Le rapport 2020 de la Commission européenne sur la valeur économique des seules données ouvertes¹, c’est-à-dire des données publiques librement accessibles, estimait ce marché à 334,21 milliards d’euros en 2025. Mais qu’en serait-il si l’on y ajoutait les données issues des acteurs privés ?

C’est précisément l’ambition qui avait été portée par l’ancien Commissaire européen au Marché intérieur, Thierry Breton, en lançant la création d’espaces européens uniques des données dans des domaines essentiels tels que la santé, les médias, l’énergie ou bien l’agriculture. L’objectif : favoriser le partage sécurisé et responsable des données afin de mieux comprendre les usages, anticiper les besoins, optimiser les ressources — en somme, libérer l’innovation au service de la compétitivité européenne. Ainsi, l’accès à un grand nombre de données est notamment nécessaire à l’entraînement et au développement de l’IA. L’accès à des données personnelles permet en particulier d’affiner les modèles d’IA. En ce sens, les restrictions d’accès aux données personnelles sont des freins au développement de l’IA.

Trouver un équilibre entre protection et innovation

La donnée, y compris personnelle, constitue aujourd’hui un actif stratégique pour l’ensemble des secteurs économiques. Pourtant, l’Europe peine encore à transformer ce potentiel en véritable moteur d’innovation et de croissance. Pour quelle raison ?Une cause est souvent citée : la surrèglementation. Ce constat est partagé par de nombreux rapports et travaux, et notamment le rapport de la Commission de l’IA remis au Président de la République en mars 2024², le rapport sur la compétitivité européenne de Mario Draghi de septembre 2024 ³, ou encore le rapport parlementaire relatif aux effets de l’intelligence artificielle sur l’activité économique et la compétitivité des entreprises françaises ⁴de septembre dernier. Ce dernier identifie le cadre réglementaire pour la donnée – plus particulièrement le Règlement général pour la protection des données (RGPD) et le règlement sur l’intelligence artificielle (RIA) – comme source d’incertitude en matière de développement de l’IA en Europe. Incertitude qui risque de « se répercuter sur les formalités qu’il incombe aux entreprises et aux personnes assujetties d’accomplir ».

Il ressort de l’ensemble de ces rapports que les autorités de protection des données personnelles ont adopté une interprétation extensive des textes, sans considération de l’impératif de proportionnalité avec les autres droits fondamentaux, et des enjeux d’innovation autour de la donnée.

Il ne s’agit donc pas d’une lubie portée par certains lobbys nord-américains, mais bien d’un constat unanime.

Il devient donc essentiel de concilier le droit légitime à la protection des données personnelles avec l’ensemble des autres droits fondamentaux, notamment la liberté d’entreprendre, et la souplesse nécessaire à l’innovation.

En maintenant une approche trop rigide, l’Europe court le risque de voir les grandes innovations autour de la donnée – et les emplois qui en découlent – continuer à émerger ailleurs. Pire encore, l’Europe court le risque de se voir imposer des produits et services non conforme à ses valeurs et à son cadre réglementaire. Alors que l’Europe débat de sa souveraineté numérique, elle serait encore simple consommatrice de produits et services numériques conçus et contrôlés ailleurs. L’enjeu n’est pas de choisir entre protection et progrès, mais de construire un cadre de confiance et de dynamisme, où la donnée circule de manière sécurisée, utile et créatrice de valeur pour tous.

Régulation : contrainte ou levier d’innovation ?

Le RGPD, tout comme le RIA par ailleurs, repose sur une approche fondée sur les risques. Ce principe aurait dû en principe ouvrir la voie à une application proportionnée des règles, adaptée aux contextes et aux risques réels pour les personnes physiques.

Le rapport parlementaire mentionné ci-dessus recommande par exemple, dans le cas du développement de l’IA, le recours aux bacs à sable réglementaires – qui peut permettre aux acteurs de tester leur technologie ou service dans un environnement contrôlé sans devoir nécessairement respecter l’ensemble du cadre réglementaire qui s’appliquerait en principe – afin d’accompagner des innovations de rupture. Ces outils, prévus par le RIA, permettraient de tester des solutions en environnement sécurisé, tout en offrant la possibilité juridique de déroger temporairement à certaines obligations. La réussite de cette approche dépendra de la volonté des autorités nationales chargées de mettre en œuvre le RIA de saisir pleinement les opportunités qu’il offre.

De la même manière, l’interprétation des autorités de protection de données européennes, en France la Commission nationale informatique et libertés (CNIL), sera déterminante pour favoriser l’adoption de Privacy Enhancing Technologies (PETs) – ces technologies de protection de la vie privée comme la pseudonymisation (traitement qui empêche d’attribuer une donnée à une personne précise sans avoir recours à des informations supplémentaires)⁵, qui permettent de concilier sécurité et utilisation responsable des données. A ce jour, les autorités de protection des données personnelles n’ont cependant pas choisi cette voie.

Une avancée récente pourrait néanmoins les encourager à retrouver l’état d’esprit initial du texte.

Le 4 septembre 2025, la Cour de justice de l’Union européenne (CJUE) a en effet rendu une décision aussi discrète que stratégique dans l’affaire opposant le Conseil de résolution unique (CRU) au Contrôleur européen de la protection des données (CEPD). La Cour de justice y a clarifié la portée juridique d’une technique de protection de la vie privée reconnue par le RGPD mais ignorée jusqu’alors par les autorités de protection des données personnelles  : la pseudonymisation. La Cour de justice considère que toute donnée pseudonymisée n’est pas automatiquement soumise au RGPD. En d’autres termes, la qualification de donnée personnelle dépend désormais du risque réel de réidentification des personnes concernées.

La mise en œuvre de cette décision offre ainsi à l’Europe une opportunité unique de renouveler son approche et de libérer une partie non négligeable de la donnée jusqu’ici enfermée dans une interprétation stricte. De plus, elle offre également une opportunité de mieux protéger les données des personnes physiques en encourageant leur pseudonymisation, réduisant ainsi les risques d’identification.

Il s’agit d’un signal fort pour les acteurs économiques et les investisseurs : l’Europe n’est pas condamnée à n’être qu’un terrain d’application des technologies conçues ailleurs. Elle peut redevenir un espace où la donnée circule, s’agrège, nourrit des avancées scientifiques, dans le respect des valeurs fondamentales qui font sa singularité.

Cependant, devant les difficultés historiques d’interprétation des textes, des clarifications par le législateur européen sont également souhaitables notamment sur la pseudonymisation pour encourager ce retour à une application proportionnée. C’est tout le sens de l’Omnibus numérique qu’a présenté la Commission européenne le 19 novembre dernier, qui doit être salué et encouragé.

Une opportunité stratégique à saisir

Pour que la réglementation européenne en matière de données se traduise en avantage compétitif, les autorités nationales et européennes doivent se concerter avec les acteurs publics et privés concernés, afin d’identifier les outils de conformité adaptés, garantissant sécurité juridique et protection de données. Il est parfaitement possible de construire un cadre réglementaire protecteur de la vie privée et favorable à l’innovation en encourageant l’émergence de techniques telle que la pseudonymisation.

La protection des droits fondamentaux n’est pas incompatible avec la compétitivité économique. Au contraire, elle peut en être le moteur si nous savons créer un cadre lisible, équilibré et ambitieux au bénéfice des personnes physiques, des entreprises, et de l’ensemble de la société.

Jocelyn Goubet
Directeur Droit économique et politique numérique à l’Afep