L’article de J.M. Alvarez-Pallete et al., Personal Data as a Human Right: A New Social Contract Based on Data Sovereignty, Human Dignity and Data Personalism (arXiv :2602.29918vl [cs.CY], 27 février 2026 – https://arxiv.org/abs/2602.239189) est un texte de position, pas une étude doctrinale positive au sens strict.

Son idée centrale est la suivante : dans l’économie numérique, les données personnelles ne devraient plus être traitées comme de simples ressources techniques ou commerciales, mais comme des prolongements de la personne, étroitement liés à sa dignité, à son autonomie et à ses droits fondamentaux. Les auteurs proposent donc un « nouveau contrat social numérique » centré sur la dignité humaine, dans lequel la protection des données ne repose plus principalement sur le consentement individuel, jugé trop faible dans les environnements numériques actuels, mais sur des limites substantielles, des obligations d’organisation et des mécanismes de contrôle réels.

Le raisonnement commence par un diagnostic. Les auteurs observent que les infrastructures numériques sont devenues des conditions ordinaires de la vie sociale : communiquer, travailler, acheter, s’informer, se soigner ou participer au débat public passe par des plateformes, des services connectés et des systèmes algorithmiques. Or ces systèmes ne se contentent plus d’enregistrer des données ; ils infèrent des traits, produisent des profils, anticipent des comportements et influencent les choix. Le pouvoir ne réside donc plus seulement dans la collecte, mais surtout dans la capacité à transformer des traces banales en décisions et en classements qui ont des effets concrets sur les personnes. Cette évolution concentre le pouvoir informationnel entre les mains d’un petit nombre d’acteurs privés et crée un décalage entre les droits reconnus en droit et la réalité vécue par les individus, qui disposent rarement d’une compréhension claire, d’un vrai pouvoir de négociation ou d’un moyen de sortie effectif.

À partir de là, l’article transpose la théorie classique du contrat social dans l’environnement numérique. Il explique que le cadre classique reposait sur trois éléments : un territoire, un ordre juridique et un sujet capable de consentir librement à des règles communes. Selon les auteurs, ces trois bases sont fragilisées. D’abord, le numérique dissout la territorialité : les données, les services et les effets traversent les frontières, ce qui complique la détermination de l’autorité compétente, du droit applicable et des responsabilités. Ensuite, cette déterritorialisation affaiblit l’exécution du droit : même lorsque des règles existent, leur application dépend d’audits, d’un accès aux preuves et de moyens techniques que les autorités n’ont pas toujours. Enfin, cet affaiblissement favorise une « privatisation de la normativité » : en pratique, ce sont les plateformes qui fixent les règles de participation par leurs conditions d’utilisation, leurs réglages par défaut, leurs interfaces, leurs systèmes de recommandation et leurs mécanismes d’accès. Le problème n’est donc pas seulement technique ; il est politique et institutionnel : qui fait les règles de la vie numérique, avec quelle légitimité et sous quel contrôle ?

Les auteurs répondent à cette crise par la notion de « souveraineté sur les données », comprise non comme une simple maîtrise individuelle d’un bouton de confidentialité, mais comme un ensemble à trois dimensions. La première est la protection : garantir les droits, la sécurité et l’absence de discrimination. La deuxième est la participation : permettre aux personnes et aux groupes d’avoir une prise réelle sur les règles de gouvernance. La troisième est la mise en œuvre concrète : fournir les moyens techniques, organisationnels et juridiques qui rendent ces droits effectifs. Autrement dit, pour eux, la souveraineté sur les données n’est ni purement étatique, ni purement individuelle ; c’est un arrangement institutionnel entre personnes, communautés, entreprises et autorités sur les droits, les devoirs, les usages permis et les bénéfices tirés des données.

L’étape suivante du raisonnement consiste à préciser ce qui est réellement gouverné. Les auteurs reprennent la chaîne « données, information, connaissance ». Les données sont les traces brutes. L’information est le résultat de leur structuration, par exemple un profil. La connaissance est l’usage de cette information pour décider et agir. Leur thèse est que le risque et le pouvoir augmentent à mesure que l’on monte dans cette chaîne. Le vrai enjeu n’est donc pas seulement la collecte de données, mais surtout la transformation en inférences, scores, prédictions et décisions. C’est à ce stade que se concentrent les effets sur l’accès au crédit, à l’emploi, aux soins, aux services essentiels ou à la visibilité sociale. L’intelligence artificielle, dans cette perspective, n’invente pas le problème ; elle l’amplifie, car elle industrialise la production d’inférences à partir de données existantes. Dès lors, les données déduites devraient être encadrées aussi strictement que les données collectées directement.

Le texte s’attarde ensuite sur la justification normative des limites. Il oppose deux visions. La première, appelée « DatAIsm », réduit la personne à un ensemble de signaux exploitables et considère qu’une société optimisée par les données serait plus efficace. La seconde, appelée « HumAIsm », rappelle que l’être humain ne se réduit pas à ses traces numériques et que certaines décisions exigent du jugement, de l’interprétation et de la responsabilité. Les auteurs prennent clairement parti pour cette seconde approche. Ils ajoutent une troisième notion, le « data personalism », selon laquelle les données personnelles ne sont pas seulement des informations sur une personne, mais des émanations de celle-ci. Cela signifie que leur statut ne peut pas être celui d’une marchandise ordinaire. Une conséquence importante de ce point de vue est qu’une donnée, prise isolément, ne dit jamais toute la vérité sur une personne : elle peut être contextuelle, ancienne, partielle ou trompeuse. C’est pourquoi les auteurs défendent aussi un véritable droit de répondre, de contester, de corriger ou de contextualiser les inférences produites à partir des données.

Sur cette base, l’article ne dit pas que « toute donnée » est un droit humain, mais que les données personnelles, parce qu’elles touchent à l’identité, à la réputation, à l’autonomie et aux chances de vie, doivent être protégées sur le terrain des droits fondamentaux. Cela conduit à critiquer frontalement le modèle du consentement comme fondement principal de légitimation. Dans des environnements opaques, complexes, dépendants et dominés par des interfaces manipulatrices, l’utilisateur ne comprend ni l’étendue des traitements, ni leurs effets futurs, ni les usages dérivés. Le consentement devient alors largement fictif. Les auteurs rejettent aussi l’idée de traiter les politiques de confidentialité comme de véritables contrats librement négociés : dans un contexte de fort déséquilibre de pouvoir, ces textes ressemblent davantage à des règles imposées unilatéralement. Leur conclusion est qu’il faut des protections non renonçables, c’est-à-dire des limites qui s’appliquent même lorsque la personne semble avoir « accepté » [et donc impératives ou seim-impératives…]

L’article passe alors du diagnostic au programme normatif, en six dimensions. La première est la conception technique. Les auteurs proposent de dépasser le simple « privacy by design » pour un « Dignity-by-Design » : les systèmes devraient intégrer dès l’origine la minimisation, la transparence, l’explicabilité, l’auditabilité, la sécurité, l’équité et le respect de la personne. Cela inclut l’usage de techniques limitant l’exposition des données, l’interdiction du suivi excessif et des fusions de données disproportionnées, des consentements réellement simples à donner et à retirer, des analyses d’impact, des audits indépendants, ainsi que des standards d’interopérabilité et de portabilité réellement utilisables.

La deuxième dimension porte sur la maîtrise humaine et les limites de l’automatisation. Les auteurs soutiennent que les décisions importantes pour les droits et les conditions de vie ne doivent pas être abandonnées à des systèmes entièrement automatisés. Dans des domaines comme le crédit, la santé, l’emploi, la justice pénale ou l’accès à des services essentiels, une intervention humaine substantielle doit subsister. Il faut aussi garantir un droit à l’explication et à la contestation, et reconnaître que les algorithmes ne sont jamais neutres : ils incorporent des choix, des biais et des priorités. Le texte vise en particulier l’inférence de données sensibles, le microciblage manipulatoire et les échanges implicites du type « vie privée contre accès au service ».

La troisième dimension est économique. Les auteurs admettent que les données personnelles sont devenues un facteur de production majeur et que l’économie actuelle fonctionne de manière très déséquilibrée : les individus fournissent les données, les grandes plateformes captent l’essentiel de la valeur. Mais ils refusent d’en déduire que la solution serait de vendre librement sa vie privée. Ils acceptent l’idée d’une meilleure redistribution, tout en maintenant un socle de droits indisponibles. Ils évoquent ainsi des coopératives de données, des unions de données, des dividendes collectifs, des structures d’intérêt public et même des taxes ou redevances sur les usages particulièrement intrusifs, afin d’internaliser les coûts sociaux de l’extraction de données. L’idée est simple : partager davantage la valeur sans transformer la dignité en prix de marché.

La quatrième dimension concerne la légitimité politique et institutionnelle. Les auteurs veulent réaffirmer le rôle des pouvoirs publics, avec des autorités spécialisées capables d’auditer et de sanctionner, mais sans retomber dans un modèle purement étatique. Ils défendent une gouvernance à plusieurs niveaux et avec plusieurs acteurs : États, régulateurs, société civile, chercheurs, associations, organisations collectives d’usagers. Ils suggèrent aussi des formes de délibération publique, comme des assemblées citoyennes sur les politiques numériques. Comme les flux de données sont transfrontières, ils appellent enfin à une coopération internationale fondée sur des standards minimums et des mécanismes coordonnés d’exécution.

La cinquième dimension est socioculturelle. Le texte ne réduit pas la protection des données à un problème individuel. Il insiste sur les effets collectifs : fragmentation du débat public, bulles informationnelles, polarisation, érosion de la confiance, atteintes particulières aux mineurs et aux groupes vulnérables. Les auteurs demandent plus de transparence sur les systèmes de recommandation, un encadrement des règles de modération, des programmes de littératie numérique, et le soutien à des biens communs numériques comme le journalisme de qualité, les infrastructures ouvertes ou les espaces de savoir partagés. Leur idée est que la gouvernance des données doit aussi reconstruire un espace public numérique vivable.

La sixième dimension est juridique. Ici, l’article est le plus proche des catégories familières aux praticiens. Il préconise la reconnaissance explicite de droits numériques fondamentaux : vie privée, protection des données, identité personnelle, non-discrimination algorithmique, explication des décisions d’IA, portabilité, droit de se soustraire à une surveillance omniprésente. Il propose aussi d’imposer aux grands acteurs des devoirs proches de ceux d’un fiduciaire : loyauté, diligence, confidentialité, donc des obligations d’agir dans l’intérêt des personnes plutôt que contre elles. Il défend des voies de recours individuelles et collectives, des ombudsmen, des sanctions importantes, et surtout des lignes rouges nettes : pas de commerce non encadré des données sensibles, pas de décisions entièrement automatisées dans les domaines critiques, pas de design manipulatoire. Il ajoute un point important pour l’actualité de l’IA : l’aspiration massive de données publiquement accessibles doit être considérée comme une véritable collecte réglementée ; le fait qu’une donnée soit visible sur internet ne doit pas suffire à en justifier la captation illimitée.

Enfin, l’article explique comment rendre ce programme opératoire. En annexe, il propose une architecture pratique en cinq piliers institutionnels, sept principes transversaux et six interdictions non négociables. Les six interdictions sont particulièrement révélatrices de la logique du texte : commercialisation de certaines données particulièrement protégées, décisions entièrement automatisées sans véritable contrôle humain, collecte intrusive sans nécessité, usage de procédés manipulatoires ou de verrouillage, transferts opaques à des tiers, et représailles contre l’exercice des droits. Les auteurs ajoutent une liste de contrôles concrets à vérifier pour chaque système : finalité et proportionnalité, inventaire et minimisation des données, base légale, portabilité, évaluation des biais et des impacts, explications destinées aux usagers, traçabilité, techniques de protection, audits, et mécanismes de recours. L’objectif est de transformer une idée éthique en obligations vérifiables.

La conclusion est prudente. Les auteurs ne présentent pas un modèle fermé, mais un programme de recherche et d’action. Ils admettent plusieurs points de débat : comment définir concrètement les seuils d’atteinte à la dignité, comment éviter que le « Dignity-by-Design » ne devienne une simple conformité de façade, comment gouverner les modèles d’IA généraux et leurs données d’entraînement, comment organiser de vrais mécanismes collectifs de gouvernance, comment articuler protection de la dignité et concurrence, et comment bâtir un socle transnational crédible au-delà du cadre européen. Leur message final est néanmoins clair : une société numérique fondée sur l’opacité permanente, les règles unilatérales et le pilotage comportemental à grande échelle n’est pas compatible avec une démocratie respectueuse de l’égale dignité des personnes. Le vrai enjeu n’est donc pas de freiner l’innovation, mais de décider sous quelles règles elle peut rester compatible avec les droits fondamentaux.

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence artificielle, CAS en Protection des données – Entreprise et administration