Données personnelles, vie privée & RGPD
Ce domaine réunit les auditions qui interrogent la donnée personnelle comme terrain de la souveraineté numérique européenne. Une ligne de force le traverse : le RGPD est reconnu comme un succès normatif — « un outil de souveraineté normative par lui-même » (Marie-Laure Denis, Cnil) qui a « exporté le modèle européen » jusqu'en Californie et conféré aux entreprises européennes une présomption de conformité (Julien Rossi) — mais son effectivité est massivement contestée. Le fil rouge qui relie les huit sujets est un déplacement du débat : le problème premier ne serait pas un déficit de droit, mais son application. « La solution consiste tout simplement à appliquer les lois existantes » (David Chavalarias) ; « il ne faut pas se laisser piéger par le discours [selon lequel] l'espace numérique serait sans règles » (Martin Untersinger). Deux menaces structurent l'inquiétude : l'extraterritorialité américaine (Cloud Act, section 702 du FISA) qui expose les données malgré le droit européen, et le projet d'« omnibus numérique » qui, sous couvert de simplification, affaiblirait la protection au bénéfice des acteurs installés.
RGPD : bilan, effectivité et jurisprudence. Le sujet-socle. Il établit le consensus sur la valeur normative du texte (Denis, Rossi, Lechelle, Breton) et pose le clivage fondateur — simplifier ou renforcer ? — ainsi que l'alerte de Max Schrems sur la redéfinition « dangereuse » des données personnelles, avec la CJUE comme « seul espoir ».
Omnibus numérique et détricotage du RGPD. Décline l'objet d'inquiétude quasi unanime : assouplir la définition de la donnée (via la pseudonymisation) et élargir l'intérêt légitime à l'entraînement de l'IA (« ce qu'a fait Meta »), une réforme « réclamée par tous les géants du numérique » (Untersinger, Chatelain, Berjon). Aucun intervenant du corpus ne défend le texte.
Moyens et sanctions de la CNIL. Recentre sur l'effectivité concrète : la Cnil compte « trois à quatre fois moins d'agents » que ses homologues (Denis), le goulet étant autant le recrutement d'experts que le budget (Rossi). Il ajoute un angle mort — l'absence de sanction contre les administrations défaillantes (Pénicaud).
Transferts de données et adéquation. Documente le « maillon faible irlandais » (DPC « notoirement incapable de faire face aux Big Tech ») et la fragilité du Data Privacy Framework (garanties extralégislatives, démissions politiques au sein du Data Protection Review Court), avec l'arrêt Latombe de 2025 (Schrems, Le Querrec, Ligue des droits de l'homme).
Courtiers de données, traceurs et dark patterns. Apporte la mesure empirique de l'illusion du consentement : tracking sur « 90 % du web », parfois « plus de 500 entreprises » par site, dark patterns qui modifient le consentement (Bielova) ; greffe d'une industrie de surveillance étatique sur le marché publicitaire (Untersinger) ; discrimination par profilage (Data for Good).
Chiffrement et protection de la vie privée. Porte le clivage le plus technique : le chiffrement neutralise-t-il le Cloud Act ? Les fournisseurs (Microsoft, AWS, Google Cloud, BPIFrance) répondent oui ; l'ANSSI tranche l'inverse — « le chiffrement ne protège pas du Cloud Act et encore moins d'un kill switch » (Strubel) — Whittaker (Signal) défendant le chiffrement indivisible comme droit humain.
Gouvernance des données et communs de la donnée. Élargit au-delà du RGPD (secrets régaliens, coût de la dépendance chiffré à 265 Md€/an) et oppose des modèles : territorialité contre infrastructures, centralisation (Health Data Hub) contre fiducies et coopératives de données (Dulong de Rosnay).
Algorithmes publics et décisions automatisées. Rappelle que « les algorithmes publics ne sont ni neutres ni autonomes » (Pénicaud) : transparence sans sanction, systèmes critiques sous-publiés, biais des outils d'assistance, management algorithmique (Verdier).
Clivages majeurs. Trois lignes de fracture structurent le domaine. D'abord, simplifier ou renforcer : Breton juge l'omnibus « bienvenu » et l'application « trop lourde » ; Schrems y voit une « abdication du législateur » profitant à la Big Tech. Ensuite, souveraineté par la loi vs par la technique : les hébergeurs cloud misent sur le chiffrement et l'impossibilité technique d'accès, l'ANSSI et Latombe rappellent qu'aucune technologie ne couvre le risque juridique ni le traitement en clair. Enfin, nouveau droit vs application du droit existant : Untersinger, Schrems et Chavalarias refusent de légiférer davantage et réclament des moyens pour les régulateurs, tandis que d'autres (Quessard, Schrems sur les VLOPs) proposent de remonter le contrôle des grands acteurs à Bruxelles pour contourner l'inertie irlandaise. En creux, un désaccord sur la Cnil elle-même : levier de souveraineté (Denis) ou régulateur « beaucoup plus restrictif » pénalisant les acteurs français (Heydemann).
Sujets couverts
- RGPD : bilan, effectivité et jurisprudence — succès normatif reconnu mais mal appliqué ; clivage fondateur simplifier/renforcer et rôle de la CJUE.
- Omnibus numérique et détricotage du RGPD — inquiétude quasi unanime sur l'affaiblissement des données personnelles au profit des géants (pseudonymisation, IA).
- Moyens et sanctions de la CNIL — sous-dimensionnement du régulateur et enjeu d'effectivité plus que de production normative.
- Transferts de données et adéquation (Schrems, Irlande) — maillon faible irlandais et fragilité du Data Privacy Framework face à l'extraterritorialité américaine.
- Courtiers de données, traceurs et dark patterns — consentement illusoire mesuré empiriquement et opacité d'un marché « hors de contrôle ».
- Chiffrement et protection de la vie privée — droit indivisible, mais désaccord sur sa capacité à neutraliser le Cloud Act et le kill switch.
- Gouvernance des données et communs de la donnée — la donnée comme actif stratégique au-delà du RGPD ; modèles centralisés vs fiducies/coopératives.
- Algorithmes publics et décisions automatisées — les algorithmes publics comme choix politiques ; transparence sans sanction et biais des outils.