Le paysage de la protection des données personnelles connaît aujourd’hui des transformations profondes qui remettent en question les fondements mêmes du Règlement Général sur la Protection des Données (RGPD). Alors que ce texte européen de référence, entré en vigueur en 2018, visait à renforcer les droits des citoyens sur leurs données, de nouvelles tensions émergent entre les impératifs de sécurité nationale, les exigences de surveillance étatique et les droits fondamentaux à la vie privée.

Cette situation paradoxale révèle un conflit croissant entre deux visions opposées de l’avenir numérique. D’un côté, les autorités publiques européennes, soutenues par des organismes comme Europol, militent pour un affaiblissement du chiffrement et une extension des capacités de surveillance, au nom de la lutte contre la criminalité. De l’autre, les experts en cryptographie développent des technologies toujours plus sophistiquées pour préserver la confidentialité des données, notamment face à l’émergence de nouvelles menaces comme l’informatique quantique.

Cette dualité soulève des questions fondamentales sur l’équilibre entre sécurité collective et libertés individuelles, mais aussi sur la cohérence des politiques européennes en matière de protection des données. Comment concilier les principes du RGPD avec les nouvelles exigences sécuritaires ? Quelles sont les implications de ces évolutions pour les entreprises technologiques et les citoyens européens ?

Cet article examine ces enjeux cruciaux à travers trois axes principaux : l’analyse des propositions européennes visant à affaiblir le chiffrement et modifier le RGPD, l’impact de ces mesures sur l’écosystème technologique européen, et enfin les innovations cryptographiques qui pourraient redéfinir l’avenir de la protection des données personnelles.

I. Les propositions européennes : un recul des garanties RGPD

Les recommandations controversées du High Level Group

Le High Level Group (HLG) mandaté par le Conseil européen a publié un rapport qui pourrait marquer un tournant décisif dans l’approche européenne de la confidentialité numérique. Ces recommandations, si elles étaient adoptées, constitueraient un recul significatif par rapport aux principes fondateurs du RGPD et aux garanties qu’il offre aux citoyens européens.

La proposition la plus controversée concerne l’affaiblissement volontaire du chiffrement des communications. Le HLG considère que le chiffrement robuste constitue un obstacle majeur aux enquêtes criminelles, le déchiffrement étant jugé “trop coûteux et trop long” pour les autorités. Cette position traduit une incompréhension fondamentale des principes de sécurité informatique, où la force du chiffrement constitue précisément sa valeur ajoutée pour la protection des données.

Le concept d’“accès légitime” proposé par le HLG révèle l’ampleur des ambitions de surveillance. Il s’agirait d’intégrer des mécanismes permettant aux autorités d’accéder aux données chiffrées, y compris aux enregistrements de vidéosurveillance chiffrés, tout en prétendant maintenir “des mesures de cybersécurité solides”. Cette approche contradictoire ignore le principe fondamental de la cryptographie selon lequel toute porte dérobée, même conçue pour un usage légitime, constitue une vulnérabilité exploitable par des acteurs malveillants.

L’exigence de “clés maîtresses” que devraient fournir les éditeurs de messagerie illustre parfaitement cette incompréhension technique. Comme le reconnaît le rapport lui-même, une telle demande est “parfois tout bonnement impossible à faire”, notamment pour les services utilisant un chiffrement de bout en bout où même l’opérateur ne possède pas les clés de déchiffrement.

Des États membres divisés

La position d’Europol en faveur de ces mesures révèle une approche sécuritaire qui privilégie l’efficacité des enquêtes sur la protection des libertés numériques. L’organisation estime que “les messageries sécurisées compliquent beaucoup trop les enquêtes” et souhaite contraindre les géants technologiques à coopérer, quitte à “bousculer les libertés numériques”.

Cette position divise les États membres de l’Union européenne. La France et les Pays-Bas soutiennent activement ces propositions, considérant que les impératifs sécuritaires justifient un affaiblissement du chiffrement. À l’inverse, l’Allemagne et la Finlande s’opposent fermement à ces mesures, défendant une approche plus protectrice des droits fondamentaux et de la sécurité informatique.

Cette division révèle l’absence de consensus européen sur l’équilibre entre sécurité et vie privée, fragilisant la cohérence de la politique européenne en matière de protection des données.

La remise en cause des principes du RGPD

Les propositions concernant la rétention des données constituent peut-être l’aspect le plus préoccupant de ces recommandations. Le HLG propose explicitement de “faire marche arrière” sur les acquis du RGPD en instaurant “des exigences minimales pour la conservation de certains types bien spécifiques de données” qui s’appliqueraient à “tout opérateur économique fournissant des services de communication électronique”.

Cette approche contredit directement le principe de minimisation des données inscrit dans le RGPD, selon lequel les données personnelles doivent être “limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”. L’instauration de périodes de rétention minimales, définies en fonction des catégories de métadonnées et du type de crime présumé, transformerait tous les opérateurs de communication en auxiliaires de surveillance.
L’obligation de création de comptes utilisateur pour les services qui n’en nécessitent pas actuellement illustre cette logique de surveillance généralisée. Des services comme la messagerie française Olvid, qui garantissent l’anonymat de leurs utilisateurs, seraient contraints de mettre en place des systèmes d’identification, réduisant drastiquement leur capacité à protéger la vie privée de leurs utilisateurs.

Le HLG présente ces obligations comme “positives dans le contexte des discussions sur la nécessité d’augmenter la transparence et la responsabilité des fournisseurs”, détournant ainsi le vocabulaire de la protection des données pour justifier des mesures de surveillance renforcée.

II. Impact sur l’écosystème technologique européen : le cas emblématique de Proton

La fin de la confidentialité promise par Proton ?

L’histoire de Proton illustre parfaitement l’évolution des enjeux de confidentialité numérique. Fondée en 2014 par des chercheurs du CERN, l’entreprise s’est établie en Suisse précisément pour bénéficier de lois favorables à la protection des données et d’un cadre juridique stable. Cette décision stratégique avait permis à Proton de se développer en proposant des services de messagerie et de stockage cloud chiffrés, attirant des millions d’utilisateurs soucieux de leur vie privée.

Jusqu’à présent, Proton avait réussi à naviguer dans les eaux troubles de la coopération judiciaire internationale. L’entreprise avait déjà dû partager des adresses IP sur demande des autorités suisses, conformément à la législation locale, mais les e-mails et les fichiers étaient restés chiffrés et illisibles pour les enquêteurs. Cette situation illustrait un équilibre acceptable entre les exigences légales et la protection de la vie privée des utilisateurs.

La révision proposée de la loi suisse sur la surveillance changerait radicalement cette donne. Les nouvelles dispositions viseraient à obliger les entreprises à “mettre en place des dispositifs de surveillance et supprimer leur mécanisme de chiffrement afin de pouvoir récupérer, à minima, les métadonnées”. Une telle exigence rendrait impossible le maintien du modèle de sécurité de Proton, basé sur l’impossibilité technique pour l’entreprise d’accéder aux données de ses utilisateurs.

La menace d’exode des entreprises technologiques

L’évolution du cadre réglementaire européen provoque déjà des réactions dramatiques de la part des entreprises technologiques spécialisées dans la protection de la vie privée. Le cas de Proton, entreprise suisse fondée en 2014 et devenue une référence mondiale en matière de messagerie sécurisée, illustre parfaitement les risques que font peser ces nouvelles orientations sur l’écosystème technologique européen.

Andy Yen, PDG et co-fondateur de Proton, a clairement exprimé son opposition aux révisions envisagées : “Nous nous sentirons obligés de quitter la Suisse si la révision partielle de la loi sur la surveillance que le Conseil fédéral envisage entre en vigueur”. Cette déclaration, loin d’être un simple effet d’annonce, révèle l’incompatibilité fondamentale entre les nouvelles exigences de surveillance et le modèle économique des entreprises axées sur la confidentialité.

L’ironie de la situation réside dans le fait que ces mesures feraient de l’Europe un territoire moins favorable à la protection des données que les États-Unis, pourtant souvent critiqués pour leurs pratiques de surveillance. Comme le souligne Andy Yen, “la surveillance suisse serait donc nettement plus stricte qu’aux États-Unis et que dans l’UE”, créant un paradoxe où l’Europe, pionnière de la protection des données avec le RGPD, deviendrait moins attractive que d’autres juridictions.

Un risque de perte de compétences

Le cas de Proton n’est pas isolé. Meredith Whittaker, dirigeante de Signal, autre référence mondiale en matière de messagerie sécurisée, a également exprimé sa détermination à ne plus fournir aux français sa messagerie sécurisée, si le chiffrement sans accès aux autorités devenait illégal en France. Cette convergence de réactions illustre un phénomène plus large : les entreprises technologiques axées sur la confidentialité sont prêtes à délocaliser leurs activités plutôt que de compromettre la sécurité de leurs utilisateurs.

Cette situation crée un paradoxe majeur pour l’Europe. Alors que l’Union européenne cherche à développer sa souveraineté numérique et à réduire sa dépendance vis-à-vis des géants technologiques américains et chinois, ses propres politiques risquent de pousser vers l’exil les entreprises européennes les plus innovantes en matière de protection de la vie privée.

L’impact économique de tels départs ne se limiterait pas à la perte directe d’emplois et de revenus fiscaux. Il s’agirait également d’une perte de savoir-faire technologique et d’influence géopolitique.

III. Vers un nouveau paradigme de protection des données avec les innovations cryptographiques

La révolution post-quantique

Face aux pressions exercées par les autorités pour affaiblir le chiffrement traditionnel, la communauté cryptographique développe des solutions toujours plus sophistiquées pour préserver la confidentialité des données. L’émergence de l’informatique quantique constitue à la fois une menace existentielle pour la cryptographie actuelle et un catalyseur pour le développement de nouvelles approches révolutionnaires.

L’algorithme de Shor, exécutable sur un ordinateur quantique suffisamment puissant, menace directement les systèmes de cryptographie à clé publique les plus utilisés aujourd’hui, notamment RSA et les courbes elliptiques. Cette menace n’est pas purement théorique : les services de renseignement stockent déjà des communications chiffrées dans l’espoir de pouvoir les déchiffrer ultérieurement grâce aux futurs ordinateurs quantiques. Cette stratégie d’“attaques rétroactives” impose un calendrier serré pour la migration vers la cryptographie post-quantique

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a identifié cette menace comme prioritaire et recommande une approche de migration progressive. La stratégie hybride préconisée consiste à combiner les nouveaux algorithmes post-quantiques avec les algorithmes classiques reconnus, garantissant une sécurité au moins équivalente tout en évitant toute régression. Cette approche prudente reflète la complexité technique de la transition et l’importance cruciale de maintenir la sécurité pendant la période de migration.

Le National Institute of Standards and Technology (NIST) américain a lancé une campagne de standardisation d’algorithmes post-quantiques dont les premiers résultats ont été publiés en 2022. Cette standardisation internationale facilite l’adoption de ces nouvelles technologies et garantit l’interopérabilité des systèmes de différents fournisseurs.

Les technologies de préservation de la vie privée (PET)

Parallèlement à la cryptographie post-quantique, une nouvelle génération de technologies de préservation de la vie privée (Privacy Enhancing Technologies - PETs) émerge pour répondre aux besoins croissants de confidentialité dans un monde numérique interconnecté. Ces technologies offrent des solutions innovantes qui permettent de traiter des données sensibles tout en préservant leur confidentialité.

Le chiffrement homomorphe représente l’une des avancées les plus prometteuses dans ce domaine. Cette technologie permet d’effectuer des opérations mathématiques directement sur des données chiffrées, sans jamais les déchiffrer. Le résultat, une fois déchiffré, correspond exactement au calcul qui aurait été effectué sur les données en clair. Bien que limité initialement par sa complexité computationnelle, le chiffrement homomorphe a considérablement gagné en praticité et constitue désormais un domaine de recherche particulièrement actif.

Le calcul multipartite sécurisé (Secure Multi-Party Computation - MPC) offre une approche complémentaire en permettant à plusieurs parties de calculer conjointement une fonction sur leurs données respectives sans révéler ces données, à l’exception du résultat final. Cette technologie trouve déjà des applications concrètes dans des domaines variés, des ventes aux enchères sécurisées aux études statistiques sur les inégalités salariales. Le Private Set Intersection (PSI), une forme spécialisée de MPC, est notamment utilisé par Apple et Google dans leurs outils de surveillance des mots de passe compromis.

Les preuves de connaissance à divulgation nulle (Zero-Knowledge Proofs - ZKP) constituent peut-être la technologie la plus mature de cette nouvelle génération. Elles permettent de prouver la véracité d’une assertion sans révéler l’information sous-jacente qui permet cette preuve. Les applications sont nombreuses : vérification d’âge respectueuse de la vie privée, authentification sans révélation d’identifiants, ou encore validation de conformité réglementaire sans exposer les données sensibles.

Applications pratiques pour le RGPD

Ces technologies avancées ne constituent pas seulement des innovations académiques ; elles offrent des solutions concrètes pour renforcer la conformité au RGPD tout en permettant l’innovation numérique. Leur potentiel de contribution aux principes fondamentaux du règlement européen est considérable.

Le principe de minimisation des données, central dans le RGPD, trouve dans les ZKP un outil particulièrement adapté. Ces technologies permettent de vérifier des informations sans collecter ni stocker les données personnelles sous-jacentes, réduisant drastiquement les risques de violation de données et simplifiant la conformité réglementaire.

Le chiffrement fonctionnel (Functional Encryption - FE) apporte une réponse élégante au principe de limitation des finalités. Cette technologie permet un déchiffrement sélectif des données en fonction des opérations autorisées à l’utilisateur, garantissant que les données ne peuvent être utilisées que pour les finalités prévues lors de leur collecte.

Dans le domaine de l’intelligence artificielle et de l’apprentissage automatique, ces technologies ouvrent de nouvelles perspectives pour l’entraînement de modèles sur des données sensibles. Le MPC permet l’entraînement collaboratif de modèles sans partage de données brutes, tandis que le chiffrement homomorphe permet l’inférence sur des données chiffrées, préservant ainsi la confidentialité tout au long du processus.

L’informatique confidentielle dans le cloud bénéficie également de ces avancées. Les entreprises peuvent désormais externaliser le traitement de leurs données sensibles tout en garantissant qu’elles restent illisibles pour le fournisseur de services cloud et les tiers malveillants. Cette capacité répond directement aux préoccupations de souveraineté numérique et de protection des données dans un contexte de cloud computing généralisé.

Conclusion

L’analyse de ces évolutions révèle un paysage numérique européen à la croisée des chemins, où s’affrontent deux visions diamétralement opposées de l’avenir de la protection des données. D’un côté, les autorités publiques, soutenues par des organismes comme Europol, militent pour un affaiblissement du chiffrement et une extension des capacités de surveillance, remettant en question les acquis fondamentaux du RGPD. De l’autre, la communauté technologique et cryptographique développe des solutions toujours plus sophistiquées pour préserver la confidentialité des données, anticipant même les menaces futures comme l’informatique quantique.

Cette tension révèle un paradoxe européen majeur : alors que l’Union européenne s’est positionnée comme pionnière mondiale de la protection des données avec le RGPD, les nouvelles orientations sécuritaires risquent de faire de l’Europe un territoire moins favorable à la vie privée numérique que d’autres juridictions. L’exode annoncé d’entreprises comme Proton et Signal illustre parfaitement cette contradiction et ses conséquences économiques potentielles.

Les innovations cryptographiques offrent pourtant des voies prometteuses pour concilier les impératifs sécuritaires et la protection de la vie privée. Les technologies de préservation de la vie privée, du chiffrement homomorphe aux preuves à divulgation nulle, démontrent qu’il est techniquement possible de préserver la confidentialité tout en permettant les traitements nécessaires aux enquêtes légitimes et à l’innovation numérique.

L’enjeu dépasse la seule question technique pour toucher aux fondements de la société numérique européenne. Le choix entre surveillance généralisée et protection renforcée de la vie privée déterminera non seulement l’avenir de la confidentialité numérique, mais aussi la position géopolitique de l’Europe dans l’économie numérique mondiale. La capacité de l’Union européenne à maintenir sa cohérence réglementaire tout en préservant son attractivité pour l’innovation technologique constitue l’un des défis majeurs des années à venir.

Sources:

• Des experts nous donnent les clés pour décrypter la cryptographie d’aujourd’hui et de demain (LINC/CNIL)
• Surveillance, fin du chiffrement : Proton pourrait quitter la Suisse
• Fin du chiffrement, rétention de données, compte obligatoire : les recommandations des experts de l’UE

Article réalisé avec l’assistance de l’IA Claude 4 Sonnet d’Anthropic

---

Vous avez des problématiques RGPD? Les solutions sont par ici !

---