Cette thèse soulève la question de la place que peut ou doit occuper le contrôle a posteriori par le biais de l’action civile en droit de la protection des données.En Europe, le Règlement général sur la protection des données marque une nette volonté d’encourager l’action civile, à titre individuel ou collectif, afin de responsabiliser les responsables du traitement et les sous-traitants, de sanctionner les comportements fautifs ou négligents et de garantir la réparation des dommages subis par les personnes concernées, en cas de violation des dispositions du Règlement. Le droit de la protection des données est de manière inhérente un droit á portée économique, guidé par des considérations économiques. Le Règlement en est une illustration : il renonce au mécanisme d’autorisation préalable à tout traitement de données personnelles, pour favoriser la libre circulation des données personnelles au sein de l’Union européenne afin de soutenir la création d’un marché unique des données et faciliter l’innovation technologique.Il instaure un contrôle de légalité a posteriori qui repose sur des principes généraux et un standard of « due care » pour les responsables du traitement. Il offre des garanties aux utilisateurs dont les données sont traitées en reconnaissant le droit de former des actions collectives en responsabilité (« class action »), ce qui constitue une innovation majeure.Cette thèse s’intéresse à la généralisation du contrôle a posteriori par le Règlement, avec transformation des autorités de protection des données personnelles en autorité de contrôle a posteriori. Ce changement externe et visible correspond à une transformation profonde de la nature du droit de la protection des données personnelles, tel qu’il est mis en place comme droit positif européen par le Règlement : ce droit positif européen de la protection des données personnelles devient un droit de nature essentiellement économique, comme le droit antitrust, qu’il complète désormais.Ce droit approche en effet la circulation des données personnelles dans le même esprit que le droit de la concurrence approche la libre circulation des personnes, des capitaux, des marchandises, etc., mais alors que le droit antitrust se concentre sur le coût trop élevé (en terme de prix des services ou des marchandises) en raison de certaines pratiques critiquables (pratiques cartellaires, par exemple), le droit de la protection des données se concentre sur le coût trop élevé (en terme d’atteinte à la sphère privée) de certaines pratiques des responsables de traitement (toutes celles qui ne sont pas conformes au Règlement).Cette étude propose de reprendre le débat sur la protection des données dans le contexte technologique de l’ère digitale pour évaluer l’impact du Règlement général sur la protection des données en Europe et en Suisse, en tenant compte des innovations comme l'Intelligence artificielle, l'apprentissage machine, la robotique, la technologie Blockchain, l'internet des objets, les interfaces cerveau-machine, le Cloud et Edge Computing.