La donnée, miroir et transaction : penser la protection dans une ère de traçabilité fluide

« Si c’est gratuit, c’est que vous êtes le produit ». Le dicton est désormais si bien connu, presque galvaudé. Pourtant, au cœur de nos interfaces les plus anodines, que ce soit une story Instagram, une recherche sur Google ou encore le fait de chercher son chemin, nos téléphones siphonnent silencieusement nos données. Dans son article : « The Age of Surveillance Capitalism » (2019), Shoshana Zuboff nomme ce flux infini de données « surplus comportemental ». Cet amas de données alimente une industrie peu régulée, bien opaque, tandis que les implications sociales, économiques et politiques restent très marginalement débattues.

Une ressource comme une autre ?

La donnée personnelle est souvent comparée à une sorte de pétrole du XXIe siècle : rare, précieuse, exploitée. Pourtant, cette métaphore industrielle masque sa véritable nature. Contrairement au pétrole, les données ne sont pas extraites, mais produites, en continu, par nos moindres gestes numériques. Elles ne sont pas épuisables : elles se répliquent, se combinent, s’interprètent. Cette distinction est fondamentale, car elle conditionne la façon dont les entreprises, de Google à Palantir en extirpent leur valeur. La donnée est un actif par nature « intangible », mais inimaginablement monétisable.

À cet égard, le cas de Palantir Technologies est tout particulièrement intéressant. Fondée avec le soutien de la CIA, la société est spécialisée dans l’analyse de données massives pour le compte de gouvernements ou de grandes entreprises. Si Google collecte, Palantir corrèle. Avec son logiciel Gotham, utilisé notamment par les forces de l’ordre et les agences de renseignement, Palatir arrive à tisser des liens invisibles entre des milliards de points de données grâce au deep learning : déplacements, transactions, interactions sociales, etc. En 2020, l’ONG Privacy International alertait sur les risques d’une généralisation de ces outils dans la gestion publique, notamment en matière de santé ou de justice, où les biais algorithmiques peuvent renforcer des logiques discriminatoires. Palantir incarne ainsi une forme de pouvoir technologique silencieux, où la promesse de « sécurité » se fait au prix d’une opacité radicale. La fiction rejoint parfaitement la réalité, ou plutôt l’inverse : dans Le Seigneur des anneaux, le « Palantír », tel que l’orthographiait J. R. R. Tolkien, est un globe noir permettant à son propriétaire d’observer des lieux éloignés dans l’espace et le temps. Dans la vraie vie, c’est pourtant bien Palantir, l’entreprise, qui opère.

Selon une étude de McKinsey (2021), les entreprises « data-driven » sont 23 fois plus susceptibles d’acquérir de nouveaux clients et six fois plus aptes à retenir ceux déjà acquis. Or, cette efficacité repose sur une collecte fine et constante, souvent invisible pour l’utilisateur final. L’enjeu dépasse la simple personnalisation : il s’agit d’orienter les comportements à grande échelle. Mais peut-on parler de manipulation algorithmique ? L’idée fait son chemin, notamment depuis les scandales comme Cambridge Analytica (2018), où les données Facebook de 87 millions de personnes ont été utilisées pour influencer le vote.

RGPD : réel impact ou pouvoir délusionnel ?

En Europe, le Règlement Général sur la Protection des Données (RGPD) est souvent présenté comme un modèle. Cette loi adoptée en 2016, puis entrée en vigueur en 2018, impose aux entreprises un cadre très strict : droit à l’oubli, portabilité des données, demande de consentement explicite (mais si, ce sont tous les pop-ups sur les cookies qu’on accepte sans même regarder tellement on s’y est habitué).

Pourtant, plusieurs études révèlent les limites de cette loi : selon une enquête du European Data Journalism Network (2023), seules 17 % des plaintes déposées au titre du RGPD aboutissent à une sanction concrète. Comment expliquer ce chiffre ? L’Europe ferait-elle passer des lois qu’elle-même ne comprend pas ? Ou alors peut-être que l’Europe n’a juste pas les compétences nécessaires pour faire respecter ses propres lois.

En fait, le problème est structurel. D’une part, les autorités nationales de protection des données, comme la CNIL en France sont sous-financées. D’autre part, les grandes plateformes pratiquent un « forum shopping » juridique : elles s’installent dans les pays aux régulateurs les moins stricts (souvent l’Irlande pour l’UE), rendant l’application du droit plus complexe. Très concrètement, la DPC pour « Data Protection Commission » est accusée d’appliquer le droit européen de façon laxiste. En outre, le gouvernement irlandais a passé un amendement qui permet à la DPC de faire qualifier ses procédures de confidentielles.

Vers une souveraineté numérique ?

Face à ces constats dramatiques, la question de la souveraineté numérique revient en force. Peut-on encore parler de souveraineté quand les serveurs hébergeant nos données personnelles sont répartis dans d’immenses data centers situés aux États-Unis ou en Chine ? Des initiatives comme Gaia-X, projet franco-allemand qui propose de créer une infrastructure cloud européenne, tentent d’apporter une réponse. Mais ces alternatives peinent à concurrencer la puissance des GAFAM. Lorsque les données sont collectées, stockées et analysées par des entreprises américaines, peu importe l’emplacement du serveur : la souveraineté en prend malgré tout un coup.

À l’échelle individuelle, des mouvements émergent et plusieurs gouvernements parlent de passer leur système sur Linux pour vraiment avoir le contrôle sur leurs données. L’essor des solutions auto-hébergées (Nextcloud, Jellyfin), des messageries chiffrées (Signal, ProtonMail) ou du navigateur Brave en sont les illustrations. Toutefois, cette responsabilisation individuelle reste marginale face aux effets de réseau. Comme le rappelle Evgeny Morozov dans To Save Everything, Click Here (2013), croire que la technologie peut à elle seule résoudre les problèmes qu’elle engendre est une illusion confortable.

Repenser l’économie de la donnée

Plutôt que de considérer les données comme une ressource privée exploitée par des entités commerciales, certains économistes proposent une approche plus radicale : les considérer comme un bien commun. Glen Weyl et ses collègues, dans le manifeste Radical Markets (2018), proposent la création de marchés transparents de la donnée, dans lesquels les individus seraient rémunérés pour l’usage de leurs informations, dans un cadre démocratique et collectif.

Cette piste, bien que controversée, ouvre un débat salutaire. Car derrière la donnée, il y a un sujet, un citoyen, une personne. Et derrière chaque clic, un choix, un consentement, une liberté. Il est temps de prendre conscience de ce que nous acceptons réellement lorsque nous cliquons sur « accepter les cookies » : ce n’est pas notre ignorance de la valeur de nos données qui devrait nous soumettre aux entreprises. Il suffit de lire une seule fois les conditions d’utilisation, ou les textes qui accompagnent les cookies, pour se rendre compte du nombre d’acteurs à qui nos données sont partagées, ce qui en dit long sur leur valeur.

Conclusion

Il est grand temps de revenir à un humanisme fondamental et de refuser le transhumanisme grandissant. Penser la protection des données, ce n’est pas seulement lutter contre l’abus ou réclamer des droits. C’est s’interroger sur ce que signifie « être libre » dans une société hyperconnectée. C’est refuser que nos subjectivités soient l’objet d’une exploitation silencieuse et normalisée. C’est, peut-être, choisir de voir dans la donnée non pas un produit, mais un reflet. Un miroir, à protéger.

Nils Kundert