Tever
FR

Essai · Essais

De la souveraineté de la donnée à l'architecture

Comment le RGPD, l'AI Act et le Manifeste du Lien Numérique se traduisent en décisions techniques : sans analytique, sans cookies, base légale explicite.

De la souveraineté de la donnée à l'architecture

Un manifeste qui reste sur la page web n’est qu’une promesse. Le Manifeste du Lien Numérique qui régit ce site et les autres projets de Xiringase ne prétend pas être cela : c’est une déclaration de principes dont j’exige le respect dans le code, pas seulement dans le texte. Cet article parle de la partie que l’on raconte presque jamais : comment ces principes se transforment en décisions techniques concrètes, et ce que dit la loi européenne à ce sujet.

Ce que dit déjà le manifeste

Le Lien Numérique part d’une idée simple : compter, c’est de la science ; identifier sans consentement, c’est autre chose. Mes systèmes peuvent savoir combien de personnes lisent un article sans avoir besoin de savoir qui est chaque personne. Ce principe, et les cinq autres du manifeste —souveraineté de la personne, architecture plutôt que promesse, marketing contextuel, transparence radicale et souveraineté du silicium—, ne sont pas des aspirations. Ce sont des contraintes que j’applique en construisant chaque page.

Du principe au code : ce qui n’existe pas sur ce site

Cela se vérifie, cela ne se croit pas. labs.tever.es ne charge aucun script d’analytique tiers (Google Analytics, Meta Pixel ou équivalent), n’écrit aucun cookie de traçage et ne fait aucun fingerprinting du navigateur. Ce n’est pas une option à désactiver dans une bannière : le code ne les inclut tout simplement jamais. Si un jour vous voulez le vérifier vous-même, le site est en code source ouvert et la politique de confidentialité détaille exactement quelles données je traite —journaux de serveur pour intérêt légitime, rien de plus—, sous quelle base légale et pendant combien de temps.

C’est la différence entre « architecture » et « promesse » dont parle le manifeste : je ne vous demande pas de faire confiance à une case de consentement, je vous montre le code qui rend impossible ce que je dis ne pas faire.

Le cadre légal : RGPD et AI Act

Ces principes ne vivent pas dans le vide. L’Union européenne les a transformés en loi, dans deux règlements qui se complètent.

Le Règlement (UE) 2016/679 —le RGPD— encadre depuis 2016 le traitement des données personnelles : il exige une base légale explicite pour chaque donnée traitée (consentement, intérêt légitime, obligation contractuelle…), limite la durée de conservation et donne à chaque personne des droits concrets —accès, rectification, effacement, portabilité— sur ce qu’une organisation sait d’elle. En Espagne, il est complété par la Ley Orgánica 3/2018 (LOPDGDD). Ce n’est pas de la paperasse : c’est la base légale minimale qui soutient le premier principe du manifeste, que la personne soit sujet et non cible.

Le second règlement est plus récent et moins connu en dehors du secteur : le Règlement (UE) 2024/1689, connu sous le nom d’AI Act (la loi européenne sur l’IA), est entré en vigueur le 1er août 2024 et s’applique de façon échelonnée. Les pratiques d’IA interdites (manipulation subliminale, notation sociale, catégorisation biométrique sensible) et l’obligation de maîtrise de l’IA pour qui la déploie sont déjà exigibles depuis le 2 février 2025. Les obligations pour les modèles à usage général —les grands modèles génératifs, dont ceux que je mentionne dans l’article sur l’IA comme outil créatif— sont entrées en vigueur le 2 août 2025. L’essentiel du règlement, y compris les systèmes à haut risque, s’applique pleinement depuis le 2 août 2026.

L’AI Act classe les systèmes d’IA par niveau de risque et répartit les obligations entre qui les développe (fournisseur) et qui les utilise (déployeur) : plus le risque pour les personnes est élevé, plus les obligations de transparence et de supervision humaine le sont aussi. C’est, pour l’essentiel, la même logique que le sixième principe du manifeste —l’intelligence artificielle doit étendre des capacités, pas se nourrir des personnes à leur insu— mais transformée en loi avec de véritables sanctions.

Pourquoi cela m’importe au-delà de la conformité

Je ne suis pas le RGPD ni l’AI Act parce qu’ils sont obligatoires —bien qu’ils le soient—, mais parce qu’ils rejoignent une conviction que j’avais déjà avant qu’ils n’existent : traiter quelqu’un comme une personne et non comme une donnée n’est pas une option de conception parmi d’autres, c’est la seule façon de construire une technologie qui ne dépende pas de tromper quelqu’un pour fonctionner. Quand je parle de l’IA comme d’un outil qui prolonge ce que l’on sait, cette idée n’a de sens que si la personne sait ce qui est fait de ses données et y a consenti. Sans cela, il n’y a pas d’outil : il y a extraction.

Xiringase, le collectif derrière ce site, publie la version d’origine du manifeste sans dépendre d’aucun projet en particulier. La version qui régit labs.tever.es est la même déclaration appliquée à un cahier de recherche : même engagement, même code auditable, même respect de la loi qui l’exige désormais et des principes qui l’exigeaient déjà avant elle.

Bibliographie

Les références sur lesquelles s’appuie cet article, et par où poursuivre la lecture :