La protection des données personnelles n’a cessé d’être au cœur de l’actualité depuis l’adoption du Règlement général sur la protection des données (RGPD) en 2016. Ce règlement européen a étendu les droits des personnes et a renforcé les obligations des entreprises et des administrations.

Alors que les questions de vente et d’achat de données personnelles étaient auparavant réservées aux entreprises, elles s’étendent désormais aux particuliers, directement ciblés.

En effet, de nombreuses entreprises proposent déjà de vendre ses données personnelles contre rémunération. Il peut s’agir de vendre des informations sur des habitudes de consommation, comme le propose l’application TaData, ou des informations sur les activités sportives, comme le proposent les applications Macadam et WeWard.  

1. Est-ce légal de vendre ou d’acheter des données personnelles ?

Le fait de fournir ses données contre rémunération n’est pas interdit par la loi actuellement.

En revanche, cette rémunération n’implique pas de vente, c’est-à-dire un transfert de propriété des données vers un acheteur.

Comme le rappelle la Commission nationale de l’informatique et des libertés (CNIL), le droit conféré à l’acheteur est un droit d’usage, dans la mesure où les individus ne peuvent pas renoncer aux droits sur leurs données personnelles (accès, rectification, suppression etc).

2. Nos données valent-elles de l’or ?

Récemment, la CNIL a publié une enquête sur le prix auquel un panel de personnes serait prêt à vendre leurs données.

Dans son article « Monétisation des données personnelles : combien valent vos données ? », l’autorité de contrôle nous indique que 71% des répondants seraient prêts à vendre leurs données pour une fourchette de prix comprise entre 1 et 100 euros par mois.

En revanche, les entreprises semblent plus réticentes à acheter des données à un coût dépassant 40 euros par mois.

En comparaison, sur le Darknet (et ce n'est là plus légal), une carte de crédit valait entre 20 et 30 $ alors que les identifiants d’un compte de cryptomonnaie se vendait entre 90 et 600 $. Concernant les identifiants de réseaux sociaux, ils coutaient en moyenne 25$ pour un compte Tiktok, 45$ pour un compte Facebook et 55$ pour un compte OnlyFans. Un scan de passeport de l’UE ne valait que 3$ alors qu’un passeport de l’UE contrefait coutait environs 3800$, selon l' index des prix des données personnelles publié par ExpressVPN.

Enfin, seuls 35% des répondants ne souhaitent pas vendre leurs données, quel qu’en soit le prix.

Pourtant, les internautes échangent quotidiennement leurs données personnelles contre des services numériques. C’est le cas lorsqu’ils acceptent des cookies pour pouvoir accéder à des sites internet, notamment pour lire la presse en ligne ou utiliser certains réseaux sociaux comme Twitter (TGI Paris, 7 août 2018, n° 14/07300). Les modalités d’échange de service contre des données doivent naturellement être décrites dans les Conditions générales d’utilisation des sites internet et les utilisateurs doivent être informés conformément au RGPD via la Politique de confidentialité, également appelée Politique de protection des données.

Jessy Pollux
Avocate en droit du numérique
jessy.pollux@avocat.fr