L'entrée en vigueur du RGPD[1] et son application depuis bientôt un an constituent une étape importante dans la volonté des autorités de protection des données personnelles de limiter la collecte et l’usage des données sur le territoire européen. En effet, le RGPD impose un certain nombre de principes visant à inciter les entreprises à réduire la collecte des données. Citons en particulier le principe de finalité, qui requiert que les données personnelles soient enregistrées et utilisées dans un but précis et légitime[2] ou bien le principe de minimisation des données, qui contraint les responsables de traitement à ne traiter que les données strictement utiles pour atteindre les finalités préalablement déterminées.
Les organismes collectant des données personnelles ont donc dû adapter leurs stratégies pour se conformer aux exigences légales. Par exemple, les sites web sont tenus d’indiquer aux utilisateurs les cookies/témoins de navigation utilisés lors de leur visite, en leur laissant le soin de les paramétrer afin de recueillir un consentement "libre, spécifique, éclairé et univoque".
Toutefois, les pratiques de collecte et d’utilisation des données personnelles restent relativement opaques. Ainsi, il est difficile pour une autorité de protection des données de savoir quels sont les effets concrets du RGPD sur le nombre de données personnelles collectées. Dans ce contexte, les pratiques des courtiers en données, ou data brokers, organismes spécialisés dans la collecte, le traitement et la vente de données personnelles, se caractérisent par une opacité quasi-totale. En outre, leur activité de vente de données personnelles peut se trouver en contradiction avec plusieurs des principes du RGPD, comme par exemple le principe de finalité. Or, toute donnée personnelle contribue au modèle d'affaire d’un data broker puisque, par nature, il revend ce type d'information et en tire profit.
La question se pose donc de savoir quels sont les effets du RGPD sur le volume de données personnelles collectées et vendues pas les data brokers.
La collecte de données personnelles par les data brokers au regard de la théorie économique
Nous traitons cette question dans nos recherches en explorant les différents outils dont dispose une autorité de protection des données pour palier d’éventuels effets contreproductifs des obligations imposées par le RGPD sur la collecte et la vente de données personnelles par les data brokers. Concrètement, ces leviers sont de deux natures. D’une part, les marges de manœuvre dont dispose l'autorité de contrôle pour mettre en œuvre les obligations légales vont notamment influencer les possibilités dont disposent les utilisateurs d’Internet de mieux contrôler quelles entreprises collectent leurs données personnelles. D’autre part, une autorité de protection des données peut favoriser la création de marques de confiance, pouvant par exemple prendre la forme d’une certification garantissant qu’un organisme collecte un minimum de données personnelles.
Contrairement à ce que l'on pourrait penser de prime abord, nos premiers résultats font apparaître un risque d'intensification de collecte et de vente de données personnelles par les data brokers lié à l'application des nouvelles obligations définies par le RGPD. En effet, le respect des obligations légales augmente leur coût de collecte des données personnelles. Dès lors, les data brokers vont chercher à optimiser leur bénéfice soit en reportant leur activité de collecte sur des données plus rentables, soit sur d'autres consommateurs initialement non ciblés.
Nos résultats suggèrent également que les entreprises achetant les services des data brokers font face à un dilemme du prisonnier. Dans le cas des courtiers en données, ce principe se caractérise de la façon suivante : les entreprises augmenteraient leurs profits si aucune d’entre elles n’avaient recours aux services d'un data broker. Toutefois, une entreprise n’a pas intérêt à être la seule à ne pas traiter avec les data brokers car ses concurrents se trouveraient alors en situation de position dominante. Notre analyse économique suggère donc que les autorités de protection pourraient aider les entreprises à sortir de ce dilemme du prisonnier en proposant par exemple des marques de confiance, certifiant qu’un organisme ne recourt pas à des services basés sur l'utilisation des données personnelles relatives à ses clients à leur insu. Cela contribuerait à réduire le nombre de données personnelles collectées par les data brokers.
Antoine Dubus, doctorant en sciences économiques au sein de la Chaire VPIP, travaille sur le thème « Protection des données personnelles et concurrence ». Dans ce cadre, il étudie les effets du RGPD sur la collecte et la monétisation des données personnelles.
[1] https://www.cnil.fr/fr/rgpd-par-ou-commencer
[2] https://www.cnil.fr/fr/cnil-direct/question/quels-sont-les-grands-principes-des-regles-de-protection-des-donnees