Le cadre du RGPD, les logiques de Privacy by Design et les audits de conformité ont longtemps structuré la réponse des entreprises aux enjeux de protection des données personnelles. Mais en 2025, la réalité a changé : la notion même de “donnée sensible” s’est élargie, les attentes des utilisateurs se sont durcies, et les outils techniques peinent à suivre. Face à cette nouvelle donne, une question s’impose : comment repenser notre approche de la donnée sensible pour en faire un levier de confiance durable, plutôt qu’un simple impératif réglementaire ?
Une donnée sensible qui n’a plus la même définition
À l’origine, les données sensibles désignaient des éléments identifiables et hautement personnels : données de santé, origine ethnique, opinions politiques. Mais aujourd’hui, cette définition semble bien étroite. L’empreinte numérique s’est considérablement étendue, et le croisement massif d’informations peut transformer une donnée a priori “banale” en donnée hautement révélatrice. Un historique de navigation, un comportement d’achat, une géolocalisation ponctuelle prennent une tout autre dimension une fois agrégée, analysés, interprétés.
Ce glissement progressif appelle une relecture du concept même de sensibilité. La valeur d’une donnée ne réside plus uniquement dans sa nature, mais dans son contexte d’usage et les intentions qui la sous-tendent. Une même donnée peut être inoffensive ou hautement critique selon la manière dont elle est utilisée. C’est un changement de paradigme, qui oblige à repenser non seulement ce que l’on protège, mais pourquoi on le protège.
Des outils pensés pour hier, face à des enjeux de demain
Les entreprises ont largement structuré leur gouvernance autour des obligations du RGPD : cartographie des données, PIA, Privacy by Design… Ces démarches ont permis une montée en maturité salutaire. Pourtant, ces outils ont été pensés pour un modèle de gestion relativement statique et centralisé. Ils peinent à suivre la vitesse, l’échelle et la granularité des traitements contemporains.
L’automatisation, l’IA générative, le cloud distribué ou encore les architectures orientées événements ont fait exploser la surface d’exposition. Les cycles de traitement s’accélèrent, les flux deviennent dynamiques, les responsabilités diffuses. Or, dans ce contexte mouvant, la conformité documentaire ne suffit plus. Il faut désormais penser la protection comme un mécanisme embarqué, proactif, et capable de s’adapter aux usages en temps réel.
La montée en puissance des approches “Ethics by Design”
C’est ici que les approches dites “Ethics by Design” trouvent tout leur sens. Elles ne consistent plus seulement à cacher ou limiter l’accès aux données, mais à en garantir la confidentialité dès le traitement, sans jamais les exposer. Le confidential computing, par exemple, permet d’exécuter des calculs sur des données chiffrées sans les déchiffrer, ouvrant la voie à des usages jusque-là impossibles sans compromis sur la sécurité.
Ces technologies ne règlent pas tout, mais elles incarnent une autre manière de concevoir la protection : non pas comme une contrainte extérieure, mais comme une propriété native des systèmes. Cela suppose un changement de posture chez les entreprises comme chez les éditeurs de solutions. Ce qui comptait hier, c’était d’être conforme. Ce qui comptera demain, c’est d’être digne de confiance par design.
Quand les utilisateurs exigent plus qu’une conformité
Ce virage est aussi porté par une pression croissante des utilisateurs. Face aux scandales, aux fuites, à l’opacité des algorithmes, ils ne se contentent plus de savoir qu’une entreprise est “RGPD compliant”. Ils veulent comprendre comment leurs données sont traitées, dans quel but, avec quelles garanties. L’exigence de transparence, d’explicabilité et de respect devient une attente forte – voire un critère de choix – bien au-delà des seuls usages grand public.
Cette attente, notamment chez les plus jeunes générations, crée un nouvel espace de différenciation. Elle oblige les organisations à faire de l’éthique numérique un marqueur visible, cohérent et durable. À ne pas attendre d’être mises en cause, mais à démontrer leur engagement, dans les faits comme dans le design de leurs services.
Vers un design renouvelé de la donnée sensible
Ce que l’on appelle encore “protection des données” doit désormais être pensé comme une architecture de la confiance. Cela ne signifie pas abandonner les cadres existants, mais les dépasser, en intégrant les nouvelles dimensions du risque, de l’usage et de la perception.
Il s’agit de concevoir des services qui ne mettent pas les utilisateurs face à des choix binaires (“tout refuser” ou “tout accepter”), mais qui intègrent le respect de la vie privée dans l’expérience même. De créer des environnements où la sécurité n’est pas négociée après coup, mais codée dès le départ. Et surtout, de reconnaître que la donnée sensible n’est pas figée : elle évolue, elle se redéfinit en permanence, et c’est à nos outils, nos pratiques et nos principes de suivre le mouvement.
Sasha Belguenbour
Consultant Senior Data Gouvernance
Micropole, a Talan company
