Notion et fondements du paiement par des données
Le terme « paiement par des données » désigne la pratique selon laquelle les utilisateurs bénéficient de produits ou de services numériques et fournissent en contrepartie des données personnelles, au lieu de (ou en plus d’) une compensation monétaire. Ce modèle a pris de l’importance avec l’émergence des modèles économiques fondés sur les données et des plateformes numériques, notamment dans le contexte des réseaux sociaux, des moteurs de recherche et des portails d’achat en ligne. L’élément central consiste en la transmission d’informations personnelles ou anonymisées, utilisées à des fins économiques ou d’études de marché.
Qualification juridique du paiement par des données
Aspects relatifs à la protection des données
Le paiement par des données est principalement soumis, au sein de l’Union européenne, aux prescriptions du Règlement général sur la protection des données (RGPD). Il est essentiel que les données personnelles soient traitées de manière licite, pour des finalités déterminées et de façon transparente.
Licéité du traitement des données
Selon l’art. 6 RGPD, un traitement de données n’est autorisé que si au moins une des conditions suivantes est remplie :
- La personne concernée a consenti au traitement (art. 6, al. 1, let. a RGPD).
- Le traitement est nécessaire à l’exécution d’un contrat ou à l’exécution de mesures précontractuelles (art. 6, al. 1, let. b RGPD).
- Le traitement est nécessaire au respect d’une obligation légale (art. 6, al. 1, let. c RGPD).
- Autres fondements légaux.
Puisque le paiement par des données donne souvent lieu à un contrat entre le fournisseur et l’utilisateur, le traitement des données peut se révéler nécessaire à l’exécution contractuelle. Toutefois, un consentement exprès conformément à l’art. 7 RGPD reste souvent requis, en particulier lorsque les données ne sont pas strictement nécessaires.
Obligations d’information et transparence
Conformément aux art. 13 et 14 RGPD, les fournisseurs utilisant les données comme contrepartie doivent informer en détail les personnes concernées sur la nature, la finalité, l’étendue et la durée de l’utilisation des données. Cette obligation d’information est essentielle à la licéité du modèle économique.
Droits des personnes concernées
Dans le cadre du paiement par des données, la personne concernée dispose de droits étendus (par exemple, droit d’accès selon l’art. 15 RGPD, droit à l’effacement selon l’art. 17 RGPD, et droit à la portabilité des données selon l’art. 20 RGPD). Ces droits doivent également être garantis lorsque le traitement des données fait partie de la contrepartie contractuelle.
Aspects de droit contractuel
Données comme contrepartie contractuelle
Avec l’entrée en vigueur de la directive (UE) 2019/770 (« Directive sur les contenus numériques ») ainsi que de sa transposition en droit allemand (§§ 327 et suivants BGB nouveau ; « contrat sur les produits numériques »), il est reconnu que la fourniture de données personnelles comme contrepartie de prestations numériques peut être traitée contractuellement.
Selon § 327 al. 3 BGB, les contrats dans lesquels les consommateurs fournissent leurs données personnelles comme contrepartie sont assimilés à ceux impliquant un paiement en argent. Ceci confère à ces modèles d’affaires tous les droits de protection des consommateurs applicables aux produits numériques, tels que les droits en cas de défauts, les obligations d’information et les règles relatives à la résiliation du contrat.
Distinction : gratuité et contrepartie réelle
Les dispositions ne s’appliquent pas aux cas dans lesquels les données sont traitées exclusivement à des fins directement nécessaires à la prestation du service, ou lorsqu’elles sont traitées uniquement dans le cadre d’obligations légales. Ce qui est déterminant, c’est de savoir si la transmission des données constitue une (partie de la) contrepartie au contrat.
Charge de la preuve et interprétation du contrat
En cas de litige, il appartient au fournisseur de démontrer que des informations suffisantes sur le traitement des données ont été fournies et qu’un consentement effectif a été recueilli. Une interprétation complexe du contrat peut entraîner des difficultés, notamment lorsque le traitement des données est qualifié de prestation accessoire précontractuelle.
Aspects relevant du droit de la concurrence et de la loyauté commerciale
Tromperie et obligations de transparence
Si le traitement de données personnelles est utilisé comme (partie de la) contrepartie, un défaut ou une information insuffisante à ce sujet peut constituer une pratique commerciale déloyale selon les §§ 3, 5 UWG. Une publicité qui omet ou minimise le traitement des données peut être jugée trompeuse.
Abus de position dominante
Les grandes plateformes numériques pourraient abuser de leur position sur le marché en collectant des données. Cela relève du droit de la concurrence (§§ 19, 20 GWB) et fait l’objet d’un contrôle spécifique des autorités compétentes (par ex. Bundeskartellamt).
Dispositions de protection des consommateurs
Droit de rétractation
Les contrats portant sur des prestations numériques sont généralement soumis au droit de rétractation (§ 355 BGB cum § 356 BGB). Les consommateurs disposent du droit de se rétracter d’un contrat dans un délai de 14 jours sans donner de motif – même si la contrepartie consiste en la fourniture de données.
Obligations d’information
Des obligations d’information étendues existent concernant l’objet du contrat, l’exécution de la prestation et le traitement des données (§ 312d BGB). Tout manquement expose à des sanctions et, le cas échéant, à des droits à dommages et intérêts ou à des injonctions.
Aspects fiscaux
Dans la mesure où la fourniture de données personnelles en contrepartie équivaut économiquement à un échange de prestations, la question du traitement en matière de TVA se pose. Selon § 1 UStG, toute livraison ou autre prestation effectuée par un professionnel à titre onéreux est soumise à la TVA. La question de savoir si la cession de données contre une prestation numérique constitue une prestation imposable dépend de la structure contractuelle et de la conception économique du contrat. À ce jour, il existe peu de directives administratives concrètes ou de décisions de la haute cour sur ce sujet.
Conclusion et perspectives
Le paiement par des données constitue un élément clé de l’économie numérique et est soumis à une multitude de règles juridiques visant à garantir la protection des personnes, la transparence en matière de données et l’équité contractuelle. Avec la reconnaissance européenne et nationale des données comme contrepartie contractuelle, ce modèle bénéficie d’une référence juridique précise. Les évolutions du droit de la protection des données, du droit des contrats, du droit de la concurrence et du droit de la consommation continueront à façonner le modèle économique « paiement par des données », et restent d’une importance majeure pour les fournisseurs comme pour les utilisateurs.
Questions fréquentes
Quelles sont les bases juridiques applicables au paiement par des données dans l’espace européen ?
Dans l’espace juridique européen, le Règlement général sur la protection des données (RGPD) est primordial, en particulier l’article 6, qui régit la licéité du traitement des données à caractère personnel. L’article 7 RGPD, qui fixe les exigences en matière de consentement, est également central. De plus, avec l’introduction de la directive (UE) 2019/770 (directive sur la vente de biens) et de la directive (UE) 2019/771 (directive sur les contenus numériques), les obligations contractuelles ont été explicitement étendues aux situations dans lesquelles les consommateursobtiennent des contenus ou services numériques en fournissant des données personnelles – même en l’absence de paiement monétaire. Ce « paiement par des données » est juridiquement souvent assimilé à un contrat onéreux. Les transpositions nationales, telles que dans le Code civil allemand (BGB) (§ 327 BGB), précisent ces dispositions en droit interne.
Quelles obligations d’information pèsent sur un fournisseur qui propose le paiement par des données ?
Les fournisseurs ont l’obligation d’informer les personnes concernées de façon claire et transparente sur la nature, l’étendue et la finalité de la collecte de données, ainsi que sur les bases juridiques utilisées, les éventuels destinataires des données et leur durée de conservation, cf. art. 13 et 14 RGPD. L’obligation d’information inclut également des indications sur les droits des personnes concernées (par ex. accès, effacement, opposition), sur le responsable du traitement et souvent sur les transferts de données vers des pays tiers. Dans les contrats numériques dans lesquels les données sont fournies comme contrepartie, les fournisseurs doivent expliquer explicitement l’équivalence de ces données avec une contrepartie monétaire classique et préciser quelles données sont strictement nécessaires pour la prestation et lesquelles peuvent être fournies de manière facultative.
Un consentement exprès est-il nécessaire pour que les données puissent être utilisées comme moyen de paiement ?
Oui, en règle générale, un consentement exprès selon l’article 6, al. 1, let. a RGPD est requis, sauf si une autre base légale s’applique. Le consentement doit être donné librement, de manière spécifique, informée et explicite – par exemple, au moyen d’un acte positif tel que le fait de cocher une case. Les consentements tacites (« opt-out ») ne sont pas admis. Le consentement ne doit pas être une condition préalable à la conclusion du contrat, sauf si la fourniture des données personnelles est effectivement indispensable à l’exécution du contrat (interdiction de couplage, considérant 43 RGPD).
Quels sont les droits des consommateurs lorsqu’ils « paient » avec leurs données ?
Les consommatrices et consommateurs disposent de tous les droits des personnes concernées prévus par le RGPD, tels que le droit d’accès (art. 15 RGPD), de rectification (art. 16 RGPD), d’effacement (art. 17 RGPD), de limitation du traitement (art. 18 RGPD) et de portabilité des données (art. 20 RGPD). Ils peuvent également s’opposer à un traitement ultérieur de leurs données (art. 21 RGPD) et ont le droit de retirer à tout moment un consentement donné, avec effet pour l’avenir. En cas de retrait, le fournisseur doit éventuellement cesser la prestation contractuelle due et effacer correctement les données, sauf si une conservation est encore requise pour des raisons légales.
Quelles sont les conséquences juridiques si le fournisseur enfreint les prescriptions relatives à la protection des données dans le cadre du « paiement par des données » ?
Les violations sont fortement sanctionnées par le RGPD : les autorités de contrôle peuvent infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Les personnes concernées peuvent également faire valoir un droit à indemnisation (art. 82 RGPD). Les juridictions civiles nationales peuvent ouvrir la voie à des actions en cessation, des suppressions, ou, dans le cadre du droit de la concurrence, des mises en demeure par des associations de consommateurs. Par ailleurs, un traitement illicite peut entraîner la nullité ou l’annulabilité de l’ensemble du contrat ; le fournisseur risque ainsi de perdre tous les droits issus du contrat si celui-ci a été conclu sans consentement valable.
Le « paiement par des données » est-il aussi permis pour les mineurs ou les données particulièrement sensibles ?
Des dispositions spéciales de protection s’appliquent lors du traitement des données personnelles de mineurs. Selon l’art. 8 RGPD, le consentement pour les services de la société de l’information concernant les enfants de moins de 16 ans n’est valable que s’il est donné par eux ou leurs représentants légaux, sachant que chaque État membre peut fixer la limite d’âge à 13 ans au minimum. Pour les données particulièrement sensibles (art. 9 RGPD, par exemple données de santé, données biométriques), des exigences renforcées s’appliquent et leur traitement n’est en principe permis que de manière exceptionnelle, avec un consentement préalable exprès ou dans le cadre d’une des exceptions figurant à l’art. 9, al. 2 RGPD.
Quelles sont les conséquences d’un retrait du consentement sur le contrat de fourniture de contenus numériques ?
Si le consentement est retiré ou si la personne s’oppose à une utilisation ultérieure des données, cela a des conséquences immédiates sur le contrat : dans la mesure où la fourniture des contenus ou services numériques dépendait du traitement des données, cela peut entraîner la résiliation du contrat. Selon § 327m BGB (droit allemand), le professionnel est tenu, après retrait ou exercice du droit à l’effacement, de supprimer les données personnelles et de couper l’accès au produit numérique. Les consommateurs ne doivent pas subir de désavantages injustifiés en conséquence du retrait. Des obligations de restitution ainsi qu’une éventuelle compensation peuvent survenir lorsque des prestations ont déjà été exécutées.
