La part du citoyen

Données personnelles, vie privée & RGPD

RGPD : bilan, effectivité et jurisprudence

Sur le bilan du RGPD, le corpus fait apparaître un socle de convergence assorti de clivages nets sur la marche à suivre.

Constats partagés. La plupart des intervenants reconnaissent au RGPD une efficacité normative réelle. Selon Marie-Laure Denis (Mme Marie-Laure Denis), présidente de la Cnil, il « constitue un outil de souveraineté normative par lui-même », qui a « exporté le modèle européen » et renforcé « l'hygiène des systèmes d'information ». Yann Lechelle (M. Yann Lechelle) partage ce constat d'efficacité : le RGPD « a été extraordinairement efficace pour exporter une valeur européenne […] jusqu'en Californie. Meta a dû s'adapter sous peine de perdre 4 % de son chiffre d'affaires ». Julien Rossi (Mme Nataliia Bielova & M. Julien Rossi) ajoute que le RGPD « fonctionnait de facto comme un étalon international, conférant aux entreprises européennes une présomption de conformité et, partant, un avantage compétitif » — retournant l'argument de la compétitivité contre la déréglementation. Même Thierry Breton (M. Thierry Breton) le juge « positif ».

Un désaccord central : simplifier ou renforcer ? Le clivage porte sur l'« omnibus numérique » et l'approche par les risques. Breton (M. Thierry Breton) estime l'application « trop lourde » et juge « bienvenu » un omnibus de simplification. À l'inverse, Max Schrems (M. Max Schrems) qualifie l'approche fondée sur l'analyse des risques d'« abdication du législateur » : laisser les entreprises fixer leurs propres règles revient à autoriser des « enfants dans un magasin de bonbon » à décider « combien de sucre il est souhaitable […] de consommer ». Il retourne l'argument pro-PME : le flou juridique profite « aux entreprises de la Big Tech », seules à disposer de « puissants cabinets d'avocats ». Denis (Mme Marie-Laure Denis) et une table ronde (Mme Nataliia Bielova & M. Julien Rossi) plaident de même pour ne pas « détricoter » le texte.

Effectivité en cause. Un second constat rassemble les critiques : le droit existant est mal appliqué. La table ronde de la Quadrature du Net (des associations sur le thème de la protection des données personnelle) pointe la « non-application par certains États membres, en particulier l'Irlande », dont l'autorité « apparaît notoirement incapable de faire face aux Big Tech ». Bastien Le Querrec illustre l'opacité procédurale — « nous n'avons donc pas accès à la sanction prononcée à la suite de notre propre plainte » — et cite l'annulation par la justice luxembourgeoise de l'amende de « plus de 740 millions d'euros » infligée à Amazon. Denis (Mme Marie-Laure Denis) défend à l'inverse la logique dissuasive des sanctions, qui « force les acteurs à changer réellement leurs pratiques au lieu de […] acheter leur non-conformité ».

Jurisprudence et définition des données. Schrems (M. Max Schrems) juge la redéfinition des données personnelles dans l'omnibus « mal rédigée et dangereuse », reposant sur une « surinterprétation abusive de l'arrêt SRB », et voit dans la CJUE « probablement notre seul espoir ». Rossi (Mme Nataliia Bielova & M. Julien Rossi) alerte sur l'exclusion des données pseudonymes : de simples points de géolocalisation rendent « aisé de reconstituer un fichier d'individus classés par religion » — un « anonymity washing ». Breton (M. Thierry Breton) rappelle enfin la portée du Cloud Act et de la section 702 du FISA, qui autorise depuis 2008 la surveillance américaine de tout non-citoyen. Face à l'affaiblissement du droit de l'UE, la table ronde des associations sur le thème de la protection des données personnelle propose de s'appuyer sur la Convention 108 du Conseil de l'Europe.

Qui en parle

Interventions regroupées (14 citations · 7 auditions)

Domaine : Données personnelles, vie privée & RGPD · Sujet : rgpd-bilan

Couverture : 14 citations · 10 positions · 7 auditions

_Slugs bruts fusionnés : rgpd-effectivite, rgpd-approche-risques, rgpd-ambivalence, rgpd-etalon-competitivite, rgpd-bilan, rgpd-souverainete-donnees, cnil-role-reglementaire, convention-108-conseil-europe, definition-donnees-personnelles, arret-srb-cjue, donnees-pseudonymes-anonymisation_

Positions exprimées

  • M. Max Schrems (M. Max Schrems) : « L'approche fondée sur l'analyse des risques » est une abdication du législateur qui délègue aux entreprises la fixation de leurs propres règles ; il faut au contraire des lignes rouges claires fixées par la loi. _(tranchant 5)_
  • M. Max Schrems (M. Max Schrems) : La redéfinition des données personnelles dans l'omnibus numérique est mal rédigée et dangereuse (elle pourrait déprotéger les données publicitaires) ; elle repose sur une surinterprétation abusive de l'arrêt SRB. _(tranchant 4)_
  • (table ronde) (Mme Nataliia Bielova & M. Julien Rossi) : Exclure les données pseudonymes de la notion de données à caractère personnel est dangereux : des données sans nom (géolocalisation, identifiants) restent hautement révélatrices et peuvent faire courir un risque réel, y compris physique — c'est de l'« anonymity washing ». _(tranchant 4)_
  • Mme Marie-Laure Denis (Mme Marie-Laure Denis) : Le RGPD est un succès et un outil de souveraineté normative qu'il ne faut pas détricoter ; il a exporté le modèle européen, renforcé les droits et l'hygiène des systèmes d'information. _(tranchant 4)_
  • (table ronde) (des associations sur le thème de la protection des données personnelle) : Le RGPD est un bon dispositif qui doit être appliqué strictement et non affaibli ; le problème est l'ineffectivité (guichet unique, Irlande, plaignants exclus de la procédure), qu'il faut corriger en renforçant l'application du droit existant. _(tranchant 3)_
  • M. Yann Lechelle (M. Yann Lechelle) : Le RGPD prouve qu'une règle claire et impactante fait plier les géants (Meta), mais son bilan économique a été négatif car il a pénalisé les PME sans rien changer aux rapports de force ; la régulation « de valeurs » reste néanmoins indispensable (transparence des algorithmes). _(tranchant 3)_
  • (table ronde) (Mme Nataliia Bielova & M. Julien Rossi) : Le RGPD s'est imposé comme un étalon international qui confère aux entreprises européennes une présomption de conformité et un avantage compétitif ; dégrader le niveau d'exigence nuirait à la compétitivité et aux transferts de données, à rebours de l'argument de la Commission. _(tranchant 3)_
  • M. Thierry Breton (M. Thierry Breton) : Le RGPD est un texte positif mais son application est trop lourde et laissée aux fournisseurs de services ; un omnibus pour le simplifier serait bienvenu, contrairement aux cinq autres actes. _(tranchant 3)_
  • Mme Hela Ghariani (Mme Hela Ghariani) : La bascule souveraine ne déroge en rien au cadre réglementaire : le filtre amont de la Cnil et du Cesrees (intérêt public, RGPD) demeure pleinement ; seule la phase aval est accélérée. _(tranchant 2)_
  • (table ronde) (des associations sur le thème de la protection des données personnelle) : Face à l'affaiblissement du droit de l'UE, il faut s'appuyer davantage sur le Conseil de l'Europe et la Convention 108, qui a valeur de traité et un champ dépassant les États membres. _(tranchant 1)_

Citations (verbatim, sourcées)

« Il y a dix jours, la justice luxembourgeoise a ainsi annulé une sanction prononcée à l'encontre d'Amazon, qui avait été condamnée à plus de 740 millions d'euros pour non-respect du RGPD. »

Bastien Le Querrec — La Quadrature du Net (audite, audition de des associations sur le thème de la protection des données personnelle, 2026-03-25)

_Illustre concrètement le défaut d'effectivité du RGPD : même les sanctions massives sont annulées pour vice de procédure._

« Le premier tient à sa non-application par certains États membres, en particulier l'Irlande, puisque l'autorité irlandaise de protection des données, la DPC, apparaît notoirement incapable de faire face aux Big Tech . »

Bastien Le Querrec — La Quadrature du Net (audite, audition de des associations sur le thème de la protection des données personnelle, 2026-03-25)

_Désigne nommément le maillon faible de l'architecture RGPD : l'autorité irlandaise, choisie par les Big Tech pour raisons fiscales._

« Nous n'avons donc pas accès à la sanction prononcée à la suite de notre propre plainte. »

Bastien Le Querrec — La Quadrature du Net (audite, audition de des associations sur le thème de la protection des données personnelle, 2026-03-25)

_Illustration frappante de l'opacité procédurale : le plaignant ne peut même pas consulter la sanction issue de sa propre action._

« Elles sont ainsi comme des enfants dans un magasin de bonbon, qu’on autoriserait à définir combien de sucre il est souhaitable et raisonnable de consommer. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Image qui condense la critique de fond de « l'approche par les risques » : l'autorégulation revient à laisser le régulé fixer sa propre limite, ce qui vide la norme de sa portée._

« En réalité, ceux qui bénéficient des approches « fondées sur l’analyse des risques » et de la mauvaise rédaction du droit européen, ce sont les entreprises de la Big Tech, car elles disposent des services de puissants cabinets d’avocats, qui sont capables d’engager des débats interminables avec le régulateur sur le sens de chaque terme. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Renverse l'argument pro-PME de la simplification : le flou juridique n'aide pas les petits mais avantage structurellement ceux qui ont les moyens juridiques de le disputer._

« nous estimons que la CJUE est probablement notre seul espoir actuellement. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Situe l'unique contre-pouvoir crédible dans la CJUE, les régulateurs nationaux et le débat juridique étant selon lui capturés par l'industrie._

« le simple fait de connaître la loi et de vouloir la faire appliquer suffit pour être considéré comme un activiste, car 99 % des personnes qui travaillent dans ce domaine sont employées par l’industrie. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Dénonce une capture cognitive du champ juridique : la doctrine et l'expertise étant financées par l'industrie, l'interprétation des arrêts (comme SRB) penche mécaniquement en sa faveur._

« le règlement général sur la protection des données (RGPD) a été extraordinairement efficace pour exporter une valeur européenne (la protection des données trop personnelles) jusqu'en Californie. Meta a dû s'adapter sous peine de perdre 4 % de son chiffre d'affaires. »

M. Yann Lechelle — probabl.ai / Eurostack (audite, audition de M. Yann Lechelle, 2026-03-26)

_Nuance clé : le RGPD prouve qu'une règle claire et impactante fonctionne, même si son bilan économique est négatif pour les PME._

« il devient relativement aisé de reconstituer un fichier d’individus classés par religion. »

Julien Rossi — université Paris 8 — Cémti (audite, audition de Mme Nataliia Bielova & M. Julien Rossi, 2026-04-01)

_Illustration frappante : de simples points de géolocalisation « pseudonymes » suffisent à un fichage religieux, avec un risque physique en contexte de tensions._

« certains collègues, en particulier Szilvia Lestyán, évoquent le phénomène d’« anonymity washing », ou blanchiment par l’anonymisation »

Julien Rossi — université Paris 8 — Cémti (audite, audition de Mme Nataliia Bielova & M. Julien Rossi, 2026-04-01)

_Nomme le procédé par lequel l'étiquette « anonyme » sert à échapper au droit tout en laissant subsister le risque : cœur de la critique de l'Omnibus._

« Jusqu’à présent, le RGPD fonctionnait de facto comme un étalon international, conférant aux entreprises européennes une présomption de conformité et, partant, un avantage compétitif. »

Julien Rossi — université Paris 8 — Cémti (audite, audition de Mme Nataliia Bielova & M. Julien Rossi, 2026-04-01)

_Retourne l'argument de la compétitivité contre la déréglementation : affaiblir le RGPD nuirait à l'avantage compétitif européen, pas l'inverse._

« depuis 2008, la section 702 du Foreign Intelligence Surveillance Act (Fisa) autorise l’administration américaine à écouter et à regarder tout ce que l’on fait, pour peu qu’on ne soit pas citoyen américain. »

Thierry Breton — Ancien commissaire européen au marché intérieur (audite, audition de M. Thierry Breton, 2026-04-15)

_Alerte sur un angle mort de la souveraineté des données : la surveillance légale américaine des non-citoyens, dont le renouvellement est en débat au Congrès._

« Le règlement général sur la protection des données, le RGPD, constitue un outil de souveraineté normative par lui-même. »

Marie-Laure Denis — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)

_Thèse de fond de la Cnil : le RGPD n'est pas une contrainte mais un levier de souveraineté européenne, opposable à tout acteur offrant des services dans l'UE._

« ce qui force les acteurs à changer réellement leurs pratiques au lieu de se contenter d'acheter leur non-conformité. »

Marie-Laure Denis — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)

_Justifie la logique dissuasive des sanctions : sans amendes proportionnées assorties d'injonctions, les gros acteurs préfèrent payer plutôt que se conformer._