Rapport de l’IPI «Accès aux données non personnelles dans le secteur privé»

Anaïc Cordoba, MLaw, juriste auprès de l’Institut Fédéral de la Propriété Intellectuelle (IPI), berne.

Le 30 octobre 2019, le Conseil fédéral a mandaté l’IPI afin de rédiger un rapport au sujet de l’accès aux données non personnelles dans le secteur privé. Il faisait ainsi suite à une recommandation du groupe d’experts «Avenir du traitement et de la sécurité des données»​¹. L’IPI devait analyser la situation actuelle en Suisse et à l’étranger, et formuler des propositions pour éliminer les obstacles à l’accès à ces données. Outre le système de licences obligatoires mentionné par le groupe d’experts, l’IPI devait également examiner d’autres solutions pour l’accès aux données non personnelles.

Le mandat confié à l’IPI s’inscrit dans le contexte de la numérisation de la société et de l’économie. Dorénavant, les données jouent un rôle central dans la vie quotidienne et dans les nouveaux modèles d’affaires et elles ouvrent de nouveaux champs de recherche. Elles sont déterminantes pour le déploiement de l’intelligence artificielle. Si leur utilisation ne constitue pas en soi un phénomène nouveau, le volume des données générées et traitées ainsi que leurs nouveaux usages constituent un changement de paradigme.

Le rapport de l’IPI porte sur la question de la propriété de biens immatériels (les données non personnelles) et des mécanismes de licence obligatoire ou de licence FRAND qui existent déjà dans le droit de la propriété intellectuelle.

Pour la réalisation de son rapport, l’IPI a suivi une approche tant économique que juridique. Sur le plan économique, un sondage a été réalisé auprès d’entreprises suisses, afin d’évaluer la situation actuelle des marchés des données non personnelles et les besoins des acteurs économiques. À ce sondage, s’ajoute une analyse de l’économie numérique en Suisse, qui constitue le pendant d’une étude déjà effectuée auprès des États membres de l’UE.

L’approche juridique a consisté à examiner le cadre juridique actuel et son adéquation avec les besoins des utilisateurs et les spécificités de ces données. Dans le but de définir le ou les systèmes les plus adaptés pour promouvoir et faciliter l’accès à ces données dans le secteur privé, différentes options, fondées sur des modifications législatives ou sur des modèles existants, ont été examinées. À cet égard, une attention particulière a été portée sur les modèles d’accès obligatoire, notamment fondés sur les licences obligatoires, ainsi que sur des systèmes de données ouvertes (Open Data) et partagées (Shared Data). Le rapport conclut par une série de recommandations.

Le rapport se fonde sur plusieurs expertises, économiques et juridiques, dont la réalisation a été externalisée auprès d’académiciens et praticiens suisses. Toutes ces expertises sont librement accessibles sur le site Internet de l’IPI​².

Contrairement à la notion de données à caractère personnel, la législation suisse ne prévoit pas de définition des «données non personnelles»​³. Les données personnelles sont définies comme «toutes les informations qui se rapportent à une personne identifiée ou identifiable»​⁴. Les données non personnelles se définissent par opposition à cette définition, comme «toutes les données qui ne sont pas des données à caractère personnel». Cette distinction entre données personnelles et non personnelles est centrale. Dans le premier cas, leur traitement est soumis aux dispositions strictes de la LPD, alors que dans le deuxième, les règles de la LPD ne s’appliquent pas au traitement de ces données.

Les données météorologiques​⁵, topographiques​⁶ ou produites par des machines (par exemple des machines-outils sur des chaînes de production industrielle) constituent par exemple des données non personnelles. Les informations qui figurent obligatoirement sur l’étiquetage des denrées alimentaires​⁷ ou un inventaire des curiosités touristiques d’une ville ou d’une région constituent également des données non personnelles​⁸. Il en va de même des données relatives à l’utilisation de pesticides sur une parcelle agricole ou de celles concernant la négociation à haute fréquence dans le secteur financier. Théoriquement, des données personnelles anonymisées et agrégées constituent également des données non personnelles. Une prudence particulière est toutefois de mise en ce qui concerne les données personnelles anonymisées et agrégées, car les progrès technologiques en matière de traitement des données ou le recoupement avec d’autres données non personnelles supplémentaires permettent parfois d’identifier une personne au travers de données non personnelles.

Le rapport porte sur les données non personnelles détenues par des organisations privées. La politique d’Open Government Data, qui concerne les données non personnelles détenues par l’administration fédérale n’est pas concernée. De même, la question de la relation asymétrique entre les plateformes (Google, Apple, Facebook, Amazon, etc.) et les acteurs économiques plus petits («Plateform to Business») n’est pas traitée. Le rapport de l’IPI n’aborde la thématique que sous l’angle «Business to Business» («B2B»).

L’économie numérique dans son ensemble contribue de manière significative à la performance économique de la Suisse. La prestation globale de la Suisse dans le domaine est relativement bonne en comparaison avec les autres pays européens. En 2018, environ 182000 personnes étaient employées dans le domaine de l’économie des données en Suisse. Cela représente 4,4% de l’emploi total en Suisse, ce qui est nettement supérieur à la moyenne de l’UE. La croissance du nombre de salariés se révèle également plus dynamique en Suisse (10%) que dans l’UE (8%).

Les produits et services basés sur l’analyse et l’évaluation de données brutes ont généré un volume d’environ 3,6 milliards d’euros en Suisse en 2018, en croissance d’environ 8% par rapport à l’année précédente. L’économie suisse des données a contribué à hauteur de 14,1 milliards d’euros environ, soit environ 3% du PIB en 2018. La croissance de ce secteur par rapport à l’année précédente a été de près de 20%. Les marchés des données non personnelles brutes sont eux aussi sur le point de se développer dans notre pays. Ainsi, une entreprise sur quatre génère des données non personnelles et une entreprise sur cinq les commercialise. De l’avis des entreprises interrogées, l’importance de ces données ira croissant à l’avenir.

Les analyses menées ne montrent pas de défaillance manifeste et importante du marché «B2B». Il n’apparaît donc pas nécessaire d’intervenir sur le marché par des mesures intrusives. En ce sens également, les entreprises interrogées pour ce rapport indiquent préférer des mesures de soutien complémentaires plutôt que la mise en place de règles légales contraignantes. Il est à noter encore que les défis pour exploiter le plein potentiel économique et social des données non personnelles varient fortement selon le secteur examiné. Par conséquent, il n’existe probablement pas une solution unique adaptée à toutes les différentes spécificités du marché des données non personnelles.

L’IPI renouvèlera l’étude d’analyse du marché des données d’ici fin 2025​⁹.

Il n’existe pas de droit de propriété sur les données, personnelles ou non personnelles, en Suisse. La Suisse ne connaît pas non plus de droit sui generis sur les bases de données, comme prévu par la Directive 96/9/CE concernant la protection juridique des bases de données. Cependant, l’analyse de la situation juridique démontre que le droit suisse contient un certain nombre de normes qui permettent l’attribution de données non personnelles et donnent aux maîtres des données non personnelles un contrôle étendu sur «leurs» données. Au premier plan se trouve la protection du secret de fabrication ou commercial (art. 162 du Code pénal suisse [CP] [RS 311] et art. 5 et 6 de la Loi fédérale contre la concurrence déloyale [LCD] [RS 241]). Dans le droit actuel, les détenteurs de données non personnelles disposent ainsi d’une protection juridique très étendue.

Dans la perspective actuelle et sur la base des résultats des expertises commandées, il n’est pas nécessaire d’introduire des droits de propriété pour les données non personnelles. D’une part, les marchés actuels de la production, de l’utilisation et du commerce de données non personnelles fonctionnent, sans droit de propriété des données (et peut-être même grâce à cette absence de propriété). D’autre part, il ne semble pas nécessaire de fournir des incitations supplémentaires pour la collecte et l’analyse de données non personnelles; ces activités étant en progression constante ces dernières années. Finalement, il est peu probable que l’introduction d’une propriété sur ce type de données réduise les coûts de transaction et favorise ainsi l’accès aux données. Il en va de même pour la création d’un droit sui generis pour les bases de données.

L’IPI recommande donc dans son rapport de ne pas introduire de droit de propriété sur les données non personnelles ou de droit sui generis sur les bases de données.

Un mécanisme général de licence obligatoire qui permettrait de donner un accès aux données non personnelles dans le secteur privé est théoriquement faisable. De plus, il pourrait être réalisé de manière à respecter le droit international, en particulier l’Accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce (ADPIC). Cependant, l’analyse démontre qu’un tel système généralisé ne paraît pas souhaitable en raison des difficultés liées à sa mise en œuvre et des risques qu’il créerait pour les intérêts du détenteur des données non personnelles. Un tel système peut cependant être adéquat ponctuellement dans certains secteurs particuliers (par exemple, construction automobile, aviation, énergie).

Il est également possible d’imposer une licence obligatoire sur la base du droit de la concurrence. Toutefois, le droit de la concurrence ne crée pas un droit général d’accès aux données non personnelles du secteur privé. Ses dispositions visent uniquement à protéger contre les restrictions de concurrence dommageables et ne peuvent donc être invoquées et appliquées qu’en de telles circonstances.

La faisabilité d’un mécanisme général de licences FRAND pour l’accès aux données non personnelles apparaît douteuse. Cela en raison des différences qui existent entre la situation des brevets essentiels à une norme pour laquelle les licences FRAND se sont développées et celle de l’accès aux données non personnelles. Ainsi, il n’existe pas d’autorité de certification pour des données non personnelles qui représenteraient une norme. Il ne semble pas possible de transposer ce modèle afin de créer un accès général aux données non personnelles entre entreprises. Dès lors, cette approche ne paraît pas désirable vu les obstacles auxquels elle se heurte. La compatibilité d’un hypothétique système de licence FRAND avec le droit international ne devrait toutefois pas être problématique. En effet, un tel système reposerait sur l’application du droit de la concurrence et/ou sur un engagement contractuel pris par le détenteur des données non personnelles.

Dans son rapport, l’IPI recommande de ne pas introduire de système de licence obligatoire ou de licence FRAND horizontal pour l’accès aux données non personnelles.

Les concepts de données ouvertes (open data), données partagées (shared data) et en particulier d’«espaces communs de données»​¹⁰, sont sans aucun doute des approches prometteuses pour le partage des données non personnelles dans le secteur privé. Elles sont fondamentalement basées sur le principe du volontariat et reflètent une conception libérale de l’économie, qui garantit la plus grande autonomie possible.

Les «espaces communs de données» font l’objet d’une analyse​¹¹ de l’Office fédéral de la Communication (OFCOM) et de la Direction du droit public (DDIP) attendue pour la fin de l’année. Le rapport indiquera les domaines dans lesquels une intervention de l’État serait nécessaire. L’IPI recommande donc d’attendre les conclusions de ce rapport avant d’entreprendre de nouvelles démarches.

Dans le cadre de la rédaction de ce rapport, l’IPI a mandaté des spécialistes afin d’élaborer une première série de contrats-modèles qui visent à faciliter l’accès aux données non personnelles entre PME. Ainsi, un contrat de transfert de données, un contrat d’abonnement pour l’accès aux données et un contrat d’échange de données sont disponibles gratuitement sur le site Internet de l’IPI​¹². Des versions commentées et un rapport explicatif pour l’ensemble des contrats-modèles sont également à disposition en français, allemand et anglais. Ce type de mesures de soutien complémentaires augmente la sécurité juridique et diminue les coûts de transaction.

En attendant la mise en place d’«espaces communs de données», l’IPI, en collaboration avec les milieux académiques, le secteur privé et d’autres offices compétents, va continuer de proposer des mesures de soutien complémentaires. Celles-ci pourront notamment prendre la forme de contrats-modèles de listes de contrôle ou de guides pour l’établissement de contrats. Il pourra également s’agir d’avis de droit sur des thématiques spécifiques ou d’encouragement et de soutien à l’établissement de bonnes pratiques par secteur.