Ce matin, le Parlement européen a adopté sa position sur une nouvelle directive qui encadrera les « contrats de fourniture de contenu numérique ». Il y a inscrit un principe fondamental, déjà esquissé il y a quelques semaines dans le règlement ePrivacy : « les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises ».
Le 26 octobre dernier, le Parlement européen a adopté sa position sur le règlement ePrivacy, en précisant que « nul utilisateur ne peut se voir refuser l’accès à un service […] au motif qu’il n’a pas consenti […] à un traitement de ses données à caractère personnel […] non nécessaire à la fourniture du service » (voir article 8, paragraphe 1 bis, du rapport LIBE).
Cette disposition faisait directement écho au Règlement Général sur la Protection des Données (RGPD) adopté l’an dernier, qui prévoie (article 7 et considérant 43) que « le consentement est présumé ne pas avoir été donné librement […] si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution ».
Aujourd’hui, le Parlement européen est allé encore plus loin en déclarant que « les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises »Notre traduction de « personal data cannot be compared to a price, and therefore cannot be considered as a commodity ». (considérant 13 du rapport adopté aujourd’hui). Nous pouvons seulement regretter que le Parlement n’ait pas eu le courage de tirer toutes les conséquences légales de sa position et n’ait pas clairement interdit les contrat de type « service contre données ». Il se refuse à explicitement « décider si de tels contrats devraient ou non être autorisés et laisse aux lois nationales la question de la validité de ces contrats »Notre traduction de « decide on whether such contracts should be allowed or not and leaves to national law the question of validity of [those] contracts ».. Mais il a aussi précisé que sa position « ne devrait, en aucun cas, donner l’impression qu’elle légitime ou encourage des pratiques basées sur la monétisation des données personnelles »Notre traduction de « should, in no way, give the impression that it legitimises or encourages a practice based on monetisation of personal data ». (voir considérant 13).
Le texte adopté aujourd’hui (tout comme celui adopté le mois dernier sur ePrivacy) devra encore être débattu par les États membres, qui pourront affaiblir entièrement ces nouvelles précisions.
Toutefois, aujourd’hui, le Parlement a pris un autre pas décisif vers la reconnaissance d’un principe fondamental, pour lequel La Quadrature du Net se bat depuis des années : que le droit à la vie privée et à la protection des données, tout comme n’importe quel autre droit fondamental, ne puisse être vendu.