La monétisation des données personnelles, que dit la loi, le RGPD ?

À la suite du lancement de l’application TaData, la Commission nationale de l’informatique et des libertés (CNIL) a engagé une procédure pour dénoncer les pratiques de ce site qui propose d’échanger les données personnelles des jeunes de 15-25 ans contre de l’argent.

Cette procédure fait suite au signalement de l’association de défense des internautes Internet Society France.

Cette procédure a été clôturé sans sanction ni mise en demeure de la part de la CNIL.

Concrètement, l’application propose aux jeunes de 15 à 25 ans de communiquer leurs données personnelles, leurs habitudes et préférences en termes de loisirs et communications ; dès qu’un annonceur est intéressé par le profil et qu’il propose des offres cohérentes avec ses préférences, il reçoit les données et de son coté, le jeune reçoit une somme d’argent en contrepartie de la mise à disposition de ses données.

Si les travaux menés par le collectif européen des autorités de protection des données (CEPD) sur l’articulation entre la monétisation et la protection de la vie privée, ne permettent pas à ce stade de considérer que le RGPD interdit la mise en œuvre de tels traitements, la capacité des mineurs à contracter est strictement encadrée par le droit français.

La question se pose avec acuité s’agissant de l’application TaData puisque les « Jeunes » visés par les conditions générales d’utilisation sont âgés de 15 à 25 ans.

S’agissant des mineurs âgés de 15 à 18 ans leur capacité à contracter est limitée par la loi d’après les termes de l’article 1146 du Code civil. Le mineur non émancipé peut ainsi accomplir selon les dispositions de l’article 1148 “les actes courants autorisés par la loi ou l’usage, pourvu qu’ils soient conclus à des conditions normales” et à condition que ces actes ne le lèsent pas.

La difficulté réside dans la définition de l’acte usuel. Cet acte doit être d’une faible valeur pécuniaire et doit par conséquent être exempt de risque, c’est-à-dire dépourvu de danger pour la personne ou le patrimoine du mineur.

Il a été jugé par exemple que n’était pas un acte de la vie courante une convention conclue par le mineur concernant ses droits de la personnalité[1]. La jurisprudence considère plus largement que toute divulgation d’informations relatives à la vie privée d’un enfant mineur suppose une autorisation de son représentant légale[2].

Par ailleurs, le considérant 38 du règlement général sur la protection des données (RGPD) rappelle que « les mineurs méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel.»

Si on considère que les données personnelles constituent un prolongement de la personnalité des personnes physiques, et reflètent des éléments qui leur sont propres (identité, vie privée, intimité, réputation, conscience, choix personnels…), il est alors possible de penser que la souscription par un mineur non émancipé aux services de TaData nécessite l’autorisation de son représentant légal.

Sujet de réflexion à suivre en parallèle de l’évolution du débat sur la monétisation des données personnelles.

Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats et Céline Dogan, juriste.

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles, de contrats, d’innovation, de projets informatiques complexes et de propriété intellectuelle ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes, tels que les projets impliquant les données personnelles de mineurs.