Dans un contexte de piratages massifs et de dérégulation, les données personnelles sont exposées à toutes les convoitises. Pour les avocats William Bourdon et Vincent Brengarth, il est urgent d’en faire un objet spécifique du droit français.
Une industrialisation de la cybercriminalité
Depuis plusieurs années, les atteintes aux données personnelles se multiplient à un rythme alarmant. Le rapport annuel 2025 sur la cybercriminalité évoque même une « industrialisation de la cybercriminalité ». Cette évolution révèle à la fois une sensibilisation encore insuffisante des citoyens et une incapacité persistante de l’État à garantir une protection effective des données. Or la criminalité numérique ne menace plus seulement la vie privée : elle porte également atteinte au patrimoine des individus, voire à leur intégrité physique, notamment dans les affaires liées aux cryptomonnaies. Pour les victimes, le parcours judiciaire relève souvent du chemin de croix. Malgré l’existence, à Paris, d’une section spécialisée de la Juridiction nationale de Lutte contre la Criminalité organisée, les réponses institutionnelles demeurent insuffisantes face à l’ampleur du phénomène.
L’urgence d’une reconnaissance
Dans ce contexte, il devient nécessaire – ne serait-ce que symboliquement – de reconnaître la protection des données personnelles comme un droit fondamental autonome, afin de tenir compte des mutations profondes de notre société numérique. Il ne s’agit pas d’une urgence de demain, mais d’une urgence d’aujourd’hui. L’article 8 de la Charte des Droits Fondamentaux de l’Union européenne dispose que « toute personne a droit à la protection des données à caractère personnel la concernant ». Ce droit y est explicitement distingué du droit au respect de la vie privée et familiale, protégé par l’article 7 du même texte. Le droit européen a ainsi consacré l’idée selon laquelle la protection des données constitue un objet juridique spécifique, distinct de la seule sphère de l’intimité.
Le droit français, en revanche, ne reconnaît pas encore une telle autonomie. La protection des données personnelles demeure principalement rattachée au droit au respect de la vie privée, auquel le Conseil constitutionnel a reconnu une valeur constitutionnelle dans sa décision du 23 juillet 1999, en le rattachant aux « droits naturels et imprescriptibles de l’homme » mentionnés à l’article 2 de la Déclaration des Droits de l’Homme et du Citoyen de 1789.
Une mesure hautement symbolique
Certes, un cadre normatif substantiel existe déjà. La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, comme le Règlement général sur la Protection des Données du 27 avril 2016, garantissent notamment des droits d’accès, d’information, de rectification ou d’effacement. En pratique, la reconnaissance d’un droit fondamental autonome n’emporterait sans doute pas de bouleversement immédiat du régime juridique applicable. Mais son importance serait ailleurs : dans la portée politique, symbolique et institutionnelle d’une telle consécration.
Reconnaître la protection des données comme un droit fondamental autonome permettrait d’abord d’aligner pleinement notre droit interne sur l’évolution du droit de l’Union européenne. Une telle reconnaissance offrirait également une clarification bienvenue : les données personnelles ne se réduisent plus aujourd’hui à une composante de la vie privée. Elles constituent désormais un prolongement de l’identité, de la sécurité et de la liberté individuelles. Cette évolution engagerait surtout un mouvement de consolidation normative destiné à placer la protection des données au sommet de la hiérarchie des normes, à la hauteur des enjeux démocratiques, économiques et sécuritaires qu’elle soulève.
Ce mouvement semble d’autant plus indispensable au regard des menaces pesant sur la protection des données personnelles en droit européen. En février 2026, le Comité européen de la Protection des Données et le Contrôleur européen de la Protection des Données ont adopté un avis conjoint sur la proposition de règlement omnibus numérique. Cette réforme vise à simplifier l’ensemble du cadre numérique européen. Le Comité européen de la Protection des Données et le Contrôleur européen de la Protection des Données alertent notamment sur la nécessité de ne pas adopter les modifications proposées à la définition des données à caractère personnel, considérant que celles-ci aboutiraient à une restriction significative de cette notion.
Le retard français
Car le retard français en la matière est manifeste. Il apparaît d’abord dans la vulnérabilité persistante des systèmes publics eux-mêmes. Les fuites de données touchant des institutions nationales se multiplient. Récemment encore, l’Agence nationale des Titres sécurisés aurait exposé jusqu’à 11,7 millions de comptes, selon le ministère de l’Intérieur. Ce retard se mesure également dans l’insuffisance de la formation et de la prévention. Les citoyens demeurent trop peu sensibilisés aux comportements permettant de protéger efficacement leurs données dans un environnement numérique devenu structurellement hostile. Enfin, ce retard se manifeste dans la prise en charge des victimes. Trop souvent, celles-ci se retrouvent seules face aux conséquences de fuites massives ou d’escroqueries numériques, et sont implicitement renvoyées à leur propre responsabilité, alors même qu’elles subissent les défaillances d’écosystèmes techniques et institutionnels qu’elles ne maîtrisent pas.
À l’heure où les données personnelles conditionnent l’exercice effectif de nombreuses libertés, leur protection ne peut plus être pensée comme une simple déclinaison du droit à la vie privée. Elle doit être reconnue pour ce qu’elle est devenue : une exigence démocratique fondamentale.
