La branche média du groupe CMA CGM piloté par Rodolphe Saadé a dévoilé vendredi son entrée en négociations exclusives pour le rachat du média vidéo Brut, dont elle était jusqu’ici actionnaire minoritaire.

« Cette acquisition marquerait une nouvelle étape majeure dans la transformation stratégique de CMA Media, qui deviendrait ainsi le premier groupe de presse et audiovisuel à se projeter avec autant d’ampleur dans le digital », indique le groupe dans un communiqué.

L’acquéreur évalue la portée mensuelle de Brut à plus de 500 millions spectateurs dans 100 pays, avec « une audience organique inégalée sur YouTube, TikTok, Instagram, Facebook et Snapchat ». Brut, qui diffuse nativement sur les réseaux sociaux, présenterait ainsi une complémentarité « unique » avec les audiences réalisées par RMC BFM, la dernière grande acquisition de CMA Media, bouclée au printemps 2024 pour 1,55 milliard d’euros.

« Cette opération s’inscrirait dans une logique d’investissement de long terme, reflétant pleinement la valeur stratégique de Brut., son positionnement de référence, le potentiel de croissance internationale et la puissance d’influence de la marque », revendique encore CMA Media, qui sortirait ainsi pour la première fois de l’Hexagone.

Brut, lancé en 2016, aurait d’après le Monde levé environ 140 millions d’euros depuis sa création et compterait parmi ses actionnaires Xavier Niel, François-Henri Pinault, Orange et, depuis 2023, CMA CGM.

En juin 2024, l’Informé révélait que cette participation portait sur 16% du capital, en échange de près de 43 millions d’euros. L’opération valorisait donc, à l’époque, Brut à environ 268 millions d’euros.

« Les fondateurs et l’équipe dirigeante de Brut. resteraient pleinement impliqués dans cette nouvelle phase, afin de préserver l’ADN qui fait la singularité et la crédibilité du média : un journalisme exigeant, des formats natifs et une voix engagée sur les grands enjeux sociaux, environnementaux et culturels », précisent Brut et CMA CGM.

Cinq ans et demi pour les résoudre, ça va

Lors d’un audit, des milliers de failles ont été découvertes dans le Système d’Information Schengen II, logiciel gérant le fichier mis en place dans le cadre de la convention de Schengen. Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains problèmes.

L’année dernière, la seconde version du Système d’Information Schengen (SIS) a essuyé un audit sévère du Contrôleur européen de la protection des données (CEPD). Ce logiciel est utilisé par les autorités aux frontières des pays de l’espace Schengen pour ficher les personnes recherchées et celles refoulées ou interdites de séjours.

La seconde version du système a été déployée en 2013, mais il a été « renouvelé » en mars 2023 et de nouvelles catégories de signalements, des données biométriques et des registres d’ADN de personnes disparues ont encore été ajoutées.

1,7 million de personnes concernées

Selon l’agence européenne eu-LISA qui utilise le système [PDF], plus de 93 millions d’alertes y étaient stockées au 31 décembre 2024, dont 1,7 million sur les personnes. Près de 1,2 million concerne des reconduites à la frontière, des refus d’entrée ou de rester sur le territoire et un peu plus de 195 000 personnes y sont fichées comme de possibles menaces pour la sécurité nationale.

Ce système stocke des données concernant des personnes visées par un mandat d’arrêt européen, mais aussi signalée, aux fins de non-admission ou d’interdiction de séjour, des personnes signalées dans le cadre d’infractions pénales ou recherchées pour l’exécution d’une peine, ou encore des personnes disparues.

Ces données comprennent l’état civil, des photographies, des empreintes digitales et d’autres informations biométriques réunies dans les textes officiels sous la dénomination de « signes physiques particuliers, objectifs et inaltérables ». Des données particulièrement sensibles, donc. Des commentaires peuvent être ajoutés comme « la conduite à tenir en cas de découverte », « l’autorité ayant effectué le signalement » ou le type d’infraction.

Des milliers de problèmes de gravité « élevée »

Selon les documents consultés par Bloomberg et par Lighthouse Reports, le logiciel était, à l’époque de l’audit, truffé de vulnérabilités. Des milliers de problèmes de sécurités étaient d’une gravité « élevée ». Le contrôleur a aussi pointé du doigt un « nombre excessif » de comptes administrateurs de la base de données, ce qui était « une faiblesse évitable qui pourrait être exploitée par des attaquants internes ». Dans l’audit du CEPD est indiqué que 69 membres de l’équipe de développement avaient un accès à la base de données du système sans avoir l’habilitation de sécurité nécessaire.

Pour l’instant, le Système d’Information Schengen II fonctionne sur un réseau isolé, les nombreuses failles détaillées dans cet audit ne peuvent donc être exploitées que par un attaquant interne. Mais il est prévu qu’il soit intégré, à terme, au « système d’entrée/sortie » des personnes de nationalités en dehors de l’UE, qui lui doit être mis en place à partir d’octobre 2025. Celui-ci est connecté à Internet. Le rapport d’audit s’alarme d’une facilité des pirates d’accéder à la base de donnéesà ce moment-là.

Une très lente réaction de Sopra Steria

Selon Bloomberg, l’audit explique que des pirates auraient pu prendre le contrôle du système et que des personnes extérieures auraient pu obtenir des accès non autorisés. Mais le média explique que des documents montrent que, lorsque l’eu-Lisa a signalé ces problèmes, Sopra Steria, qui est chargée du développement et de la maintenance du système, a mis entre huit mois et plus de cinq ans et demi pour les résoudre. Ceci alors que le contrat entre l’agence européenne et l’entreprise l’oblige à patcher les vulnérabilités « critiques ou élevées » dans les deux mois.

Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L’agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».

Interrogée par nos confrères, Sopra Steria n’a pas voulu répondre à leurs questions, mais a affirmé : « En tant qu’élément clé de l’infrastructure de sécurité de l’UE, le SIS II est régi par des cadres juridiques, réglementaires et contractuels stricts. Le rôle de Sopra Steria a été joué conformément à ces cadres ».

Dans son audit, le CEPD vise aussi l’eu-LISA qui n’a pas informé son conseil d’administration des failles de sécurité. Il pointe aussi des « lacunes organisationnelles et techniques en matière de sécurité » et lui demandent d’établir un plan d’action et une « stratégie claire » pour gérer les vulnérabilités du système.

À Bloomberg, l’eu-LISA affirme que « tous les systèmes gérés par l’agence font l’objet d’évaluations continues des risques, d’analyses régulières de la vulnérabilité et de tests de sécurité ».

Il y a peu de temps, le Journal du CNRS publiait une interview maison de Delphine Moreau-Plachy (postdoctorante en sociologie et en sciences de l’information et de la communication) sur ce sujet. La mise en bouche est tout aussi intrigante qu’effrayante : « Cimetières numériques, deadbots… Le développement des outils digitaux nous amène-t-il à requestionner notre rapport à la mort et au deuil, comme y invite le film « Les Linceuls », de David Cronenberg ? »

Pour rappel, ce film est sorti en avril et voici son synopsis : « Karsh, 50 ans, est un homme d’affaires renommé. Inconsolable depuis le décès de son épouse, il invente un système révolutionnaire et controversé, Gravetech, qui permet aux vivants de se connecter à leurs chers disparus dans leurs linceuls […] ». Le film ne cartonne pas sur SensCritique avec une moyenne de 5,2 sur 10. Le sujet n’est pas nouveau, aussi bien au cinéma que dans les séries, notamment avec l’épisode Bientôt de retour de Black Mirror ou le plus léger Upload.

Pour revenir à l’interview, la chercheuse rappelle qu’il existe déjà « des cimetières ou mémoriaux numériques qui fonctionnent comme des lieux de mémoire et de recueil d’informations ». Elle a mené des dizaines d’entretiens pour son étude, avec parfois des résultats surprenants.

« Par exemple, l’une de mes enquêtées avait publié pour sa mère, sur Facebook, car sa famille considérait qu’elle « n’avait pas l’air en deuil ». Elle affirmait de cette manière sa peine auprès de ses proches », explique la postdoctorante. Dans d’autres cas, les réseaux sociaux deviennent « une forme de soutien et de reconnaissance communautaire » dans le deuil.

• Le deuil à l’ère du numérique

Dans un sujet proche, le LINC de la CNIL a publié cette année un article intitulé « Données post-mortem : y a-t-il une vie numérique après la mort ? »

Bah, et IPv7 alors ?!

La France est à la première place sur le taux d’utilisation d’IPv6. Ce bon résultat cache de grosses disparités entre les clients fixes et mobiles des opérateurs. La situation est aussi bien différentes selon les services : DNS, sites et emails. IPv6 est pour rappel l’avenir, sans être compatible avec IPv4, avec donc un risque de scission d’Internet.

L’Arcep vient de mettre en ligne son rapport annuel sur l’état de l’internet en France. Dans cette édition 2025 (basée sur des données de 2024), le régulateur des télécoms revient sur la transition vers l’IPv6 face à la pénurie d’IPv4.

Pour commencer, la France est passée en première position mondiale en juin 2025 pour ce qui est du taux d’utilisation d’IPv6, alors qu’elle était deuxième en décembre 2024 et huitième en 2022. Il reste encore du travail, comme l’indique rapidement l’Arcep : « Il reste néanmoins à finaliser l’activation d’IPv6 sur le réseau entreprises des opérateurs et à accélérer la migration vers IPv6 des hébergeurs et fournisseurs de contenu ».

Déjà deux rappels importants : la situation est connue depuis des années (depuis novembre 2019, le RIPE NCC qui alloue les IPv4 pour l’Europe et le Moyen-Orient est en pénurie d’IPv4) et IPv6 n’a rien de nouveau puisque les spécifications datent de 1998.

IPv4 vs IPv6 : la pénurie contre l’abondance sur fond d’incompatibilité

Par rapport à IPv4, les adresses IPv6 « intègrent des fonctionnalités permettant de renforcer la sécurité par défaut et d’optimiser le routage. Par ailleurs, IPv6 offre une quasi-infinité d’adresses : 667 millions d’IPv6 pour chaque millimètre carré de surface terrestre ».

IPv4 et IPv6 « ne sont pas compatibles », impliquant un risque de scission d’Internet. Par exemple, un service ou un site en IPv6 seulement (sans adresse IPv4) n’est pas accessible aux utilisateurs qui n’ont qu’une adresse IPv4, et vice-versa.

Laissez-nous jouer !

La pétition Stop Killing Games, qui cherche à interpeller la Commission européenne sur la question des éditeurs de jeux vidéo qui n’assurent pas la pérennité de leurs titres, a dépassé jeudi le seuil cible du million de signatures. Ce cap ouvre la voie à un processus d’examen au terme duquel Bruxelles devra décider de l’éventuelle action à entreprendre.

Ce devait être le chant du cygne, mais l’appel a finalement galvanisé les troupes : la pétition Stop Killing Games a franchi jeudi, en fin d’après-midi, le cap du million de signatures, alors que le recueil reste possible jusqu’au 31 juillet. Ce seuil du million n’a pas qu’une valeur symbolique : c’est lui qui, dans le processus d’« initiative citoyenne européenne », valide que l’objet de la pétition recueille un assentiment populaire suffisamment important pour que la Commission européenne soit officiellement saisie du sujet.

Une réponse sous six mois

Maintenant que ce cap est atteint, quelle est la suite ? Le processus officiel prévoit que l’initiative qui a recueilli le soutien d’au moins un million de personnes, avec un nombre plancher de signatures dans au moins sept pays de l’Union européenne, donne lieu à une présentation formelle devant des membres de la Commission européenne.

« Il s’agit d’une discussion structurée sur le contenu de l’initiative, visant à permettre à la Commission de comprendre clairement ses objectifs (et d’obtenir les éventuelles clarifications nécessaires) avant qu’elle prépare sa réponse », explique Bruxelles.

L’exécutif européen dispose ensuite d’un délai de six mois pour produire une réponse, dont la teneur n’est pas garantie : c’est en fonction de son examen que la Commission décide si et comment il est de son ressort d’intervenir sur le sujet.

En cas de conclusion favorable à une réponse législative, le dossier emprunte alors le circuit traditionnel : la Commission mène des travaux préparatoires (consultations publiques, analyses d’impact, etc.), puis présente une proposition législative au Parlement et au Conseil, qui doivent l’approuver pour que la loi devienne applicable. Cette option n’est cependant pas la seule envisageable.

« [La Commission] n’est pas tenue de proposer un acte législatif en réponse à une telle initiative : elle peut décider d’autres types de suivi, par exemple des actions non législatives ou la mise en œuvre de la législation existante. Quelle que soit la décision prise par la Commission en réponse aux demandes d’une initiative, elle en expliquera clairement les raisons. »

C’est cette incertitude quant aux suites que pourrait donner l’Europe à l’initiative, qui justifie selon ses partisans une forme de flou dans la formulation de la pétition.

« La formulation de l’Initiative citoyenne européenne est très intentionnelle et est destinée à résoudre le problème de la destruction des jeux vidéo, tout en restant suffisamment flexible pour donner aux éditeurs et développeurs autant de liberté que possible. Si l’initiative est adoptée, c’est la Commission européenne qui décide des termes finaux, pas nous. À la lumière de cela, il est préférable de garder la demande aussi simple que possible pour minimiser tout risque d’interprétation erronée. Non seulement les spécificités peuvent être ignorées par la Commission européenne, mais plus elles sont nombreuses, plus elles peuvent détourner l’attention du problème principal, qui est celui des jeux vidéo vendus intentionnellement détruits. »

La mobilisation se poursuit

Techniquement, la pétition n’est pas encore validée : il faut encore que les signatures recueillies via l’outil central de la Commission européenne soient vérifiées, l’objectif étant bien sûr de prévenir un bourrage des urnes virtuel. Pour ce faire, Bruxelles fait appel à une autorité nationale dans chacun des États membres, à qui les signatures sont envoyées, de façon chiffrée, pour contrôle. En France, c’est au Bureau des élections politiques de l’une des directions du ministère de l’Intérieur qu’incombe cette tâche. C’est cette étape de vérification qui justifie que la pétition demande, outre l’identité du signataire, une adresse postale.

Problème : l’engouement massif suscité par la pétition ces derniers jours pourrait avoir incité des internautes à multiplier les signatures. Une fraction du million déjà recueilli pourrait ainsi se voir invalidée. Sur le salon Discord dédié à l’initiative, les organisateurs invitent donc leurs soutiens à ne pas lever le pied sur la mobilisation, et à viser au moins 1,5 million de signatures avant la date butoir.

Hébergées sur un site satellite de l’initiative, les courbes qui retracent l’évolution du volume de signatures, pays par pays, au fil du temps, montrent une première vague d’accélération à partir du 23 juin, suivie d’un second mouvement nettement amplifié à partir du 1er juillet, auquel le soutien de PewDiePie (youtubeur spécialisé dans le jeu vidéo, fort de plus de 110 millions d’abonnés) n’est sans doute pas étranger. Au 4 juillet, l’Allemagne figure en tête de la mobilisation, avec 221 000 signatures, devant la Pologne (115 000) et la France (106 000).

Jeudi après-midi, la page dédiée à l’enregistrement des soutiens à la pétition a par ailleurs souffert d’un accès très ralenti, voire indisponible par moments, ce que son instigateur, Ross Scott, a attribué à des tentatives de déni de service distribué, sans que la véracité d’une attaque coordonnée ait été démontrée depuis. Il appelle désormais ses soutiens à ne pas relâcher la mobilisation, et signale dans le même temps que l’initiative Stop Killing Games a également franchi une étape significative au Royaume-Uni. La pétition nationale visant à faire étudier le sujet de la fin de vie des jeux vidéo par le Parlement britannique a, elle aussi, largement dépassé le seuil de validation fixé à 100 000 signatures.

Reste une inconnue : les éditeurs de jeu vidéo tiendront-ils compte de cet élan de mobilisation avant même une éventuelle réponse législative ou réglementaire en adaptant leurs pratiques ? Hasard du calendrier, EA a annoncé cette semaine la fermeture prochaine des serveurs d’Anthem, un jeu exclusivement multijoueur intégré à son offre d’abonnement et lancé en 2019.

C’est en effet depuis le 3 juillet 2012 que l’enregistrement des noms de domaines avec des caractères spéciaux est ouvert à tous. Pendant deux mois avant cette ouverture des vannes, l’Afnic avait mis en place une période « Sunrise » pendant laquelle « seuls les titulaires de .fr, .re, .yt, .pm, .wf et .tf en version ASCII [étaient] autorisés à déposer des variantes de leurs noms de domaine en utilisant ces nouveaux caractères ».

Cette période « Sunrise » était un succès, expliquait l’Afnic dans le courant du mois de mai 2012 : « Dans les 3 premières heures qui ont suivi l’ouverture des IDN, 32 bureaux d’enregistrement ont soumis des opérations de création pour 1 009 noms de domaine avec des caractères diacritiques ». Les caractères é, è, à et ç étaient les plus populaires.

Depuis le 3 juillet 2012, les noms de domaines accentués sont ouverts à tous avec la même règle de base de l’Afnic : « premier arrivé premier servi ».

En 2020, Stéphane Bortzmeyer, ingénieur expert R&D, revennait sur cette histoire des IDN pour l’Afnic :

« En toute rigueur, les noms de domaine ont toujours pu comporter des caractères composés. Mais en pratique, cela n’était pas utilisable pour différentes raisons, certaines techniques (l’absence d’encodage standard, avec ses règles d’insensibilité à la casse) et d’autres politiques (règles d’enregistrement).

Après plusieurs essais, et pas mal de polémiques (la question des langues et des écritures est toujours très sensible), ce n’est qu’en mars 2003 qu’une norme technique a été développée. Ce fut le document « RFC 3490 » de l’IETF (Internet Engineering Task Force, organisme de normalisation), permettant d’avoir ces IDN (Internationalized Domain Names, noms de domaine internationalisés), et qu’ils marchent dans les logiciels existants, sans nécessiter de changer toute l’infrastructure de l’Internet ».

Le 3 juillet est aussi la date d’un second anniversaire pour l’Afnic, comme le rappelle Nicolas Pawlak de Red Flag Domains : le lancement en 2023 de son service de médiation (en plus de la procédure classique Syreli), avec un premier formulaire de demande de saisine d’une médiatrice le jour même. L’année dernière, un rapport avait été mis en ligne à l’occasion de la première bougie.

• Syreli de l’Afnic : la résolution des litiges sur les noms de domaine .fr

L’annonce d’un « accord définitif » avait été faite en janvier 2024, pour un montant de 14 milliards de dollars. Mais tout le monde ne voyait pas cette acquisition d’un bon œil, notamment le ministère de la Justice étasunien.

Pour ce dernier, cette opération « consoliderait le marché des équipements sans fil pour les entreprises de trois grands fournisseurs – HPE, Cisco et Juniper – à deux ». La Commission européenne n’y voyait par contre aucune contre-indication et donnait son feu vert sans condition.

Le 28 juin, Hewlett Packard Enterprise et Juniper Networks annonçaient « avoir conclu un accord avec le ministère américain de la Justice ». Pour l’obtenir, HPE a accepté de céder son activité de réseau sans fil Instant On. Selon l’entreprise, cela « répond aux préoccupations du ministère de la Justice tout en préservant la valeur globale de la transaction pour les clients, les partenaires et les actionnaires de HPE ».

Plus rien ne s’opposant à la vente, elle a été finalisée ce 2 juillet, avec comme conséquence le retrait de la bourse des actions Juniper.

Vous n’y couperez pas, voici un chapelet de buzzwords pour vanter les mérites de cette acquisition, qui se produit « alors que nous entrons dans une nouvelle ère de l’informatique définie par la convergence sans précédent des réseaux, du cloud hybride et de l’IA ».

Tout ça pour des vidéos de chatons mignons ?

Free Mobile vient de tripler le nombre d’autorisations de sites pour diffuser de la 4G dans la bande des 900 MHz, alors qu’elle est quasi exclusivement utilisée pour de la 3G pour le moment. Aucun site n’est pour le moment en service, mais quand ce sera le cas, Free Mobile pourra étendre sa couverture et ses débits en 4G.

Chaque mois, l’Agence nationale des fréquences tient un décompte des autorisations de déploiement et des mises en services des antennes pour la téléphonie mobile, avec le détail par génération (de la 2G à la 5G). Dans son dernier observatoire, Free Mobile dispose de 923 autorisations pour de la 4G sur les 900 MHz.

Free Mobile passe de 316 à 923 autorisations

Cette bande des 900 MHz est historiquement utilisée pour de la 2G (GSM) – sauf chez Free qui s’appuie exclusivement sur le réseau d’Orange, malgré un début de déploiement rapidement avorté – et de la 3G (UMTS).

C'est moi Simba, c'est moi le roi

La Silicon Valley conservatrice veut remplacer l’État. Des projets de cités-États d’apparence anecdotique à l’influence de la tech dans le gouvernement États-unien actuel, un fil idéologique permet d’éclairer le moment politique.

À Boca Chica, au Texas, une nouvelle ville est née début mai. Son nom ? Starbase. Sa surface ? Quatre kilomètres carrés. Son maire ? Un dirigeant d’entreprise, plutôt : le vice-président de SpaceX, Bobby Peden, élu à 97,7 % des 283 voix exprimées.

Car Starbase est une ville d’un genre particulier. Rêvée par Elon Musk au moins depuis 2021, la ville a été construite sur le site de son entreprise d’astronautique. Elle s’inscrit dans une mouvance plus large, populaire dans certains milieux technophiles ou proches des milieux des cryptoactifs, de création de cités, voire d’États indépendants, aux marges des cadres légaux préexistants.

Derrière ces projets ? De nombreux hommes implantés dans ou liés à l’écosystème de la Silicon Valley. Parmi eux : l’investisseur et désormais éminence grise du gouvernement des États-Unis Peter Thiel, l’influenceur des cryptoactifs Balaji Srinavasan, ou encore le penseur de la « néoréaction » Curtis Yarvin. Leurs utopies de villes indépendantes se sont multipliées au fil de la décennie.

En 2021, Balaji Srinavasan, par ailleurs investisseur et promoteur du concept d’État-réseau, citait Starbase aux côtés de Prospéra, créée et contestée au Honduras ; de Culdesac, une communauté dédiée au travail à distance installée en Arizona ; ou encore de Praxis, cette start-up qui cherche à implanter une ville libertarienne au Groenland.

Sorti en 2019, l’action-RPG coopératif en monde ouvert Anthem, disponible sur PS4, Xbox One et PC, n’est plus jouable que pour environ six mois. Son éditeur, EA, a en effet annoncé la mise hors service des serveurs dédiés à ce jeu exclusivement en ligne. « Après mûre réflexion, nous allons mettre fin à Anthem le 12 janvier 2026 ».

Le titre et les devises premium qui constituent la monnaie d’échange pour acquérir des objets en jeu restent accessibles jusqu’à cette date. Il sera par ailleurs toujours possible d’installer le titre, s’il a été ajouté à la bibliothèque d’un compte EA, jusqu’au 12 janvier. En revanche, l’obtention du jeu, via les formules d’abonnement d’EA, n’est possible que jusqu’au 15 août 2025.

Dans sa note d’information, EA rappelle qu’Anthem a été conçu comme un jeu exclusivement dédié au multijoueur en ligne, « donc une fois les serveurs hors ligne, le jeu ne sera plus jouable ».

Alors que la division jeux vidéo de Microsoft est traversée par une nouvelle vague de licenciements, EA prend par ailleurs soin de préciser que l’arrêt programmé d’Anthem « n’a entraîné aucune suppression de postes » au sein de Bioware, le studio responsable de la création du jeu.

Hasard du calendrier, cette annonce intervient alors que la pétition européenne Stop Killing Games, qui vise à mobiliser l’exécutif européen autour des obligations des éditeurs de jeux vidéo en matière de maintenance et de pérennité des titres qu’ils éditent, vient de franchir le seuil cible du million de signatures.

For it is the truth that health is the wealth of wealth

L’appel d’offres qui vise à préparer la migration de la Plateforme des données de santé (autrement appelée Health Data Hub) vers un hébergement autre que Microsoft Azure a été lancé. Le marché prévoit une enveloppe de 6,2 millions d’euros sur quatre ans pour mettre en place cette solution qualifiée d’intercalaire, capable d’accueillir une copie de la base principale du Système national des données de santé (SNDS).

Chose promise, chose due ? Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, a annoncé mardi le lancement imminent de l’appel d’offres dédié à la sélection d’un hébergeur autre que Microsoft pour la Plateforme des données de santé, ou Health Data Hub (on parle indifféremment de PDS ou de HDH).

Jeudi, le marché public correspondant a bien été publié : il dessine les contours de la fameuse « solution intercalaire », chargée d’offrir une forme de tuilage entre l’hébergement actuel, opéré par Microsoft Azure, et une future infrastructure souveraine…

Une solution intercalaire ?

« L’intelligence artificielle en santé porte des perspectives immenses pour mieux soigner. Mais elle ne pourra tenir ses promesses qu’en protégeant les données sensibles qui la nourrissent. La migration de la Plateforme Des Données de Santé (Health Data Hub) vers un hébergement souverain constitue une avancée décisive », a déclaré mardi Clara Chappaz, citée dans un communiqué du ministère de la Santé.

Ce dernier, publié mardi, indique que la « plateforme des données de santé a lancé ce jour un appel d’offres pour l’hébergement souverain de la copie du Système National des Données de Santé (SNDS) ».

Officiellement, il s’agit donc d’une promesse tenue. La ministre du Numérique avait en effet affirmé, en séance à l’Assemblée nationale le 8 avril dernier, que la Plateforme des données de santé, ou Health Data Hub, serait bientôt migrée vers un « hébergeur sécurisé ». Cinq semaines plus tard, la promesse a été renouvelée et précisée par Stéphanie Combes, directrice de la Plateforme des données de santé, lors de son audition devant la commission sénatoriale dédiée à la commande publique.

Face aux sénateurs, Stéphanie Combes a d’abord rappelé que la loi SREN de 2024, qui dispose que les données d’une « sensibilité particulière », dont les données de santé, soient hébergées sur une infrastructure garantissant la protection contre d’éventuelles ingérences étrangères, attendait encore son décret d’application.

« L’idée consiste à anticiper en hébergeant une copie de la base principale du SNDS – aujourd’hui maintenue par l’Assurance maladie – dans une solution souveraine placée sous la maîtrise directe du HDH », expliquait-elle alors. D’où cette idée d’une solution intercalaire, entre la base principale du SNDS, aujourd’hui opérée par la Cnam, et le HDH, chargé de faire le pont avec les projets nécessitant l’accès à ces données de santé.

Ingestion, pseudonymisation, extraction

Le règlement du marché public précise l’ambition. « Cette solution vise à doter la PDS d’une infrastructure autonome, capable de recevoir une copie de la base principale du SNDS afin de lui permettre de réaliser des extractions, ciblages et appariements de manière plus fluide et de décharger la CNAM de cette activité ».

Dans le détail, la solution intercalaire doit notamment permettre de gérer le flux entrant des données provenant du SNDS, puis leur pseudonymisation et la validation de leur conformité. Ensuite, elle a vocation à permettre la « réalisation d’extractions et de ciblages de données pour des projets de recherche précis », mais aussi le transfert des jeux de données vers des environnements tiers, répondant aux exigences de sécurité du SNDS. Enfin, la plateforme doit permettre de gérer les accès et habilitations, imports et exports de données, etc.

À ce stade, aucune information précise n’est donnée quant aux exigences particulières en matière d’infrastructures ou d’environnements logiciels. La PDS réserve en effet le cahier des clauses techniques particulières (CCTP), document qui présente habituellement tous ses aspects, aux candidats qui auront franchi le premier tour de sélection et signé un accord de confidentialité ou NDA (non disclosure agreement).

L’exposé des critères pris en compte dans l’évaluation des candidats donne toutefois quelques éléments d’éclairage. Les prestataires qui proposent leurs services seront par exemple évalués sur leur maîtrise technique quant à « l’hébergement et l’exploitation d’une base Oracle massive (par ex. plus de 100 To et plusieurs centaines de tables) associée à un système de requêtage des données sur SAS ».

Ce critère de compétence technique, qui représente 35% de la note finale, est mis au même niveau que celui de la prise en compte des exigences liées à la conformité, le candidat devant démontrer son expérience dans la « mise en œuvre de solutions répondant aux exigences du référentiel du SNDS et, s’il s’appuie sur de l’hébergement cloud, dans la mise en œuvre de solutions qualifiées SecNumCloud 3.2 ».

10% de la note portent par ailleurs sur la capacité à « réaliser une prestation de reprise de données massives depuis des fichiers plats vers une base de données de données relationnelles de type Oracle composée d’environ 2000 tables avec 700 structures différentes ».

Une souveraineté implicite

La publication, fin avril, du premier contrat de filière dédié au numérique de confiance rappelle la sensibilité des questions de préférence nationale ou européenne dans la commande publique, puisque la souveraineté ne peut officiellement constituer un critère de sélection dans les marchés publics.

Pour Stéphanie Combes, si Microsoft avait finalement été retenu en 2019, c’est parce que, en dépit de rencontres avec une dizaine d’acteurs, « seule la solution proposée par Microsoft répondait à l’ensemble des prérequis ».

Cette fois, les travaux préparatoires à l’appel d’offres devraient permettre à des acteurs alternatifs de se positionner, et si le dossier a tant traîné, c’est selon elle parce que l’offre n’était pas encore au niveau, même en 2024. « Une dernière étude indépendante de la Dinum a été menée courant 2024. L’ensemble de ces études a confirmé que les offres alternatives restaient pour le moment insuffisantes au regard des exigences de sécurité ».

Les travaux préliminaires à la publication de l’appel d’offres, menés début 2025 auprès de « 10 à 15 acteurs », auraient cependant montré des progrès significatifs. Bleu (Orange, Capgemini et Microsoft) et S3ns (Thales et Google), tous deux candidats à la certification SecNumCloud, étaient-ils du nombre ?

Quel hébergement cible

En attendant la sélection du prestataire chargé de réaliser cette solution intercalaire, et en admettant que les enjeux de souveraineté confirment la nécessité de quitter Microsoft, la question de l’hébergement cible du HDH reste ouverte.

« Un groupe de travail réunissant la DINUM, la PDS, la DNS, et l’ANSSI, avec l’appui d’Inria, et en lien avec les offreurs de cloud de confiance sera mis en place afin d’affiner les besoins de la PDS en services cloud et de définir les exigences minimales permettant un hébergement sur une offre qualifiée SecNumCloud. Cette solution permettra d’héberger tous les services de la PDS, appelée « la solution cible » », indique (PDF) un dossier de presse du ministère de la Santé.

Le fabricant de NAS présente cette nouvelle mouture comme une « mise à niveau majeure » de son application. En plus de la synchronisation entre un NAS et des appareils numériques, cette version propose des « fonctionnalités de sauvegarde avancée de fichiers et dossiers ».

Cette application supporte « la sauvegarde multi-version et la récupération instantanée. […] Les utilisateurs peuvent configurer de manière flexible des sauvegardes en temps réel, planifiées ou manuelles ». Pour télécharger Qsync 6.0 bêta, c’est par là.

Dans Qsync 6.0, la sauvegarde depuis des appareils Windows est possible, mais il faudra encore attendre pour avoir le client macOS. De plus, « la sauvegarde de fichiers Qsync n’est actuellement pas prise en charge sur les systèmes d’exploitation QuTS hero ou QuTScloud ». Il faut avoir Qsync Central 5.0 minimum sur son NAS.

FSR, pour FidelityFX Super Resolution, est la version AMD du DLSS de NVIDIA, des solutions de mise à l’échelle. La quatrième version de FSR a été annoncée en mars, en même temps que les Radeon RX 9070 et 9070 XT. Le fabricant précisait alors que cette technologie serait « disponible exclusivement sur les cartes graphiques AMD Radeon RX Série 9000 ».

• DLSS, FSR, XeSS, et maintenant MetalFX, mais qu’est-ce donc ?

Dans une interview accordée à Tom’s Guide, Mark Cerny (architecte en chef des consoles PlayStation 5 et 5 Pro) parlait de l’avenir du PSSR (PlayStation Spectral Super Resolution), la fonction d’upscaling maison exclusivement disponible sur les consoles PS5 Pro.

Ce projet porte le nom de code : Amethyst, « un partenariat pluriannuel entre AMD et Sony qui a débuté en 2023 », indiquent nos confrères. Sony apporte sa connaissance du monde des consoles et des jeux vidéo, AMD celui des GPU. « Les deux sociétés peuvent utiliser librement les résultats de la collaboration dans leur propre travail, comme AMD l’a déjà fait en publiant FSR 4 », explique Tom’s Guide.

L’algorithme co-développé par les deux partenaires « a donc déjà été publié par AMD sous la forme de FSR 4 sur PC. Et nous sommes en train de le mettre en œuvre sur PS5, il sortira l’année prochaine sur PS5 Pro », explique Mark Cerny

Le responsable insiste sur un point : « Il ne s’agit pas d’une version limitée de l’algorithme […] C’est la version complète de la Super Résolution que nous sortirons sur PS5 Pro ». À voir maintenant quand la mise à jour sera effectivement déployée et les résultats qu’elle proposera.

Dans l’affaire opposant le journal étasunien à l’entreprise d’IA générative, le New-York Times a obtenu la possibilité d’analyser tous les logs de ChatGPT afin de trouver d’éventuelles preuves de violation de copyright.

Aux États-Unis, le procès intenté par le New-York Times contre OpenAI pour violation de copyright continue depuis la plainte déposée en décembre 2023.

Le journal va finalement pouvoir fouiller dans les logs du Chatbot d’OpenAI à la recherche de preuves de violation du copyright des articles publiés sur son site, selon ArsTechnica.

En mai, le juge en charge de l’affaire a ordonné à OpenAI de préserver « tous les journaux de sorties qui devraient normalement être supprimés » et ce « jusqu’à nouvel ordre de la Cour ». Cela concerne toutes les données que l’entreprise d’IA générative supprime d’habitude, « que ces données soient supprimées à la demande d’un utilisateur ou en raison de « nombreuses lois et réglementations sur la protection de la vie privée » qui pourraient exiger qu’OpenAI le fasse », précisait-il.

L’entreprise avait publié un billet affirmant que cette décision allait « fondamentalement à l’encontre des engagements que [elle a] pris envers [ses] utilisateurs en matière de protection de la vie privée. Elle abandonne des normes de longue date en matière de respect de la vie privée ».

Un dilemme pour OpenAI

Si officiellement, OpenAI veut « continuer de se battre », la seule possibilité de contrer cette demande aurait de faibles chances d’aboutir, selon ArsTechnica. Le problème de l’entreprise d’IA générative est d’être prise dans un dilemme : soit elle continue la bataille et garde pendant longtemps des données qu’elle considère sensibles, soit elle laisse le journal accéder à certaines données de ses utilisateurs.

Pour autant, le New-York Times ne pourra pas accéder à l’entièreté de la base de données d’OpenAI. Les deux entreprises vont devoir se mettre d’accord sur un processus pour que le journal accède à certaines données qui lui permettent d’illustrer des cas manifestes d’infraction au copyright. Ainsi, l’équipe juridique du média devrait par exemple pouvoir faire des recherches sur certains mots clés ou certaines informations. De même, les données resteront sur les serveurs d’OpenAI et seront anonymisées.

À la recherche de preuves de concurrence déloyale

Rappelons que la plainte du New York Times concerne l’utilisation par OpenAI et Microsoft de millions de ses articles pour entraîner leur famille de grands modèles de langage (Large language models, LLM) GPT utilisée par ChatGPT, Bing Chat et Copilot. Elle accuse les entreprises de lui faire ainsi une concurrence déloyale en renvoyant les contenus de ses articles à leurs utilisateurs.

Le journal cherche donc dans les logs des preuves que le chatbot d’OpenAI est utilisé massivement pour accéder aux contenus dont il a le copyright. Toute cette histoire autour de l’accès aux journaux d’OpenAI pourrait permettre au New York Times d’argumenter contre la logique du fair use.

Celui-ci peut tenir face aux accusations d’utilisation de contenus copyrightés, comme le montrent deux décisions de la justice étasunienne récentes. Mais dans l’un de ces cas, l’un des juges a expliqué qu’à ses yeux, la concurrence déloyale pouvait être un argument « potentiellement gagnant ».

• Copyright : les entreprises d’IA gagnent plusieurs manches judiciaires, mais pas toutes

Sheh

Shein vient d’accepter de payer 40 millions d’euros suite à une enquête de la Répression des fraudes qui avait conclu que l’entreprise avait mis en place des pratiques commerciales trompeuses. D’autres enquêtes sont en cours.

Mise à jour du 4 juillet à 8h00. Shein a écopé d’une seconde amende de la DGCCRF : 1,098 million d’euros pour une « information défaillante sur la qualité environnementale des produits ».

---

À l’automne 2022, Bruno Le Maire – qui était alors ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique – saisissait la DGCCRF « pour lui demander d’enquêter sur les dérives de la fast fashion et en particulier Shein ».

L’enquête s’est déroulée sur une petite année, entre le 1ᵉʳ octobre 2022 et le 31 août 2023. Les résultats étaient attendus pour l’automne 2024. C’est finalement avec du retard que cette affaire se termine, par une sanction de 40 millions d’euros. « Il s’agit d’un montant record pour ce type d’infraction », précise Le Monde.

11 % des réductions étaient… des augmentations

L’enquête de la répression des fraudes (DGCCRF) « a révélé la mise en œuvre par la société Infinite Style E-commerce LTD (ISEL), responsable des ventes des produits de la marque Shein, de pratiques commerciales trompeuses à l’égard des consommateurs sur la réalité des réductions de prix accordées et sur la portée des engagements concernant les allégations environnementales ».

Le premier point concerne des manquements par rapport à la réglementation sur les promotions, qui doivent se baser sur prix le plus bas pratiqué pendant les 30 jours qui précèdent. « En ne tenant pas compte des promotions précédentes ou en majorant parfois certains prix avant de leur appliquer une réduction, Shein a contrevenu à ces dispositions ».

Le résultat de l’enquête est sans appel : « 57 % des annonces vérifiées par le Service National des Enquêtes (SNE) de la DGCCRF n’offraient aucune baisse de prix, 19 % une baisse moins importante qu’annoncée et 11 % étaient en réalité des augmentations de prix ». Cela ne laisse donc que 13 % des annonces correctes.

Shein, une entreprise responsable ? La DGCCRF attend les preuves

Second point, l’écoconception. Le modèle économique de Shein (comme ses concurrents de la Fast Fashion), repose sur une offre plus qu’abondante de vêtements à bas prix. Afin de séduire des clients, la société a tenté de faire passer des vessies pour des lanternes sur des questions environnementales.

Problème, Shein « n’a pas été en mesure de justifier les allégations environnementales présentes sur son site Internet, notamment le message par lequel elle se présentait comme une entreprise responsable, qui limiterait son impact environnemental en diminuant de 25 % ses émissions de gaz à effets de serre ».

Suite à cette enquête, et avec l’accord de la procureure de la République de Paris, une procédure de transaction a été mise en place : « Une amende d’un montant de 40 millions d’euros a été proposée à la société ISEL pour pratiques commerciales trompeuses, qui l’a acceptée ». Sur ce sujet, la DGCCRF rappelle qu’elle a récemment mis en ligne une fiche pratique sur les allégations environnementales.

À l’AFP, la société de fast fashion affirme avoir « mis en œuvre sans délai les actions correctives nécessaires, achevées dans un délai de deux mois » après la notification de la DGCCRF. Depuis plus d’un an, « l’ensemble des points soulevés […] a donc été traité ».

Information sur la qualité environnementale : seconde amende

Quelques heures plus tard, la DGCCRF réalisait un doublé avec une seconde sanction, cette fois-ci pour « une information défaillante sur la qualité environnementale des produits qui génèrent des déchets et qu’elle commercialise en France ». En cause, l’absence d’information sur la présence de microfibres plastiques dans ses produits, pourtant obligatoire depuis le 1ᵉʳ janvier 2023.

« Cette information, exprimée sous la forme de la mention « rejette des microfibres plastiques dans l’environnement lors du lavage », doit être mise à disposition du consommateur dès lors que la proportion de fibres synthétiques dans le produit est supérieure à 50 % », explique la répression des fraudes.

Shein n’a pas respecté cette obligation sur 732 produits, selon l’enquête de la DGCCRF. Cette dernière a donc sanctionné la société Infinite Styles Ecommerce Limited d’une amende administrative de 1,098 million d’euros.

Commission européenne et associations se plaignent aussi

Ce n’est pas tout, Shein est aussi dans le viseur d’autres institutions. Le site d’e-commerce est pour rappel classé comme une très grande plateforme au titre du DSA. Au début de l’année, l’Europe ouvrait une enquête officielle contre Shein, soupçonnée de ne pas respecter le droit européen sur la protection des consommateurs.

Fin mai 2025, la Commission européenne et le réseau de coopération en matière de protection des consommateurs (CPC) demandaient « instamment à Shein de respecter la législation de l’UE » et de fournir des réponses à leurs questions.

Les griefs étaient nombreux : fausses remises, ventes sous pression (fausses dates limites d’achats par exemple), informations manquantes, incorrectes et trompeuses, promesses trompeuses sur la durabilité, coordonnées de contacts cachées (les consommateurs ne peuvent pas facilement contacter Shein pour des questions ou des plaintes), etc.

Il y a quelques jours, c’était au tour de l’organisation BEUC de porter plainte contre Shein auprès de la Commission européenne. En cause, l’utilisation de dark patterns sur son site.

Deux associations, enfin, ont signalé à la Haute Autorité pour la transparence de la vie publique « de possibles irrégularités dans les déclarations de lobbying du géant chinois de la mode en ligne ». Dans la ligne de mire, trois personnalités politiques françaises : Christophe Castaner, ex-ministre de l’Intérieur et désormais conseiller de Shein sur la responsabilité sociale et environnementale (RSE), Nicole Guedj (ancienne secrétaire d’État) et Bernard Spitz (ancien dirigeant du Medef).

Vous avez une ou plusieurs échéances totalement périmées et vous ne savez pas quoi en faire ? Deadlines Work est fait pour vous.

Le site propose trois rappels importants : la Loi de Hofstadter (Temps = Estimation ×∞), la Règle 90 - 90 (90 % du code représentent les premiers 90 % du temps de développement, les 10 % restants les autres 90 % du temps de développement, ces 180 % expliquant pourquoi les projets prennent souvent plus de temps que prévu) et l’erreur de planification avec l’espoir qui reste toujours supérieur à l’expérience, conduisant à des échéances intenables.

Vous pouvez maintenant rendre hommage à vos échéances et allumer une bougie commémorative en leur honneur. Un mur de la honte donne quelques exemples : « Ça ne devrait prendre que quelques heures… », « Le client comprendra si on lui explique les défis techniques », « On corrigera les bugs après le lancement », etc.

Et vous, quelles échéances avez-vous honteusement laissé mourir et lesquelles méritent d’être placées au cimetière ?

• Deadlines.work – Embrace the Chaos of Impossible Deadlines

Vous prendrez bien un petit café avec cette actualité ?

Let’s Encrypt teste auprès de ses clients un nouveau service : la délivrance de certificats TLS/SSL attribués non pas à un nom de domaine, mais à une adresse IP. Plusieurs autorités de certification la proposaient déjà, mais le service de Let’s Encrypt, qui devrait être déployé plus largement d’ici à la fin de l’année, présente l’intérêt d’être gratuit…

Let’s Encrypt a annoncé mardi l’émission de son premier certificat associé à une adresse IP. Une page de test permet de confirmer l’efficacité du dispositif : le navigateur accède directement à une adresse IPv6 et pourtant, la connexion se fait bien en HTTPS, ce qui confirme la détection d’un certificat valide.

En plus de l’adresse IP, on remarque dans les détails du certificat qu’il est aussi valable pour les noms de domaine, ici abad.cafe. Let’s Encrypt ne parle que d’IPv6 dans ses exemples, mais rien ne devrait empêcher les certificats de fonctionner avec des IPv4, à confirmer lorsque la fonctionnalité sera disponible.

L’autorité, placée pour mémoire sous le contrôle de l’Internet Security Research Group (ISRG), indique que cette nouvelle fonctionnalité est pour l’instant proposée à une sélection de clients dans son environnement de simulation (staging).

Pourquoi certifier une adresse IP ?

Dans les usages du quotidien, l’internaute lambda réalise sa navigation courante au moyen d’URL, qui reposent sur des noms de domaine, puis sur des résolveurs DNS chargés de faire le pont entre ces derniers et l’adresse réseau de la machine que l’on souhaite contacter. Dit autrement : pour lire Next, j’entre le domaine next.ink dans mon navigateur, et non l’adresse IP du serveur qui héberge le site.

• [Dossier] Internet, mode d’emploi : de l’URL à l’IP avec le DNS (partie 2)

L’utilisation des noms de domaine présentent de multiples avantages, à commencer par celui de constituer un référentiel permanent, là où l’adresse IP d’une machine peut changer. Si le serveur qui héberge Next migre vers une nouvelle infrastructure, son adresse IP changera, mais le site restera accessible via l’adresse next.ink.

« Étant donné que les adresses IP peuvent changer si facilement, le sentiment de « propriété » que l’on peut avoir à leur égard – ou qu’une autorité de certification peut être en mesure d’attester – a tendance à être plus faible que pour un nom de domaine », estime de ce fait Let’s Encrypt. Dans la pratique, la plupart des certifications TLS/SSL, qui servent pour mémoire à garantir le chiffrement des échanges entre le client (votre navigateur) et le serveur, portent donc sur des noms de domaine.

Il existe toutefois plusieurs cas de figure dans lesquels l’internaute peut avoir besoin d’utiliser directement une adresse IP… le plus évident d’entre eux étant d’offrir la possibilité de se connecter à un serveur Web de façon sécurisée sans avoir à acheter un nom de domaine.

Entre autres scénarios, Let’s Encrypt évoque l’accès distant à des appareils domestiques de type NAS ou domotique – qui soulève la problématique de l’adresse IP dynamique chez certains fournisseurs d’accès à Internet, ou l’établissement d’une session éphémère à une infrastructure distante, à des fins d’administration de serveur par exemple.

Bien que ces usages puissent être considérés comme relevant d’une niche, la demande d’une certification des adresses IP est formulée auprès de Let’s Encrypt depuis au moins 2017, remarque The Register. Et la question se pose depuis nettement plus longtemps, comme en témoignent ces échanges de 2010…

Plusieurs autorités de certification se sont d’ailleurs déjà positionnées sur le sujet, mais leurs offres sont payantes, là où Let’s Encrypt propose un service gratuit.

Adaptations techniques

Pour profiter de ces certificats d’adresses IP, il faudra toutefois patienter, puisque Let’s Encrypt évoque une disponibilité en production « courant 2025 ». « Avant cette disponibilité générale, nous pourrions autoriser l’émission de listes pour un nombre limité de partenaires susceptibles de nous faire part de leurs retours », précise l’autorité.

Let’s Encrypt justifie notamment ce délai par la nécessité de laisser le temps nécessaire aux éditeurs de logiciels pour adapter leurs clients à cette évolution, mais souhaite également faire d’une pierre deux coups. La disponibilité générale des certificats pour adresses IP devrait ainsi intervenir en même temps qu’un autre changement majeur, préparé de longue date : le passage à des certificats « courts », dont la durée de vie sera limitée à six jours.

Creative Commons 2.0

L’association derrière les licences Creative Commons se lance dans les débats sur l’utilisation des contenus par les IA. Elle propose ce qu’elle appelle rien de moins qu’un « nouveau contrat social à l’ère de l’IA » : les CC Signals.

Creative Commons a récemment lancé un cadre pour permettre aux auteurs et autrices de contenus, que ça soit des images, des vidéos ou du texte, de spécifier comment ceux-ci peuvent être réutilisés par des machines, par exemple lors de l’entrainement de modèles d’IA générative.

Les licences Creative Commons sont devenues, au cours des années, une institution dans le paysage de l’internet. Les artistes comme les chercheurs ou les entreprises les ont adoptées. Mais elles ont été conçues dans un monde dans lequel les modèles de langage n’existaient pas.

Certaines entreprises d’IA générative n’ont pas hésité à entrainer leurs modèles en utilisant notamment des contenus sous la licence Creative Commons by-sa comme ceux de Wikipédia. Celle-ci pose pourtant des conditions pour la réutilisation des œuvres : l’attribution et le partage dans les mêmes conditions, même lorsqu’il s’agit d’une transformation.

Mais Creative Commons s’est bien rendu compte que les licences n’étaient pas l’outil approprié pour indiquer aux éventuels réutilisateurs ce que les auteurs les autorisent ou pas à faire de leurs contenus.

Quatre signaux pour affirmer les conditions de réutilisation par les machines

L’association a donc lancé un nouveau chantier : les CC Signals. La semaine dernière, elle y consacrait un billet de blog, qui explique notamment que « fondés sur les mêmes principes que ceux qui ont donné naissance aux licences CC et aux dizaines de milliards d’œuvres sous licence ouverte en ligne, les CC signals permettront aux détenteurs d’ensembles de données d’indiquer leurs préférences quant à la manière dont leur contenu peut être réutilisé par des machines, sur la base d’un ensemble d’options limitées mais significatives, façonnées dans l’intérêt du public ».

Elle affirme que ce cadre est destiné à être à la fois un outil technique mais aussi légal, et une proposition sociale : « un appel à un nouveau pacte entre ceux qui partagent les données et ceux qui les utilisent pour entrainer des modèles d’IA ».

Pour l’instant, ce « nouveau pacte social » n’en est qu’à ses débuts. Dans son TL;DR, l’association admet que « c’est un défi extrêmement complexe et les enjeux sont énormes ». Dans son rapport [PDF] sur le sujet, elle détaille quatre ce qu’elle appelle des « signal elements » qu’elle a « conçus pour refléter les éléments essentiels du thème général de la réciprocité ». Ces éléments sont l’équivalent des conditions des licences Creative Commons :

Crédit : vous devez donner le crédit approprié en fonction de la méthode, des moyens et du contexte de votre utilisation.

Contribution directe : vous devez apporter un soutien financier ou en nature à la partie déclarante pour le développement et l’entretien des contenus, sur la base d’une évaluation de bonne foi tenant compte de votre utilisation des contenus et de vos moyens financiers.

Contribution à l’écosystème : vous devez apporter une aide financière ou en nature à l’écosystème dont vous bénéficiez, sur la base d’une évaluation de bonne foi tenant compte de l’utilisation que vous faites des contenus et de vos moyens financiers.

Ouverture : le système d’IA utilisé doit être ouvert. Par exemple, les systèmes d’IA doivent satisfaire à la classe II du cadre d’ouverture des modèles (MOF), à la classe I du MOF ou à la définition de l’IA à source ouverte (OSAID).

Implémentation dans les fichiers robots.txt et les headers HTTP

L’association indique que tout cela reste encore au stade de brouillon et n’est donc pas gravé dans le marbre. Concernant la contribution directe, elle précise que l’idée des CC signals ne doit pas être vue comme un outil sur lequel faire reposer un modèle économique « ni même comme un moyen de récupérer les coûts de manière fiable ».

Sur la contribution à l’écosystème, elle souligne que, « bien que la formulation initiale soit très ouverte, [elle espère et attend] que des normes, des bonnes pratiques et même de nouvelles structures collectives se développent autour de cette notion dans différents secteurs et pour différents types de réutilisations ».

Comme pour les licences, les signaux CC peuvent être combinés. Pour l’instant, l’association a imaginé quatre combinaisons possibles :

• Crédit
• Crédit + contribution directe
• Crédit + contribution à l’écosystème
• Crédit + ouverture

Pour l’implémentation, Creative Commons a partagé ses réflexions sur GitHub. Pour l’instant, l’idée serait d’insérer les signaux dans le fichier robots.txt et dans l’en-tête HTTP Content-Usage.

Dans le robots.txt, on pourrait avoir une déclaration du genre :

User-Agent: *
Content-Usage: ai=n;exceptions=cc-cr
Allow: /

Et le header HTTP pourrait ressembler à :

200 OK
Date: Mon, 09 Jun 2025 12:42:03 UTC
Content-Type: text/plain
Content-Usage: genai=n;exceptions=cc-cr-ec

Pas besoin de signal Creative Commons si on ne veut pas du tout partager avec les IA

Dans son billet, l’association se disait ouverte aux critiques. Une semaine après, celles-ci semblent avoir été massives, puisqu’elle a publié un billet de mise à jour pour faire le point. Les griefs porteraient notamment sur le fait que Creative Commons mette le pied dans la gestion de l’utilisation des contenus par les entreprises d’IA.

Dans son nouveau billet, l’association s’est sentie obligée de préciser qu’elle pense « que les pratiques actuelles des entreprises d’IA constituent une menace pour l’avenir des biens communs ». « Ce sentiment ne nous surprend pas » affirme l’association, « nous le ressentons également. En fait, c’est la raison pour laquelle nous réalisons ce projet ».

Elle ajoute que « de nombreux créateurs et communautés de la connaissance se sentent trahis par la manière dont l’IA est développée et déployée. Le résultat est que les gens se tournent, à juste titre, vers la fermeture ». Et commente : « à terme, nous craignons que les gens ne veuillent plus du tout partager publiquement ».

Elle précise donc que « les créateurs qui souhaitent sortir totalement de la réutilisation par les machines n’ont pas besoin d’utiliser un signal CC. Les signaux CC sont destinés à ceux qui veulent continuer à partager, mais avec certaines conditions ».

Dans un communiqué, l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique) indique être intervenu « auprès de plusieurs sites pour faire cesser la diffusion de contenus issus de chaînes russes sous sanctions européennes ».

L’Autorité ordonne ainsi « de faire bloquer et déréférencer 19 sites officiels de médias russes soumis à des sanctions directes ou indirectes et de mettre en demeure un site de streaming et trois plateformes en ligne russes de cesser de diffuser des contenus de médias russes sanctionnés ». Le détail de la liste n’est pas précisé.

Le régulateur a aussi « décidé d’adresser des lettres d’observations à cinq sites de streaming diffusant des contenus sous sanction et hébergés en dehors de la Russie ». Il affirme enfin qu’il « continuera de mettre en œuvre tous les moyens dont il dispose pour faire cesser la diffusion en France des médias russes visés par des sanctions européennes, ainsi que la reprise de leurs contenus par des plateformes en ligne accessibles en France ».

Il y a quelques semaines, l’Arcom mettait en demeure Eutelsat d’arrêter la diffusion des chaînes russes STS et Kanal 5, appartenant toutes les deux à la société russe JSC National Media Group. Rappelons enfin que, dès le 2 mars 2022, l’Autorité avait mis fin à la diffusion de la chaîne RT (Russia Today) France suite à l’invasion de l’Ukraine par la Russie le 24 février 2022.

• Brouillard autour de la suspension de RT et Sputnik en Europe

Les dirigeants de 48 des plus grandes entreprises européennes ont cosigné une lettre ouverte intitulée #StopTheClock à destination de la commission européenne, pour l’exhorter à « proposer une suspension de deux ans à l’AI Act avant que certaines de ses obligations clés n’entrent en vigueur ».

Près du quart des signataires sont des dirigeants français, au nombre desquels les PDG d’ASML, société hollandaise essentielle à la fabrication de semi-conducteurs, et de Carrefour, les DG de Dassault Systèmes, Airbus et TotalEnergies, le Président de Publicis, ainsi que les patrons de l’éditeur de logiciels Mirakl et de la start-up Mistral AI.

Leur lettre ouverte souligne que « les partisans actuels de l’initiative EU AI Champions représentent plus de 110 organisations, plus de 3 000 milliards de dollars en capitalisation boursière et plus de 3,7 millions d’emplois en Europe, et cette liste ne cesse de s’allonger ».

Dans les dernières phases de débats du texte, la France avait activement œuvré à réduire la portée de l’AI Act.

Le texte européen a par ailleurs été soumis à une intense pression de la part du lobbying états-unien ces derniers mois, relève Politico, alors que Donald Trump minimise toute obligation pesant sur les promoteurs de l’IA dans son propre pays.

Les dirigeants européens demandent une pause sur les obligations concernant les modèles d’IA généralistes et sur les systèmes classifiés à haut risque. Celle-ci enverrait selon eux le signal « que l’Europe prend au sérieux son programme de simplification et de compétitivité ».

• Systèmes à haut risque, modèles à usage général : ce que dit l’AI Act en pratique