La part du citoyen

1 avril 2026 · réunion n°16

Audition de Mme Nataliia Bielova, directrice de recherche au centre Inria de l’université Côte d’Azur ; M. Julien Rossi, maître de conférences en sciences de l’information et de la communication à l’UFR Culture et communication et au Centre d’études sur les médias, les technologies et l’internationalisation (Cémti) de l’université Paris 8.

NBNataliia BielovaJRJulien Rossi

Qui est auditionné

Table ronde ouverte à la presse sur la protection des données personnelles, tenue sous la présidence de Sophie-Laurence Roy, vice-présidente (le président Latombe et la rapporteure Chatelain intervenant, Latombe étant excusé). Deux chercheurs, sous serment :

Les deux ont co-signé une analyse critique de la proposition « Omnibus numérique » au sein d'un réseau de chercheurs coordonné par Margo Bernelin (CNRS).

La substance

Bielova — l'ampleur technique de la surveillance. Un site contient « en moyenne des dizaines de traceurs » et « le tracking est aujourd'hui présent sur environ 90 % du web ». Les chaînes d'inclusion opaques (bibliothèques JavaScript chargeant des composantes à l'insu de l'éditeur) rendent le consentement illusoire : « il n'est pas rare de voir des demandes de consentement mentionner plus de 500 entreprises ». Les dark patterns manipulent mesurablement le choix — étude sur « plus de 4 000 utilisateurs en France », avec effet d'exposition. Des taxonomies décrivent « plus d'un millier de segments » permettant d'inférer les revenus d'un foyer, ouvrant sur discrimination (emploi, prix des prêts). Sur 9 000 sites, 40 % fusionnent des identifiants distincts. Elle cite le modèle californien : « 566 » courtiers en données déclarés sur une plateforme publique (biométrie, orientation sexuelle, santé reproductive, affiliation syndicale) et plaide pour un registre européen équivalent.

Rossi — la bascule anthropologique et régalienne. La protection des données « ne protège pas les données en tant que telles, mais les personnes ». Or « être en ligne relevait d'un choix ; aujourd'hui, c'est une obligation de fait, et presque une obligation en droit », y compris pour l'accès aux services publics, « parfois au mépris de la jurisprudence du Conseil d'État ». D'où la pépite de souveraineté : FranceConnect+ « implique en pratique la possession d'un smartphone fonctionnant sous iOS ou Android, devenus de facto des contrôleurs d'accès à l'identité civile ». Il mobilise le « capitalisme de surveillance » (Zuboff) : « les principales capitalisations boursières reposent sur la valorisation des données et sur les technologies d'intelligence artificielle ».

La cible commune : l'Omnibus numérique (19 novembre 2025). Les deux démontrent qu'il affaiblirait les garanties sous couvert de simplification : exclusion des données pseudonymes (notion d'« entité » non définie), exceptions de consentement pour la mesure d'audience, dissociation RGPD/ePrivacy (art. 88), angles morts (TV connectées). Rossi illustre le danger de la pseudonymisation : avec de simples points de géolocalisation, « il devient relativement aisé de reconstituer un fichier d'individus classés par religion » — l'« anonymity washing » (Lestyán). Argument stratégique clé : « le RGPD fonctionnait de facto comme un étalon international, conférant aux entreprises européennes une présomption de conformité et, partant, un avantage compétitif » ; le dégrader nuirait aux transferts de données (Brésil, Japon) et à la compétitivité — à rebours du rapport Draghi.

Les enjeux et confrontations

L'audition est consensuelle sur le fond (deux experts convergents, aucun conflit d'intérêts déclaré), mais son moment de tension révélateur est un échange de cadrage avec la présidence. Roy pousse vers le fatalisme — « nous sommes face à un droit qui feint de nous protéger, mais demeure impuissant » — et Rossi corrige fermement : « Je serai moins pessimiste quant à la faculté du droit », « le droit n'est pas impuissant. La question centrale demeure celle de son effectivité. » Il documente ce refus du fatalisme par un cas concret (chauffeurs VTC accédant à leurs données, plainte aux Pays-Bas). Autre nuance importante, sur la CNIL : Rossi refuse de trancher sur les moyens financiers et déplace le problème vers « la capacité à recruter et à fidéliser des personnels » de très haut niveau, en concurrence avec le privé. Face à la rapporteure Chatelain, qui creuse méthodiquement (donnée anonyme vs personnelle, compétitivité, discrimination par les prix, outils nationaux hors RGPD), les chercheurs restent prudents et refusent de spéculer, renvoyant à des travaux en cours (droit pénal des données de 1992 « très peu mobilisé », conventions 108/108+, IA agentique dans les paiements).

Ce que l'audition apporte au dossier

Elle fournit à la commission une démonstration chiffrée et sourcée que la dépendance numérique individuelle est un enjeu de souveraineté (OS américains comme portiers de l'identité civile), et retourne l'argument de compétitivité contre la déréglementation en cours (Omnibus). Elle pointe des responsabilités précises (Commission européenne, chaînes de co-responsabilité floues, éditeurs de plateformes de consentement) sans logique accusatoire, et livre des recommandations actionnables : registre public des courtiers en données, harmonisation des interprétations des régulateurs (« quatorze régulateurs européens ne s'accordent pas »), standardisation permettant un audit automatisé à grande échelle, extension des garanties procédurales des affaires transfrontières (2027) aux plaintes nationales, et renforcement de l'effectivité et des compétences de la CNIL.