Souviens-toi de l'âge que tu avais en mai 2018. C'est là qu'est entrée en vigueur la loi censée te rendre un peu maître de toi-même en ligne : le RGPD. Depuis, chaque fois que ton téléphone te demande d'« accepter les cookies », que tu prends un rendez-vous médical en ligne, que tu paies avec ta carte, une règle est censée veiller. La question de cette pièce est simple : cette règle te protège-t-elle vraiment — et si oui, pourquoi tant de gens, en ce moment même, s'affairent-ils à la desserrer ?
D'abord la bonne nouvelle : la loi existe, et elle mord
Établi Le RGPD n'est pas un vœu pieux : c'est un texte qui s'impose à toute entreprise qui vend des services en Europe, où que soient ses serveurs. En une phrase : une donnée sur toi t'appartient un peu, et on doit te demander avant de s'en servir. Devant les députés, la patronne du gendarme français, la CNIL, ne le présente pas comme une contrainte mais comme une arme.
« Le règlement général sur la protection des données, le RGPD, constitue un outil de souveraineté normative par lui-même. »
— Marie-Laure Denis (présidente de la CNIL, Mme Marie-Laure Denis, 2026-04-15)
(présidente de la CNIL, le gendarme français des données — elle défend le RGPD comme levier de souveraineté et réclame plus de moyens.)
Et ce n'est pas de la théorie. Un patron de la tech française, venu pourtant critiquer le bilan économique du texte, le reconnaît lui-même : le RGPD a fait plier Meta, et son modèle s'est exporté jusqu'en Californie.
« le règlement général sur la protection des données (RGPD) a été extraordinairement efficace pour exporter une valeur européenne (la protection des données trop personnelles) jusqu'en Californie. Meta a dû s'adapter sous peine de perdre 4 % de son chiffre d'affaires. »
— Yann Lechelle (probabl.ai / Eurostack, M. Yann Lechelle, 2026-03-26)
Quatre pour cent du chiffre d'affaires mondial : c'est le plafond d'amende que prévoit le RGPD, et c'est assez pour qu'un géant révise ses pratiques. Bref : quand la règle est claire et que la sanction fait mal, même les plus gros plient. Retiens ce « quand » : tout le reste de la pièce se joue dessus.
Mais dans la vraie vie, elle protège mal — et ce n'est pas la loi le problème
Disputé Voici le cœur du dossier. Pour Max Schrems, l'homme qui a fait annuler deux fois par la justice européenne les accords sur les transferts de données vers les États-Unis, le RGPD est bon ; ce qui manque, c'est la volonté de l'appliquer. Il avance des chiffres — à prendre pour ce qu'ils sont, des chiffres qu'il cite, pas un décompte officiel de la commission.
« Il est vrai que les chiffres disponibles à l'échelle européenne montrent que moins de 1,3 % des plaintes débouchent sur une amende. »
— Max Schrems (fondateur de l'association noyb, M. Max Schrems, 2026-03-26)
(juriste autrichien, fondateur de noyb, à l'origine des arrêts « Schrems I » et « Schrems II » — il soutient que le texte est bon mais qu'on refuse de l'appliquer.)
Pire, dit-il, quand une amende tombe, elle n'est presque jamais encaissée :
« un média public irlandais a estimé que seulement 0,3 % des montants dus ont réellement été payés »
— Max Schrems (fondateur de l'association noyb, M. Max Schrems, 2026-03-26)
Pourquoi l'Irlande ? Parce que la plupart des géants y ont installé leur siège européen, et que c'est donc l'autorité irlandaise qui est censée les surveiller. Un juriste de La Quadrature du Net, entendu en table ronde, décrit ce maillon faible sans détour.
« Le premier tient à sa non-application par certains États membres, en particulier l'Irlande, puisque l'autorité irlandaise de protection des données, la DPC, apparaît notoirement incapable de faire face aux Big Tech. »
— Bastien Le Querrec (juriste, La Quadrature du Net, des associations sur le thème de la protection des données personnelle, 2026-03-25)
Il ajoute un détail qui pique : quand tu portes plainte, tu n'es même pas partie à ta propre affaire — tu n'as pas accès à la sanction rendue à la suite de ta plainte. Et le gendarme français, lui, court après ses moyens.
« Nous comptons trois à quatre fois moins d'agents que nos homologues anglais et allemand, alors que notre périmètre est à peu près le même. »
— Marie-Laure Denis (présidente de la CNIL, Mme Marie-Laure Denis, 2026-04-15)
Faut-il en conclure que le droit est impuissant ? Non — et là, il faut écouter l'autre version. Un journaliste du Monde, spécialiste du sujet, refuse ce fatalisme : l'État sait contraindre les géants quand il le décide.
« il ne faut pas se laisser piéger par le discours lancinant selon lequel l'espace numérique serait sans règles et sans loi, et la puissance publique démunie et inopérante si elle ne s'appuie pas sur les géants du numérique. L'histoire récente montre que c'est tout bonnement faux. »
— Martin Untersinger (journaliste, Le Monde, M. Martin Untersinger, 2026-03-26)
Le mécanisme, lui, est net : le RGPD existe, il oblige, il a déjà mordu. Ce qui est disputé, c'est son taux de réussite au quotidien — et là, la balance penche vers « il protège moins qu'il ne le prétend », faute d'agents, de recouvrement, et à cause d'un État membre qui traîne des pieds.
Pendant ce temps, une industrie te regarde — et c'est légal, ou presque
Établi Le RGPD dit qu'on doit te demander ton consentement. Sauf que ce consentement est, dans les faits, en grande partie une illusion. Une chercheuse de l'Inria, spécialiste du pistage, a mesuré l'ampleur du phénomène. Un traceur, c'est un petit mouchard glissé dans une page web qui note ce que tu regardes.
« Le tracking est aujourd'hui présent sur environ 90 % du web, d'après les études existantes. »
— Nataliia Bielova (chercheuse, Inria — université Côte d'Azur, Mme Nataliia Bielova & M. Julien Rossi, 2026-04-01)
(chercheuse en informatique à l'Inria, spécialiste du pistage web et des « dark patterns » — elle mesure la surveillance publicitaire au lieu de la supposer.)
Derrière le bandeau « cookies » que tu cliques sans lire se cache une foule :
« Il n'est pas rare de voir des demandes de consentement mentionner plus de 500 entreprises susceptibles de collecter des données sur un même site web. »
— Nataliia Bielova (chercheuse, Inria — université Côte d'Azur, Mme Nataliia Bielova & M. Julien Rossi, 2026-04-01)
Et le fameux bouton n'est pas neutre. Un « dark pattern », c'est une interface truquée : « Accepter » bien vert et gras, « Refuser » minuscule et gris. Ce n'est pas une impression, c'est mesuré.
« Nous avons mesuré leur impact sur le processus décisionnel de plus de 4 000 utilisateurs en France et avons conclu que ces interfaces trompeuses modifient significativement la probabilité de consentement. »
— Nataliia Bielova (chercheuse, Inria — université Côte d'Azur, Mme Nataliia Bielova & M. Julien Rossi, 2026-04-01)
Où finissent ces morceaux de ta vie ? Chez des « courtiers de données » — des grossistes qui achètent, recoupent et revendent des profils. Personne ne sait combien ils sont en Europe, faute de registre. En Californie, où ils doivent se déclarer, on peut les compter :
« On en dénombre aujourd'hui 566, avec des indications sur les types de données détenues : données biométriques, orientation sexuelle, informations relatives à la santé reproductive, affiliation syndicale. »
— Nataliia Bielova (chercheuse, Inria — université Côte d'Azur, Mme Nataliia Bielova & M. Julien Rossi, 2026-04-01)
C'est ce que les chercheurs appellent, à la suite de Shoshana Zuboff, le « capitalisme de surveillance » : un modèle économique où ta vie privée est la matière première. Le risque n'est pas abstrait. À partir de ces profils, on peut repérer les foyers financièrement fragiles pour leur proposer le prix qu'ils accepteront, ou trier des candidats. La donnée récoltée pour te vendre des baskets peut servir à te classer.
Et l'État aussi te note — sans forcément te le dire
Établi La surveillance n'est pas que privée. L'administration, elle aussi, automatise des décisions qui te concernent. Soizic Pénicaud, cofondatrice de l'Observatoire des algorithmes publics, qui recense ces systèmes, le résume d'une phrase qui sert de fil : ces outils ne sont jamais des boîtes neutres.
« Enfin, notre travail vise à démontrer que les algorithmes publics ne sont ni neutres ni autonomes. Ils sont le produit de choix, qui sont toujours des choix politiques. »
— Soizic Pénicaud (cofondatrice de l'Observatoire des algorithmes publics, Mme Soizic Pénicaud, 2026-03-17)
Le plus frappant, c'est la banalité technique de ces systèmes. L'algorithme qui attribue à chaque allocataire de la Caisse d'allocations familiales un « score de risque » — c'est-à-dire une note qui aide à décider qui sera contrôlé — n'a rien d'une intelligence artificielle de science-fiction.
« Je pense par exemple à l'algorithme d'attribution de scores de risque de la Cnaf, que j'ai mentionné précédemment, qui repose sur une simple régression logistique, mais qui naturellement est susceptible d'affecter fortement les citoyens. »
— Soizic Pénicaud (cofondatrice de l'Observatoire des algorithmes publics, Mme Soizic Pénicaud, 2026-03-17)
Une « régression logistique », c'est une petite formule de statistiques qu'on apprend en fac. Et le cadre légal qui oblige l'administration à publier ces outils depuis 2016 a un trou béant :
« en réalité aucune sanction n'est prévue à l'encontre des administrations si elles ne mettent pas en œuvre le cadre légal de la transparence des algorithmes publics. »
— Soizic Pénicaud (cofondatrice de l'Observatoire des algorithmes publics, Mme Soizic Pénicaud, 2026-03-17)
Une transparence sans sanction, c'est une porte sans serrure : on te dit qu'elle existe, mais rien n'oblige à la fermer.
Alors, qui détricote les règles ?
Établi Depuis fin 2025, un texte circule à Bruxelles : l'« omnibus numérique ». Un omnibus, c'est un seul texte qui retouche d'un coup plusieurs lois existantes — un bus où l'on fait monter beaucoup de passagers. Son nom officiel est « simplification ». Ses adversaires, eux, y voient un démontage. Un avocat de la Ligue des droits de l'homme, entendu à la même table ronde que La Quadrature, met les correspondances sur la table — un travail documenté par des observatoires du lobbying.
« la redéfinition de la notion de données personnelles est portée par Microsoft, la limitation du droit d'accès aux données est issue de Google, l'utilisation des données personnelles à des fins d'entraînement des systèmes d'intelligence artificielle est soutenue par Meta, Google et X »
— Pierrick Clément (avocat, Ligue des droits de l'homme, des associations sur le thème de la protection des données personnelle, 2026-03-25)
Ce recoupement n'est pas la lubie d'un militant. Sur l'une de ces mesures — la redéfinition de ce qu'est une « donnée personnelle » —, un journaliste du Monde fait le même constat, et le pose comme un fait vérifiable.
« cet élément était réclamé par tous les géants du numérique ; toutes leurs contributions publiques le mentionnaient. Je vous laisse en tirer les conclusions sur l'impact que cela pourrait avoir sur nos libertés publiques. »
— Martin Untersinger (journaliste, Le Monde, M. Martin Untersinger, 2026-03-26)
De quoi parle-t-on concrètement ? Entre autres, d'ouvrir tes données à l'entraînement des intelligences artificielles via une case du RGPD appelée « intérêt légitime » — la permission d'utiliser tes données sans te demander, quand l'entreprise estime avoir une bonne raison. La rapporteure de la commission met un nom sur l'exemple :
« l'omnibus vise à élargir l'intérêt légitime à l'entraînement de l'IA – ce qu'a fait Meta avec les données de nos concitoyens, considérant que c'était là un intérêt légitime de l'entreprise. »
— Cyrielle Chatelain (rapporteure de la commission, Mme Anne Le Hénanff, 2026-05-20)
Et ce n'est pas seulement l'opposition qui s'en alarme. Devant la même commission, la ministre chargée du numérique a exprimé les réserves françaises sur cet élargissement de l'intérêt légitime — le cas Meta — comme sur le maquillage des données par « pseudonymisation ».
« ce n'est pas parce qu'une donnée est pseudonymisée qu'elle n'est pas problématique en cas de vol ou de croisement de fichiers. »
— Anne Le Hénanff (ministre déléguée chargée de l'intelligence artificielle et du numérique, Mme Anne Le Hénanff, 2026-05-20)
Pour l'avocat, appeler tout cela « simplification » est un abus de langage.
« La notion même de simplification apparaît, à cet égard, trompeuse et doit être qualifiée pour ce qu'elle est réellement, à savoir une démarche de dérégulation. »
— Pierrick Clément (avocat, Ligue des droits de l'homme, des associations sur le thème de la protection des données personnelle, 2026-03-25)
Et le poids derrière cette poussée se chiffre. Le même avocat le pose noir sur blanc.
« Les 700 organisations représentant le secteur du numérique qui y sont enregistrées ont consacré 113 millions d'euros à leurs activités en 2023, et les projections pour 2025 s'élèvent à 150 millions d'euros. »
— Pierrick Clément (avocat, Ligue des droits de l'homme, des associations sur le thème de la protection des données personnelle, 2026-03-25)
La CNIL, elle, a tracé sa ligne rouge : ne pas toucher à la définition binaire d'une donnée personnelle.
« Il faut maintenir la responsabilisation des acteurs, en conservant les règles binaires actuelles – c'est le point qui nous paraît le plus essentiel, à propos de l'« omnibus numérique ». »
— Marie-Laure Denis (présidente de la CNIL, Mme Marie-Laure Denis, 2026-04-15)
Schrems, lui, vise le principe même de « simplifier au bénéfice de la souplesse » : selon lui, le flou juridique ne protège pas les petits, il avantage ceux qui ont les meilleurs avocats.
« En réalité, ceux qui bénéficient des approches « fondées sur l'analyse des risques » et de la mauvaise rédaction du droit européen, ce sont les entreprises de la Big Tech, car elles disposent des services de puissants cabinets d'avocats, qui sont capables d'engager des débats interminables avec le régulateur sur le sens de chaque terme. »
— Max Schrems (fondateur de l'association noyb, M. Max Schrems, 2026-03-26)
L'autre camp, qu'il faut entendre aussi
Disputé Soyons honnêtes : dans ce corpus, aucun témoin n'est venu défendre l'omnibus ligne à ligne. La position anti-détricotage est donc majoritaire. Mais la défense la plus forte de l'idée de simplifier, elle, existe — et elle est portée par le seul champion français des grands modèles d'IA, qui renverse toute la logique de la commission.
« En technologie plus qu'ailleurs, l'existence d'une réglementation favorise les gros. Comme on dit, l'enfer est pavé de bonnes intentions. »
— Arthur Mensch (cofondateur et PDG de Mistral AI, M. Arthur Mensch, 2026-05-12)
(cofondateur et PDG de Mistral AI, seul champion français des grands modèles — il soutient que réguler pour se défendre ne fonctionne pas.)
Son verdict tient en une ligne : « En résumé, réglementer pour défendre, cela ne fonctionne pas. » Un ancien secrétaire d'État au Numérique, devenu cofondateur de ce même Mistral, prolonge : selon lui, l'AI Act — la grande loi européenne qui encadre l'intelligence artificielle — s'est trompé de cible en encadrant l'outil plutôt que ce qu'on en fait.
« pour la première fois, on régulait la technologie elle-même et non ses usages. »
— Cédric O (ancien secrétaire d'État au Numérique, cofondateur de Mistral AI, M. Cédric O, 2026-05-13)
Il va plus loin, dans un aveu qui dit l'humeur de l'époque : « j'ai l'impression que, ces dernières années, les grandes entreprises américaines ont davantage façonné notre avenir que le législateur lui-même. » À cet argument, un maître de conférences en droit à Paris 8 oppose le contre-argument le plus solide : affaiblir le RGPD, ce ne serait pas aider l'Europe, ce serait scier la branche compétitive sur laquelle elle est assise.
« Jusqu'à présent, le RGPD fonctionnait de facto comme un étalon international, conférant aux entreprises européennes une présomption de conformité et, partant, un avantage compétitif. »
— Julien Rossi (maître de conférences, université Paris 8, Mme Nataliia Bielova & M. Julien Rossi, 2026-04-01)
Et au milieu, la nuance la plus utile vient de l'architecte lui-même des règlements européens. Thierry Breton défend son corpus bec et ongles — « Comment peut-on vouloir les simplifier, voire les détricoter ? ». Avec une exception, une seule : le RGPD, dont il juge l'application « trop lourde », laissée à la main de ceux qui vendent les services. Sur ce texte-là, dit-il, un omnibus qui l'allégerait serait « le bienvenu ». Mais pour les cinq autres lois — le DSA, le règlement européen sur les services numériques, en tête —, il refuse net l'idée de « simplifier » : s'il fallait un omnibus, ce serait pour renforcer, pas pour affaiblir.
« S'il fallait faire évoluer la législation avec un omnibus, ce ne serait pas pour la simplifier mais pour commencer à borner les choses. »
— Thierry Breton (ancien commissaire européen au marché intérieur, M. Thierry Breton, 2026-04-15)
(ancien commissaire européen au marché intérieur, à l'origine des règlements numériques — il défend ces lois contre leur « détricotage », sauf sur le RGPD dont il trouve l'application trop lourde.)
Simplifier, est-ce un bien ou un mal ? Ce n'est pas à nous d'en décider : c'est un choix politique, pas un fait. Ce qu'on peut établir, en revanche, c'est le mécanisme — un texte présenté comme technique et neutre reprend des demandes précises et documentées des plus grandes entreprises du secteur, et c'est cela, exactement, que la commission a mis au jour.
Pose ta question au dossier.