La part du citoyen

Données personnelles, vie privée & RGPD

Gouvernance des données et communs de la donnée

Le corpus fait de la donnée l'enjeu central de la souveraineté numérique, tout en révélant des clivages profonds sur ce qu'il faut protéger et comment. Un constat est largement partagé : la donnée est un actif stratégique et une « nouvelle arme géopolitique » (Marie-Laure Denis, Cnil, Mme Marie-Laure Denis), dont la protection doit dépasser le seul RGPD pour englober les secrets régaliens. À Bercy, Yves Billon (des directeurs de systèmes d’information de ministères) rappelle que le ministère « protège des secrets : secrets fiscaux, secrets douaniers, secrets des affaires » ; au ministère de l'Intérieur, Mathieu Weill (des directeurs de systèmes d’information de ministères) justifie l'auto-hébergement des systèmes sensibles par la « confiance dans la vie démocratique », notamment lors de la remontée des résultats électoraux. Le coût de la dépendance est chiffré : Catherine Mayenobe (CDC, Mme Catherine Mayenobe) cite une « perte de valeur économique estimée à près de 265 milliards d'euros par an » pour l'UE (étude Cigref/Asterès), la CDC affichant 54 % de solutions souveraines contre 17 % en moyenne.

Premier clivage : la territorialité de la donnée. Pour Fabrice Coquio (Digital Realty, M. Fabrice Coquio), la donnée « circule dans le monde à la vitesse de la lumière » et échappe à toute localisation ; seule compte la présence physique des infrastructures. À l'inverse, Mélanie Dulong de Rosnay et Ramya Chandrasekhar (CIS/CNRS, Mme Mélanie Dulong de Rosnay) font de la souveraineté des données une « composante indispensable » de la souveraineté numérique. La rapporteure Cyrielle Chatelain (Mme Christel Heydemann) déplace le débat : la question « n'est pas liée à la localisation des données, mais à l'opérateur de la capacité », pointant le risque de kill switch au-delà du Cloud Act. Florent Della Valle (Cnil, Mme Marie-Laure Denis) abonde : le « critère de possession » importe moins que la maîtrise effective.

Deuxième clivage : le RGPD. Marie-Laure Denis (Mme Marie-Laure Denis) y voit « un outil de souveraineté normative par lui-même » ; Max Schrems (NOYB, M. Max Schrems) reproche aux régulateurs, « y compris la Cnil », d'avoir « cédé » face à l'IA « de peur de prendre du retard », citant l'affaire OpenAI où des « hallucinations » diffamatoires ne peuvent être corrigées. Christel Heydemann (Orange, Mme Christel Heydemann) juge à l'inverse la lecture de la Cnil « beaucoup plus restrictive » que celle des autres agences européennes.

Modèles de gouvernance alternatifs. Dulong de Rosnay (Mme Mélanie Dulong de Rosnay) critique le Health Data Hub, « hébergé par Microsoft selon une architecture centralisée », et propose fiducies et coopératives de données conditionnant les usages (exclure le militaire, réserver aux chercheurs et à l'ESS). Chandrasekhar cite Barcelone imposant à Vodafone une clause de restitution des données publiques. Thierry Breton (M. Thierry Breton) déplace l'ambition : l'Europe a « raté » les données personnelles mais détient un « historique informationnel » industriel unique à exploiter. Enfin, Soizic Pénicaud (Odap, Mme Soizic Pénicaud) alerte sur le détournement possible des infrastructures — un membre du DOGE ayant « emporté les données de la sécurité sociale américaine sur une clé USB » — et Emmanuel Marcovitch (M. Emmanuel Marcovitch) déplore l'absence de cartographie interministérielle des données sensibles.

Qui en parle

Interventions regroupées (35 citations · 11 auditions)

Domaine : Données personnelles, vie privée & RGPD · Sujet : gouvernance-donnees

Couverture : 35 citations · 10 positions · 11 auditions

_Slugs bruts fusionnés : souverainete-donnees, souverainete-donnees-rgpd, gouvernance-donnees-ue, fiducies-donnees, cooperatives-donnees, cartographie-donnees-sensibles, detournement-usage-donnees, donnees-industrielles-patrimoine, manufacturing-data, sas-insee, droit-penal-donnees, ia-donnees-personnelles_

Positions exprimées

  • Mme Catherine Mayenobe (Mme Catherine Mayenobe) : Les donnees sont l'actif le plus precieux du groupe ; la CDC interdit depuis toujours le recours a des solutions non souveraines pour ses donnees les plus sensibles (Francais, retraites, epargne, notaires), ce qui l'a empechee de basculer dans le cloud public. _(tranchant 4)_
  • M. Max Schrems (M. Max Schrems) : Le RGPD avait anticipé l'IA dès 1981 ; les régulateurs, dont la CNIL, ont capitulé par peur du retard ; les « hallucinations » diffamatoires non corrigibles (affaire OpenAI) montrent que le droit d'accès et de rectification reste indispensable. _(tranchant 4)_
  • (table ronde) (des directeurs de systèmes d’information de ministères) : La protection des données est la priorité absolue, au-delà du RGPD (secrets fiscaux, douaniers, des affaires, statistiques, données régaliennes) ; le chiffrement seul ne garantit pas l'inaccessibilité au prestataire. _(tranchant 4)_
  • M. Thierry Breton (M. Thierry Breton) : L'Europe a raté les données personnelles mais détient un patrimoine informationnel industriel unique (2000-2025) qu'il faut préserver et exploiter, cœur de la souveraineté à venir. _(tranchant 4)_
  • Mme Marie-Laure Denis (Mme Marie-Laure Denis) : La souveraineté numérique est un enjeu géopolitique et de sécurité qui suppose une stratégie de long terme, volontariste et au plus haut niveau de gouvernance, non une réaction de crise. _(tranchant 4)_
  • M. Fabrice Coquio (M. Fabrice Coquio) : Il n'existe pas de véritable territorialité de la donnée : elle circule à la vitesse de la lumière et échappe à toute localisation ; ce qui compte est la présence physique des infrastructures sur le territoire, pas la maîtrise de la donnée elle-même. _(tranchant 4)_
  • Mme Mélanie Dulong de Rosnay (Mme Mélanie Dulong de Rosnay) : La souveraineté des données est une composante indispensable de la souveraineté numérique ; l'objectif est de redonner aux individus et aux communautés le contrôle effectif de leurs données et d'exiger réciprocité et durabilité des acteurs qui les exploitent. _(tranchant 3)_
  • Mme Mélanie Dulong de Rosnay (Mme Mélanie Dulong de Rosnay) : Il faut créer des fiducies et coopératives de données comme intermédiaires de gouvernance collective, détenant les données au nom des citoyens, imposant des conditions d'usage (par exemple excluant l'usage militaire) et initiant au besoin des litiges stratégiques. _(tranchant 3)_
  • Mme Christel Heydemann (Mme Christel Heydemann) : La Cnil sur-transpose le RGPD (jurisprudence française plus stricte que les textes européens et que les autres régulateurs), ce qui pénalise les acteurs français sans gain de souveraineté. _(tranchant 3)_
  • MM. Emmanuel Marcovitch (M. Emmanuel Marcovitch) : L'absence de doctrine interministérielle pour identifier les données sensibles est une lacune de gouvernance ; la Dinum et l'Anssi devraient piloter une cartographie de ces données avec tous les ministères. _(tranchant 2)_

Citations (verbatim, sourcées)

« On a également appris qu’un membre du Department of Government Efficiency (Doge), cette équipe menée par Elon Musk, a emporté les données de la sécurité sociale américaine sur une clé USB. »

Mme Soizic Pénicaud — Observatoire des algorithmes publics (Odap) (audite, audition de Mme Soizic Pénicaud, 2026-03-17)

_Illustre concrètement comment des infrastructures de données peuvent être détournées à des fins coercitives._

« il importe d’être particulièrement attentif aux infrastructures que l’on bâtit, parce qu’elles sont susceptibles d’ouvrir la porte à de potentielles dérives. »

Mme Soizic Pénicaud — Observatoire des algorithmes publics (Odap) (audite, audition de Mme Soizic Pénicaud, 2026-03-17)

_Argument central : le risque n’est pas seulement présent mais latent dans les infrastructures elles-mêmes._

« Tout l’objet de l’homologation, qui implique un ensemble d’analyses précises, est de s’assurer que cette exfiltration est impossible. »

M. Dominique Luzeaux — Otan (ACT) / ancien Agence du numérique de défense (audite, audition de M. Dominique Luzeaux, 2026-03-18)

_Argument technique opposé aux soupçons politiques sur Palantir : la sécurité repose sur l'homologation, pas sur la confiance._

« perte de valeur économique estimée à près de 265 milliards d’euros par an pour l’Union européenne en achats de solutions, selon une étude du club informatique des grandes entreprises françaises (Cigref) commanditée auprès du cabinet Asterès »

Catherine Mayenobe — Caisse des dépôts (audite, audition de Mme Catherine Mayenobe, 2026-03-18)

_Chiffre-choc du cout economique de la dependance numerique europeenne, source Cigref/Asteres, mobilise pour poser l'urgence._

« Pour l’établissement public Caisse des dépôts stricto sensu, cette part est de 54 %, ce qui nous place dans une situation de départ nettement plus favorable que la moyenne. »

Catherine Mayenobe — Caisse des dépôts (audite, audition de Mme Catherine Mayenobe, 2026-03-18)

_Chiffre-cle de la position de la CDC : 54 % de solutions souveraines contre 17 % en moyenne europeenne._

« Aujourd’hui, je ne sais plus comment gérer l’arrivée de dispositifs comme Copilot dans l’environnement de travail de mes collaborateurs, où je n’ai plus aucune garantie sur la traçabilité des données et les risques de fuite. »

Catherine Mayenobe — Caisse des dépôts (audite, audition de Mme Catherine Mayenobe, 2026-03-18)

_Explique pourquoi l'IA generative (Copilot) rend la dependance a Microsoft soudain critique alors qu'elle etait toleree jusque-la._

« nous avons constaté que tous les régulateurs européens, y compris la Cnil (Commission nationale de l’informatique et des libertés) – qui était habituellement un régulateur très fort sur bien des sujets – ont cédé, estimant qu’il fallait tout autoriser, de peur de prendre du retard dans ce secteur. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Vise directement la CNIL et pointe la capitulation des régulateurs face à l'IA, motivée par la peur du retard — enjeu français central pour la commission._

« De ce fait, nous faisons maintenant face à un tsunami qui aspire toutes les données et les utilise à des fins que nous ne pouvons pas contrôler, et que les entreprises elles-mêmes ne peuvent pas contrôler. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Décrit la perte de contrôle sur les données à l'ère de l'IA — y compris par les entreprises elles-mêmes — comme un phénomène systémique, pas une dérive marginale._

« Une de nos affaires en cours concerne par exemple un ressortissant norvégien dont l’intelligence artificielle d’OpenAI prétend qu’il a assassiné ses enfants, maltraité sa femme et commis toute une série d’actes aussi horribles que fictifs. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Cas concret qui matérialise le préjudice individuel de l'IA générative et l'incapacité revendiquée d'OpenAI à corriger, en tension frontale avec le droit de rectification du RGPD._

« Ce point est crucial dans un objectif de souveraineté des données, laquelle fait nécessairement partie de la souveraineté numérique. »

Mme Ramya Chandrasekhar — CIS / CNRS (audite, audition de Mme Mélanie Dulong de Rosnay, 2026-03-31)

_Rattache explicitement le sujet de l'audition (contrôle des données) au mandat de la commission (souveraineté numérique)._

« Celles-ci pourraient par exemple être utilisées par des chercheurs, des associations ou des entreprises de l’économie sociale et solidaire, mais pas à des fins militaires. »

Mme Mélanie Dulong de Rosnay — CIS / CNRS (audite, audition de Mme Mélanie Dulong de Rosnay, 2026-03-31)

_Montre que les fiducies portent des valeurs politiques : elles peuvent conditionner l'usage des données selon des critères éthiques, y compris exclure le militaire._

« Le Health Data Hub est une infrastructure technique, juridique et économique hébergée par Microsoft selon une architecture centralisée. Nous proposons en guise d’alternative un réseau décentralisé pair-à-pair. »

Mme Mélanie Dulong de Rosnay — CIS / CNRS (audite, audition de Mme Mélanie Dulong de Rosnay, 2026-03-31)

_Critique frontale d'un cas emblématique de dépendance (données de santé chez Microsoft) et affirmation du modèle décentralisé alternatif._

« La tendance actuelle est malheureusement à la déréglementation. Il importe de ne pas donner carte blanche aux acteurs de la « big tech » de sorte qu’ils imposeraient leurs propres normes. »

Mme Ramya Chandrasekhar — CIS / CNRS (audite, audition de Mme Mélanie Dulong de Rosnay, 2026-03-31)

_Position politique claire contre le mouvement de dérégulation et pour un État régulateur face aux big tech._

« La municipalité de Barcelone a passé un contrat avec Vodafone pour le wifi public comportant une clause relative à la souveraineté des données, en vertu de laquelle toutes les données générées par Vodafone doivent être communiquées à la municipalité en vue de leur publication en tant que données publiques. »

Mme Ramya Chandrasekhar — CIS / CNRS (audite, audition de Mme Mélanie Dulong de Rosnay, 2026-03-31)

_Exemple concret et transposable d'une clause de souveraineté des données dans un marché public local._

« C'est également là qu'on retrouve la recommandation du ministère de ne pas utiliser de suites collaboratives non européennes à portée extraterritoriale, comme Office 365 ou Google Workspace, dans les établissements. C'est une prescription forte du ministère, mais une prescription seulement. »

Audran Le Baron — Ministère de l'éducation nationale (DNE) (audite, audition de des directeurs de systèmes d’information de ministères, 2026-04-09)

_Montre la limite de l'action de l'État : recommandation forte mais non contraignante dans les établissements._

« Ce dernier a eu une approche un peu carnassière – sans parler de certaines pratiques d'accompagnement un peu choquantes alors même que nous étions en négociations –, qui a abouti à la décision ministérielle partagée de sortir du logiciel. »

Yves Billon — Ministères économiques et financiers (Bercy) (audite, audition de des directeurs de systèmes d’information de ministères, 2026-04-09)

_Documente une rupture assumée avec un éditeur US pour perte de confiance, motivée par ses pratiques commerciales._

« Je me plais à dire que Bercy est un ministère qui protège des secrets : secrets fiscaux, secrets douaniers, secrets des affaires »

Yves Billon — Ministères économiques et financiers (Bercy) (audite, audition de des directeurs de systèmes d’information de ministères, 2026-04-09)

_Fonde la posture de protection des données de Bercy au-delà du RGPD, sur la nature régalienne des secrets détenus._

« Quand on fait la remontée des résultats des élections, par exemple, on n'a pas très envie qu'un acteur économique, quel qu'il soit, puisse interférer dans le processus, tout simplement pour des raisons de confiance dans la vie démocratique de notre pays. »

Mathieu Weill — Ministère de l'intérieur (DTNUM) (audite, audition de des directeurs de systèmes d’information de ministères, 2026-04-09)

_Justifie l'auto-hébergement des SI sensibles par un argument démocratique fort, au-delà de la seule technique._

« Il faut être très clair sur le fait que cet outil est hébergé dans nos infrastructures : Palantir n'a donc, à aucun moment, accès aux données. »

Mathieu Weill — Ministère de l'intérieur (DTNUM) (audite, audition de des directeurs de systèmes d’information de ministères, 2026-04-09)

_Correction factuelle majeure sur un dossier polémique : l'outil Palantir est hébergé en interne, l'éditeur n'accède pas aux données._

« il a été décidé, de façon concertée, de recourir à l'éditeur américain Salesforce, dont l'offre présentait des mesures de sécurité jugées suffisantes. »

Audran Le Baron — Ministère de l'éducation nationale (DNE) (audite, audition de des directeurs de systèmes d’information de ministères, 2026-04-09)

_Cas emblématique du choix d'un acteur US pour un SIRH sensible faute d'alternative souveraine conforme et fonctionnellement suffisante._

« c'est donc le plus grand Nextcloud de France, si ce n'est d'Europe. »

Audran Le Baron — Ministère de l'éducation nationale (DNE) (audite, audition de des directeurs de systèmes d’information de ministères, 2026-04-09)

_Preuve qu'un logiciel libre souverain peut passer à très grande échelle dans l'État (300 000 utilisateurs, 1 200 To)._

« Personne d’autre n’a l’historique informationnel que nous avons dans nos usines. »

Thierry Breton — Ancien commissaire européen au marché intérieur (audite, audition de M. Thierry Breton, 2026-04-15)

_Pose la thèse de souveraineté offensive : l'atout européen n'est pas dans les données personnelles (perdues) mais dans le patrimoine informationnel industriel._

« Les cartes d’identité, ça appartient à l’État ; le paiement, c’est souverain. »

Thierry Breton — Ancien commissaire européen au marché intérieur (audite, audition de M. Thierry Breton, 2026-04-15)

_Marque la ligne rouge de la souveraineté face aux services américains « clé en main » : identité et paiement ne se délèguent pas._

« la maîtrise des données étant devenue une nouvelle arme géopolitique. »

Marie-Laure Denis — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)

_Cadre géopolitique posé d'emblée par la Cnil : la donnée n'est plus un sujet technique mais une arme, ce qui justifie de traiter la souveraineté numérique comme un enjeu de sécurité nationale._

« Cet angle mort est un risque objectif pour les données personnelles des citoyens. »

Marie-Laure Denis — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)

_Affirme que la maturité cyber ne suffit pas : tant qu'un fournisseur est soumis à une loi extra-européenne prévoyant l'accès aux données, le risque subsiste — argument central pour l'hébergement souverain._

« Le règlement général sur la protection des données, le RGPD, constitue un outil de souveraineté normative par lui-même. »

Marie-Laure Denis — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)

_Thèse de fond de la Cnil : le RGPD n'est pas une contrainte mais un levier de souveraineté européenne, opposable à tout acteur offrant des services dans l'UE._

« La souveraineté ne doit donc pas se penser dans l'urgence, en temps de crise : elle suppose une stratégie prévisible, inscrite dans le temps long et conçue avec volontarisme au plus haut niveau de la gouvernance des administrations et des entreprises. »

Marie-Laure Denis — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)

_Recommandation stratégique de conclusion : la souveraineté est un choix de long terme et de gouvernance, pas une réaction conjoncturelle — met en garde contre l'attentisme._

« Le critère de possession n'est pas celui auquel la Cnil serait sensible dans le cadre de ses propres missions. »

Florent Della Valle — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)

_Position doctrinale : ce qui compte n'est pas que l'infrastructure soit publique mais la maîtrise effective de la donnée — un cloud privé souverain vaut un cloud ministériel._

« la lecture de la Cnil est parfois beaucoup plus restrictive que celles des agences qui mettent en œuvre le RGPD dans d’autres pays européens »

Christel Heydemann — Orange (audite, audition de Mme Christel Heydemann, 2026-04-16)

_Admission contre-intuitive : le régulateur français sur-transpose le RGPD, ce qui pénalise les acteurs français par rapport à leurs concurrents européens._

« cette question n’est pas liée à la localisation des données, mais à l’opérateur de la capacité où elles sont stockées. »

Cyrielle Chatelain (rapporteur, audition de Mme Christel Heydemann, 2026-04-16)

_La rapporteure déplace le débat de la localisation vers l'opérateur et le kill switch, montrant une compréhension fine des limites de la protection Cloud Act._

« Quant à la donnée, elle est très rarement inerte : elle circule dans le monde à la vitesse de la lumière. »

M. Fabrice Coquio — Digital Realty (audite, audition de M. Fabrice Coquio, 2026-05-12)

_Argument-clé de Coquio pour relativiser toute politique de localisation stratégique de la donnée._

« En revanche, on ne peut pas forcément parler d'une territorialité de la donnée, car elle circule à une vitesse extrême. Nous n'avons aucune idée de l'endroit où elle se trouve à un instant donné, non plus, parfois, que nos clients eux-mêmes, qui gèrent de façon continue des processus d'échange. »

M. Fabrice Coquio — Digital Realty (audite, audition de M. Fabrice Coquio, 2026-05-12)

_Répond à la présidente sur le risque que la France ne soit qu'un territoire d'hébergement : Coquio nie la possibilité même d'une maîtrise territoriale de la donnée._

« Si nos clients en France ont besoin de services de cloud, ils peuvent opter pour du cloud américain, chinois, français, souverain et certifié SecNumCloud… Ils font ce qu'ils veulent ou ce à quoi ils sont contraints. »

M. Fabrice Coquio — Digital Realty (audite, audition de M. Fabrice Coquio, 2026-05-12)

_Illustre la neutralité revendiquée : Digital Realty ne pilote pas le choix souverain ou non de ses clients cloud._

« N'oublions pas que, pour chaque euro investi par Digital Realty, nos clients en investissent quatre »

M. Fabrice Coquio — Digital Realty (audite, audition de M. Fabrice Coquio, 2026-05-12)

_Chiffre l'effet de levier économique revendiqué par l'audité pour justifier la plus-value territoriale des data centers._

« On entend en effet régulièrement que 80 % de l'activité de cloud est opérée par des acteurs extra-européens, ce qui ne semble pas correspondre aux chiffres dont vous nous avez fait part, que je ne mets pas en doute mais que j'aimerais mieux comprendre. »

Mme Cyrielle Chatelain (rapporteur, audition de M. Fabrice Coquio, 2026-05-12)

_La rapporteure confronte le chiffre de 50 % de clients extra-européens avancé par l'audité à la statistique de dépendance au cloud américain, et demande des données écrites._