Dans le cas où il n’existe pas de telle décision ou dans les cas de transferts visés aux articles 47 ou 49 du RGPD, le responsable de traitement doit expliquer les garanties appropriées ou adaptées (comme précisé à l’article 46 du RGPD) et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

2.3 La clause de sécurité et de confidentialité des données agricoles

Certains acteurs de l’agriculture numérique, prévoient une ou plusieurs clauses portant sur la sécurité et la confidentialité des données agricoles collectées.

Quelles sont les règles applicables à la sécurité et à la confidentialité des données agricoles ?

Les questions de sécurisation des données sont des problématiques avant tout technique. L’objectif est de fixer les obligations mises à la charge du prestataire. Il s’agit, alors, de prévoir l’hébergement des données sur un matériel et les garanties techniques qu’offrent cette solution.

En ce qui concerne les données personnelles, le RGPD prévoit, en effet, que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (RGPD, art. 32).

Dans le même sens, la loi informatique et liberté (LIL) impose au responsable de traitement « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »[9].

Le manquement à cette obligation est sanctionné par cinq ans d’emprisonnement et 300 000 euros d’amende (C. pénal, art. 226-17).

Aussi, dans les moyens prévus pour le prestataire il est possible de mettre en œuvre la pseudonymisation et le chiffrement des données à caractère personnel (RGPD, art. 32, 1., a.).

Ou encore le prestataire peut prévoir la confidentialité des données (RGPD, art. 32, 1., b.), en mettant à la disposition des utilisateurs des moyens de contrôle, par exemple, « l’utilisation de connexions sécurisées, l’authentification des utilisateurs, des procédures de réplication des données »[10].

Le responsable de traitement peut également mettre en œuvre « des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique » (RGPD, art. 32, 1., c.). Notamment, en prévoyant la traçabilité des données.

Enfin, « une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles » peut être mise en place afin d’assurer la sécurité du traitement. (RGPD, art. 32, 1., d.).

En ce qui concerne les données à caractère non personnel, le parlement européen a adopté le 4 octobre 2018 un règlement sur la libre circulation de ces données à travers l’union européenne. Elles ne pourront, donc, plus être stockées dans un seul État membre sauf dans le cas d’un intérêt de sécurité publique. Ce règlement prévoit également que « les exigences de sécurité fixées au niveau national doivent être nécessaires et proportionnées aux risques qui menacent la sécurité́ du traitement des données dans le domaine d’application du droit national contenant ces exigences » (Règlement (UE) 2018/1807 cons. 35).

À l’heure actuelle, il existe une réglementation permettant d’assurer la confidentialité des données agricoles. Il s’agit de la réglementation sur le secret des affaires. En effet, la directive 2016/943/UE adoptée par le Parlement européen le 8 juin 2016 vise la protection du secret des affaires. Son objectif est de mieux protéger les entreprises européennes réputées vulnérables face à l’espionnage économique et industriel. Cette directive porte « sur la protection des savoir-faire et des informations commerciales non divulguées (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites » [11].

Elle a été transposée en droit français par la loi du 30 juillet 2018 relative à la protection du secret des affaires.

La notion retenue de « secret d’affaires » est très large, elle inclut toutes les informations, quelle que soit leur nature (technique, commerciale, etc.), dès lors qu’elles « sont secrètes », qu’elles ont une « valeur commerciale parce qu’elles sont secrètes » et qu’elles « ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances destinées à les garder secrètes » [12].

Aussi, toutes informations de toute nature peuvent être soumises à cette réglementation, dont les informations de nature industrielle. La formule relevant que les données « ont une valeur commerciale parce qu’elles sont secrètes », laisse entendre une interprétation très large des informations couvertes par le secret des affaires. Toutes informations, même dénuée de valeur commerciale, pourrait, ainsi, bénéficier de la protection du moment où elles sont tenues secrètes. Enfin, la dernière condition encourage les entreprises à prendre des mesures techniques, comme des mesures de restriction d’accès par exemple, et juridiques, comme la conclusion de contrat ou d’engagement de confidentialité imposée à toute personne ayant accès aux informations, afin de pouvoir bénéficier de la protection du secret des affaires.

Ainsi, devrait pouvoir être protégé par le secret des affaires un grand nombre d’informations tels qu’une recette, un procédé de fabrication, les plans d’un nouveau produit, les méthodes de vente, les méthodes de distribution, les profils des consommateurs, les stratégies publicitaires, les listes des fournisseurs et de clients… De ce fait, le secret des affaires permet de conserver la confidentialité de tout renseignement commercial qui donne à une entreprise un avantage concurrentiel.

Par conséquent, cette réglementation permet de sanctionner l’obtention, l’utilisation ou la divulgation d’un secret d’affaires, mais aussi, la commercialisation de « biens en infraction », c’est-à-dire, issue « de manière significative » de secrets d’affaires obtenus, utilisés ou divulgués de façon illicite[13].

• Sont sanctionnées : L’obtention résultant d’un accès non autorisé à un support que son détenteur contrôle de façon licite et qui contient le secret et l’obtention du secret au moyen d’un comportement « contraire aux usages honnêtes en matière commerciale »[14].
• Toute utilisation ou divulgation d’un secret d’affaires lorsqu’elle est réalisée, d’une part, « sans le consentement du détenteur du secret » et, d’autre part, « par une personne ayant obtenu le secret de façon illicite ou l’ayant divulgué en violation d’une restriction contractuelle » [15].
• L’obtention, l’utilisation ou la divulgation réalisée par une personne qui « savait ou (…) aurait dû savoir » que le secret provenait d’une autre personne l’ayant utilisé ou divulgué de façon illicite[16].
• Tout acte de commercialisation de « biens en infraction » (biens réalisés en utilisant des secrets d’affaires obtenus de manière illicite), « lorsque la personne qui exerce ces activités savait ou, eu égard aux circonstances, aurait dû savoir que le secret d’affaires était utilisé de façon illicite »[17].

Tout manquement à cette réglementation engage la responsabilité civile de cet auteur.

Pour conclure, les données agricoles sont éligibles à la protection du secret des affaires du moment qu’elles sont gardées secrètes et que des mesures techniques et juridiques sont prises afin de conserver le secret.

Aussi, les acteurs de l’agriculture numérique peuvent tout à fait imposer des clauses de confidentialité dans leur contrat.

2.4 La clause d’exclusivité des données transformées

Les données transformées sont les données brutes auxquelles l’entreprise est venue apporter un enrichissement par son savoir-faire et qui ont nécessité un investissement substantiel afin d’enrichir ces données. De fait, si les données brutes n’ont pas de valeur et ne peuvent pas être protégées par le droit de propriété, les données transformées, enrichies par la société, obtiennent une valeur substantielle. Il semble alors qu’elle puisse faire l’objet d’un droit de propriété. Il faut préciser ici que l’information qui est tirée de ces données enrichies, elle, ne peut faire l’objet d’un droit de propriété, elle est assimilée aux idées et reste de libre parcours.

Par conséquent, il semble qu’un droit de propriété puisse s’appliquer aux données enrichies selon la théorie, selon laquelle, un bien qui peut être échangé et qui a un intérêt économique, peut être qualifié de bien.

Il faut se demander, si la donnée enrichie peut bénéficier du droit d’auteur ?

Pour qu’un bien bénéficie du droit d’auteur, il faut déterminer son originalité. Pour cela, le bien doit être une œuvre de l’esprit (CPI, art. L112-1), un bien intellectuel, à condition que l’expression extériorisée du bien soit originale. Aussi, il faut pouvoir démontrer l’empreinte de la personnalité du créateur, que la donnée traduise la pensée et la vision, donc, la marque de la personnalité de son auteur. En revanche, le droit d’auteur ne saurait protéger des données objectives et techniques.

Donc, en présence d’une donnée transformée de manière originale le droit d’auteur pourrait, également, trouver à s’appliquer.

En l’absence de toute originalité, est-il possible de prévoir une clause d’exclusivité ?

Tout d’abord, la clause d’exclusivité se retrouve essentiellement en droit de la concurrence et en droit du travail. Elle permet de prévoir des limites aux activités concurrentielles à celle d’une entreprise. 

L’application de cette clause aux données est une invention de la pratique. Les acteurs de l’agriculture numérique qui enrichissent les données brutes souhaitent, dans les faits, s’octroyer l’usage exclusif de données transformées.

Rien ne permet d’affirmer la non-validité de cette clause. Il apparaît alors qu’une clause d’exclusivité puisse être prévue au contrat afin de réserver l’usage des données transformées ou enrichies.

Néanmoins, dans l’attente de réponses jurisprudentielles ou réglementaires, il semble que la réglementation sur le secret des affaires qui permet de rédiger une clause de confidentialité pour les données puissent répondre, au moins, en partie à la problématique de la conservation exclusive des données.

Enfin, il faut prendre en compte, également, le droit des bases de données. En effet, si les données sont organisées de manière originale (que ce soit dans le choix ou la disposition des matières) dans une base, le droit d’auteur trouve à s’appliquer et la base de données peut être protégée.

De même, lorsque le contenu de la base de données est constitué, vérifiée et présentée de façon à attester un investissement financier, matériel ou humain substantiel, alors le producteur de la base de données bénéficie du droit sui generis des bases de données.

Pour cela, la base de données doit répondre à 4 critères cumulatifs :

• Les informations collectées et classées constituant la base de données doivent avoir un caractère indépendant[18].
• Le recueil de données ou d’éléments doit être disposé de manière systématique ou méthodique en fonction de critères précis permettant de démontrer l’investissement.
• Les données doivent être accessibles, autrement dit, elles doivent pouvoir être exploitées « par la mise en place de moyens électroniques ou autres permettant à partir d’un mot clé d’accéder à un des éléments » [19].
• La présence d’un investissement substantiel. L’investissement a pour objet « l’obtention, la constitution, la vérification ou la présentation »[20] du contenu de la base.  Cet investissement peut consister dans la mise en œuvre de moyens financiers et/ou d’emploi du temps, d’efforts et d’énergie[21]. Cet investissement doit être « substantiel », il appartient au producteur qui revendique le bénéfice de la protection de le prouver [22].

Dès lors que la base de données est reconnue le producteur bénéficie de divers droits. Il peut, en effet, empêcher l’extraction et la réutilisation non autorisée de la totalité ou d’une partie substantielle du contenu de la base de données selon l’article L342-1 du Code de la propriété intellectuelle. Ce caractère substantiel s’apprécie de manière qualitative ou quantitative[23].

Il existe cependant, deux exceptions aux droits du producteur de la base de données, selon l’article L342-3 du Code de la propriété intellectuelle. Il ne peut interdire l’extraction ou la réutilisation de parties non substantielles de la base de données, ou bien, toute extraction à des fins privées. Mais encore, la loi n°2006-961 du 1^er août 2006 relative au droit d’auteur et au droits voisins dans la société de l’information a ajouté deux exceptions concernant les personnes handicapées, ainsi que, l’enseignement et la recherche.

Il est à noter que la numérisation, l’intégration ou la réunion des données dans la base ne changent pas, par elles-mêmes, le régime juridique de la donnée. Cela signifie qu’une donnée non protégée avant son intégration restera de libre parcours après son insertion dans la base, sauf si elle a fait l’objet d’un enrichissement formel original.

Ainsi, chaque élément recevra le régime juridique qui lui est dû en fonction de sa nature.

Version du 15 mai 2019

Laura Tomasso (Doctorante à l’Université de Montpellier et DigitAg).

Note : les citations des agriculteurs sont mises entre guillemet et italique dans le texte.

Le projet Multipass

Multipass “Faire émerger de nouveaux services pour l’agriculteur dans une chaîne de confiance gérant les gestions des consentements d’accès aux données des exploitations” est mené par ARVALIS, ACTA, FIEA, IDELE, IRSTEA, ORANGE et SMAG et ses réflexions impliquent d’autres acteurs incontournables du secteur agricole. Lauréat de l’AAP Recherche Technologique 2017, il est financé par le compte d’affectation spéciale « développement agricole et rural » (CASDAR).  En savoir plus.

---

[1] http://www.europarl.europa.eu/news/fr/press-room/20180926IPR14403/libre-circulation-des-donnees-a-caractere-non-personnel-la-5e-liberte-de-l-ue

[2] J. Rochfeld, « Les grandes notions du droit privé », Thémis droit, PUF, 2011

[3] M.-L. Mathieu, ss la dir. de R. Cabrillac, « Libertés et droits fondamentaux », 20^e éd., Dalloz, 2014, p. 825

[4] Ibid.

[5] C. civ., art. 1110, al. 1er- La loi du 20 avril 2018 ratifiant l’ordonnance du 10 février 2016 a remplacé « librement négociées » par « négociables », définition applicable aux actes juridiques conclus ou établis à compter du 1er oct. 2018

[6] C. civ., art. 1110, al. 2, La loi du 20 avril 2018 ratifiant l’ordonnance du 10 février 2016 a modifié cette définition pour les actes juridiques conclus ou établis à compter du 1er oct. 2018 : « Le contrat d’adhésion est celui qui comporte un ensemble de clauses non négociables, déterminées à l’avance par l’une des parties ».

[7] L’information doit être faite sur un support « durable », V. CJUE, 5 juill. 2012 : Comm. Com. Électr. 2012, n° 1110, obs. G. Loiseau ; RDI 2013, n°3062, obs. J. Huet.

[8] C. civ. Art. 544 : « Le droit de propriété est le droit de jouir et de disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par la loi ou les règlements »

[9] Loi informatique et liberté (LIL), art. 34.

[10] F. Chafiol-Chaumont et A. David, Entrer dans l’ère du Cloud Computing en maîtrisant ses aspects contractuels : CDE 2010, prat. 2. — ANSSI, Maîtriser les risques de l’infogérance : Externalisation des systèmes d’information 2010, p. 41 et s

[11] Dir. « Secret des Affaires » n°2016/943, 8 juin 2016 : JOUE n° L 157/1, 15 juin 2016

[12] Dir., op. cit., art. 2, 1)

[13] Dir. n°2016/943, art. 2, 4

[14] Dir. n°2016/943, art. 4, 2.

[15] Dir. n°2016/943, art. 4, 3.

[16] Dir. n°2016/943, art. 4, 4

[17] Dir. n°2016/943, art. 4, 5

[18] CJUE, 29 oct. 2015, aff. C-490/14, Freistaat Bayern c/ Verlag Esterbauer GmbH : LEPI 2016, n° 25, obs. C. Bernault ; Propr. intell. 2016, n° 58; p. 68, obs. C. Bernault ; Dalloz IP/IT 2016, p. 89, obs. V.-L. Benabou ; RTD com. 2016, p. 125, obs. F. Pollaud-Dulian; JCP E 2016, 1481, n° 9, obs. C. Favre et A. Zollinger

[19] TGI Paris, 3e ch., 30 mars 2010 : RIDA 2/2015, p. 345 et p. 281, obs. P. Sirinelli ; Propr. industr. 2010, comm. 75, note J. Larrieu.

[20] L.341-1, al.1^er CPI

[21] Nicolas Binctin, Droit de la Propriété Intellectuelle, Droit d’auteur, Brevet, droits voisins, Marque, Dessins et modèles, LGDJ, 4^e éd., 2016

[22] CA Paris, 4^e ch. B, 13 mars 2009 : JurisData n°2009-002638.

[23] Cass. 1^er Civ., 13 mai 2014, n° 12-27.691 : Propr. intell. 2014, p. 260, obs. J.-M. Bruguière ; RLDI 2014/105, n° 3490, obs. L. C. ; RTD com. 2014, p. 595, obs. F. Pollaud-Dulian – V. aussi Cass. 1^er Civ., 13 mai 2014, n° 12-25.900 : Propr. intell. 2014, p. 260, obs. J.-M. Bruguière ; RLDI 2014/106, n° 3523, obs. L. C. ou à l’inverse CA Paris, pôle 5, 1^er Ch., 27 oct. 2015, n° 14/14239 : Propr. intell. 2016, p. 69, obs. J.-M. Bruguière.