L’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD) a été célébrée comme une avancée majeure dans toute l’Europe. Le vieux continent se dotait enfin d’un instrument destiné à civiliser le commerce des services informatiques tout en facilitant l’intégration d’un marché jusque-là fragmenté et qui entravait la formation de champions européens dans le secteur numérique. Si la législation récemment entrée en vigueur peut certes contribuer à redorer l’image d’une Union européenne soucieuse d’adopter une posture protectrice vis-à-vis des citoyens européens, sa réglementation inspirée de la défiance à l’égard du capitalisme numérique risque d’entraver l’émergence d’une économie compétitive fondée sur les données sur son sol. En effet, au-delà des quelques dispositions qui interdisent les États membres d’ériger des barrières arbitraires à la circulation des données, le nouveau règlement européen a essentiellement pour objet de limiter les capacité des entreprises à traiter les données des individus à des fins commerciales. Les entreprises récalcitrantes s’exposent à de lourdes amendes, pouvant aller jusqu’à 4% du chiffre d’affaires mondial. Le problème de ces restrictions est qu’elles font l’impasse sur le fonctionnement du commerce du traitement des données et des services de l’information.
Pendant longtemps, l’abondance et l’accessibilité des services de l’information ont entretenu chez le public l’illusion de leur gratuité et l’absence totale de contreparties pour en bénéficier. Cette illusion provient d’une conception étroite de la notion de « prix » qui, dans l’imaginaire collectif, renvoie aux seules contreparties pécuniaires. Or s’il est vrai que la plupart des transactions commerciales font appel à des mécanismes de prix qui s’expriment en unités monétaires, il ne s’agit pas là de la seule manière d’exiger des contreparties pour la fourniture d’un service. Un prix n’est en effet ni plus ni moins qu’un ratio d’échange. Il peut faire appel à des éléments pécuniaires ou non pécuniaires. Sur le marché du travail, par exemple, il est courant que le salarié loue sa force de travail en contrepartie d’un salaire et d’autres avantages (sécurité de l’emploi, avantages en nature, etc.). Ces autres avantages non-pécuniaires doivent donc être pris en compte dans la détermination du prix du travail. Pareillement, les entreprises numériques fournissent généralement leurs services en contrepartie de l’accès et du traitement des données personnelles de leurs utilisateurs. Les données personnelles sont préférées aux contreparties monétaires afin d’optimiser les coûts de transaction. Ces services ne sont donc pas gratuits ainsi que certains opérateurs l’affirment de manière abusive. Pour s’en convaincre, il suffit de constater que des entreprises comme Facebook et Twitter refusent l’accès à leur plateforme à quiconque ne paierait pas le prix demandé, par exemple en restreignant l’usage des cookies à l’aide des fonctionnalités présentes sur un navigateur internet.
Se pose alors la question du « juste prix » des services numériques. Appliquée au commerce du traitement des données personnelles, cette interrogation revient à évaluer les concessions acceptables en matière d’irruption publicitaire, de transparence des processus de traitement des données et du niveau de vie privée concédée. Sur ces derniers points, le Règlement européen reste elliptique et se contente de parler en des termes vagues. L’article 5 du Règlement se contente de parler de finalité « légitime » ou encore de traitement limité « à ce qui est nécessaire » en restant flou. L’imprécision est ici volontaire. Le législateur est conscient qu’il est impossible de déterminer a priori des normes précises pour l’ensemble de l’industrie. Ces critères ont donc vocation à être précisés au cas par cas, c’est-à-dire au fur et à mesure que les contrôles des régulateurs s’effectueront et que la jurisprudence se développera. Cependant, si le législateur est incapable de définir le niveau acceptable de confidentialité, on peut alors se demander en quoi les régulateurs seraient mieux placés pour le faire.
En effet, comme pour toutes les branches du commerce, il n’existe pas, dans l’économie numérique, d’étalon objectif pour déterminer le juste prix d’une prestation. Celui-ci ne peut être révélé qu’à l’issue d’un processus concurrentiel libre. Seul le libre jeu de l’offre et de la demande, qui traduit les préférences de l’ensemble des consommateurs et des producteurs, peut révéler le niveau acceptable de vie privée et de transparence des processus de traitement. Certains secteurs se définissent par une très forte demande de confidentialité que les professionnels sont prêts à satisfaire (santé, cyber-sécurité, messagerie professionnelle etc.). À l’inverse, d’autres secteurs se définissent par une demande de confidentialité faible ou inexistante (réseaux sociaux, divertissement…).
Dans tous les cas, imposer de manière centralisée un niveau de confidentialité pour l’ensemble de l’industrie est dangereux. Une telle entreprise revient en fait à appliquer un contrôle des prix. Plus précisément, limiter arbitrairement les possibilités de traitement revient à imposer une forme de prix-plancher susceptible d’altérer la rentabilité du commerce des services numériques. Les signaux du marché sont ainsi perturbés, ce qui affecte les incitations à entreprendre dans le secteur. Plusieurs études ont ainsi par exemple montré que les réglementations relatives à la vie privée réduisaient les investissements dans le secteur de la publicité en ligne en affectant parallèlement les services financés par elle[1]. À titre d’illustration, certaines entreprises de presse américaines ont renoncé à investir le marché européen après l’entrée en vigueur du RGPD. Tout ceci confirme donc la crainte d’assister à la raréfaction des services numériques. Contrairement à ce que laissent penser ces réglementations, le cyber-espace n’est pas immunisé à l’éternelle loi de l’offre et de la demande.
[1] Lerner, J. (2012). The impact of privacy policy changes on venture capital investment in online advertisingcompanies. Analysis Group, 1–27
This post is also available in: EN (EN)DE (DE)