UTILISATION DES COOKIES : en poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer une navigation personnalisée, des publicités adaptées à vos centres d’intérêts et la réalisation de statistiques. Pour en savoir plus et paramétrer vos cookies, cliquez ici 

« Les données sont une ressource pour l’entreprise »

Décryptages
Outils
TAILLE DU TEXTE

A côté des actifs traditionnels de propriété intellectuelle (brevets d’invention, marques, modèles…), les données deviennent un nouvel asset à valoriser pour l’entreprise. Quels sont leurs atouts, leurs points communs, leurs divergences ?

A l’occasion de la journée « Transformation numérique, révolution juridique ? » organisée par le réseau Eurojuris, une table-ronde animée par Marie Pasquier, associée FWPA, avec Philippe Gabillault, ex-Directeur juridique Commercial Groupe de Carrefour et ex-DPO Groupe des entités de Carrefour en France, fondateur de Toltec, de Bertrand Warusfel, Professeur à l’Université Paris 8 et associé chez FWPA, et de Jean-Baptiste Soufron, associé FWPA, a permis de voir de quelle manière les données deviennent un nouvel asset à valoriser pour l’entreprise.

Le cadre général

« La donnée n’est pas quelque chose de nouveau. En revanche, ce qui est nouveau quand on parle de données aujourd’hui, c’est que l’on parle parfois de La donnée et non des données. On se rend compte aujourd’hui que les données sont un objet en soi », indique Bertrand Warusfel.

Est-ce que le fait de pouvoir facilement faire circuler les données d’une entreprise a fait changer la manière de voir les choses ? « Nous nous sommes retrouvés dans une situation où les différentes données qui circulaient à l’intérieur de l’entreprise et entre les entreprises relevaient de régimes juridiques différents. Cela s’explique par le fait que les logiques étaient différentes, chacun avait des problématiques différentes ». Ainsi, pendant longtemps, les systèmes étaient techniquement interconnectés, mais étaient juridiquement différents, et donc ne se géraient pas en commun.

« Ce qui est nouveau aujourd’hui, c’est que nous devons dépasser l’approche émiettée du traitement des données. Nous devons nous rendre compte que toutes les données sont une ressource pour l’entreprise, indépendamment de la catégorie juridique dans laquelle la donnée se place (données personnelles avec loi de 1978, données protégées par la propriété intellectuelle, données protégées par un domaine particulier comme bancaire, santé, affaires, etc.) », explique-t-il.

La transformation technique précède la transformation juridique

Bertand Warusfel souligne également qu’il existe une partie non négligeable de données qui n’est pas encore appréhendée par le droit et qui pourtant doit l’être : à partir du moment où une partie importante de la création de valeur se fait à travers le traitement des données, le droit doit s’y intéresser dès lors qu’il y a de la valeur. Selon lui, « la transformation technique précède la transformation juridique. Le droit est une réaction des hommes sur les évolutions techniques ».

La solution simple, qui est une fausse bonne idée, est de vouloir être propriétaire de ses données. « Pour être propriétaire de quelque chose il faut cerner de quoi on est propriétaire. Or, le propre des données est qu’il est complexe de déterminer leur périmètre. Par ailleurs, elles se produisent en permanence puisque la production de donnée est permanente. Par conséquent, la propriété des données est une mauvaise idée ».

La solution la plus adaptée est de créer un droit s’imposant sur la collecte et la réunion des données.
Il s’agirait d’un type de droit qui n’est pas un droit de propriété mais qui est un droit de contrôle, de maîtrise permettant au professionnel de garder le contrôle des résultats du travail qu’il a fait.

« Le RGPD, c’est la manière un peu brutale par laquelle le droit a pensé qu’on pouvait éveiller l’attention de celui qui va aller chercher des données sur le web », fait remarquer le professeur de droit. Mais il regrette qu’il ne soit pas allé plus loin sur la manière dont on peut négocier les droits sur la propriété intellectuelle. Au niveau de la collecte, il y a un certain nombre de questions à se poser. Il faut pouvoir identifier ces données et les authentifier.

Le Règlement « eIDAS » du 23 juillet 2014 établit un cadre européen public sur la sécurité des données. « Sur cette base, on a des instruments qui nous permettent de sécuriser nos données et qui seront opposables aux tiers », estime le professeur de droit.

Le RGPD est une opportunité

Philippe Gabillault est intervenu sur le RGPD et l'a présenté comme une opportunité.
Il a témoigné de son expérience en tant que DPO Groupe des entités de Carrefour en France.
La donnée dans un groupe de distribution comme Carrefour est multiple : personnelle, financière (chiffre d’affaire des magasins, conditions d’achat des produits, algorithme, cartes de fidélité…).
D’où vient la donnée ? Elle vient de partout : les caisses, les scanners. Elle donne des informations de géolocalisation des clients dans le magasin, elle vient des smartphones et permet de suivre le client en dehors du magasin. En fonction de ces données, il s'agit proposer au client ce qu’il veut à n’importe quel moment. Aussi, il considère que la partie sécurité est essentielle car les sanctions qui peuvent intervenir en cas de failles de sécurité peuvent aller jusqu’à 4 % du chiffre d’affaire consolidé. « Même si le RGPD n’est pas parfait, il s’agit d’un texte très complet et qui donne des outils aux acteurs économiques mais aussi aux différentes autorités avec six principes à respecter ».

Le DPO aura un rôle essentiel dans les entreprises puisque la donnée va prendre une place de plus en plus importante. Selon lui, « il doit être trilingue car il doit parler le langage du droit et de la conformité, le langage de la technologie et le langage du business. S’il n’est pas capable de parler ces trois langues, il sera inaudible dans l’organisation ».

« Le premier semestre 2019 va être riche en actions et procédures avec l’annonce des premières condamnations qui risquent de tomber rapidement », prévient-il. Il cite en exemple la première sanction rendue au Portugal de 400.000 € relative à des données de santé.

La valorisation des données

La question de la valorisation des données et de la valorisation de l’ensemble de ces nouveaux actifs est cruciale, selon Jean-Baptiste Soufron. Faisant écho à Bertrand Warusfel, il rappelle que Facebook et Google ne sont pas propriétaires des données. « On peut donc générer de la valeur sans être propriétaire ».

Ceux qui arrivent à valoriser leurs données ne sont pas sur une logique de revente, mais sur un système de modèles économiques bifaces : « d’un côté on a des gens qui bénéficient d’un service gratuit, et de l’autre des gens qui veulent accéder à ce public. Il faut donc faire en sorte de permettre aux gens d’accéder aux bonnes personnes, passant ainsi à un système composé d’usagers et de clients. Toute la valeur va donc se trouver sur les interfaces qui permettent de travailler les données. Toute la valeur va se nicher dans les conditions générales d’utilisation et les conditions générales de vente : non pas des données, mais des interfaces, ce qui est peu commun ».  Ainsi, la capacité à comprendre comment, par les conditions générales, on va réussir à déterminer l’utilisation des interfaces sur les données, est fondamentale.

Arnaud Dumourier (@adumourier)