Marée noire sur la vie privée Thomas Le Bonniec [segnalazione di Mario Guglielmetti]
Une proposition de réforme du RGPD a opportunément fuité dans la presse la semaine dernière. Issue de la Commission Européenne, son contenu est comparable à l’effet d’une marée noire sur l’environnement numérique. Les dégâts qu’elle causerait auraient des effets dévastateurs, parfois invisibles, et sans doute irréversibles pour l’ensemble des habitants de l’UE. Vie privée, autonomie, démocratie Préfaçons tout de même ce billet avec l’affirmation suivante : la vie privée est l’affaire de tous. Malgré la désaffection et et le sentiment généralisé d’impuissance que génère ce sujet, il est central pour la démocratie et pour votre autonomie (oui, la vôtre, vous qui me lisez). « Pourquoi ? Je n’ai rien à cacher ! » Eh si ! Le contenu de vos poches et de votre téléphone ne sont pas constamment affichés devant vous et accessibles à tous les passants. Il y a une raison à cela : vous devez avoir le choix des informations que vous partagez, et avec qui. C’est l’un des principes entérinés dans la charte des droits fondamentaux de l’Union Européenne, à l’article 8, et la clé de voûte du Règlement Général pour la Protection des Données (RGPD), surtout connu pour les horribles barrières de consentement que l’on trouve partout, y compris chez Médiapart. Le RGPD, donc, est censé proposer un équilibre entre l’intérêt économique des entreprises, la libre circulation des données, et le droit fondamental des individus, le droit à disposer de soi-même et par extension de ses données personnelles – précisément parce que les données, dans ce monde numérisé, ont un effet majeur sur les dispositions de soi et d’autrui. Prenons un exemple au long cours. Récemment, une enquête co-publiée par Le Monde et Netzpolitik (entre autres) montrait comment il était possible de suivre à la trace des hauts responsables politiques, militaires et administratifs à Bruxelles. Rien de plus simple : il suffit pour ce faire d’acheter des informations permettant de vous géolocaliser chez un courtier de données, qui les a lui-même acquises à l’un des nombreux intermédiaires qui les collectent auprès des applications et sites web que vous fréquentez. La CNIL avait réalisé une expérimentation similaire en 2022, et c’est un fait connu depuis au moins 2013 : il suffit d’un petit nombre de données à croiser pour réidentifier facilement une personne. Ce constat avait d’ailleurs amené l’Irish Council for Civil Liberties (ICCL) à publier des rapports alarmants en 2023, insistant sur la « crise de sécurité » qu’impliquait l’existence d’un tel système, qui permettrait non seulement de suivre à la trace des cibles spécifiques, mais également de leur envoyer des publicités « micro » ou « nano » ciblées : qui ne visent qu’un tout petit groupe d’individus, voire une seule personne. Est-ce que ça commence à vous rappeler quelque chose ? En effet : c’est le scénario des élections américanes de 2016 et du Brexit, entachées plus tard par le scandale « Cambridge Analytica » révélant qu’une organisation avait pu collecter des données en masse pour tenter de modifier les comportements électoraux des votants. Le consensus à l’heure actuelle est que cette affaire a réussi et que les services de renseignement russes, de même que les « stratèges » de la campagne de Donald Trump s’y sont essayés avec succès. Maintenant que ces bases sont posées, revenons à mon propos initial. La réforme proposée du RGPD est une catastrophe. Ce n’est pas mon analyse, mais comme diraient les Dupondt, je la partage. La marée noire Je vais principalement me référer ici à quelques clés de lecture proposées par Noyb et son directeur, Max Schrems, qui sont à l’origine de décisions de la Cour de Justice de l’Union Européenne (CJUE) très importantes, surnommées Schrems I et Schrems II. Celles-ci établissent que les Etats-Unis n’offraient pas de protection des données adéquate aux Européens : en bref, cela revient à reconnaître que la NSA peut tout savoir de vous si vous avez un compte Facebook, et que ça n’est pas conforme au droit européen. Ce qui est déjà un bon début1. Cette nouvelle réforme du RGPD remet en cause tout l’appareil juridique relatif aux données personnelles, en Union Européenne. Elle prévoit notamment : De présumer que la collecte de données (massive) pour l'entraînement et l'usage de systèmes d'IA relève de l' "intérêt légitime". Pour résumer, cela revient à entériner un régime d'exception pour les géants du numérique, qui se retrouveraient exemptés de toute obligation vis-à-vis des personnes dont les données sont ainsi traitées et collectées. De fortement limiter la définition des "données personnelles" et des "données sensibles", ainsi que la possibilité d'exercer le droit d'accès permettant aux personnes concernées de savoir si leurs données sont traitées et à quelles fins. de généraliser les prises de décision automatisées sans possibilité d'opposition pour les personnes concernées (comme le permet l'article 22 du RGPD jusqu'ici) En résumé, nous explique Max Schrems, il s’agit d’« une dégradation considérable de la vie privée des Européens, dix ans après l'adoption du RGPD », qui pourrait même entrer en conflit avec des décisions issues de la CJUE portant, par exemple, sur une définition extensive des données personnelles – par exemple sur les « pseudonymes » et autres identifiants permettant d’identifier un profil utilisateur ou commercial, sans être immédiatement reliés à un nom2. Cette réforme irait même à l’encontre de la charte des droits fondamentaux, car en limitant, voire en empêchant carrément l’exercice des droits, notamment le droit d’accès (article 15 du RGPD), elle prive les citoyens européens d’un recours effectif pour contrôler leurs données personnelles. Le prétexte ici serait que certains « abuseraient » de ces droits, soit parce qu’ils s’en servent trop (quelle drôle d’idée), soit parce qu’ils les utilisent pour collecter des preuves afin d'attaquer en justice les organisations responsables de traitement. L’argument qui me semble le plus pertinent ici – toujours repris de Noyb – est que ce n’est pas un droit annexe : il n’a pas à être limité ou justifié. Vous pouvez vous en servir pour ce que vous voulez3. C’est l’une des bases qui permettent, par exemple en cas de litige avec votre employeur de rééquilibrer (un peu) la situation en vous donnant accès à des informations que vous n’auriez pas autrement. Ça s’est vu avec Uber, par exemple. Le détail de l’analyse de Noyb est accessible ici (en anglais). Mais plutôt que répéter maladroitement leur argumentation, je voudrais préciser pourquoi, à mon avis, c’est encore plus grave qu’il n’y paraît. En raison du contexte politique d’abord. En raison du contexte économique ensuite. Et cela dessine une situation d’incurie totale au niveau de la Commission Européenne. Perdre est une question de méthode La protection des données en UE, c’est une situation déjà très compliquée pour les individus. Faire valoir ses droits, réussir à obtenir des sanctions, ça relève du parcours du combattant4. On peut considérer, comme Noyb, que l’application du RGPD est extrêmement limitée et insuffisante et que le taux de sanction est ridicule : 1,3 % par rapport au nombre de plaintes en UE. On peut estimer, comme la Quadrature du net, que la CNIL est « démissionaire » et coupable de «laisser-faire », notamment en ce qui concerne le contrôle des administrations et de l’État. La Quadrature reproche – à juste titre –à la CNIL d’approuver des propositions de loi relatives à la vidéosurveillance algorithmique, à des expérimentations sur la reconnaissance biométrique,ou encore à la surveillance par drones, et de se contenter d’ « avertissements » lors de violations graves à la vie privée. Comme par exemple celle dont s’est rendu coupable Stanislas Guérini pendant le mouvement contre la réforme des retraites, le 26 janvier 2023. Alors ministre des comptes publics, Guérini avait décidé d’envoyer un courriel sur les adresses personnelles de 2 millions d’agents de la fonction publique pour faire de la propagande politique5. Paradoxalement, depuis son entrée en vigueur, le RGPD a servi à prononcer un certain nombre de sanctions au montant très élevé : 1,2 milliards d’euros à l’encontre de Meta en mai 2023, 746 millions contre Amazon en septembre 2021, 525 millions contre Google en septembre 2025, etc. On peut aussi penser à une sanction d’Amazon France Logistique en 2023, de 32 millions d’euros prononcée par la CNIL, pour une situation de surveillance abusive des salariés. Par conséquent le gouvernement américain n’a cessé d’attaquer la législation numérique européenne depuis le retour au pouvoir de Donald Trump, suivant la ligne des géants du numérique (Meta, Apple, Google, Microsoft) sur ce point. Le président américain l’a publiquement fait savoir à plusieurs reprises. Notamment avec une publication sur son réseau social en août, où il écrit : En tant que président des États-Unis, je m'opposerai aux pays qui s'en prennent à nos incroyables entreprises technologiques américaines. Les taxes numériques, la législation sur les services numériques et les réglementations sur les marchés numériques sont toutes conçues pour nuire à la technologie américaine ou la discriminer. [ ...] J'avertis tous les pays qui ont mis en place des taxes, des législations, des règles ou des réglementations numériques que, à moins que ces mesures discriminatoires ne soient supprimées, j'imposerai, en tant que président des États-Unis, des droits de douane supplémentaires substantiels sur les exportations de ces pays vers les États-Unis et instaurerai des restrictions à l'exportation de nos technologies et puces hautement protégées. L'Amérique et les entreprises technologiques américaines ne sont plus ni la « tirelire » ni le « paillasson » du monde. Montrez du respect à l'Amérique et à nos incroyables entreprises technologiques, ou envisagez les conséquences ! Je vous remercie de votre attention. Ce ne sont pas que des rodomontades. Trump vise notamment le Digital Service Act, qui sert de base à l’Union Européenne pour envisager de sanctionner Elon Musk en raison de la désinformation qui circule sur Twitter. Il accompagne en cela un lobbying forcené, celui de Meta par exemple. Son « président des affaires internationales », l’ex-politicien britannique libéral (libéraux-démocrates) Nick Clegg avait publié une lettre ouverte ouverte en décembre 2024 dans Le Monde déclarant que « les régulateurs avancent toujours à pas de tortue ». En fait, cette lettre exigeait surtout un régime d’exception pour l’IA et pour Meta. Et Ursula Von der Leyen a cédé. Le tournant, c’est probablement lorsqu’elle rend visite à Trump dans sa propriété – un terrain de golf en Écosse – en juillet dernier. Von der Leyen, au nom de la Commission Européenne, avait annoncé une série d’investissements aux Etats-Unis : 600 milliards de dollars supplémentaires en échange d’une limitation de la hausse des droits de douane américains. Et bien évidemment, de la dérégulation en série. Il ne faut pas pour autant dédouaner les libéraux autoritaires européens dans ce désastre. C’est le rapport Draghi pour la « compétitivité » appelant à tout déréguler, et ciblant explicitement le RGPD. C’est le gouvernement allemand de Friedrich Merz (conservateur, CDU), allié aux sociaux-démocrates (SPD), le seul à s’être prononcé récemment en faveur d’une « réforme » du RGPD. C’est aussi Henna Virkkunen, la vice-présidente de la Commission pour la « souveraineté technologique, la sécurité et la démocratie ». L’ironie de son intitulé de poste ne m’échappe pas, à l’heure où l’UE effectue un travail de sape de l’intérieur, qui détruit précisément ces trois choses. La bulle de l’IA Pour conclure, ce n’est pas juste une capitulation en rase-campagne : comme le dit Marc Endeweld, l’UE est « en passe de devenir un protectorat américain ». Par ces actions impérialistes, les Américains cherchent à neutraliser toute velléité d’indépendance numérique européenne, non sans contradiction : Washington accuse ainsi Bruxelles de discrimination tout en imposant un protectionnisme agressif et en excluant les acteurs européens de son marché (Cloud Act, Buy American Act, Inflation Reduction Act). On assiste bien à une pression de plus en plus forte et coordonnée entre le gouvernement américain et les GAFAM. L’audition du 3 septembre à la Chambre des Représentants (« Europe’s Threat to American Speech and Innovation ») annonce le ton du discours politique ; de son côté, la FTC (La Federal Trade Commission) a encouragé les plateformes américaines à ne pas appliquer certaines exigences européennes du DSA (21 août) au nom d’un conflit avec le droit américain (Premier Amendement). Face à cette offensive, l’Europe, fragmentée et dépendante, est mal préparée et ses réponses sont lentes. Résultat, fin août, la Commission européenne a décidé de différer une amende contre Google pour ne pas compromettre le paquet tarifaire euro-américain abaissant à 15 % les droits de douane US sur l’automobile européenne. Sous pression politique, Ursula von der Leyen a toutefois rétropédalé et Bruxelles a finalement annoncé le 5 septembre avoir bien décidé d’imposer une amende de 3 milliards d’euros au groupe dirigé par Sundar Pichai. Bien évidemment, Trump s’est fendu d’un nouveau message sur Truth Social : « L’Union européenne doit IMMÉDIATEMENT arrêter ces pratiques contre les entreprises américaines ». Il me semble qu’on peut également y déceler les indices d’une compromission idéologique. Pas uniquement du point de vue du libéralisme autoritaire, mais également avec le technosolutionnisme promu par Sam Altman (PDG d’OpenAI), Sundar Pichai (PDG de Google), ou encore Dario Amodei (PDG d’Anthropic). C’est précisément ce que dit Von Der Leyen dans un discours de mai dernier : Lorsque nous avons négocié l’actuel budget, nous pensions que l’IA n’approcherait la capacité de raisonnement d’un humain que vers 2050. Maintenant, nous nous attendons à ce que cela se produise l’an prochain. Ceci a été signalé par Kris Shrishak, membre de l’ICCL (Irish Council for Civil Liberties, cité plus haut), qui explique dans une tribune publiée par EU Observer avoir demandé quelles étaient les bases scientifiques de ces propos. Voici ce qu’il en dit : Surpris par cette affirmation, j’ai demandé à la commission de me fournir des documents l’étayant. Quatre mois plus tard, et uniquement après une intervention du médiateur européen,la réponse de l’exécutif européen m’est parvenue. Celle-ci n’était pas fondée sur de la littérature scientifique. Au lieu de cela, la commission se référait à des dissertations et à des livres de PDG de la tech. Les scientifiques et universitaires travaillant sur divers aspects de l’IA sont atterrés de voir la Commission européenne en proie à ce théâtre d’ombres et ont publié une lettre ouverte à la présidente faisant part de leur inquiétude. Les dirigeants de l’UE ânonnent le discours marketing des PDG alors qu’ils sont responsables d’une dangereuse bulle financière, ce qui n’a rien de rassurant pour les citoyens et pour la communauté scientifique. Je vais me permettre une digression rapide : cette attitude de la part de Von der Leyen me fait penser à Boris Johnson et à Bruno Le Maire. Boris Johnson s’exprimait récemment sur ChatGPT, reconnaissant qu’il utilisait de l’IA pour écrire les livres qu’il signe. Il s’extasiait alors : « J’adore l’IA. J’adore ChatGPT. J’adore ça. ChatGPT est franchement fantastique. […] Vous connaissez la réponse mais ChatGPT dit toujours ‘oh vos questions sont intelligentes. Vous êtes génial. Vous êtes excellent. Vous avez de telles fulgurances.’ » Et Bruno Le Maire disait à peu près la même chose en 2023 : « j’ai eu un discours assez intelligent, bien structuré, en exactement 5 minutes. Là où il y a vingt ans, il m’aurait fallu trois ou quatre heures ». On en arrive à se demander s’il n’existe pas un ensemble de caractéristiques sociologiques chez nos élus (Von Der Leyen, Le Maire, Johnson) qui permettrait d’expliquer cette incurie. La Commission Européenne a complètement lâché le guidon sur l’IA ; elle avale le discours publicitaire et propagandiste des « tech bros », et comme le montrent d’autres politiciens (médiocres), ce sont une absence de culture scientifique et une ignorance volontaire qui sont à l’origine de sa politique relative à la technique. Mais reprenons, et concluons : ces propositions de dérégulation ne pourraient pas tomber à un pire moment. Il y a une bulle spéculative de l’IA, comme le dit Kris Shrishak. Elle existe, elle est même reconnue comme telle par Sam Altman. Et selon le journaliste Brian Merchant, sa dimension est telle que la crise des subprimes de 2008 ou la bulle des dotcom de l’an 2000 sont des naines en comparaison : L’IA pourrait ne pas être juste « une bulle », ou une énorme bulle. Ce pourrait être la bulle ultime. Celle que vous pourriez concevoir en laboratoire si votre objectif consistait à concevoir l’idéal platonicien de la bulle des tech. Une bulle pour les éclater toutes. Cette proposition de réforme est non seulement contraire aux intérêts des citoyens de l’UE et de ses pays membres, mais en plus, elle arrive complètement à contre-temps, à la veille possible, voire probable, d’un ouragan financier de catégorie 5. La voie de la « dérégulation », en fait une régulation plus favorable aux pollueurs, a été tracée avec l’« Omnibus » portant sur l’environnement, car Von der Leyen a désormais acté un changement de la coalition qui lui permet de se maintenir au pouvoir. La convergence des droites et extrêmes-droites, c’est en Europe et c’est maintenant. Nous sommes face à une politique complètement à contre-temps de ce qu’il faudrait faire. En début d’année, le chancelier allemand avait déclaré qu’il y aurait des conséquences à l’interventionnisme d’Elon Musk qui avait tenté d’influencer les élections allemandes. François Bayrou avait mentionné une situation similaire dans son discours de politique générale de janvier 2025, semblant acter le fait que les Etats-Unis n’étaient pas des alliés de la France. La réforme Exxon Valdez On avait alors l’impression que l’UE se réveillait et se donnait enfin une idée de « souveraineté » numérique. Pourtant, la nouvelle directive Omnibus prétendant « simplifier » les lois européennes va dans le sens opposé. Le 24 mars 1989, le pétrolier Exxon Valdez s’échoue au large de l’Alaska. Sa coque se déchire, provoquant l’épandage de 40 000 tonnes de brut, polluant 800 km de côtes et tuant des centaines de milliers d’animaux marins. Trente ans plus tard, les conséquences s’en font encore ressentir non loin d’Anchorage. J’ai pris la précaution d’expliquer rapidement pourquoi le droit à la vie privée est fondamental : si j’ai choisi la marée noire pour image, c’est parce que les effets délétères du capitalisme de surveillance et de la chaîne de production de l’IA sont véritablement comparables. À la fois sur les plans environnemental, social, économique, et politique. Cette proposition de réforme du RGPD est un ballon d’essai, mais elle révèle déjà la direction que souhaite prendre une partie de la Commission Européenne. Si elle est suivie d’effet, les conséquences qu’elle entraînerait seraient semblables à celles d’une marée noire numérique. Ce billet se conclut donc sur une invitation : écrivez à vos députés européens, signalez-vous auprès des ONG en leur faisant un don et/ou en vous inscrivant à leur liste mail (EDRi, la Quadrature du Net, Noyb), partagez ces informations autant que possible. Il est encore temps de contraindre la Commission Européenne à rectifier le tir en ce qui concerne le RGPD. Vu le contexte politique, ce n’est ni une mince affaire, ni une petite victoire – et d’une lutte défensive, d’autres peuvent reprendre : car le RGPD est un vrai point d’appui pour les luttes offensives, et notamment contre l’exploitation des travailleurs et des consommateurs. 1Pour un compte-rendu plus détaillé des accords de transfert UE-US, un article écrit pour Elucid en 2023 : https://elucid.media/democratie/donnees-europeennes-schrems-privacy-shield-propriete-etats-unis 2« Les identifiants publicitaires en ligne sont en grande partie des identifiants aléatoires destinés à« identifier » une personne. Cependant, la personne peut ne pas être « identifiée »comme « John Smith » ; Même si tous les acteurs n'utilisent que des « 3Voir, pages 15 et 16, https://noyb.eu/sites/default/files/2025-11/GDPR_Reform_Draft_Analysis_v2.pdf 4J’en sais personnellement quelque chose : https://blogs.mediapart.fr/thomas-le-bonniec/blog/140323/le-schroedinger-de-la-protection-des-donnees-quand-ashley-gjovik-denonce-apple-1 5Mail dont j’ai été l’un des destinataires. <https://blogs.mediapart.fr/thomas-le-bonniec/blog/121125/maree-noire-sur-la-vie-privee>
