L’Europe s’est dotée avec le RGPD d’un cadre juridique parmi les plus ambitieux au monde en matière de protection des données personnelles. Pouvoirs étendus des autorités, sanctions financières élevées, obligations strictes pour les entreprises : sur le papier, l’arsenal est complet.

Dans les faits, l’efficacité réelle de ce cadre reste plus difficile à apprécier. Les sanctions existent, parfois à des niveaux inédits. Des acteurs comme Meta ou Amazon ont été condamnés à des montants de plusieurs centaines de millions, voire davantage. Les autorités nationales, comme la CNIL ou la Data Protection Commission, disposent de leviers réels : elles peuvent imposer des mises en conformité, limiter certains traitements, voire suspendre des flux de données.

Sur le plan juridique, le dispositif est donc loin d’être symbolique. Mais une question plus discrète mérite d’être posée : à quel moment intervient réellement la sanction ?

Dans la majorité des cas, le schéma est désormais bien documenté. Les données sont collectées, agrégées, croisées avec d’autres sources. Elles alimentent des systèmes de ciblage publicitaire, de recommandation ou, plus récemment, d’entraînement de modèles d’intelligence artificielle. Ce n’est qu’ensuite que débute la phase d’enquête, souvent longue, complexe, et fréquemment transfrontalière. Les décisions interviennent parfois plusieurs années après les faits.

Entre-temps, la valeur économique a déjà été captée.

Ce décalage temporel structure une partie du problème. Le RGPD n’agit pas en amont des usages, mais en aval. Il sanctionne des pratiques une fois qu’elles ont produit leurs effets. Il peut encadrer, corriger, limiter. Il ne peut pas revenir sur l’exploitation déjà réalisée.

Dans ce contexte, la sanction financière change de nature. Elle ne porte plus uniquement sur une infraction, mais sur une activité dont les bénéfices ont déjà été, au moins en partie, réalisés. Pour des entreprises dont le modèle repose sur la donnée, la question devient alors économique : le risque juridique est-il de nature à modifier réellement les comportements ?

Rien n’indique que la réponse soit systématiquement positive. Les montants en jeu sont élevés, mais ils doivent être mis en regard des revenus générés par ces mêmes activités. Dans certains cas, l’amende peut être intégrée comme un coût d’incertitude, au même titre qu’un risque réglementaire ou opérationnel. Elle ne rend pas la pratique légale. Elle ne garantit pas non plus qu’elle soit dissuadée.

Dans certains cas, la sanction n’empêche pas le modèle. Elle en devient une variable.

Cette lecture ne signifie pas que le RGPD est inefficace. Elle met en évidence une limite structurelle : une régulation qui intervient après coup peine à empêcher la capture initiale de valeur.

À ces limites s’ajoute une difficulté plus opérationnelle. Une fois la sanction prononcée, encore faut-il en contrôler l’exécution. Les autorités disposent de pouvoirs d’enquête et d’injonction, mais elles n’ont ni accès permanent aux systèmes, ni capacité de surveillance continue. Les contrôles reposent sur des audits, des demandes documentaires et des vérifications ciblées.

Autrement dit, elles contrôlent sur la base d’échantillons et de déclarations, pas d’une observation continue des systèmes.

Or, dans des architectures techniques complexes, la traçabilité est partielle. Une donnée peut être copiée, transformée, agrégée, intégrée dans différents environnements. Elle peut alimenter des bases secondaires, des systèmes intermédiaires ou des modèles statistiques. Vérifier qu’elle n’est plus utilisée devient beaucoup plus difficile que constater qu’elle l’a été.

Ce constat est encore plus marqué dans le cas de l’intelligence artificielle. Lorsqu’un modèle est entraîné sur de larges volumes de données, celles-ci ne sont pas conservées sous forme brute, mais intégrées sous forme de paramètres. Le modèle n’enregistre pas une donnée, il en extrait des régularités.

Dans ces conditions, supprimer la donnée source ne suffit pas à supprimer son influence. Les techniques de “machine unlearning” existent, mais elles restent complexes, imparfaites et peu déployées à grande échelle. Démontrer qu’un modèle n’est plus influencé par certaines données devient, en pratique, extrêmement difficile.

Le droit peut ordonner l’effacement. La technique ne permet pas toujours d’en garantir l’effectivité.

À ces limites techniques s’ajoute une question plus politique : que devient la sanction elle-même ?

Les amendes sont effectivement payées, parfois après des procédures d’appel. Mais elles sont versées aux États, et non aux citoyens dont les données ont été concernées. En France, elles alimentent le budget public via la CNIL ; en Irlande, via la Data Protection Commission. Le RGPD opère une distinction claire entre sanction administrative et réparation individuelle.

Cette dernière existe en théorie. Les citoyens peuvent engager des actions pour obtenir des dommages et intérêts. Mais dans les faits, ces démarches restent rares et difficiles à mettre en œuvre à grande échelle. Le préjudice est complexe à quantifier, les procédures sont longues, et le cadre européen des actions collectives demeure encore limité.

Quelques acteurs tentent de structurer ce champ. Des organisations comme NOYB jouent un rôle central en initiant des procédures et en faisant évoluer la jurisprudence. Certains cabinets et financeurs de contentieux, comme Hausfeld ou LitFin, explorent des modèles d’actions collectives.

Mais l’ensemble reste encore émergent. Là où l’exploitation des données est industrialisée, la réparation reste fragmentée, souvent expérimentale.

Il en résulte une asymétrie. L’exploitation des données est massive, structurée, intégrée aux modèles économiques. La régulation est institutionnalisée, mais largement réactive. La réparation, elle, reste marginale.

Le RGPD a incontestablement élevé le niveau d’exigence et imposé des standards qui s’étendent bien au-delà de l’Europe. Mais il laisse ouverte une question centrale : que signifie réellement protéger des données, lorsque leur exploitation précède systématiquement la sanction, et que leur effacement ne peut être garanti qu’imparfaitement ?

La question n’est plus seulement juridique. Elle devient économique et technique. Elle interroge la capacité de l’Europe à transformer un cadre normatif en véritable pouvoir de contrôle sur les usages réels de la donnée.

Dans ce contexte, une interrogation demeure : réguler après coup, est-ce encore réguler, ou simplement fixer le prix de la transgression ?

Et vous, qu'en pensez-vous ?
On en discute sur LinkedIn avant de se retrouver ici la semaine prochaine ?
Merci d'avoir lu cette édition jusqu'au bout.
— Fabrice | LinkedIn | Fabrice.Willot.eu