Réguler sans comprendre : pourquoi l’Europe préfère la conformité à la preuve
La CNIL aime se présenter comme le rempart français contre les abus numériques. Sur le papier, c’est séduisant : une autorité indépendante, gardienne des libertés, capable de rappeler à l’ordre aussi bien l’État que les entreprises. Dans la réalité, c’est un tigre administratif avec des dents en mousse. Pas par manque de bonne volonté individuelle, mais pour des raisons structurelles. La CNIL est née dans un monde où l’informatique était centralisée, lente, et surtout compréhensible par des juristes généralistes. Or le pouvoir numérique contemporain est diffus, transnational, et profondément technique. Résultat : la CNIL raisonne en conformité là où le problème est systémique. Elle vérifie si les cases sont cochées, si les mentions légales sont là, si les formulaires respectent le RGPD. Pendant ce temps, les architectures elles-mêmes – collecte massive, inférences algorithmiques, asymétries radicales d’information – restent intactes. La CNIL sanctionne a posteriori, à coups d’amendes qui font la une deux jours avant d’être absorbées comme des frais de fonctionnement. Elle ne démonte rien, elle n’ouvre pas les capots, elle ne met jamais publiquement en pièce un système en disant : « voilà précisément comment vous nous surveillez, ligne de code par ligne ». Elle n’en a ni la culture, ni les moyens, ni surtout le mandat politique réel.
Face à elle, l’EFF et le Chaos Computer Club jouent dans une autre catégorie. L’EFF est juridico-politique : elle attaque, défend, crée de la jurisprudence, transforme les libertés numériques en droits opposables. Elle agit dans l’arène où les règles sont écrites, en sachant très bien que le droit est lent mais que lorsqu’il tranche, il tranche durablement. Le CCC, lui, opère en amont : il prouve. Il montre que le roi est nu, que la machine à voter est cassée, que la biométrie est une farce dangereuse, que la sécurité proclamée est un mensonge marketing. Là où la CNIL demande des garanties, le CCC sort un oscilloscope, un dump mémoire et une démonstration publique. La différence est brutale : la CNIL moralise, le CCC falsifie les discours officiels par la preuve. Et une institution qui ne peut ni auditer profondément ni rendre visibles les mécanismes de domination technique est condamnée à l'impuissance polie.
Les "bug bounties" s’inscrivent exactement dans cette même logique d’impuissance maquillée en modernité. Sur le papier, c’est brillant : les entreprises rémunèrent ceux qui trouvent des failles. Dans les faits, c’est une privatisation cynique de la critique technique. On vous autorise à chercher, mais uniquement là où on vous dit de chercher, uniquement sur ce qu’on a décidé de rendre visible, et surtout à condition de fermer votre bouche une fois payé. Le bug bounty n’est pas un outil de sécurité, c’est un outil de contrôle narratif. Il transforme le chercheur en prestataire silencieux, la faille en incident isolé, et empêche toute mise en débat public des choix d’architecture. Trouver une vulnérabilité critique dans un système de surveillance ou de paiement n’ouvre jamais la question politique de savoir si ce système devrait exister sous cette forme. On colmate, on verse quelques milliers d’euros, et on continue comme avant. Le CCC, à l’inverse, considère que certaines failles ne sont pas des bugs mais des symptômes. Et un symptôme, ça se montre, ça se discute, ça se politise. Voilà pourquoi il est haï par les départements juridiques et adoré par ceux qui pensent encore que la technique n’est pas neutre.
Quant à l’Union européenne, elle regarde tout cela avec fascination et trouille mêlées. Elle admire le CCC pour sa capacité à anticiper les dérives, à comprendre avant les autres ce qui va mal tourner. Mais elle est incapable d’assumer sa méthode. L’UE préfère légiférer après coup, produire des règlements massifs, verbeux, souvent intelligents dans l’intention, mais construits sur une abstraction du réel technique. Le DMA, le DSA, l’AI Act : des textes nécessaires, parfois courageux, mais toujours en retard d’une guerre. L’Europe tente d’imiter le CCC par la norme, sans jamais accepter l’idée centrale : qu’il faut des acteurs capables de casser publiquement les jouets technologiques pour que le politique reprenne la main. Or casser un jouet, c’est accepter le conflit, l’embarras diplomatique, la colère des industriels et parfois même le ridicule temporaire de ses propres institutions. L’UE veut la vertu sans la sueur, la régulation sans la confrontation, la souveraineté sans le courage de regarder ses propres systèmes s’effondrer sous une démonstration technique.
Au fond, tout se joue là. La CNIL rassure, les bug bounties anesthésient, l’UE régule. Le CCC, lui, dérange. Et tant que les institutions européennes préféreront le confort procédural à l’épreuve de la preuve, elles continueront à courir derrière des technologies qu’elles ne comprennent qu’une fois qu’il est trop tard. Ce n’est pas un problème de compétence individuelle, c’est un problème de colonne vertébrale politique. Et ça, aucun règlement ne le corrigera.
