Essai · Essais
De la souveraineté de la donnée à l'architecture
Comment le RGPD, l'AI Act et le Manifeste du Lien Numérique se traduisent en décisions techniques : sans analytique, sans cookies, base légale explicite.
Un manifeste qui reste sur la page web n’est qu’une promesse. Le Manifeste du Lien Numérique qui régit ce site et les autres projets de Xiringase ne prétend pas être cela : c’est une déclaration de principes dont j’exige le respect dans le code, pas seulement dans le texte. Cet article parle de la partie que l’on raconte presque jamais : comment ces principes se transforment en décisions techniques concrètes, et ce que dit la loi européenne à ce sujet.
Ce que dit déjà le manifeste
Le Lien Numérique part d’une idée simple : compter, c’est de la science ; identifier sans consentement, c’est autre chose. Mes systèmes peuvent savoir combien de personnes lisent un article sans avoir besoin de savoir qui est chaque personne. Ce principe, et les cinq autres du manifeste —souveraineté de la personne, architecture plutôt que promesse, marketing contextuel, transparence radicale et souveraineté du silicium—, ne sont pas des aspirations. Ce sont des contraintes que j’applique en construisant chaque page.
Du principe au code : ce qui n’existe pas sur ce site
Cela se vérifie, cela ne se croit pas. labs.tever.es ne charge aucun
script d’analytique tiers (Google Analytics, Meta Pixel ou équivalent),
n’écrit aucun cookie de traçage et ne fait aucun fingerprinting du
navigateur. Ce n’est pas une option à désactiver dans une bannière : le
code ne les inclut tout simplement jamais. Si un jour vous voulez le
vérifier vous-même, le site est en code source ouvert et la politique de
confidentialité détaille exactement
quelles données je traite —journaux de serveur pour intérêt légitime, rien
de plus—, sous quelle base légale et pendant combien de temps.
C’est la différence entre « architecture » et « promesse » dont parle le manifeste : je ne vous demande pas de faire confiance à une case de consentement, je vous montre le code qui rend impossible ce que je dis ne pas faire.
Le cadre légal : RGPD et AI Act
Ces principes ne vivent pas dans le vide. L’Union européenne les a transformés en loi, dans deux règlements qui se complètent.
Le Règlement (UE) 2016/679 —le RGPD— encadre depuis 2016 le traitement des données personnelles : il exige une base légale explicite pour chaque donnée traitée (consentement, intérêt légitime, obligation contractuelle…), limite la durée de conservation et donne à chaque personne des droits concrets —accès, rectification, effacement, portabilité— sur ce qu’une organisation sait d’elle. En Espagne, il est complété par la Ley Orgánica 3/2018 (LOPDGDD). Ce n’est pas de la paperasse : c’est la base légale minimale qui soutient le premier principe du manifeste, que la personne soit sujet et non cible.
Le second règlement est plus récent et moins connu en dehors du secteur : le Règlement (UE) 2024/1689, connu sous le nom d’AI Act (la loi européenne sur l’IA), est entré en vigueur le 1er août 2024 et s’applique de façon échelonnée. Les pratiques d’IA interdites (manipulation subliminale, notation sociale, catégorisation biométrique sensible) et l’obligation de maîtrise de l’IA pour qui la déploie sont déjà exigibles depuis le 2 février 2025. Les obligations pour les modèles à usage général —les grands modèles génératifs, dont ceux que je mentionne dans l’article sur l’IA comme outil créatif— sont entrées en vigueur le 2 août 2025. L’essentiel du règlement, y compris les systèmes à haut risque, s’applique pleinement depuis le 2 août 2026.
L’AI Act classe les systèmes d’IA par niveau de risque et répartit les obligations entre qui les développe (fournisseur) et qui les utilise (déployeur) : plus le risque pour les personnes est élevé, plus les obligations de transparence et de supervision humaine le sont aussi. C’est, pour l’essentiel, la même logique que le sixième principe du manifeste —l’intelligence artificielle doit étendre des capacités, pas se nourrir des personnes à leur insu— mais transformée en loi avec de véritables sanctions.
Pourquoi cela m’importe au-delà de la conformité
Je ne suis pas le RGPD ni l’AI Act parce qu’ils sont obligatoires —bien qu’ils le soient—, mais parce qu’ils rejoignent une conviction que j’avais déjà avant qu’ils n’existent : traiter quelqu’un comme une personne et non comme une donnée n’est pas une option de conception parmi d’autres, c’est la seule façon de construire une technologie qui ne dépende pas de tromper quelqu’un pour fonctionner. Quand je parle de l’IA comme d’un outil qui prolonge ce que l’on sait, cette idée n’a de sens que si la personne sait ce qui est fait de ses données et y a consenti. Sans cela, il n’y a pas d’outil : il y a extraction.
Xiringase, le collectif derrière ce site, publie la version d’origine du
manifeste sans dépendre d’aucun projet en
particulier. La version qui régit labs.tever.es est la même déclaration
appliquée à un cahier de recherche : même engagement, même code auditable,
même respect de la loi qui l’exige désormais et des principes qui
l’exigeaient déjà avant elle.
Bibliographie
Les références sur lesquelles s’appuie cet article, et par où poursuivre la lecture :
- Union européenne (2016). Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD). Journal officiel de l’Union européenne.
- Espagne (2018). Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Boletín Oficial del Estado.
- Union européenne (2024). Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées en matière d’intelligence artificielle (AI Act). Journal officiel de l’Union européenne.
- Xiringase. Manifeste du Lien Numérique.