Réglementation des données machine : le minimalisme au service de la croissance mondiale

Thaddeus Burns, conseiller juridique principal pour les questions de propriété intellectuelle et de commerce, General Electric Company

L’accroissement exponentiel du volume de données s’explique par la conjonction de plusieurs évolutions technologiques étroitement liées, notamment l’Internet des objets, l’apprentissage automatique, les mégadonnées, la communication entre machines, l’intelligence artificielle et l’informatique en nuage.

L’Internet des objets se compose d’un très grand nombre de systèmes industriels connectés qui communiquent et coordonnent leurs actions et les résultats de leurs analyses de données pour améliorer l’efficacité industrielle.  Il a pour principe fondamental la mise en place de systèmes cyberphysiques, c’est-à-dire de réseaux de micro-ordinateurs, de capteurs et d’actionneurs intégrés à des équipements, dispositifs ou appareils, et connectés par Internet.  À titre d’exemple, un puits de pétrole muni de 20 à 30 capteurs peut à lui seul générer 500 000 éléments de données toutes les 15 secondes.  Selon les estimations, plus de 26 milliards de dispositifs seront connectés à Internet d’ici à 2020.

Plus généralement, l’économie numérique contribue fortement aux progrès réalisés partout dans le monde sur les plans social, économique et environnemental.  Premièrement, les solutions informatiques sont diffusées à une vitesse sans précédent, ce qui permet le déploiement rapide de technologies auprès des populations les plus pauvres du monde et multiplie les possibilités d’accès et de participation.  Deuxièmement, les technologies numériques placent les gens au centre des produits et services proposés, d’où des offres attractives à moindre coût assorties d’une durabilité et d’une convivialité accrues.  Troisièmement, le numérique permet la création de nouveaux modèles économiques qui favorisent l’innovation et la croissance dans un large éventail de secteurs.

Afin de permettre à l’économie numérique de réaliser son énorme potentiel, il est essentiel de concevoir un cadre politique adéquat qui encourage, entre autres, la libre circulation des données à l’échelle mondiale.  Les décideurs du monde entier réfléchissent actuellement à la façon de procéder;  c’est notamment le cas de l’Union européenne.  Début 2017, la Commission européenne a publié une communication intitulée Créer une économie européenne fondée sur les données qui décrit son Ensemble de mesures relatives à l’économie fondée sur les données, l’ultime composante de sa Stratégie pour un marché unique numérique en Europe.

Cette communication a pour objet d’étudier les règles et dispositions qui entravent la libre circulation des données non personnelles.  À cet effet, elle formule plusieurs propositions importantes visant à lever les restrictions injustifiées ou disproportionnées liées à la localisation des données.  Ces dernières années, des gouvernements ont élevé des frontières dans le cyberespace, y compris au moyen d’exigences relatives à la localisation des données.  Celles-ci peuvent prendre la forme de règles qui interdisent la transmission de données à l’extérieur du pays, subordonnent ces transferts de données à l’accord préalable de la personne concernée, exigent qu’une copie des informations soit conservée au niveau national, ou instaurent une taxation sur les données exportées.  Nombre de ces exigences relatives à la localisation des données sont difficiles à justifier ou d’une portée excessive.

La Commission se penche également sur les questions juridiques liées à l’accès et au transfert de données non personnelles produites par des machines.  L’une des propositions avancées dans la communication consisterait à instaurer un “droit du producteur de données” destiné à protéger les données industrielles.  Comme le souligne la Commission, ni le régime de propriété intellectuelle en vigueur, notamment le droit d’auteur, ni le droit sui generis visé dans la directive européenne concernant la protection juridique des bases de données (Directive 96/9/CE) ne permettent d’assurer la protection des données brutes produites par des machines.  Le droit d’auteur ne porte que sur des œuvres dont la paternité est rattachée à des êtres humains tandis que le droit sui generis sur les bases de données protège exclusivement les données structurées sous forme de “base de données.”  La communication souligne par ailleurs que ce droit ne devrait s’appliquer qu’à la dimension syntaxique des données (c’est-à-dire à la structure et à la disposition des contenus des bases de données), par opposition à leur dimension sémantique, et qu’il conviendrait de veiller à ce que les idées et les informations ne soient pas concernées.

L’objectif déclaré de la Commission est d’améliorer l’accès aux données produites par des machines ou entre machines, afin de faciliter et de promouvoir le partage des données de ce type.  Néanmoins, pour diverses raisons, il est peu probable que la création d’un droit de propriété sui generis soit une solution plausible.

Premièrement, se pose la question de la motivation – la justification économique fondamentale pour établir un droit de propriété – relative à la production et à l’utilisation de données non personnelles.  Les mesures techniques de protection autorisent les détenteurs de données à en exclure d’autres ou à leur facturer un montant en échange des données.  Qui plus est, à l’heure actuelle, l’accès aux données industrielles produites par des machines est essentiellement régi par des contrats.  Ces accords sont le fruit de négociations entre des parties averties ayant une solide connaissance du type de données en jeu et de leur mode de production, d’utilisation, d’échange et de consultation.

Le droit des contrats et les pratiques en vigueur permettent une certaine flexibilité face à la très grande variété de scénarios portant sur les données produites par machine et faisant l’objet de transactions entre entreprises (B2B), y compris de nouveaux modèles économiques et technologies novatrices.  De fait, sur des marchés en constante évolution, toute société à l’origine d’un nouveau produit ou service a besoin de souplesse pour adopter la solution la plus adaptée à ses besoins.  Enfin, il est impératif de préserver la liberté contractuelle.  Toute intervention réglementaire risquerait en effet d’imposer une approche uniformisée qui ne conviendrait pas à la diversité et à la complexité des besoins en matière de passation de contrats.

Deuxièmement, créer une nouvelle strate de droits concernant les données produites par des machines viendrait empiéter sur les deux régimes de propriété intellectuelle actuellement en place dans le domaine des données et des informations, à savoir le droit d’auteur et le droit sur les bases de données.  À titre d’exemple, un film enregistré à l’aide d’un appareil numérique serait considéré comme produit par une machine et pourrait, à ce titre, bénéficier non seulement d’une protection par le droit d’auteur mais aussi par le “droit du producteur de données”.  Conséquence de ce chevauchement de droits, le “droit du producteur de données” porterait atteinte aux limitations et exceptions réglementaires prévues en vertu des législations relatives au droit d’auteur et au droit sur les bases de données.  Dans le cadre de la législation européenne par exemple, le droit d’auteur, comme le droit sur les bases de données, autorise les utilisateurs à copier ou à extraire des informations provenant de bases de données à des fins de recherche non commerciales.  À moins que le “droit du producteur de données” ne reprenne l’ensemble des exceptions en vigueur, il remettrait en cause certaines de ces libertés fondamentales accordées aux utilisateurs.  La question de l’extraction de données en est une bonne illustration.  Actuellement à l’étude, la Proposition de directive sur le droit d’auteur dans le marché unique numérique prévoit une exception obligatoire, aussi bien au titre du droit d’auteur que du droit sur les bases de données, de manière à permettre à des organismes de recherche de procéder à des fouilles de textes et de données à des fins non commerciales.

De surcroît, un nouveau droit sur les données saperait les incitations économiques prévues au titre des droits de propriété intellectuelle.  À titre d’exemple, la principale raison ayant motivé la création du droit sui generis était de favoriser les investissements dans la constitution de bases de données à partir de données et autres informations préexistantes.  L’existence en parallèle d’un droit illimité sur les données produites par des machines compromettrait ce type d’incitation.

Troisièmement, la proposition visant à introduire un nouveau droit concernant les données non personnelles produites par des machines pourrait être source d’incertitude juridique pour quiconque créerait ou réutiliserait des données.  Selon la Commission par exemple, le Règlement général sur la protection des données (RGPD) de 2016 “continue de s’appliquer à toutes les données à caractère personnel (qu’il s’agisse de données produites par des machines ou autres) jusqu’à l’anonymisation de ces données.”  Dans la pratique cependant, il est difficile de faire la distinction entre les situations où des données relatives à des individus ne permettent pas d’identifier l’individu en question et des situations où, après traitement des données, un individu peut être identifié.  Qui plus est, les données personnelles peuvent être transformées en données non personnelles grâce à l’anonymisation.  Inversement, des données non personnelles pourront à l’avenir être transformées en données personnelles, auquel cas toutes les règles relatives à la protection des données devront à nouveau être appliquées.  Cette incertitude juridique qui affecte les responsables du traitement des données complique la prise de décision quant au régime juridique qui s’applique.  À noter, en outre, que la proposition visant à instaurer un droit de propriété semble entraver le droit à la portabilité des données récemment instauré par l’organisme de réglementation (en vertu de l’article 20 du RGPD) pour favoriser la libre circulation des données personnelles à l’intérieur de l’Union européenne et encourager la concurrence entre responsables du traitement des données.

Autre source d’inquiétude : les mégadonnées, à savoir l’extraction d’informations au moyen de l’analyse de données à grande échelle.  Les mégadonnées reposent sur l’idée que les données non personnelles sont particulièrement utiles dès lors qu’elles sont exploitées en grandes quantités.  Par conséquent, instaurer des droits exclusifs sur de petites quantités de données entraverait l’analyse des mégadonnées dans la mesure où, pour obtenir des données, il faudrait solliciter une multitude de propriétaires différents.

Dans le cadre de la consultation publique lancée par l’Union européenne, à laquelle ont participé plus de 300 entreprises et autres organisations, la très grande majorité des personnes interrogées a rejeté la proposition visant à créer des droits assimilés à des droits de propriété.  Actuellement, les données industrielles ne font l’objet d’aucun droit sui generis, et la réussite de l’industrie du traitement des données repose essentiellement sur des accords contractuels.  Dans ce contexte, il est difficile de déceler une logique précise en termes de politique – par exemple un problème d’incitation – qui motiverait une intervention de la part de l’organisme de réglementation.  Au contraire, instaurer un nouveau droit de propriété pourrait bien compliquer inutilement le cadre réglementaire existant.

Sur le plan politique, le principal défi consiste à faire en sorte que tous les pays bénéficient de la diffusion rapide de technologies novatrices.  Plutôt que d’instituer un nouveau droit de propriété intellectuelle, pour libérer le formidable potentiel de l’économie numérique et favoriser une croissance plus inclusive partout dans le monde, il conviendrait que les décideurs s’emploient à mettre en place un cadre juridique et réglementaire permettant la libre circulation transfrontière des données à l’échelle mondiale.  Pour ce faire, il est indispensable de lever les exigences injustifiées relatives à la localisation des données et de mettre en application des règles claires et contraignantes.

d understanding of the data involved and how it will be generated, used, exchanged and accessed.

Current contract law and practices allow adaptation to the considerable variety of scenarios involving machine-generated data in business-to-business (B2B) dealings, including emerging business models and new technologies. Companies that create new products and services in fast-changing markets require flexibility to determine a solution that best fits their objectives. Ultimately, it is of key importance to maintain contractual freedom. Regulatory intervention would risk imposing a uniform approach that is unsuited to the varied and complex contracting needs at issue.

Second, creating a new layer of rights in machine-generated data would interfere with the two existing IP regimes in the area of data and information, namely copyright and database rights. For instance, insofar as a film shot with a digital camera would qualify as a machine-generated data subject, it would benefit not only from copyright but also from “data producer’s right” protection. As a consequence of such overlap, the “data producer’s right” would undermine statutory limitations and exceptions under laws governing copyright or database rights. For example, under current EU law, both copyright and database rights allow users to copy or extract data from databases for non-commercial research purposes. Unless the “data producer’s right” reproduced all relevant existing exceptions, it would compromise these important user freedoms. A case in point is the area of data mining: the currently debated Proposal for a Directive on Copyright in the Digital Single Market contains a mandatory exception to both copyright and database rights for text and data mining by non-commercial research organizations.

In addition, a new data right would erode the economic incentives embedded in IP rights. For example, the main rationale for the sui generis right is to further investment in the building of databases from pre-existing data and other materials. A parallel no-threshold right in machine-generated data would weaken this incentive.

Third, the proposal to introduce a new right for non-personal machine-generated data could result in considerable legal uncertainty for anyone creating and reusing data. For instance, according to the Commission the General Data Protection Regulation (GDPR) of 2016 “continues to apply to any personal data (whether machine generated or otherwise) until that data has been anonymised.” In practice, however, it is hard to distinguish between those cases involving data relating to persons from which an individual is not identifiable and those cases involving the processing of data whereby an individual is identifiable. In addition, personal data can be changed to non-personal data through the process of anonymization, and non-personal data can be transformed at some future point into personal data – to which all of the rules of data protection would be reapplied. This ongoing legal uncertainty for data controllers complicates the decision-making process as to the legal regime that applies. In particular, the proposed property right seems to undermine the new right of data portability (Article 20 GDPR) that the regulator conceived to support the free flow of personal data in the EU and foster competition between data controllers.

A further concern relates to big data, that is, the extraction of information through large-scale data analyses. Big data is premised on the idea that non-personal data is most valuable when utilized in large quantities. Exclusive rights over small amounts of data would hamper big data analyses as it would necessitate a multitude of data acquisitions from a host of different data owners.

In the EU’s public consultation process, which generated more than 300 responses from businesses and other organizations, the vast majority of respondents rejected the proposal to create ownership-type rights. Currently there is no sui generis right in industrial data, and the ongoing success of the data industry essentially draws on contractual agreements. Thus, it is difficult to perceive a clear policy rationale – such as an incentive problem – for an intervention on the part of the regulator. On the contrary, a new right of ownership could needlessly complicate the existing framework.

From a policy perspective, the key challenge is to guarantee that all countries benefit from the rapid dissemination of new technologies. Rather than instituting a new IP right, to unleash the digital economy’s enormous potential for more inclusive growth worldwide policymakers should embrace a legal and regulatory environment that allows for unhindered cross-border data flows on a global scale. Such an environment necessitates the absence of unjustified data location requirements as well as the implementation of clear and enforceable rules.