La part du citoyen

Explorer ce domaine

Données personnelles, vie privée & RGPD

Ce domaine réunit les auditions qui interrogent la donnée personnelle comme terrain de la souveraineté numérique européenne. Une ligne de force le traverse : le RGPD est reconnu comme un succès normatif — « un outil de souveraineté normative par lui-même » (Marie-Laure Denis, Cnil) qui a « exporté le modèle européen » jusqu'en Californie et conféré aux entreprises européennes une présomption de conformité (Julien Rossi) — mais son effectivité est massivement contestée. Le fil rouge qui relie les huit sujets est un déplacement du débat : le problème premier ne serait pas un déficit de droit, mais son application. « La solution consiste tout simplement à appliquer les lois existantes » (David Chavalarias) ; « il ne faut pas se laisser piéger par le discours [selon lequel] l'espace numérique serait sans règles » (Martin Untersinger). Deux menaces structurent l'inquiétude : l'extraterritorialité américaine (Cloud Act, section 702 du FISA) qui expose les données malgré le droit européen, et le projet d'« omnibus numérique » qui, sous couvert de simplification, affaiblirait la protection au bénéfice des acteurs installés.

RGPD : bilan, effectivité et jurisprudence. Le sujet-socle. Il établit le consensus sur la valeur normative du texte (Denis, Rossi, Lechelle, Breton) et pose le clivage fondateur — simplifier ou renforcer ? — ainsi que l'alerte de Max Schrems sur la redéfinition « dangereuse » des données personnelles, avec la CJUE comme « seul espoir ».

Omnibus numérique et détricotage du RGPD. Décline l'objet d'inquiétude quasi unanime : assouplir la définition de la donnée (via la pseudonymisation) et élargir l'intérêt légitime à l'entraînement de l'IA (« ce qu'a fait Meta »), une réforme « réclamée par tous les géants du numérique » (Untersinger, Chatelain, Berjon). Aucun intervenant du corpus ne défend le texte.

Moyens et sanctions de la CNIL. Recentre sur l'effectivité concrète : la Cnil compte « trois à quatre fois moins d'agents » que ses homologues (Denis), le goulet étant autant le recrutement d'experts que le budget (Rossi). Il ajoute un angle mort — l'absence de sanction contre les administrations défaillantes (Pénicaud).

Transferts de données et adéquation. Documente le « maillon faible irlandais » (DPC « notoirement incapable de faire face aux Big Tech ») et la fragilité du Data Privacy Framework (garanties extralégislatives, démissions politiques au sein du Data Protection Review Court), avec l'arrêt Latombe de 2025 (Schrems, Le Querrec, Ligue des droits de l'homme).

Courtiers de données, traceurs et dark patterns. Apporte la mesure empirique de l'illusion du consentement : tracking sur « 90 % du web », parfois « plus de 500 entreprises » par site, dark patterns qui modifient le consentement (Bielova) ; greffe d'une industrie de surveillance étatique sur le marché publicitaire (Untersinger) ; discrimination par profilage (Data for Good).

Chiffrement et protection de la vie privée. Porte le clivage le plus technique : le chiffrement neutralise-t-il le Cloud Act ? Les fournisseurs (Microsoft, AWS, Google Cloud, BPIFrance) répondent oui ; l'ANSSI tranche l'inverse — « le chiffrement ne protège pas du Cloud Act et encore moins d'un kill switch » (Strubel) — Whittaker (Signal) défendant le chiffrement indivisible comme droit humain.

Gouvernance des données et communs de la donnée. Élargit au-delà du RGPD (secrets régaliens, coût de la dépendance chiffré à 265 Md€/an) et oppose des modèles : territorialité contre infrastructures, centralisation (Health Data Hub) contre fiducies et coopératives de données (Dulong de Rosnay).

Algorithmes publics et décisions automatisées. Rappelle que « les algorithmes publics ne sont ni neutres ni autonomes » (Pénicaud) : transparence sans sanction, systèmes critiques sous-publiés, biais des outils d'assistance, management algorithmique (Verdier).

Clivages majeurs. Trois lignes de fracture structurent le domaine. D'abord, simplifier ou renforcer : Breton juge l'omnibus « bienvenu » et l'application « trop lourde » ; Schrems y voit une « abdication du législateur » profitant à la Big Tech. Ensuite, souveraineté par la loi vs par la technique : les hébergeurs cloud misent sur le chiffrement et l'impossibilité technique d'accès, l'ANSSI et Latombe rappellent qu'aucune technologie ne couvre le risque juridique ni le traitement en clair. Enfin, nouveau droit vs application du droit existant : Untersinger, Schrems et Chavalarias refusent de légiférer davantage et réclament des moyens pour les régulateurs, tandis que d'autres (Quessard, Schrems sur les VLOPs) proposent de remonter le contrôle des grands acteurs à Bruxelles pour contourner l'inertie irlandaise. En creux, un désaccord sur la Cnil elle-même : levier de souveraineté (Denis) ou régulateur « beaucoup plus restrictif » pénalisant les acteurs français (Heydemann).

Sujets couverts

Sujets de ce domaine

Gouvernance des données et communs de la donnée

35 citations · 11 auditions

Chiffrement et protection de la vie privée

18 citations · 6 auditions

Courtiers de données, traceurs et dark patterns

15 citations · 6 auditions

RGPD : bilan, effectivité et jurisprudence

14 citations · 7 auditions

Omnibus numérique et détricotage du RGPD

12 citations · 6 auditions

Algorithmes publics et décisions automatisées

12 citations · 3 auditions

Transferts de données et adéquation (Schrems, Irlande)

11 citations · 4 auditions

Moyens et sanctions de la CNIL

6 citations · 4 auditions