Interview réalisée par EconomieMatin auprès de Gregory Lenne, consultant et expert associé chez Génération Libre.
Génération Libre est un think-tank indépendant qui défend la liberté économique, politique et sociétale.
Mettre fin aux fuites de données : remplacer le RGPD par la propriété des données
By
Last modified on 22 juin 2026 11h51
36,8 millionsEn France, les fuites récentes ont concerné 36,8 millions de personnes chez France Travail.
1. Vous affirmez dans votre rapport du 20 mai 2026 que le RGPD a échoué après huit ans d'application. Quels sont les indicateurs concrets qui vous amènent à ce constat, au-delà du simple nombre de fuites notifiées ?
L’échec ne se mesure pas seulement au nombre de notifications à la CNIL. Il se voit dans la nature des incidents, leur ampleur et leurs conséquences concrètes. En France, les fuites récentes ont concerné 36,8 millions de personnes chez France Travail, 33 millions via Viamedis et Almerys, 24 millions de contrats chez Free, 11 à 15 millions de dossiers patients chez Cegedim Santé et 11,7 millions de comptes sur France Titres. Nous ne parlons donc plus d’incidents marginaux, mais d’une compromission quasi systémique des données personnelles des Français.
Le deuxième indicateur, c’est la faiblesse de la réparation. L’amende Free représente 42 millions d’euros, soit environ 1,75 euro par contrat concerné, et elle va à l’État, pas aux victimes. France Travail a été sanctionné à hauteur de 5 millions d’euros pour 36,8 millions de personnes concernées, soit 14 centimes par personne. C’est le signe d’un système qui sanctionne administrativement, mais qui ne répare pas réellement.
2. 24 fuites de données notifiées quotidiennement à la CNIL : ce chiffre reflète-t-il une vraie explosion des cyberattaques ou simplement une meilleure déclaration depuis le RGPD ?
Il y a probablement les deux, mais l’explication par la seule “meilleure déclaration” ne tient plus. En 2025, la France est passée à 24 fuites notifiées par jour, contre 16 en 2024 et 13 en 2023.
Le contexte géopolitique, la professionnalisation de la cybercriminalité et son industrialisation rendue possible par l'IA, l’essor de l’usurpation d’identité et la multiplication des bases de données centralisées créent une surface d’attaque beaucoup plus importante.
3. Vous proposez de créer un droit de propriété sur les données personnelles dans le Code civil. Concrètement, comment cela fonctionnerait-il ? Un citoyen pourrait-il vendre ses données comme il vendrait sa voiture ?
Pas exactement. L’idée n’est pas de dire que la donnée personnelle serait une marchandise ordinaire, cessible une fois pour toutes. Génération Libre propose un droit de propriété inaliénable, mais cessible par contrat à durée déterminée, sur le modèle d’une licence. L’individu resterait propriétaire de ses données, mais pourrait en autoriser certains usages, dans certaines conditions, pour une durée et une finalité précises.
Cela permettrait deux choses. D'abord, réorienter les incitations à protéger : la fuite cesserait d'être un simple manquement administratif pour devenir une atteinte à un bien, ce qui crée pour les entreprises un intérêt économique direct (et non plus seulement réglementaire)à mieux sécuriser les données qu'elles détiennent. Ensuite, redonner à ces données leur véritable valeur dans la relation entre l'utilisateur et l'entreprise. Reconnue comme un bien, la donnée peut faire l'objet d'une négociation : les entreprises gagnent alors la flexibilité d'offrir, en contrepartie, des services à plus forte valeur ajoutée à leurs utilisateurs, comme on l'observe déjà aux États-Unis.
4. Les amendes RGPD peuvent atteindre 4 % du chiffre d'affaires mondial. Pourquoi ce niveau de sanctions n'incite-t-il pas suffisamment les entreprises à sécuriser leurs systèmes selon vous ?
Parce que la question est mal posée. On suppose qu'il suffit de relever le plafond des sanctions pour que la protection suive, comme si la cybersécurité était d'abord un problème de conformité. Or les entreprises ont parfaitement conscience de leurs obligations : ce n'est pas la sensibilisation qui manque, c'est l'architecture même du dispositif.
Le RGPD a fait de la protection des données une affaire de juristes. On rédige des registres de traitement, des analyses d'impact, des politiques de confidentialité ; on coche des cases. Mais la sécurité ne se décrète pas dans un texte : elle se construit dans le code, dans les protocoles, dans les choix d'infrastructure. Tant que la donnée n'est pas reconnue comme un bien et tant que la fuite n'expose qu'à une amende administrative, l'arbitre du sujet reste le juriste, et la protection demeure formelle. Reconnaître la propriété des données déplace le centre de gravité : le sujet devient technique et la responsabilité opérationnelle passe au DSI et à l'ingénieur, là où elle aurait toujours dû se trouver.
5. Votre modèle de responsabilité civile implique-t-il que les entreprises devront souscrire des assurances cyber obligatoires, comme pour l'automobile ? Quel serait l'impact sur les PME ?
Pas nécessairement obligatoires, mais elles deviendraient probablement indispensables pour beaucoup d’acteurs. C’est précisément l’intérêt du modèle : faire entrer la sécurité des données dans une logique de marché, avec des primes d’assurance qui varient selon le niveau réel de protection.
Pour les PME, l’objectif n’est pas d’ajouter une couche de bureaucratie. Au contraire, il faut déplacer les coûts : moins de conformité documentaire inutile, plus de sécurité concrète. Une PME ne devrait pas être jugée sur sa capacité à produire des registres interminables, mais sur des standards simples : authentification multifacteur, chiffrement, sauvegardes, cloisonnement des accès, audit régulier.
6. Les géants américains du numérique investissent massivement dans la cybersécurité. La France a-t-elle les moyens techniques et financiers de rivaliser avec ce modèle que vous semblez préconiser ?
La France n’a pas besoin de copier les géants américains. Elle doit surtout arrêter de gaspiller des ressources dans une conformité formelle qui ne protège pas suffisamment. Le sujet n’est pas d’avoir les budgets de Google ou Microsoft, mais d’aligner les incitations.
Beaucoup de fuites récentes ne relèvent pas d’attaques ultra-sophistiquées. Elles tiennent à des failles élémentaires : absence de MFA, habilitations trop larges, API mal sécurisées, données non chiffrées, ou tout simplement une absence de formation des salariés aux bonnes pratiques. La présidente de la CNIL a elle-même estimé que 80 % des grandes violations auraient pu être évitées par des mesures élémentaires comme l’authentification multifacteur.
7. Vous critiquez le focus sur la conformité administrative. Mais sans contraintes réglementaires fortes, qu'est-ce qui empêcherait un retour aux pratiques d'avant 2018 ?
C'est une question importante, mais elle contient un implicite que je récuse : que sortir de la conformité administrative reviendrait à relâcher la contrainte. C'est l'inverse.
Aujourd'hui, le rapport entre l'utilisateur et l'entreprise est désintermédié par l'État : c'est la CNIL qui constate et qui sanctionne. L'utilisateur, lui, est un tiers absent : la donnée n'est pas la sienne, et il n'a aucune prise directe sur celui qui l'exploite. Reconnaître la propriété des données rétablit un rapport contractuel direct entre le propriétaire et l'exploitant. Or un rapport contractuel n'est pas un rapport sans règles : il est soumis aux contraintes ordinaires du droit commun (responsabilité, indemnisation, …) qui structurent depuis des siècles tous les autres échanges économiques. Les contraintes ne disparaissent pas ; elles changent de nature, et deviennent plus exigeantes parce que plus directes.
Le résultat est double. Pour l'utilisateur, la protection devient plus forte parce qu'elle s'appuie sur une responsabilité tangible plutôt que sur une procédure abstraite. Pour les entreprises, ce qui n'était qu'un coût de conformité devient une matière à valoriser : la donnée peut être négociée, échangée, partagée contre des services à plus forte valeur ajoutée, et dans certains secteurs cela ouvre un véritable levier de croissance. Ce qui fonctionne sur tous les autres biens (du foncier au capital) fonctionnerait aussi bien sur les données personnelles. Il n'y a aucune raison de leur réserver un régime juridique d'exception.
8. Si votre modèle était adopté demain, combien de temps faudrait-il pour voir des résultats tangibles sur la réduction des fuites de données ?
La question présuppose que nous savons à quoi servent les données aujourd'hui et que nous le saurons demain. C'est précisément l'inverse. L'IA est en train de redéfinir en profondeur ce qu'est une donnée personnelle, ce qu'on peut en faire, et la valeur qu'elle représente. La décision récente du Sénat français d'instaurer une présomption d'utilisation des œuvres pour les modèles d'IA générative, comme les premiers contentieux internationaux sur l'entraînement des modèles, montrent à quel point le paysage bouge.
C'est précisément pour cette raison qu'un cadre administratif rigide est mal adapté. Une réglementation de moyens court toujours derrière l'usage : le RGPD a été pensé pour un monde pré-IA générative, et il est déjà partiellement obsolète. Un cadre propriétaire, lui, est intrinsèquement plus souple : il s'adapte par voie contractuelle et jurisprudentielle aux usages nouveaux, sans attendre que le législateur tranche cinq ans plus tard.
9. Face aux résistances prévisibles de Bruxelles, voyez-vous une voie française ou faut-il convaincre nos partenaires européens d'abandonner leur approche réglementaire ?
Il faut être lucide : le RGPD est un règlement européen, donc une réforme complète suppose un débat à l’échelle européenne. Mais la France peut ouvrir la voie en expérimentant un nouveau modèle et en démontrant sa supériorité.