La question de la nature juridique des donnees constitue l’un des debats les plus fondamentaux du droit du numerique. Les donnees sont-elles des “choses” susceptibles d’appropriation ? Peut-on en etre proprietaire au meme titre qu’un bien meuble ou immeuble ? La reponse a cette question conditionne directement l’architecture de la protection des donnees personnelles sous le RGPD, les mecanismes d’acces aux donnees du Data Act et la repression penale des atteintes aux systemes informatiques. Loin d’etre un exercice purement theorique, ce debat irrigue l’ensemble du droit du numerique contemporain.

La donnee : entre res nullius et objet de propriete

L’heritage du droit civil classique

Le Code civil de 1804 distingue biens meubles et immeubles, corporels et incorporels. Les donnees numeriques ne s’inscrivent dans aucune de ces categories : elles ne sont pas des corps certains, mais elles occupent un espace physique sur un support de stockage et se transmettent par des signaux electromagnetiques. La doctrine classique tend a considerer l’information comme une res communis insusceptible d’appropriation, en raison de son caractere non rival : communiquer une information ne prive pas son detenteur initial de cette information.

La realite physique des biens informatiques

Comme nous l’analysons dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), cette opposition classique entre corporel et incorporel merite d’etre revisitee a la lumiere de la realite physique des biens informatiques. Un fichier numerique, un logiciel, une base de donnees ne sont pas de pures entites intellectuelles : ils sont constitues d’etats physiques de la matiere – des charges electriques dans une memoire vive, des orientations magnetiques sur un disque dur, des structures cristallines dans une memoire flash. La donnee numerique possede une realite physique incontestable, meme si celle-ci est imperceptible a l’oeil nu.

Cette realite physique a des consequences juridiques considerables. Si les biens informatiques possedent une dimension corporelle, alors les regles du droit des biens corporels – et notamment le droit de propriete au sens de l’article 544 du Code civil – pourraient leur etre applicables. C’est la these que nous defendons : les biens informatiques (logiciels, fichiers, systemes) presentent une corporalite qui, bien que particuliere, les rend susceptibles d’appropriation au sens du droit civil.

Les approches doctrinales concurrentes

La these de l’incorporalite

La majorite de la doctrine continue de considerer les donnees comme des biens incorporels, relevant de droits speciaux : droit d’auteur pour les logiciels, droit sui generis pour les bases de donnees, droits de la personnalite pour les donnees personnelles. Mais cette approche ne rend pas compte de la maniere dont les tribunaux traitent ces biens en pratique : condamner le vol d’un fichier ou la destruction d’une base de donnees suppose de les traiter comme des objets concrets susceptibles d’atteinte materielle.

La these de la corporalite informatique

Dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), nous avons propose une approche differente. Nous demontrons que les biens informatiques possedent une triple dimension :

• Une dimension physique : toute donnee numerique est materialisee par des etats physiques de la matiere (signaux electriques, orientations magnetiques, etats quantiques). Cette materialisation n’est pas accessoire ; elle est constitutive de l’existence meme de la donnee numerique.
• Une dimension fonctionnelle : les biens informatiques sont destines a etre traites par des machines, ce qui leur confere une utilite economique mesurable et echangeable.
• Une dimension systemique : les biens informatiques n’existent pas isolement mais au sein de systemes (les STAD) qui leur conferent leur pleine utilite.

Cette analyse conduit a reconnaitre aux biens informatiques une forme de corporalite specifique – non pas identique a celle des biens tangibles, mais suffisante pour fonder des droits de propriete au sens classique du terme.

L’approche par les droits d’acces

Plus recemment, le droit europeen a adopte une troisieme voie : plutot que de trancher le debat sur la nature juridique des donnees, il a choisi de creer des droits d’acces aux donnees. C’est l’approche retenue par le Data Act, qui ne confere pas de droit de propriete sur les donnees mais cree des droits d’acces, de portabilite et de partage au benefice des utilisateurs et de tiers autorises.

Cette approche pragmatique evite le debat theorique sur la propriete des donnees, mais elle ne le resout pas. La question de savoir qui “possede” les donnees generees par un objet connecte reste pertinente, notamment pour determiner qui supporte le risque de perte et qui peut disposer de ces donnees en cas de litige.

Les implications pour le RGPD

Le RGPD n’utilise pas le vocabulaire de la propriete pour decrire la relation entre la personne et ses donnees personnelles. Il parle de “personne concernee” et de “responsable de traitement”, et confere a la personne des droits d’acces, de rectification, d’effacement et de portabilite – des droits qui ressemblent davantage a des droits de la personnalite qu’a des attributs de la propriete.

Pourtant, dans le langage courant et politique, l’idee que les individus sont “proprietaires” de leurs donnees personnelles est omniprequente. Cette intuition n’est pas sans fondement juridique. Le droit a la protection des donnees personnelles, consacre par l’article 8 de la Charte des droits fondamentaux de l’Union europeenne, confere a la personne un pouvoir de controle sur ses donnees qui presente certains attributs du droit de propriete : le droit d’autoriser ou d’interdire l’usage (usus), le droit de tirer un benefice (fructus, via le consentement conditionnel), et dans une certaine mesure le droit de disposer (abusus, via le droit a l’effacement).

La question n’est pas purement semantique. Si les donnees personnelles etaient qualifiees de biens, les regles de la responsabilite du fait des choses (article 1242 du Code civil) pourraient s’appliquer au responsable de traitement en cas de fuite de donnees, rendant sa responsabilite quasi automatique.

Les implications pour le Data Act

Le Data Act illustre la tension entre propriete et acces : il cree des droits d’acces et de partage (articles 4 et 5) sans trancher la question proprietaire. La distinction avec le RGPD est revelattrice : le RGPD protege la personne a travers ses donnees (droits fondamentaux), le Data Act protege l’acces independamment du caractere personnel (droit economique). En cas de conflit fabricant-utilisateur, le Data Act fournit des mecanismes d’acces mais ne determine pas qui est “proprietaire” – une lacune que la jurisprudence devra combler.

Les implications pour la securite des donnees

La qualification a des consequences sur les obligations de securite (article 32 du RGPD). Si les donnees sont des biens susceptibles de propriete, l’obligation de securite s’apparente a celle du depositaire (article 1927 du Code civil). En matiere penale, la loi du 24 juillet 2015, en incriminant l’extraction frauduleuse de donnees d’un STAD (article 323-3 du Code penal), a partiellement comble la lacune du vol de donnees sans resoudre le debat doctrinal.

Conclusion

La question de savoir si les donnees sont des biens reste ouverte. Le droit positif a contourne le debat en creant des regimes specifiques – RGPD pour les donnees personnelles, Data Act pour les donnees des produits connectes, droit penal pour la protection des systemes – sans jamais trancher la question de principe. Cette prudence legislative est comprehensible : qualifier les donnees de biens susceptibles de propriete bouleverserait l’ensemble du droit des biens et de la responsabilite civile.

Toutefois, l’analyse que nous developpons dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II) demontre que les biens informatiques possedent une realite physique qui les distingue des pures informations incorporelles. Cette realite physique pourrait fonder une qualification de bien corporel, au moins pour les donnees en tant qu’elles sont materialisees sur un support. Le debat, loin d’etre clos, continue d’irriguer les evolutions du droit du numerique, du Data Act a la cybersecurite.

FAQ

Les donnees personnelles appartiennent-elles a la personne concernee ?

En droit, les donnees personnelles ne font pas l’objet d’un droit de propriete au sens strict. Le RGPD confere a la personne concernee des droits de controle (acces, rectification, effacement, portabilite) qui s’apparentent a des droits de la personnalite plutot qu’a des attributs de la propriete. Toutefois, l’idee d’une “propriete” des individus sur leurs donnees irrigue le debat politique et pourrait influencer les evolutions legislatives futures, notamment dans le cadre de la souverainete numerique europeenne.

Le Data Act cree-t-il un droit de propriete sur les donnees IoT ?

Non. Le Data Act cree des droits d’acces aux donnees generees par les produits connectes, des droits de partage avec des tiers et des obligations de portabilite, mais il ne confere pas de droit de propriete sur ces donnees. L’approche du legislateur europeen est fondee sur l’acces plutot que sur l’appropriation, ce qui evite de trancher le debat sur la nature juridique des donnees tout en garantissant des droits effectifs aux utilisateurs.

Peut-on voler des donnees en droit francais ?

La qualification de vol au sens de l’article 311-1 du Code penal (soustraction frauduleuse de la chose d’autrui) reste debattue pour les donnees, dans la mesure ou la copie d’un fichier ne prive pas son detenteur initial de l’original. Toutefois, l’article 323-3 du Code penal sanctionne specifiquement l’extraction frauduleuse de donnees d’un STAD, ce qui couvre en pratique la plupart des situations de “vol” de donnees informatiques. La Cour de cassation a par ailleurs admis dans certaines decisions que la copie de fichiers pouvait constituer un vol (Cass. crim., 20 mai 2015).