Sommaire N°74

juin 2026

Télécharger le PDF

Malaise dans la transmission

Frédéric CARRÉ

Bâtir les héritages plutôt que les bannir

Constituer, détenir et redistribuer le patrimoine matériel

Karl MARX

Abolir la propriété privée et l’héritage

Jacques LE CACHEUX

Patrimoine et dynamiques économiques : constitution, détention, concentration, circulation

André MASSON

Tensions autour de la taxation du patrimoine et de sa transmission

Mélanie PLOUVIEZ

Petite histoire critique de l’héritage

Hippolyte D’ALBIS

La grande transmission n’aura (probablement) pas lieu

Marc DE BASQUIAT

Distinguer patrimoine de jouissance et patrimoine de puissance

Gérard ORSINI

La transmission d’entreprise : un héritage à transmettre, un avenir à construire

Édouard BASTIEN

Les conditions d’une transmission réussie

Évaluer, régir et préserver le patrimoine immatériel

André MALRAUX

Sauver le patrimoine de France

Olivier GALLAND

Transmettre des valeurs et du capital culturel

Olivier DE MAISON ROUGE

La protection du patrimoine informationnel de l’entreprise

Maryvonne DE SAINT PULGENT

Protéger le patrimoine culturel

Bernard DEBARBIEUX

Valoriser et transmettre le patrimoine de l’humanité

Guillaume POITRINAL

Les actions de la Fondation du patrimoine

Éric DELISLE

Gérer les données comme un patrimoine ?

Éric DELISLE

Chef de service à la Commission nationale de l’informatique et des libertés (CNIL)

Partage

Gérer les données comme un patrimoine ?

Chaque jour, des milliards d’individus et d’organisations produisent, échangent et stockent des quantités sans cesse plus importantes de données. Celles-ci, particulièrement lorsqu’il s’agit de données à caractère personnel, peuvent valoir cher, du moins pour ceux qui les collectent. Mais peuvent-elles être regardées comme un patrimoine ? Si l’idée revient régulièrement, elle se heurte à une réalité juridique complexe : les données personnelles ne sont pas un bien comme les autres.

« The world’s most valuable resource is no longer oil, but data »

The Economist, éditorial du 6 mai 2017.

Qu’est-ce qu’une donnée ?

Depuis quelques années, les données, ou data, ont envahi nos environnements personnels, économiques et institutionnels. Cependant, le terme de données renvoie à des réalités différentes. On peut schématiquement les scinder en deux catégories : les données à caractère personnel et celles qui ne le sont pas, la seconde catégorie se définissant par opposition à la première.

La donnée à caractère personnel est définie de façon particulièrement large par le Règlement général sur la protection des données (RGPD), applicable dans l’Union européenne depuis le 25 mai 2018, et avant lui par la loi Informatique et libertés, qui existe en France depuis le 6 janvier 1978, comme « toute information se rapportant à une personne physique identifiée ou identifiable ¹ ».

Concrètement, cette définition englobe non seulement des informations comme un nom, une adresse électronique ou postale mais également des données moins directes. Ainsi une adresse IP (numéro d’identification d’un appareil connecté à Internet) peut être qualifiée de donnée à caractère personnel. De la même manière, un identifiant publicitaire (les fameux cookies qui suivent votre navigation sur le Web), ou encore des coordonnées de géolocalisation permettent également de remonter à une personne physique.

Parmi ces données, les données sensibles font l’objet d’une protection particulière, dès lors qu’elles relèvent de l’intimité de l’individu : elles « révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique [ainsi que] les données génétiques, les données biométriques […], les données concernant la santé et [celles] concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ». Pour le RGPD, ces données ne sauraient faire l’objet d’un traitement qu’à la condition qu’il soit justifié par une des exceptions prévues. Par exemple, le rythme cardiaque collecté par une montre connectée est une donnée sensible.

À mesure que l’ensemble des activités se numérisent, les individus disséminent, volontairement ou non, un « patrimoine numérique ». Ces données, massivement collectées par l’écosystème numérique, cartographient les habitudes et les préférences et tracent un portrait parfois plus fin que celui que l’individu peut avoir lui-même. C’est pourquoi ces données recèlent une valeur, convoitée par de nombreux acteurs prêts à offrir des services en échange de celles-ci. Comme dit l’adage « si c’est gratuit, c’est que vous êtes le produit ».

Les données ont une valeur économique

Il suffit d’observer le modèle économique des grandes plateformes numériques pour comprendre l’enjeu. Google, Meta, Amazon ou encore TikTok ne vendent pas de produits au sens traditionnel du terme : ils vendent de l’attention ciblée, rendue possible par l’exploitation de quantités colossales de données personnelles. Shoshana Zuboff a théorisé ce phénomène sous le nom de « capitalisme de surveillance ² » : les données des utilisateurs constituent la matière première d’une économie nouvelle, où la prédiction et l’influence des comportements sont monétisées à grande échelle.

Cette valorisation peut être indirecte (c’est le modèle publicitaire classique, où vos données servent à vous présenter des annonces personnalisées) ou directe, via les data brokers, spécialisés dans l’achat et la revente de bases de données. Ce secteur représente plusieurs dizaines de milliards de dollars par an.

Mais la valeur économique des données ne concerne pas seulement les individus. Pour les personnes morales (entreprises, associations, administrations, etc.), les données constituent un actif stratégique majeur, dont la disparition engendrerait un préjudice considérable : bases de données clients, données de production, algorithmes propriétaires, informations financières, etc. La valeur du patrimoine immatériel, dont les données sont une composante centrale, dépasse aujourd’hui, dans de nombreux secteurs, la valeur des actifs physiques.

Du pétrole aux données

Couverture de The Economist (6 mai 2017).

Classiquement, le patrimoine désigne l’ensemble des droits et obligations d’une personne ayant une valeur pécuniaire. Il est composé d’un actif (les biens et créances) et d’un passif (les dettes). Si l’on tente d’appliquer cette grille aux données, plusieurs analogies s’imposent naturellement :

Posséder : nous stockons nos données sur nos appareils et nos services cloud et archivons nos photos, nos documents et nos échanges. Nous avons, en pratique, une relation de détention avec ces informations, même si le droit ne la qualifie pas toujours de propriété.
Céder ou vendre : chaque fois que nous acceptons les conditions générales d’utilisation d’un service gratuit, nous consentons implicitement en contrepartie à ce que nos données soient exploitées, ce qui s’apparente à une forme de transaction.
Transmettre : notre « héritage numérique » (photos, comptes de réseaux sociaux, etc.) peut être transmis à nos héritiers. Bien que le droit soit encore en construction, certaines plateformes permettent déjà de désigner un « contact légataire », et des instructions peuvent même être données par anticipation par le titulaire.
Se faire voler : les cyberattaques et les fuites de données sont en constante augmentation par leur nombre et le volume des données récupérées. Le « vol » de données personnelles cause des préjudices réels et documentés : atteinte à la réputation, perte financière, harcèlement, etc.

Les difficultés d’une patrimonialisation

La donnée personnelle n’est pas un bien comme les autres

À l’heure de l’IA, où certains influenceurs cèdent les droits d’usage de leur double numérique pour des montants astronomiques ³, le débat est vif : plusieurs initiatives, publiques comme privées, ont ainsi émergé ces dernières années autour de la monétisation des données personnelles, c’est-à-dire l’activité de vendre ses données comme un bien.

Cependant, si la métaphore patrimoniale est intuitivement convaincante, elle se heurte à un obstacle majeur : en droit français comme européen, il n’existe pas de droit de propriété reconnu sur les données personnelles, qui sont considérées comme une émanation de la personne elle-même et, à ce titre, relèvent des droits de la personnalité.

La situation est différente pour les données non personnelles. Les bases de données, par exemple, font l’objet d’une protection par le droit sui generis du producteur de bases de données. Un algorithme ou un modèle d’IA peuvent être protégés par le droit de la propriété intellectuelle ou par le secret des affaires. Dans ce domaine, la logique patrimoniale s’applique plus facilement.

Un droit fondamental incompatible avec la logique marchande

L’article 8 de la Charte des droits fondamentaux de l’Union européenne dispose que « toute personne a droit à la protection des données à caractère personnel la concernant ». Ce droit figure au titre des « droits de la personnalité », qui s’entendent des « droits inhérents à la personne humaine, qui appartiennent de droit à toute personne physique (innés et inaliénables) pour la protection de ses intérêts primordiaux ⁴ ».

Ces droits extrapatrimoniaux ne peuvent être vendus, car ils sont attachés à la personne et s’éteignent avec elle. Ce point est capital : une vision marchande serait contraire au droit et à la conception de la protection des données personnelles comme un droit attaché à la personne, qui prolonge le droit au respect de la vie privée.

Si cela n’exclut pas l’existence de contreparties dans certains traitements de données personnelles, celles-ci ne sauraient être assimilées à un bien immatériel, appropriable par des tiers et susceptible d’un commerce autonome ⁵. Le RGPD et la loi informatique et libertés reconnaissent ainsi aux personnes des droits sur leurs données auxquels il n’est pas possible de renoncer. La vente de données supposerait en effet le renoncement à ces droits : les acquéreurs seraient alors libres d’utiliser les données acquises sans que les personnes concernées puissent plus jamais avoir un droit de regard sur cette utilisation.

La question de l’héritage numérique

Le droit à la protection des données est d’abord un droit des vivants, ce que rappelle le considérant 27 du RGPD, qui précise que celui-ci « ne s’applique pas aux données à caractère personnel des personnes décédées » mais laisse aux États membres la possibilité de « prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées ⁶ ».

Ainsi la loi Informatique et libertés, modifiée en 2016, prévoit en France la possibilité pour toute personne de formuler des « directives relatives à la conservation et à la communication de ses données à caractère personnel après son décès », bien que ce droit soit inachevé, en l’absence de décrets d’application. Ces directives peuvent être « particulières », lorsqu’elles concernent un responsable de traitement en particulier, ou « générales », lorsqu’elles couvrent l’ensemble de données personnelles d’un individu.

La question de la valeur économique transmissible de ce patrimoine continue cependant de se poser. Si un individu possède par exemple une chaîne Internet à forte audience, cet actif numérique a une valeur réelle. Le régime successoral est pourtant incertain, car cet actif est souvent régi par un contrat personnel non transférable. La question de l’héritage numérique met en lumière toute la difficulté de traiter les données et les comptes numériques selon les catégories classiques du droit des successions.

Le cas des personnes morales

Les personnes morales ne bénéficient pas des mêmes protections fondamentales que les personnes physiques. Une entreprise n’ayant pas de vie privée, ses données relèvent davantage du registre patrimonial ordinaire, et les instruments juridiques disponibles sont plus proches de la propriété classique.

Le secret des affaires, protégé en France par la loi du 30 juillet 2018, constitue le principal bouclier juridique pour les données des entreprises. Le détournement de ces informations peut être poursuivi pénalement, et les victimes peuvent obtenir réparation devant les tribunaux civils.

Les organismes publics et privés sont néanmoins les premières victimes, à grande échelle, de cyberespionnage et de fuites de données. Cependant, contrairement au vol d’un bien physique, le vol d’une donnée informatique ne prive pas nécessairement son détenteur de la donnée, mais en crée simplement une copie non autorisée. Cette particularité technique a rendu difficile l’application des catégories classiques du droit pénal des biens, difficulté surmontée par la loi du 13 novembre 2014 et l’introduction dans le Code pénal de l’article 323-3 ⁷.

Les actions concrètes d’une gestion patrimoniale

Pour les individus

Quand bien même le droit ne reconnaît pas de propriété sur les données personnelles, rien n’empêche chacun d’adopter une posture de gestion active et consciente de son « capital numérique ». Cette démarche commence par l’inventaire : savoir quelles données on produit, où elles sont stockées, qui y a accès et à quelles fins.

À cette fin, le RGPD confère à chaque individu un arsenal de droits directement mobilisables, tels que les droits d’accès (savoir quelles données sont traitées et en obtenir une copie), de rectification (corriger des informations inexactes), d’effacement (le fameux droit à l’oubli) et, surtout, droit à la portabilité, permettant de récupérer ses données dans un format structuré et de les transférer vers un autre service. Ce dernier droit est sans doute le plus proche d’une logique patrimoniale : il traite la donnée comme un actif que l’on peut emporter avec soi.

Comme tout patrimoine, il convient de le protéger en assurant sa sécurité et sa confidentialité. Des outils pratiques existent pour renforcer cette gestion au quotidien : gestionnaires de mots de passe, coffres-forts numériques, antivirus, etc. À ce sujet, la CNIL fournit sur son site de nombreux conseils pratiques adaptés aux particuliers ⁸.

Enfin, comme évoqué, l’anticipation de son héritage numérique est une autre dimension de cette gestion patrimoniale, dont il convient de s’emparer au plus tôt par la rédaction de directives anticipées ou, au minimum, par le signalement à ses proches de l’existence des comptes et actifs numériques importants.

Pour les organisations

Pour les personnes morales, la gestion des données comme un patrimoine est une nécessité stratégique. Elle passe d’abord par la gouvernance des données, selon le principe d’accountability porté par le RGPD : cartographier les traitements et les flux de données au sein de l’organisation, les classifier selon leur sensibilité et leur valeur et, enfin, documenter les traitements dans un registre, ce qui, au passage, est une obligation légale.

Le délégué à la protection des données, obligatoire dans de nombreuses organisations, peut être vu comme le gestionnaire du patrimoine immatériel de l’organisme : il veille à la conformité et à la préservation de la valeur et de la sécurité de l’actif numérique. Au-delà de la conformité réglementaire, il est une réelle plus-value pour l’organisme qui le désigne.

La question de la valorisation comptable des actifs data reste également un chantier ouvert : des travaux académiques et institutionnels explorent des méthodes de valorisation sans qu’un standard universel se soit encore imposé.

Enfin, la donnée doit être traitée comme un risque patrimonial. Les cyberattaques, les ransomwares et les violations de données peuvent causer des dommages considérables : perte de revenus, atteinte à la réputation, mais également amendes administratives. Le marché de l’assurance cyber s’est fortement développé en réponse à cette réalité, et les plans de continuité d’activité intègrent désormais systématiquement des scénarios de crise data.

Conclusion

Si la donnée personnelle en a les attributs factuels, le droit européen résiste à cette qualification patrimoniale pour éviter toute marchandisation de l’identité humaine. Cette tension peut néanmoins être pilotée tant par les individus que par les organisations à travers une gouvernance rigoureuse.

L’enjeu est autant culturel que juridique : savoir ce que valent ses données, à qui on les confie et dans quelles conditions est appelé à devenir, au même titre que la culture financière, une compétence fondamentale du citoyen du XXIe siècle.

Les avis, opinions et positions exprimées dans le présent article n’engagent que leur auteur et en aucun cas l’institution à laquelle il appartient.

Article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Shoshana Zuboff, L’Âge du capitalisme de surveillance. Le combat pour un avenir humain face aux nouvelles frontières du pouvoir, trad. de l’anglais (États-Unis) par Bee Fomentelli et Anne-Sylvie Homassel, Paris, éditions Zulma, 2020.
Voir « TikTok : le célèbre influenceur Khaby Lame cède sa société pour près d’un milliard de dollars » (RFI, 27 janvier 2026), https://rfi.my/CO92.
Voir l’entrée « Personnalité », dans Gérard Cornu (dir.), Vocabulaire juridique, Paris, PUF, 1987.
Voir l’enquête menée par la CNIL sur la monétisation des données personnelles : https://www.cnil.fr/fr/monetisation-des-donnees-personnelles-combien-valent-nos-donnees.
Voir le Cahier innovation et prospective no 10 de la CNIL, Nos données après nous. De la mort à l’immortalité numérique, usages et enjeux des données post mortem, 2025, https://www.cnil.fr/sites/default/files/2025-10/cahier_ip_10.pdf.
Article 323-3 du Code pénal (modifié par la loi no 2015-912 du 24 juillet 2015) : « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende. »
https://www.cnil.fr/fr/mon-quotidien/ma-securite-numerique.

http://www.constructif.fr/bibliotheque/2026-6/gerer-les-donnees-comme-un-patrimoine.html?item_id=8021

Imprimer Envoyer par mail Réagir à l'article