1. La France connaît depuis quelques mois des attaques de données sur différents sites étatiques et d’entreprises sans précédent. Alors que le RGPD fête ses 8 ans et que la protection des données est insuffisante, la CNIL peut infliger des amendes pour défaut de protection des données à des sites gouvernementaux sans pour autant résoudre le problème en amont. N’est-ce pas pour celui qui est victime du vol des données une double peine avec des données personnelles en vente sur le darknet, etc. ? Est-ce que les moyens d’action de l’ANSSI par exemple sont suffisants et quid des choix politiques en matière de cybersécurité ?
Oui, c’est une double peine, et elle est presque triple. La victime perd le contrôle de ses données, souvent pour toujours ; elle ne reçoit presque jamais de réparation ; et c’est elle qui assume ensuite le risque, hameçonnage ciblé, usurpation d’identité, fraude bancaire, pendant que ses données circulent sur le darknet, revendues et croisées avec d’autres bases.
Le paradoxe du RGPD est là. L’entreprise ou l’administration peut être sanctionnée, mais l’amende va à l’État, pas aux victimes. France Travail a écopé de 5 millions d’euros pour 36,8 millions de personnes concernées, soit quatorze centimes par personne. Free et Free Mobile, de 42 millions d’euros pour 24 millions de contrats, soit 1,75 euro par contrat, et le groupe a d’ailleurs saisi le Conseil d’État pour contester. En 2025, la CNIL a prononcé près de 487 millions d’euros d’amendes ; pas un euro n’est revenu aux victimes. Nous sommes très loin d’une réparation réelle du préjudice. La sanction nourrit le budget de l’État, elle ne protège ni n’indemnise personne.
L’ANSSI joue un rôle essentiel, mais elle ne peut pas être le service de sécurité informatique de toute la France. Le vrai sujet est politique : veut-on continuer d’empiler des obligations de conformité, ou créer enfin de vraies incitations à la sécurité ? Car la plupart des grandes fuites récentes reposaient sur des failles élémentaires. Dans ses décisions France Travail et Free de janvier 2026, la CNIL a elle-même pointé une authentification trop faible, une journalisation insuffisante pour détecter l’intrusion, et des habilitations d’accès beaucoup trop larges. Des défaillances de base, dans des organisations probablement irréprochables côté paperasse. La présidente de la CNIL estime d’ailleurs que près de 80 % des grandes violations de 2024 ont été permises par l’usurpation d’un compte protégé par un simple mot de passe, donc évitables par une authentification multifacteur.
C’est tout le malentendu français. Nous avons bâti un modèle très lourd sur la conformité administrative et très faible sur les résultats. Cette bureaucratie pèse précisément sur ceux qui jouent le jeu, les entreprises qui tiennent les registres et financent des directeurs de la conformité, sans dissuader les négligences qui causent les fuites. On taxe le sérieux sans protéger le citoyen. Le RGPD a créé une bureaucratie de la conformité sans instaurer une véritable culture de la sécurité.
2. Vous évoquez la création d’un droit de propriété sur les données personnelles dans le Code civil. En quoi consisterait-il tant d’un point de vue prévention des attaques que répression ? Les données personnelles seraient-elles alors cessibles (valorisation économique, transmission) ?
L’idée est de reconnaître que les données personnelles ne sont pas de simples informations abstraites, mais des actifs rattachés à la personne. Génération Libre défend cette approche depuis son rapport « Mes data sont à moi », publié en janvier 2018.
Ce droit serait inscrit dans le Code civil. Il ne s’agirait pas de vendre ses données définitivement, comme on vend une voiture. Le droit resterait inaliénable, parce que la donnée demeure liée à la personne, mais cessible sous forme de licence : pour un usage défini, une durée déterminée, une finalité précise, et le cas échéant contre rémunération. Encore faut-il une plomberie, et elle existe. Des intermédiaires de données, dont l’Europe a déjà créé le statut, négocient et gèrent ces licences pour le compte des individus, à la manière de véritables syndicats de données ; des coffres personnels gardent la donnée chez l’individu et n’en autorisent que des usages tracés ; un consentement lisible par machine remplace le clic aveugle sur des conditions que personne ne lit. Les banques sont d’ailleurs des candidates naturelles à ce rôle de tiers de confiance : le Crédit Agricole se présente déjà comme un coffre-fort de données, prolongeant sa vieille « culture du coffre-fort » des lingots vers les données personnelles. Aujourd’hui, les plateformes exploitent massivement les données des individus, qui n’ont pour ainsi dire aucun pouvoir de négociation. Il s’agit de rééquilibrer cette relation.
Sur le plan de la prévention, cela transforme les incitations économiques, et c’est ici que tout se joue. Une entreprise qui exploite la donnée d’autrui saurait qu’elle détient le bien de quelqu’un. La fuite deviendrait un préjudice civil chiffrable, donc assurable. Or dès qu’un risque est assurable, l’assureur cyber le chiffre avec un montant : il conditionne la prime à des mesures réelles, chiffrement, MFA, cloisonnement, journalisation, audits réguliers. L’assureur devient ainsi le régulateur de fait de la sécurité, bien plus granulaire et réactif qu’un contrôle administratif. Le droit de propriété crée le préjudice, le préjudice crée le marché de l’assurance, et le marché crée la sécurité, là où la bureaucratie se contente de la constater une fois la fuite advenue.
Sur le plan de la répression, la fuite deviendrait une atteinte directe à un bien appartenant à l’individu, et non plus un simple manquement administratif. Elle ouvrirait droit à réparation, dans le cadre d’actions de groupe enfin efficaces. On passerait d’une logique de sanction bureaucratique à une logique de responsabilité économique.
Et contrairement à ce qu’on croit souvent, ce n’est pas une contrainte de plus pour les entreprises, c’est une libération. Là où la conformité impose une incertitude permanente, des règles mouvantes et des obligations de moyens sans fin, la propriété offre un cadre clair et contractuel. La donnée devient un actif qu’on échange sur une base lisible, le consentement une vraie transaction et non une fiction, et la valeur se partage au lieu d’être captée. C’est ainsi qu’on fait de la donnée un marché, c’est-à-dire une source d’innovation, plutôt qu’un champ de mines réglementaire.
3. Vous dites notamment que « Le RGPD a créé une bureaucratie de la conformité sans instaurer une véritable culture de la sécurité. ». Le principe de « security by design » pourtant dans le RGPD est rarement appliqué. Comment passer d’une logique bureaucratique à une logique de responsabilité ? En clair, comment instaurer une véritable culture de responsabilité numérique sans tomber dans une logique de contrôle généralisé ? Et dans ce contexte, l’interdiction des réseaux sociaux pour les moins de 15 ans ne risque-t-elle pas d’ouvrir la voie à des restrictions plus larges pour l’ensemble des citoyens ?
Le « security by design » existe bel et bien dans le RGPD, mais il se noie dans une logique de conformité documentaire. On produit des registres, des mentions légales, des politiques de confidentialité, et rien de cela ne garantit que l’architecture technique soit robuste.
Passer à une logique de responsabilité, c’est changer la manière d’évaluer les acteurs : non plus sur leur capacité à produire des procédures, mais sur leur capacité à protéger effectivement les données. Ont-ils chiffré ? Déployé le MFA ? Cloisonné les accès ? Mis en place des audits réguliers, une vraie politique de minimisation des risques ? On juge le résultat, pas la paperasse.
Il faut aussi sortir d’une illusion très européenne : l’idée que la protection des données passerait nécessairement par davantage de centralisation et de contrôle administratif. C’est l’inverse. Contrôle et responsabilité ne sont pas deux degrés d’une même chose, ce sont deux logiques opposées : le contrôle est a priori, centralisé, présume la faute et multiplie les obligations ; la responsabilité est a posteriori, décentralisée, présume la liberté et sanctionne le résultat. Une culture libérale de la responsabilité numérique repose sur trois principes : limiter la concentration des données, responsabiliser les acteurs qui les exploitent, redonner aux individus des droits opposables. C’est d’ailleurs pourquoi le droit de propriété est aussi une doctrine de sécurité : une donnée qui reste chez l’individu et ne circule que sous licence n’alimente pas les méga-bases qui font les méga-fuites. C’est aussi, soit dit en passant, le régime le plus favorable à l’innovation, puisqu’il rend aux entreprises la liberté des moyens et ne leur demande de comptes que sur l’essentiel, la protection effective.
C’est cette grille qui doit éclairer certaines évolutions récentes, l’interdiction des réseaux sociaux aux moins de quinze ans en particulier. Sur le fond, c’est un autre débat, sur lequel on peut être pour ou contre, et je le laisse de côté. Je relève une question d’architecture, qu’on néglige toujours. On entend dire que contrôler l’âge supposerait d’identifier tout le monde, donc d’adosser le tout à des bases d’identité étatiques. C’est faux, et c’est important : on sait vérifier l’âge sans identifier personne. La CNIL elle-même, avec le PEReN et un laboratoire de l’École polytechnique, a publié dès 2022 un démonstrateur, libre et réutilisable, de vérification d’âge à « double anonymat » : un tiers atteste que l’internaute a l’âge requis sans que le site n’apprenne son identité, ni le tiers le site visité. La Commission européenne teste depuis 2025 une application bâtie sur le même principe, adossée au futur portefeuille d’identité numérique.
Le risque n’est donc pas technique, il est politique. Le danger est que l’État retienne la solution centralisée, plus simple à déployer et commodément réutilisable à d’autres usages, plutôt que cette architecture aveugle à l’identité qui existe déjà. Car plus on centralise des données sensibles, plus on crée des cibles de grande valeur pour les attaquants. Au moment même où la France peine à protéger France Travail, France Titres et tant d’administrations, il serait imprudent de bâtir une base nouvelle, particulièrement sensible, sous un régime qui a démontré son incapacité à protéger l’existant. La bonne exigence n’est pas d’interdire la vérification d’âge, c’est d’imposer qu’elle soit, par conception, aveugle à l’identité.
Grégory Lenne est conseiller stratégique pour l’équipe dirigeante du think tank Génération Libre. Diplômé de l’école polytechnique et de Sciences Po, titulaire d’un master de philosophie politique sur le libéralisme de Hayek, Grégory travaille actuellement dans le conseil stratégique pour de grandes entreprises.
Digital Impacts
Editions des Cassines
Paperblog
Renaissance numérique
Commentaires récents