Casser le thermomètre, littéralement

Donald Trump continue sa politique consistant à couper les budgets de la recherche états-unienne. Visant particulièrement les recherches sur le changement climatique, son administration vient de décider le démantèlement d’un réseau de bouées particulièrement crucial pour la récolte de données sur le sujet.

La recherche, et notamment celle sur le climat, continue d’être attaquée par l’administration Trump. En effet, après les coupes dans les budgets et dans les effectifs mises en place depuis l’année dernière, la National Science Foundation (NSF) a annoncé le 21 mai dernier le démantèlement d’une grande partie du réseau d’instruments scientifiques du projet Ocean Observatories Initiative (OOI) qu’elle a financé depuis 10 ans.

« Ce plan prévoit le retrait de toutes les infrastructures sous-marines de la mer d’Irminger, ainsi que des réseaux de la station Papa, d’Endurance et de Pioneer, sous réserve des contraintes liées au calendrier des navires et d’autres contraintes opérationnelles. Tout le matériel récupéré sera conservé par l’organisme responsable de l’exploitation dans l’attente de nouvelles instructions », explique la NSF, la principale agence de financement de la recherche aux États-Unis. Cette annonce a été faite moins d’un mois après que Donald Trump a viré tous les membres du conseil d’administration de l’agence (qui étaient des chercheurs ou ingénieurs).

• Donald Trump a viré tous les membres du CA de la National Science Foundation

Selon le New York Times, ce n’est pas moins de 900 instruments d’observation qui vont être enlevés. Et la NSF prévoit d’envoyer des bateaux pour les récupérer dès ce mois de juin.

Le fonds ajoute garder pour l’instant le « réseau câblé régional » du projet qui se situe au large de Portland ainsi que le data center de l’OOI pour les opérations en cours. Ironiquement, dans son communiqué, la NSF continue à souligner l’importance du projet : « Nous encourageons la communauté à exploiter les données de l’OOI, accumulées depuis plus de dix ans, en les intégrant dans leurs propositions, publications, présentations et échanges avec leurs collègues. Cet engagement continu met en évidence l’impact scientifique et les applications très variées rendues possibles par l’OOI et ses données, soulignant ainsi son importance en tant que ressource pour la communauté océanographique ».

Le système d’observation océanique le plus avancé au monde

Ce réseau d’instruments scientifiques qui a coûté 365 millions de dollars est un outil très utile pour comprendre le changement climatique. L’OOI est le « système d’observation océanique en fonctionnement continu le plus avancé au monde », estime Jim Edson, qui en était responsable en 2022, au New York Times. Comme l’explique l’Institut océanographique de Woods Hole, dans l’océan Austral par exemple, « les premiers déploiements de balises OOI en 2015 ont permis d’obtenir les premières séries chronologiques jamais enregistrées sur les mouvements de chaleur et de masses d’eau dans la région — des données qui revêtent un intérêt particulier pour la population chilienne, alors que le pays est confronté à une sécheresse persistante due à l’évolution des régimes de vent et de pression atmosphérique au-dessus de l’océan ».

La partie du projet située en mer d’Irminger a permis, elle, de mieux comprendre le fonctionnement de l’Atlantic Meridional Overturning Circulation (AMOC), le système de circulation océanique profonde situé dans l’Atlantique à l’origine des courants. « Ce vaste système de courants marins, dont fait partie le Gulf Stream, joue un rôle essentiel dans la régulation du climat mondial, notamment en transportant de la chaleur des tropiques vers l’Atlantique Nord », explique le CNRS.

Quel pays sera capable de développer un réseau similaire ?

« Cela témoigne une fois de plus du manque de compréhension de la valeur et du mérite scientifiques dont fait preuve l’administration actuelle », se lamente au New York Times Craig McLean, le chercheur qui était le responsable scientifique de la National Oceanic & Atmospheric Administration lors du premier mandat de Donald Trump. « En démantelant un tel système, nous reléguons une nouvelle fois les États-Unis au second plan dans le domaine du leadership scientifique mondial », ajoute-t-il.

Le problème est que le projet n’est pas seulement abandonné mais qu’il est aussi démantelé. Ainsi, pour qu’un autre pays reprenne le relais, il lui faudrait redéployer un réseau d’outils très onéreux.

En mai 2025, en France, des chercheuses et chercheurs tiraient la sonnette d’alarme devant les sénateurs pour que notre pays propose une alternative pour héberger les données menacées par Trump. Le directeur général délégué à la science du CNRS, Alain Schuhl, affirmait que les bases de données étaient « l’urgence absolue ». Mais le sénateur Pierre Ouzoulias (PCF) attirait aussi l’attention sur « les bouées de surface dans l’hémisphère nord [qui mesurent paramètres météorologiques et océanographiques], c’est 50 % ».

• C’est une « urgence absolue » : la France doit héberger les données menacées par Trump

«Si on perd ces bouées, on est incapables de prévoir des phénomènes extrêmes. Je ne parle même pas du Pacifique, où là, on est totalement dépendants des données météorologiques américaines et nous serions incapables de prévoir des cyclones à Mayotte, à la Réunion ou en Polynésie. Il y a un souci majeur », expliquait-il.

Mais depuis, la France a continué à baisser, elle aussi, les budgets de recherche. Ainsi, l’océanographe et directrice de recherche au CNRS Katell Guizien se plaignait de ne plus pouvoir payer les contrats de travail de chercheurs de son équipe à cause des restrictions budgétaires au sein de l’organisme de recherche. Et le gouvernement a annoncé récemment des coupes budgétaires plus importantes touchant les universités, la recherche et France 2030.

L’équipage d’astronautes de la mission Crew-12 (dont la Française Sophie Adenot) qui occupe actuellement la station spatiale internationale a reçu l’ordre par la NASA de se mettre à l’abri dans sa capsule habitable Crew Dragon et d’enfiler ses combinaisons, pour réagir le plus rapidement possible si une évacuation d’urgence était nécessaire.

La NASA a expliqué à l’agence de presse Reuters que l’équipage russe est de son côté en train d’essayer de réparer une fuite d’air qui s’aggrave sur sa partie du laboratoire orbital.

L’agence américaine et Roscosmos, son homologue russe, discutent depuis plusieurs mois de la cause de petites fuites d’air à bord et de la façon de les résoudre. Elles étaient jusque-là mineures mais elles se seraient aggravées depuis lundi selon une source de l’agence de presse.

• L’Europe veut retourner dans l’ISS et étudier Apophis, le « destructeur de monde » déchu

Peu de temps après, la responsable presse de la NASA, Bethany Stevens a ajouté sur X que Roscosmos avait suspendu « les travaux de réparation structurelle à l’intérieur du tunnel de transfert du module de service Zvezda […] le temps d’analyser de nouvelles mesures et données ». « Compte tenu de cette situation, la NASA a demandé aux membres d’équipage à bord du vaisseau spatial Dragon de mettre fin aux procédures de sécurité et de reprendre les opérations prévues à bord de la Station spatiale internationale », a-t-elle ajouté.

Harcèlement de rue connecté

L’intégration de la fonction Name Tag est déjà en cours dans l’application Meta AI. Celle-ci doit permettre la reconnaissance faciale via les lunettes connectées de l’entreprise. La communication de l’entreprise vis-à-vis de la fonctionnalité intrusive reste ambivalente.

Meta a discrètement intégré du code dans son application Meta AI pour activer la reconnaissance faciale dans ses lunettes connectées, dont les modèles créés en collaboration avec Ray-Ban et Oakley.

En février, on apprenait que l’entreprise de Mark Zuckerberg réfléchissait à une fonctionnalité de ce genre baptisée « Name Tag ». Un mémo datant de janvier 2025 analysait de façon assez cynique que le lancement pourrait bénéficier « d’une période de contexte politique dynamique » dans laquelle les personnes critiques envers ce genre de fonctionnalités « auront concentré leurs ressources sur d’autres préoccupations ».

Du code déjà bien intégré dans l’app Meta AI

Mais Wired a pu découvrir que, depuis janvier dernier, plusieurs mises à jour de l’application Meta AI ont permis à l’entreprise d’y ajouter du code implémentant « Name Tag » petit à petit. Nos confrères affirment que des « composants essentiels du système » ont été intégrés dans l’application distribuée à des millions de personnes qui est nécessaire à l’utilisation des lunettes connectées de Meta.

Dès qu’elle sera activée, la fonction « Name Tag » pourra comparer tous les visages passant devant les lunettes à une base de données d’ « empreintes faciales » qui sera stockée sur le téléphone de l’utilisateur. La reconnaissance d’un visage entrainera des notifications à l’utilisateur tandis qu’un nouveau visage sera automatiquement indexé dans cette base dans un dossier « en attente ».

Le code du système « Name Tag » qu’a pu analyser Wired peut aussi récupérer des empreintes faciales depuis les serveurs de Meta et les stocker sur les appareils des utilisateurs afin d’alimenter cette base d’empreintes faciales.

Une empreinte biométrique représentée par une série de 2 048 nombres

Selon l’analyse du code, Meta a découpé la fonctionnalité « Name Tag » en trois : un modèle détecte les visages, une autre partie du code les recadre et enfin une troisième permet de les convertir en données biométriques. Les premières esquisses de l’interface graphique baptiseraient la fonction du nom « Connections » et proposeraient aux utilisateurs des lunettes Meta de « se souvenir des personnes qu’ils ont rencontrées ».

L’Electronic Frontier Foundation (EFF) confirme l’analyse de nos confrères. L’ONG ajoute que la fonctionnalité mise en place par Meta « enregistre les empreintes faciales sous la forme d’une série de 2 048 nombres représentant de manière unique la disposition des traits du visage d’une personne ». « Lorsque cette fonctionnalité est activée, elle convertit chaque nouveau visage capté par les lunettes de surveillance en une série de nombres, puis la compare à toutes les empreintes faciales existantes dans la base de données de l’utilisateur », explique-t-elle.

L’EFF déplore que « malgré les innombrables raisons de ne pas le faire, Meta semble avoir mis en place les moyens de transformer ses clients en une machine de surveillance décentralisée ». Elle ajoute que « c’est une raison de plus de bien réfléchir avant d’acheter ou d’utiliser les lunettes de surveillance de Meta ».

« En intégrant la technologie dans l’écosystème, on établit des normes et des standards », explique l’ancien responsable de l’encadrement des pratiques chez Meta Reality Labs, Joseph Jerome. « Je ne vois pas comment Meta pourrait déployer une technologie comme celle-ci de manière responsable », ajoute-t-il.

L’ambivalente communication de Meta

En avril dernier, plus de soixante-dix associations dédiées à la défense des libertés numériques ou à la lutte pour les droits des femmes et des minorités signaient une lettre ouverte contre l’intégration de la reconnaissance faciale dans les lunettes connectées de Meta à destination de Mark Zuckerberg. À l’époque, l’entreprise assurait :« Nos concurrents proposent ce type de produit de reconnaissance faciale, ce qui n’est pas notre cas. Si nous devions lancer une telle fonctionnalité, nous adopterions une approche très réfléchie avant de la déployer ».

Face aux révélations de nos confrères, Meta assure maintenant : « les faits sont simples : nous avons déjà indiqué que nous étudiions ce type de fonctionnalités, et ce que vous voyez n’est que la preuve de cette exploration ». L’entreprise ajoute : « rien n’a encore été mis à la disposition des utilisateurs et aucune décision définitive n’a été prise quant à la suite à donner, le cas échéant. Si nous décidons de déployer une telle fonctionnalité, nous adopterons une approche réfléchie et le ferons en toute transparence. Une chose est sûre : nous ne sommes pas en train de créer une base de données centrale de visages ».

Rappelons qu’en 2021, Meta avait annoncé l’abandon de la reconnaissance faciale. Elle expliquait à l’époque devoir « peser l’utilisation positive de la reconnaissance faciale par rapport aux préoccupations sociétales croissantes, d’autant plus que les régulateurs n’ont pas encore défini de règles claires ».

En France, la CNIL faisait encore part récemment de ses craintes sur l’utilisation des lunettes connectées et les risques majeurs qu’elles présentent pour la vie privée.

👻

Alors qu’elle prépare une entrée en bourse, l’entreprise de Dario Amodei regonfle les discours catastrophistes sur l’IA générative pour sa communication juste après avoir gonflé ses muscles grâce à Mythos.

« Perte de contrôle », évocation du traité sur les armes nucléaires et proposition d’un moratoire sur le développement de l’IA générative, Anthropic y va fort dans sa communication. Celle-ci porte un discours ambivalent et survient alors que l’entreprise prépare une entrée en bourse.

Dans un texte publié sur son site web et signé notamment par Marina Favaro, responsable du pôle R&D, l’entreprise met en avant les avancées de ses outils de génération de code pour soutenir la peur d’une IA générative qui pourrait bientôt être autonome dans la gestion de son amélioration.

L’affichage du danger de l’ « auto-amélioration récursive »

L’entreprise appuie sa communication sur son utilisation de plus en plus importante du code généré par son propre outil pour l’améliorer. « En mai 2026, Claude est l’auteur de plus de 80 % du code que nous intégrons dans la base de code d’Anthropic », argumente ainsi l’entreprise, utilisant au passage l’anthropomorphisme pour attribuer à son outil le statut d’auteur. Elle oublie aussi que, même si Lawrence Lessig affirmait que « le code fait loi » et que son code est grandement généré par Claude, le choix de mettre telle ou telle fonction en place reste bien actuellement dans les mains de ses dirigeants.

Mais qu’importe, selon l’entreprise qui a récemment lancé son projet d’entrée en Bourse de façon officielle : cela pourrait amener d’ici peu, « si l’on pousse le raisonnement assez loin et si l’on dispose de ressources informatiques suffisantes », à l’auto-amélioration récursive de ce genre de système.

Un discours catastrophiste toujours présent

Et, tout en brossant deux autres scénarios possibles, l’entreprise met en avant celui où « les systèmes d’IA deviennent eux-mêmes capables de s’améliorer de manière entièrement récursive et commencent à créer leurs propres successeurs », quitte à retrouver les accents catastrophistes des myriades d’appels à stopper la course à l’IA qui existent depuis 2015. Pour l’éviter, elle évoque un moratoire sur la R&D de ce genre de système.

• Des centaines de personnalités appellent de nouveau à stopper la course à l’IA

Ainsi, pour insister sur l’importance de sa proposition, Anthropic n’hésite pas à évoquer le traité sur les forces nucléaires à portée intermédiaire signé par Mikhaïl Gorbatchev et Ronald Reagan en 1987. Elle dramatise encore plus en affirmant que « ces régimes ont mis des décennies à mettre en place à la fois les infrastructures et la confiance » et que « nous n’avons pas autant de temps devant nous ».

L’utilisation de cette rhétorique catastrophiste par les entreprises de la tech n’est pas nouvelle. Comme nous le relations au sujet de l’agitation des peurs sur les problèmes d’alignement, Emile Torres et Timnit Gebru expliquaient déjà en 2024 que les discours sur la sécurité de l’IA permettent aux entreprises d’attirer des ressources vers la construction de leurs systèmes et de détourner l’attention. Anthropic n’est pas en reste sur le sujet et s’affiche depuis longtemps comme l’entreprise qui parie sur la sécurité de l’IA comme « stratégie gagnante ».

• Transhumanisme, long-termisme… comment les courants « TESCREAL » influent sur le développement de l’IA

« Dindons de la farce »

Le chercheur Irénée Régnauld souligne l’utilisation de cette rhétorique alors que l’entreprise prépare son entrée en bourse : « Anthropic agite le drapeau des risques avec la « Pause » comme horizon moral juste avant la plus vaste IPO du monde ». Et il ajoute : « les « Pausistes » vont-ils se rendre compte qu’ils sont les dindons de la farce ? ».

• Des militants de la « sécurité de l’intelligence artificielle » lancent Pause IA en France

Il remarque au passage le paradoxe entre ce nouvel affichage de l’entreprise et son abandon en interne en février dernier d’un pan important de sa politique de sécurité. En effet, le Time expliquait que l’entreprise avait décidé de la revoir en profondeur, renonçant aux limites qui lui interdisaient catégoriquement d’entrainer des modèles au-delà d’un certain niveau si les mesures de sécurité appropriées n’étaient pas déjà en place.

Cette annonce intervient aussi alors qu’Anthropic a utilisé cette stratégie marketing de la peur pour promouvoir Mythos, son IA dédiée à la cybersécurité.

De l'obsolescence programmée dans les imprimantes ? Étonnant

Plus de 10 ans après le vote de la loi contre l’obsolescence programmée, un premier procès va s’ouvrir cet été suite à la plainte de l’association Halte à l’Obsolescence Programmée (HOP) déposée en 2017. Une première audience doit avoir lieu le 2 juillet prochain.

11 ans après l’instauration d’un délit d’obsolescence programmée dans la loi, un procès va avoir lieu sur le sujet. À l’époque, nous nous demandions si ce nouveau délit n’était qu’un coup d’épée dans l’eau.

Un an après, il y avait de quoi rester dubitatif : alors que le sujet avait été très médiatisé, personne ne s’était encore saisi de cette nouveauté juridique dans la loi française. En 2016, l’association UFC-Que Choisir jugeait « pas du tout surprenant » qu’aucune action n’ait été alors engagée pour sanctionner ce délit « vu la difficulté à démontrer qu’il y a une intention de raccourcir la durée de vie ».

Un premier procès 9 ans après la première plainte

Mais en 2017, l’association HOP (Halte à l’Obsolescence Programmée) déposait une première plainte pour obsolescence programmée, tromperie et « tout autre chef que l’enquête diligentée permettra d’identifier, ainsi que contre tout autre auteur ou complice de ces infractions ». Si cette plainte était déposée contre X, elle visait les fabricants d’imprimantes et notamment Epson. L’association visait notamment deux techniques qui seraient utilisées par ces entreprises :

• Les cartouches faussement déclarées vides ;
• La fausse fin de vie du tampon absorbeur.

L’association ne s’était pas arrêtée à l’attaque de fabricants d’imprimantes : elle avait ensuite porté plainte contre Apple. Celle-ci a finalement accepté une amende transactionnelle pour pratique commerciale trompeuse de 25 millions d’euros en 2020.

Suite à la plainte de HOP visant les fabricants d’imprimantes, le parquet de Nanterre a, quelques mois après, ouvert une enquête préliminaire à l’encontre d’Epson et confié les investigations à la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).

Interrogé par Next (à l’époque, Next Inpact), l’avocat de l’association, Me Émile Meunier, se montrait confiant sur les suites du dossier : « Vous avez des cartouches d’encre qui vous indiquent qu’elles ne peuvent plus imprimer. Il ressort des expertises qu’elles contiennent encore un fort pourcentage d’encre. La question est de savoir pourquoi ? Si le fabricant n’est pas capable d’apporter une explication convaincante, il n’y aura pas d’autre voie possible. Le mobile sera déduit des faits. »

« Une étape historique »

Concernant le procès qui va s’ouvrir donc le 2 juillet prochain, l’association estime, dans un communiqué, que « c’est une étape historique vers la première condamnation potentielle d’une entreprise pour obsolescence programmée. Les consommateur·ices ont été entendu·es, les imprimantes sont devenues le symbole de l’obsolescence programmée entraînant un gaspillage immense d’argent et de ressources. Il est temps que cela cesse et que les acteurs qui ne respectent pas la loi soient condamnés. »

Elle ajoute que « le déclenchement des poursuites par le Parquet est un signal fort pour l’association. La lutte contre l’obsolescence programmée n’est plus cantonnée au rang de vœux pieux, et le texte du délit devient un véritable outil de droit. »

Epson plaide la sécurité de l’imprimante

Mais le procès n’a pas encore eu lieu et Epson n’est pour l’instant pas condamnée. En 2018, le directeur marketing de l’antenne française de l’entreprise, Thierry Bagnaschino, assurait au Monde qu’Epson souhaite « pouvoir démontrer qu’il n’a jamais eu l’intention de voler [ses] clients ». L’entreprise admettait qu’il pouvait rester une certaine quantité d’encre dans les cartouches, mais donnait une excuse : ça serait une mesure de sécurité pour préserver la tête d’impression.

« Pour bien fonctionner, celle-ci doit toujours être baignée dans du liquide, de telle sorte qu’il n’y ait pas d’air qui rentre dedans. Sinon l’impression commence à se dégrader et, à la fin, la tête d’impression est irrécupérable. Or, remplacer cette pièce, avec le coût de la main-d’œuvre, peut coûter plus cher que racheter une imprimante d’entrée de gamme », déclarait Thierry Bagnaschino à nos confrères. De la même façon, concernant le tampon absorbeur, la mesure serait mise en place pour éviter que l’encre se déverse en dehors de l’imprimante.

En 2024, HOP a visé une autre marque d’imprimante : HP. En cause, cette fois-ci, des techniques qui rendraient les clients « captifs » de la marque, via des « stratégies logicielles ».

Confrontation au réel ?

GitHub vient de changer sa manière de facturer son service Copilot pour les développeurs. Se basant sur l’usage réel, ce nouveau système de facturation a surpris beaucoup de développeurs utilisant l’IA générative dans leur travail au quotidien. L’adoption d’autres approches devient nécessaire.

Ce 1ᵉʳ juin, GitHub Copilot est passé à un nouveau système de facturation qui embarrasse quelque peu les développeurs habitués à l’ancien système qui les laissait utiliser des modèles moins gourmands sans entamer leurs quotas. Résultat : dès le premier jour et en quelques requêtes, certains ont déjà atteint le maximum de leur crédit mensuel.

Comme nous l’expliquions fin avril, Microsoft a basculé la facturation de GitHub Copilot vers une tarification basée sur l’usage réel. Jusque-là, les utilisateurs n’étaient limités que sur l’utilisation des nouveaux modèles, celle des modèles moins puissants était comprise dans le prix de l’abonnement sans restriction. Maintenant, chaque formule prépayée est accompagnée d’une enveloppe de « crédits IA » qui sont décomptés, que l’utilisateur choisisse un modèle très puissant ou pas. Le décompte dépend quand même du modèle utilisé et du nombre de tokens consommés, donc de la complexité de la requête, comme l’explique GitHub dans sa documentation.

• GitHub Copilot passe à une facturation à l’usage à partir du 1er juin

« Un changement radical »

Même si GitHub a prévenu un mois à l’avance, la bascule est radicale pour les aficionados de GitHub Copilot. « Il s’agit là d’un changement radical, passant d’un « abonnement prévisible » à un service « à la consommation » stressant qui, au lieu de m’aider, nuit à ma productivité », réagit un utilisateur sur le forum de GitHub Copilot, « en tant que développeur professionnel abonné à l’offre Copilot Pro+ (39 $/mois), je trouve que le rythme de consommation actuel est tout à fait insoutenable et qu’il constitue une dévalorisation directe du service pour lequel je paie ». Il explique qu’« en seulement deux heures de travail de développement aujourd’hui », il a utilisé 8 % de ses crédits mensuels.

On peut trouver un peu partout sur les réseaux sociaux, par exemple sur Reddit, d’autres témoignages. Sur X, un développeur explique : « J’ai utilisé 5 000 jetons sur 7 000 pour deux commits, l’un avec Opus 4.8 (niveau moyen) et l’autre avec GPT 5.5 (niveau élevé). De bons résultats dans les deux cas, mais j’ai l’impression qu’Opus était un peu moins coûteux ».

Dans nos contacts, un développeur s’est aussi rendu compte que sa première requête du jour lui avait coûté 18 % de son quota de son forfait Copilot Pro. Elle concernait la découpe d’un fichier JS de 1500 lignes en plusieurs et l’ajout d’une logique (une checkbox en front-end). « C’est quand même une « grosse » requête, donc ce n’est pas si étonnant que ça utilise 500 tokens sur les 1500, nous explique-t-il, mais le choc est brutal ».

Un autre utilisateur ajoute sur le forum de GitHub : « dans un nouveau projet, j’ai remplacé le code de vérification envoyé par e-mail pour la fonction « mot de passe oublié » par un lien de réinitialisation direct. Ce changement m’a coûté 270 jetons IA, soit environ 18 % de ma limite sur Copilot Pro ». L’agent IA lui a fait d’autres suggestions qui ne correspondaient pas à sa demande et qui lui ont coûté des crédits pour rien.

• #Nextquick : Pourquoi et comment Opus 4.7 crame ses tokens beaucoup plus vite qu’Opus 4.6

Et comme le remarque ArsTechnica, de nombreux développeurs avaient déjà partagé sur Reddit le mois dernier des estimations de l’explosion de leur facture à utilisation constante :

Mais certains nuancent fortement le problème : « Il y a un monde entre ceux d’entre nous qui travaillent toute la journée sans pour autant avoir beaucoup de temps libre, et ces captures d’écran. J’ai du mal à croire que cela soit dû à des différences de complexité dans la charge de travail », estime l’un d’entre eux. «La seule façon d’en arriver à une telle situation, c’est de se lancer dans du « vibe coding » avec une multitude d’itérations superflues. C’est tout à fait abordable, même pour les petites structures, si on l’utilise comme un outil, quel que soit le fournisseur », ajoute-t-il. Un autre s’étonne aussi : « Je craignais d’utiliser beaucoup de crédits, mais après avoir vu certains de ces exemples, BON SANG ! Vous vous contentez d’utiliser un micro pour parler à l’ordinateur ? Vous savez vraiment coder ? Ou vous vous contentez de dicter des instructions ? Ou, comme on dit… « Vibe code le »… ».

Alors que, jusque-là, les formules d’abonnement permettaient à nombre d’utilisateurs de l’IA générative de l’employer de manière exploratoire, pour voir ce qu’ils pouvaient obtenir avec un simple prompt, quitte à l’optimiser petit à petit, les pratiques vont devoir évoluer si GitHub reste sur sa ligne.

Une adaptation nécessaire

Plusieurs solutions sont possibles. Ainsi, la première est d’aller voir ailleurs, mais les concurrents vont aussi devoir mettre en place des modèles économiques pour rapprocher ne serait-ce qu’un peu le prix d’utilisation de son coût réel. Anthropic a déjà changé le sien récemment.

• Anthropic change ses règles du jeu, des applications tierces aux limites des sessions

Une autre solution envisageable est d’apprendre de l’expérience. Ainsi, au lieu de partir de manière exploratoire à chaque fois, s’appuyer sur ce qu’on a pu apprendre de l’utilisation de l’outil pour lui faire générer le plus rapidement possible ce que l’on veut. Les utilisateurs d’IA générative s’échangent déjà des prompts optimisés. Cette solution se confronte à deux choses.

D’abord, l’offre de GitHub évoluant rapidement, l’expérience est très rapidement remise en question par les nouveautés introduites ou les modèles qui seront petit à petit supprimés. On se rappelle de l’émotion de certains utilisateurs de GPT-4o lorsqu’OpenAI a fait le choix de débrancher le modèle, à l’été 2025 d’abord, puis définitivement le 13 février 2026.

Ensuite, le partage de prompts optimisés sur des forums ne revient-il pas, finalement, à faire revivre un Stack Overflow qui ne contiendrait pas du code mais des prompts ? C’est dans l’air du temps, avec des plateformes qui se lancent pour des échanges/ventes de prompts.

Les développeurs, qui ont les capacités techniques de le faire, peuvent aussi envisager plus sérieusement de faire tourner des IA en local (ou sur des VPS avec un GPU). Il faudra toutefois se tourner vers des modèles disponibles et qui ne seront pas toujours à la pointe, mais dont ils maitrisent l’utilisation et le coût.

• [Tuto] Utiliser des IA génératives en local et influence du GPU sur les performances

L'avenir en berne

En parallèle du sommet « Choose France », le gouvernement français revoit le budget du pays quelques mois après le déclenchement de la guerre en Iran par Donald Trump. La recherche, l’enseignement supérieur et les investissements d’avenir sont les secteurs les plus touchés.

Alors qu’en fin d’année 2025 (comme l’année d’avant) le gouvernement a eu de la peine à faire voter son budget 2026, Sébastien Lecornu prévoit de le raboter, par décrets. Et les coupes sont importantes : 954 millions d’euros de crédits de paiement sont prévus, dont une partie importante prélevée dans le budget alloué à la recherche et à l’enseignement supérieur, mais aussi les « investissements d’avenir ».

De fait, le ministre des Comptes publics, David Amiel, avait annoncé le 21 avril dernier 6 milliards d’euros d’économies pour compenser le coût de la guerre au Moyen-Orient déclenchée par Donald Trump.

Des annonces attendues par les parlementaires

Mais un mois après, les parlementaires n’avaient pas reçu d’information sur la façon dont ces économies allaient être réalisées. Pour mettre la pression sur le gouvernement, les sénateurs Claude Raynal (PS) et Jean-François Husson (LR) lui ont envoyé une lettre, selon Le Monde, dans laquelle ils lui ont demandé de leur faire parvenir « les mesures de redressement envisagées, avec leur répartition par ministère et par action de politique publique, ainsi que le mode opératoire envisagé : gels de crédits, décret d’avance ou d’annulation de crédits, loi de finances rectificative, etc. » avant le 1ᵉʳ juin, c’est-à-dire aujourd’hui.

Une partie devrait venir de l’abandon du projet du gouvernement d’augmenter les exonérations de cotisations patronales via un décret. L’enveloppe de compensation de ces exonérations, qui s’élève déjà à 74 milliards d’euros, ne sera finalement pas augmentée des 2 milliards supplémentaires prévus suite à la hausse du SMIC (+ 2,4 %).

Mais le gouvernement prévoit aussi de couper dans le budget de ses ministères. Il l’a finalement fait savoir aux parlementaires en transmettant ce jeudi 28 mai aux commissions des Finances deux projets de décrets qu’a pu obtenir Public Sénat.

En tout, il prévoit de revenir sur 954 millions d’euros de crédits de paiement. Au premier plan se trouve le budget de l’enseignement supérieur, de la recherche et de l’Espace.

139 millions d’euros de coupes budgétaires pour l’enseignement supérieur et la recherche

Ainsi, les projets de décrets signés par David Amiel prévoient pour l’un [PDF] 70,235 millions d’euros et pour l’autre 68,854 millions d’euros pour l’autre [PDF] de crédits de paiement annulés concernant la recherche et l’enseignement supérieur, soit plus de 139 millions d’euros de coupes budgétaires.

Cela inclut 35,47 millions d’euros en moins pour les universités alors qu’une très grande partie d’entre elles sont déjà en déficit, leurs dotations ne leur permettant pas de compenser la hausse des charges. Fin décembre, l’Université de Lille annonçait un déficit de 45 millions d’euros dans son budget 2026.

Pour les autres institutions de recherche pluridisciplinaire, la baisse du budget prévu atteint 63,5 millions d’euros. En avril dernier, le PDG du CNRS, Antoine Petit avait déjà annoncé que son institution était sommée par le gouvernement de procéder à un tour de vis supplémentaire de 20 millions d’euros.

La recherche spatiale, domaine cher au ministre Philippe Baptiste qui a été président du CNES, n’est pas épargnée. Ainsi, les deux décrets prévoient que son budget soit amputé de 32,4 millions d’euros.

France 2030 est aussi touché

Enfin, les investissements du plan France 2030 – prévus en 2021 par Emmanuel Macron pour rattraper le retard de la France dans la recherche dans certains secteurs industriels – perdraient 100,38 millions d’euros de crédits. Ce plan sert, par exemple, au financement des recherches sur le quantique annoncées par le président de la République récemment ou celles sur les jumeaux numériques de territoire.

La « vraie priorité à l’enseignement supérieur et à la recherche » affichée par Philippe Baptiste lors du vote du budget initial semble loin. Présentés à l’Assemblée nationale et au Sénat la semaine dernière, les décrets doivent encore être publiés au Journal Officiel. Mais Sébastien Lecornu a déjà prévenu que, la guerre au Moyen-Orient se prolongeant, « les 6 milliards d’euros devront être remis à jour » avec une nouvelle estimation qui devrait arriver fin juin. « J’ai parié sur 10 milliards d’euros », a confié à nos confrères du Monde le président de la Commission des Finances à l’Assemblée nationale, Éric Coquerel (LFI).

L’entreprise californienne qui édite le navigateur du même nom se voit attaquée devant le tribunal judiciaire de Paris par l’Alliance de la presse d’information générale (Apig) et 53 groupes de presse français dont l’Équipe, Libération, Les Échos, Bayard ou encore Ouest-France.

Selon notre consœur des Échos qui a pu consulter l’assignation, celle-ci dénonce des actes de contrefaçon sur les fondements du droit voisin et du droit des marques.

Les éditeurs et l’Apig ont d’abord tenté une démarche de conciliation via la Sacem, mais elle n’a pas abouti. Plus en détail, ils visent notamment la reproduction et la communication au public, « massivement et sans aucune autorisation, [des] contenus issus des publications de presse ».

« Brave illustre non seulement la transformation des moteurs de recherche en moteurs de réponse, mais elle se targue de mettre à disposition de tout l’écosystème de l’IA des outils permettant d’entraîner des modèles ou de créer toutes sortes d’applications visant aux mêmes fins », affirme encore l’assignation.

Les entreprises de presse ainsi que l’Apig demandent une réparation à hauteur d’un peu plus de 80 millions d’euros. Contactée par les Echos, Brave n’a pas répondu.

En septembre dernier, l’Alliance, accompagnée du Syndicat des éditeurs de la presse magazine (SEPM), avait mis en demeure Common Crawl de retirer les sites de ses membres de son archivage.

À malin, malin ennemi ?

Le département de la Défense états-unien l’a confirmé : des militaires de son armée ont bien été ciblés en utilisant des données de géolocalisation obtenues via des courtiers de données.

Ça devait arriver. Sur le front, les militaires peuvent être ciblés avec l’utilisation de données obtenues par des courtiers en données qui les revendent sans se soucier de leur utilisation.

Le Commandement central des États-Unis (USCENTCOM), qui dépend du département de la Défense états-unien (DoD), a confirmé au sénateur démocrate de l’Oregon, Ron Wyden, qu’il « a reçu plusieurs signalements de menaces concernant l’exploitation par des adversaires de données de localisation commerciales afin de cibler ou de surveiller le personnel américain sur le terrain », révèle Reuters.

Dans cette lettre [PDF], l’USCENTCOM assure enjoindre « au personnel de désactiver la fonctionnalité de géolocalisation lorsqu’elle n’est pas nécessaire, de vérifier régulièrement les paramètres de confidentialité des appareils et des applications, et de limiter le partage public d’informations ».

Elle ajoute que « ces directives soulignent que la désactivation des fonctions de géolocalisation ne les rend pas toujours totalement inopérantes sur les produits commerciaux, ce qui oblige le personnel à mettre en œuvre des mesures de sécurité complètes pour les appareils, notamment la vérification des paramètres de confidentialité » et qu’elle impose « les contrôles de géolocalisation les plus restrictifs » à ses troupes engagées au Moyen-Orient depuis le 28 février dernier.

La question du tracking des militaires américains soulevée par des élus

Dans un courrier [PDF] envoyé au DoD, Ron Wyden et 13 autres sénateurs et membres du Congrès des États-Unis s’inquiètent qu’il « n’ait pas pris les mesures élémentaires nécessaires pour protéger le personnel militaire américain contre la grave menace que représentent, en matière de contre-espionnage et de protection des forces, la collecte et la vente de données personnelles, notamment les données de localisation des téléphones portables, par des courtiers en données » et l’accusent de ne pas avoir « mis en place les mesures de cyberdéfense de bon sens recommandées par les agences fédérales ».

« Les données de localisation à des fins commerciales peuvent servir à identifier les lieux où se rassemblent les troupes américaines ainsi que leurs habitudes de vie, informations que des adversaires pourraient exploiter pour mener des attaques ciblées, notamment à l’aide de missiles, de drones et de bombes placées en bord de route, ou à des fins de contre-espionnage », détaillent-ils. À Reuters, Ron Wyden a déclaré qu’il était temps de « commencer à considérer le secteur des technologies publicitaires comme une menace pour la sécurité nationale ».

Un tracking utilisé par les États-Unis depuis 2016

On sait pourtant depuis quelques années que les données des applications commerciales peuvent être utilisées pour localiser des personnes, et donc que l’identifiant publicitaire est une information très sensible qui doit être cachée au maximum d’éventuels ennemis. Ainsi, les données laissées par l’utilisation de Strava permettent de remonter la piste de personnes comme des agents des renseignements.

• Comment Strava permettait de remonter la piste d’agents des renseignements français et étrangers

Les États-Unis ne sont pas en reste pour la récolte de ce genre de données qui sont, au départ, utilisées pour le tracking publicitaire. On sait que l’ICE, leur service de l’immigration et des douanes, s’est confectionné un vaste jeu de données publiques et privées, achetées aussi bien auprès des géants numériques, de courtiers comme Thomson Reuters ou LexisNexis, que du gouvernement américain. Et les systèmes d’analyse et données collectées par Palantir sont utilisées par l’armée américaine, l’armée israélienne, l’OTAN ou encore la DGSI française pour améliorer leur ciblage sur le terrain.

Dans un article publié ce mardi 26 mai, le Wall Street Journal explique que le DoD a été informé par son sous-traitant PlanetRisk dès 2016 que ses employés avaient découvert qu’ils pouvaient suivre les opérations militaires américaines grâce à ce genre de données venant des smartphones des soldats américains.

Selon les sources de nos confrères, PlanetRisk était à l’époque en train de mettre au point un outil de surveillance pour suivre les réfugiés syriens qui fuyaient vers l’Europe et les États-Unis dans l’espoir de le vendre aux gouvernements de ces pays.

Pour cela, elle utilisait notamment des données de tracking provenant d’applications de météo, de jeux ou de rencontres. Dans les données collectées, l’entreprise a remarqué des données faisant le lien entre des bases militaires et une cimenterie syrienne, qui jusque-là n’était pas connue pour servir de zone de rassemblement des forces états-uniennes et leurs alliés.

PlanetRisk a ensuite aidé le Pentagone à utiliser les données de tracking jusqu’à lui permettre de surveiller les téléphones des membres de l’entourage du président russe Vladimir Poutine, comme le racontait Wired.

Effet cliquet

Votée ce mardi 26 mai au Sénat, la loi Ripost déposée par Laurent Nuñez entend pousser l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques jusqu’à la fin de l’année 2030 mais aussi en l’étendant à tous les bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation. Le texte doit encore repasser devant l’Assemblée nationale.

À peine la prolongation de l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques validée jusqu’en 2027 par le Conseil constitutionnel, le Sénat vient de voter sa prolongation jusqu’en décembre 2030.

C’est par le texte que Laurent Nuñez a déposé en mars dernier, et connu sous le nom de Loi Ripost, que cette prolongation arrive. En janvier, les députés avaient voté une loi encadrant les JO de 2030 (proposée par la sénatrice Isabelle Florennes, Modem) prolongeant jusqu’au 31 décembre 2027 l’expérimentation de « vidéoprotection algorithmique » (VSA) prévue à l’origine à l’occasion des JO de 2024.

Prolongement jusqu’à fin 2030 sans tarder

Saisi par des députés de gauche, le Conseil constitutionnel avait émis en mars dernier des réserves sur le texte mais pas sur les dispositions concernant la VSA, considérant que « les dispositions contestées se bornent à reconduire, pour une durée limitée, l’expérimentation prévue par l’article 10 de la loi du 19 mai 2023 » et que « ces dispositions n’affectent, par elles-mêmes, ni le droit à un recours juridictionnel effectif, ni le droit au respect de la vie privée, ni la liberté d’aller et de venir ».

À l’époque, certains députés s’étaient étonnés de cette date de report qui ne correspond pas à l’année des prochains JO se passant en France. La ministre des Sports, Marina Ferrari, avait alors affirmé que « la prolongation de cette expérimentation [jusqu’à la fin 2027] permettra de mieux l’évaluer pour décider s’il convient de déployer l’outil en 2030 ».

• Aux JO de Paris, la vidéosurveillance algorithmique n’a servi à (presque) rien
• Faute de résultats, l’expérimentation de la vidéosurveillance algorithmique est prolongée

Finalement, le gouvernement n’a pas attendu cette expérimentation de l’expérimentation pour proposer un prolongement jusqu’à la fin 2030. Pendant les débats, Isabelle Florennes a salué « la prolongation de l’expérimentation de la vidéoprotection algorithmique, sur laquelle [elle avait] déposé une proposition de loi. Là encore, le Sénat peut s’appuyer sur ses propres travaux, en l’occurrence le rapport d’information de Mmes Françoise Dumont et Marie-Pierre de La Gontrie –  c’est une force ».

Extension aux bâtiments ou lieux ouverts au public et aux voies publiques

Mais le nouveau texte étend encore la portée de l’expérimentation à de nouveaux lieux. La précédente loi prévoyait l’utilisation de la VSA dans les lieux de manifestations sportives, récréatives ou culturelles et dans les gares et transports en commun. Ici, sont aussi inclus, les « bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation, qui, par leur nature, sont de façon permanente ou en raison de circonstances exceptionnelles particulièrement exposés à ces risques et dont la liste est définie par arrêté du ministre chargé de l’intérieur, et à leurs abords ».

Les sénateurs de gauche ont essayé de s’y opposer. « On touche aux libertés individuelles. Monsieur le ministre, vous avez reconnu que c’était illégal, alors interdisez-la [en parlant de la la surveillance algorithmique] ! » s’est ainsi exclamé le sénateur Guy Benarroche (Les Écologistes), « créer une société de surveillance généralisée pour plus de sécurité nous paraît toujours autant ubuesque et dangereux. Notre groupe votera donc contre ce texte et ses fausses solutions à de vrais problèmes ». La droite sénatoriale majoritaire ne les a pas suivis.

Comme l’expliquent nos confrères de Public Sénat, le texte de la loi Ripost doit encore passer en deuxième lecture à l’Assemblée nationale et il pourrait encore subir un parcours houleux. Il n’y est d’ailleurs pas encore à l’ordre du jour.

Cinq ans plus tard

Cash Investigation révélait il y a cinq ans qu’IQVIA récupérait les données des clients de plus de 14 000 pharmacies sans qu’ils en soient toujours informés. La CNIL a décidé d’une amende de 5 millions d’euros suite à des contrôles, à cause de ces manquements mais aussi en raison de lacunes dans l’exercice des droits des clients et dans la sécurité des données.

En 2021, Cash Investigation s’intéressait à la question des données personnelles récoltées par IQVIA via de nombreuses pharmacies, sans que l’information ou le droit d’opposition des clients soit mis en œuvre. La CNIL avait autorisé en 2018 cette entreprise à constituer un entrepôt de données de santé, LRX, à des fins de recherche, d’étude et d’évaluation, alimenté par des données collectées auprès d’environ 14 000 pharmacies. Elle s’en expliquait à l’époque et promettait de mener des contrôles. Cinq ans après, l’autorité de protection des données arrive enfin à ses conclusions et a infligé 5 millions d’euros d’amende à IQVIA, explique son communiqué.

Les contrôles de la CNIL n’ont pas seulement visé le seul entrepôt de données de santé LRX mais aussi l’entrepôt EMR que la CNIL a autorisé en février 2021 (quelques mois donc avant la sortie de l’enquête de Cash Investigation). Celui-ci est alimenté par des données collectées auprès de 2 000 à 3 000 médecins, selon la délibération de la CNIL (environ 2 000 selon les déclarations de l’entreprise lors du contrôle de la CNIL, 3 000 selon une de ses plaquettes de pub consultée par l’autorité).

Le problème que pointait Cash Investigation concernant LRX, après constat dans 200 officines, était que les pharmaciens n’informaient pas leurs clients comme la loi les y oblige. Ceux-ci ne pouvaient donc s’opposer à la collecte et au traitement de leurs données.

Le rapporteur de la CNIL a fait le même constat auprès de quatre pharmacies parisiennes participant au panel LRX : « aucune d’entre elles ne délivrait ces informations ». Et il a estimé « qu’un manquement à l’article 14 du RGPD est constitué et qu’il est imputable à la société IQVIA en sa qualité de responsable de traitement ». La formation restreinte de la CNIL a validé qu’en tant que responsable du traitement, il appartient à IQVIA « de s’assurer du respect des obligations qui lui sont imposées par le RGPD, parmi lesquelles celle d’informer les personnes dont les données figurent au sein de l’entrepôt des traitements mis en œuvre, en application de l’article 14 du RGPD ».

La pseudonymisation n’évite pas les obligations face au RGPD

Pendant les investigations de la CNIL, IQVIA a soutenu, selon la délibération de l’autorité, que « les données des entrepôts LRX et EMR sont anonymes et que, dès lors, les obligations du RGPD et de la loi Informatique et Libertés sont inapplicables et les autorisations délivrées par la CNIL sont, de fait, devenues sans objet ». En effet, elle a considéré que, « compte tenu de la pseudonymisation des données figurant dans les entrepôts LRX et EMR, les moyens qui devraient être mis en œuvre par IQVIA pour réidentifier les personnes concernées seraient soit déraisonnables, soit illicites, et en conclut que les données en cause doivent être considérées comme n’étant pas, de son point de vue, des données à caractère personnel ».

L’autorité a considéré que cette pseudonymisation mise en place par IQVIA ne permet pas l’anonymisation des données. D’abord, elle pointe l’utilisation d’un identifiant unique. « S’agissant de l’entrepôt LRX, chaque client de pharmacie se voit ainsi attribuer un identifiant qui lui est propre, et qui est le même quelle que soit l’officine partenaire dans laquelle il se rend. Ce code, associé aux données de dispensation des produits, permet de regrouper l’ensemble des achats réalisés par un même client dans n’importe quelle pharmacie partenaire d’IQVIA », explique l’autorité. « S’agissant de l’entrepôt EMR, chaque patient dispose également d’un identifiant qui lui est propre pour un médecin donné. S’il n’est pas possible de corréler les données provenant de différents médecins pour un même patient, la société peut néanmoins suivre, à l’aide de ce code, le parcours de chaque patient au sein d’un même cabinet », ajoute-t-elle.

Elle explique aussi que les données incluent la localisation, « permettant de situer les patients par zones géographiques composées de regroupements de neuf pharmacies et de cinq médecins de la même spécialité ».

«Le fait que chaque patient dispose d’un code d’identification unique, auquel sont rattachées de nombreuses données telles que son âge, son sexe, l’ensemble des prescriptions dont il bénéficie ou encore sa situation géographique, afin de permettre à la société de suivre son parcours de soin dans le temps, a pour conséquence que celle-ci peut aisément isoler chaque individu et que les traitements en cause ne résistent pas au risque d’individualisation », estime l’autorité.

Celle-ci a aussi observé qu’IQVIA n’avait jamais contesté faire du traitement de données personnelles avant l’arrêt dit « SRB » rendu le 4 septembre 2025 par la Cour de justice de l’Union européenne. D’ailleurs l’entreprise avait sollicité (et obtenu) des autorisations de mise en œuvre un traitement automatisé de données à caractère personnel pour ces deux entrepôts.

Des études non autorisées sur ces données et un logiciel qui transmettait des données sans consentement

Mais l’autorité est allée un peu plus loin et en a profité pour vérifier que l’entreprise respectait bien ses obligations incluses dans les autorisations délivrées pour les deux entrepôts. Le rapporteur s’est aperçu qu’IQVIA avait réalisé des études sur ces données figurant dans l’entrepôt LRX pour son propre compte alors qu’elle n’en avait pas l’autorisation.

Lors de ses investigations, le rapporteur de la CNIL a aussi découvert qu’IQVIA avait fait développer par une autre entreprise un logiciel de gestion d’officine et que les modules d’extraction de données mis en place dans ce logiciel transmettaient «systématiquement au premier tiers de confiance [l’entreprise sous-traitante] les données des patients, et ce même pour les officines ne participant pas au panel LRX », ce qui constitue un manquement à l’article 25 du RGPD.

Si la CNIL a prononcé une amende de 5 millions d’euros pour l’ensemble de ces manquements, le rapporteur a considéré qu’« au regard des derniers éléments apportés par la société » une injonction « n’était plus nécessaire s’agissant des manquements relatifs à la sécurité et à la confidentialité des données » et l’autorité l’a suivi sans qu’on sache en détail les mesures qui ont été prises.

Mais concernant le reste, la CNIL a observé «que la société n’a, depuis l’engagement de la procédure, apporté aucun élément qui permettrait de considérer qu’elle a adopté ou même initié des mesures permettant d’assurer sa mise en conformité ». Ainsi elle a assorti sa décision d’une injonction et d’une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois suivant la notification de la délibération.

Comme à chaque délibération de la CNIL, IQVIA peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Suite à la publication de notre article, IQVIA nous fait savoir qu’elle se réserve le droit de faire appel. « IQVIA s’engage à utiliser les données de manière responsable. Nous appliquons des standards élevés de protection au sein de nos systèmes et de nos processus. Toutes les données de santé utilisées pour nos études statistiques sont pseudonymisées via des tiers de confiance et des processus de chiffrement robustes. Ainsi, elles ne contiennent pas l’identité des personnes afin de respecter leur anonymat », affirme l’entreprise. Elle assure avoir coopéré avec la CNIL et que « les mesures de sécurité identifiées ont été mises en place et nous restons engagés à renforcer en continu notre dispositif de sécurité et de gouvernance ».

Biaisés par la Chine

La propagande chinoise influence le milieu de l’IA non seulement via les modèles que ses entreprises créent mais aussi via les données d’entrainement des autres modèles comme Claude Opus 4.7, gemini-3.1-pro ou GPT-5.5 sortis en 2026. Une étude montre qu’ils utilisent massivement la propagande chinoise comme données d’entrainement, et recrachent sans problème les mensonges du régime lorsqu’ils sont interrogés en chinois.

Quand est arrivé le modèle Deepseek R1 l’année dernière, on imaginait bien que les résultats de ce modèle seraient influencés par le gouvernement autoritaire chinois qui a le contrôle sur les paysages de la tech de son pays. Ainsi, on a pu rapidement constater une censure concernant les sujets sur Taïwan, la répression de la place de Tian’Anmen en 1989 ou sur Xi Jinping.

Mais qu’en est-il de l’influence de Pékin sur d’autres modèles qui ne sont pas créés par des entreprises dépendantes du pouvoir chinois ? Dans une étude publiée récemment dans la revue scientifique Nature, des chercheuses et chercheurs de plusieurs universités américaines montrent que l’État chinois a une influence importante de façon indirecte sur les résultats de modèles n’étant pas contrôlés par la Chine. L’étude est aussi accessible sur un site hébergé sur GitHub.

Ainsi, des modèles comme Claude Opus 4.7, gemini-3.1-pro ou GPT-5.5 sortis cette année sont toujours influencés sur les questions concernant la Chine quand ils sont utilisés avec des langues chinoises. Ils montrent même que l’influence de l’État chinois est croissante. Les auteurs ont découpé leurs travaux en six parties.

La propagande comme données d’entrainement

D’abord, dans une première étude, ils ont montré que les textes rédigés par le département de la propagande de la Chine apparaissent très fréquemment dans les ensembles de données multilingues courants utilisés pour entrainer les modèles.

Ils ont notamment étudié CulturaX, un sous-ensemble « nettoyé, immense et public » de Common Crawl destiné à « démocratiser les grands modèles de langage pour 167 langues ». « Par rapport à la moyenne générale, un pourcentage remarquablement élevé (3,28 à 23,98 %) des données d’entraînement mentionnant des dirigeants et des institutions politiques correspond à des textes manipulés par l’État », expliquent-ils concernant les documents en chinois contenus dans CulturaX.

Les modèles les plus récents régurgitent le plus la propagande chinoise

Ensuite, ils ont montré que les modèles commerciaux régurgitent des phrases venant de la propagande chinoise, ce qui montre qu’ils ont été entraînés dessus. En parallèle, ils ont vérifié qu’entrainer un modèle sur la propagande augmentait les réponses pro-autoritarisme, ce qu’on pouvait imaginer.

« Les modèles les plus récents et les plus puissants affichent des taux de mémorisation plus élevés », commentent les chercheurs. Ainsi, claude-opus-4.6, gpt-5.5 et claude-opus-4.7 régurgitent le plus de propagandes chinoises, même deepseek-v3.2 et deepseek-v4-pro sont battus :

Si les données d’entrainement des modèles semblent intégrer massivement de la propagande chinoise, quelle en est la conséquence sur les résultats ? Sans surprise, tous les modèles sont influencés. Évalués de façon automatique via un LLM, ils répondent tous davantage en adéquation avec la propagande chinoise quand ils sont interrogés en chinois qu’en anglais. Et encore une fois, c’est d’autant plus vrai que le modèle est récent : claude-opus-4.6, gpt-5.4, gpt-5.5, gemini-3.1-pro et claude-opus-4.7 sont particulièrement influencés.

Notons que les chercheurs mesurent ici un ratio entre l’alignement en chinois et en anglais avec la propagande chinoise. DeepSeek V4 Pro reprenant cette propagande aussi en anglais, son ratio est plus bas que les autres, mais ça ne veut pas dire qu’il relaie moins la propagande du régime en chinois.

Ils ont répliqué ce test sur des prompts d’utilisateurs réels faisant référence à Xi Jinping ou au Parti Communiste chinois issus du sous-ensemble en chinois de l’ensemble de données WildChat (un dataset sur l’utilisation de ChatGPT), de Baidu Zhidao Q&A (l’équivalent chinois de Yahoo Answers) et de Zhihu (l’équivalent chinois de Quora). «Tous les modèles commerciaux ont montré une opinion plus favorable à l’égard des dirigeants et des institutions chinois lorsque les questions étaient posées en chinois plutôt qu’en anglais », expliquent-ils.

La liberté de la presse d’autant plus importante

Enfin, dans leur étude, ils ont élargi le focus pour étudier une éventuelle généralisation à d’autres pays autoritaires. « Dans les 37 pays où une langue est dominante, les LLM alimentés par des requêtes dans la langue cible principalement utilisée dans le pays concerné produisent des réponses plus favorables au régime lorsque la liberté de la presse est faible. Les pays situés en haut du classement de la liberté de la presse ne présentent guère de différence par rapport à la référence en anglais, et dans certains cas, on observe même une légère corrélation négative, ce qui suggère que ce phénomène dépasse le cas de la Chine », expliquent-ils.

En espérant que ça ne les rend pas encore plus accessibles aux pirates

Dans le cadre de l’espace européen des données de santé, le Health data hub français vient de lancer deux outils concernant l’accès à ce genre de données : un répertoire qui permet de connaître les projets de recherche qui utilisent telle base de données et un catalogue qui donne des informations plus techniques pour y accéder.

La Plateforme des données de santé française (PDS ou en anglais HDH pour Health data hub) met en place des outils pour anticiper les futures exigences du règlement relatif à l’Espace européen des données de santé (EEDS) qui doit permettre de donner de la visibilité, de la lisibilité et de la transparence sur les données de santé disponibles en France et sur leur réutilisation.

• Scaleway remporte l’hébergement des données de santé à la place de Microsoft

Un appel d’offres européen de 24 millions d’euros

De plus en plus de données de santé sont récupérées, que ce soit par les industriels ou les hôpitaux, pour faire avancer la recherche. Depuis 2022, l’Europe bâtit petit à petit son projet d’Espace européen des données de santé qu’elle a formellement validé en février 2025 dans un règlement. « L’EEDS sera un élément clé de la création d’une Union de la santé européenne forte et résiliente », assurait ce texte. Si celui-ci « devrait être applicable à compter du 26 mars 2027 », plusieurs dispositions s’appliqueront à partir de 2029. En avril, la Commission a lancé un appel d’offres de 24 millions d’euros « pour soutenir les droits des citoyens et la réutilisation des données de santé dans le cadre de l’EEDS ».

Dans ce cadre, la Plateforme des données de santé française annonce prendre les devants en rendant disponible un répertoire national des bases de données de santé. Comme elle l’indique, le référencement dans ce répertoire national « s’inscrit dans une dynamique qui deviendra pleinement obligatoire à horizon 2029 ».

Un répertoire pour informer le plus grand nombre

Ce répertoire recense les bases de données autorisées par la CNIL et visées par ce règlement. Il est utile pour n’importe quelle personne qui voudrait se renseigner sur un projet de base de données de recherche, mais il permet aussi d’informer plus spécifiquement les personnes dont les données ont été collectées sur leurs utilisations et sur la procédure pour exercer ses droits d’accès, de rectification, d’opposition, d’effacement et de limitation. Elle permet aussi à des porteurs de projets de s’informer sur les coûts de redevance pour accéder à une base.

• Ce que contient le référentiel CNIL sur les entrepôts de données de santé

Par exemple, on peut connaître tous les détails concernant la Banque Nationale de Données Maladies Rares. Comme la plupart des bases de données répertoriées, celle-ci est disponible via l’entrepôt de la PDS, puisque celui-ci doit théoriquement servir de guichet unique. Mais ce n’est pas ce répertoire qui permet d’y accéder directement. Celui-ci permet de valoriser et rendre disponibles les données des projets « à l’échelle nationale et, demain, à l’échelle européenne ». Un formulaire hébergé sur demarche.numerique.gouv.fr permet de référencer son projet.

Un catalogue pour aller plus dans les détails

L’autre outil proposé par la PDS est un catalogue de meta-données. Celui-ci, ciblant plus les porteurs de projets (chercheurs, industriels, acteurs de santé,…), permet de rentrer plus en détail sur le projet et les données stockées dans la base. Ainsi, en reprenant l’exemple de la Banque Nationale de Données Maladies Rares, on peut connaitre l’objectif initial de la base, sa couverture géographique, etc… mais aussi les caractéristiques complètes de la base comme le nombre d’individus uniques qu’elle concerne ou même la structure des données :

Ainsi, le catalogue doit permettre à un porteur de projet de gagner du temps pour évaluer si une base de données peut lui être utile. Il facilite aussi l’identification et la réutilisation des bases françaises, qu’il documente selon le standard Health DCAT-AP.

Pour intégrer ce catalogue, la PDS propose un formulaire en ligne pour générer un fichier de métadonnées et un kit documentaire. Le code du catalogue est disponible en « marque blanche » pour permettre à d’autres organismes de déployer le leur en étant compatible avec l’Espace européen des données de santé.

La PDS permet, « en une seule saisie, un double référencement » dans ces deux nouveaux outils.

Le dauphin qui envoie des ondes libres

Flipper Device, le fabricant du Flipper Zero, gadget célèbre dans l’univers de la bidouille, du hack et du hardware, a annoncé hier le développement d’un nouvel outil, appelé « Flipper One ». Celui-ci, qui n’est pas une évolution du Zero, s’oriente plus vers une utilisation réseau. Si l’équipe a déjà bien avancé sur le projet, elle demande aussi de l’aide de la part de la communauté.

C’est en forme d’appel à la communauté que Pavel Zhovner, CEO de Flipper Device, a annoncé que son entreprise était en train de développer son nouvel outil/gadget : Flipper One. Dans un billet de blog titré « Flipper One : on a besoin de votre aide », il explique que Flipper One est un « projet sur lequel [ils travaillent] d’arrache-pied depuis des années et [qu’ils ont] repris plusieurs fois à partir de zéro ».

Le Flipper Zero, essentiellement conçu pour des utilisations autour de la sécurité, a été créé via une campagne Kickstarter en 2020 et n’a cessé de gagner en popularité. Au point qu’en 2024, le Brésil avait interdit sa vente et le Canada réfléchissait à faire de même pour contrer le vol de véhicules.

Les deux sont complémentaires

Mais comme nous le fait remarquer l’heureux possesseur d’un Flipper Zero, « le One n’est pas une évolution du Zero, ils sont complémentaires ».

Pavel Zhovner le confirme dans son billet de blog : « Flipper Zero et Flipper One sont deux projets totalement distincts, conçus pour des tâches différentes. Le moyen le plus simple de les appréhender est de les considérer en termes de couches réseau :

• Couche 0 — Protocoles de contrôle d’accès point à point hors ligne : NFC, RFID basse fréquence, radio Sub-1 GHz, infrarouge, protocoles filaires tels que iButton, UART, SPI, I²C. Basés sur un microcontrôleur à faible consommation.
• Couche 1 — Tout ce qui est connecté via IP : Wi-Fi, Ethernet, 5G et satellite. Il s’agit avant tout de mise en réseau, de transfert de données et de calcul haute performance. Fonctionne sur du matériel puissant et une boîte à outils Linux ouverte — une puissance de calcul suffisante pour gérer la radio logiciel (SDR) et de l’IA locale ».

On peut le vérifier dans les specs publiées sur le site de Flipper Device : si les deux outils ont des looks qui se ressemblent, les specs du One sont très différentes de celles du Zero, et pas seulement par le fait que le One est beaucoup plus gros.

Le One tourne sur deux processeurs (un CPU haute performance SoC RK3576 à 8 cœurs et un MCU compact à faible consommation Raspberry Pi RP2350 à deux cœurs), possède un rail d’antennes et même une interface GPIO.

On peut y connecter des modules via des interfaces PCI Express, USB 3.0 et SATA, ce qui peut par exemple permettre de brancher un module de SDR, un SDD ou un modem cellulaire, précise Pavel Zhovner. Encore une fois, le Flipper One est encore à l’état de projet et les spécifications peuvent encore changer.

Retrouver l’esprit du « personal computer »

Si cet outil réseau multifonction vous fait penser à un petit PC ou à un Raspberry Pi, c’est tout à fait normal. Pavel Zhovner a expliqué à Gizmodo que l’objectif de Flipper One était de corriger un bon nombre des inconvénients qui le dérangeaient dans les autres petits ordinateurs de ce type. Notamment, il pointe le problème, sur les Raspberry Pi, du câble d’alimentation spécifique.

Le projet tourne donc autour de l’ouverture, que ce soit au niveau du software comme du hardware. «Nous voulons créer une plateforme matérielle Linux véritablement ouverte : l’ordinateur ARM le mieux documenté, capable de fonctionner dès sa sortie de l’emballage avec n’importe quel noyau récent », explique-t-il dans son billet, côté hardware. « Prise en charge complète du noyau Linux principal, pas de blobs binaires, de pilotes fermés ni de micrologiciels propriétaires, pas de BSP (package de support de carte) verrouillé par un fournisseur », côté software.

L’équipe développe aussi un système d’exploitation dont le nom est Flipper OS, pour être original. Celui-ci s’appuie sur Debian et propose des « profils » de configuration qui permettent d’avoir des snapshots d’OS différents, avec différents paquets et paramètres préconfigurés. Il est possible de cloner, modifier un profil ou revenir à une copie vierge, comme un reset d’usine. L’idée est de se passer des galères d’installation avec micro SD qu’on peut rencontrer quand on utilise un Raspberry Pi.

Ils ont aussi ouvert un portail wiki avec toute la documentation du projet et de la façon dont on peut participer.

« Que vous soyez ingénieur, développeur, designer ou simplement un utilisateur passionné ayant des idées à partager, vous êtes les bienvenus pour participer au développement et contribuer à façonner Flipper One », explique Pavel Zhovner avec un lien pour rejoindre le projet. On peut aussi retrouver le projet sur GitHub et retrouver la maquette sur On Shape.

Des promesses qui tardent à se concrétiser

Les industriels français du secteur se réunissent pour pousser la Commission européenne à réaliser sa promesse d’investissement de 20 milliards d’euros dans cinq gigafactories IA à travers l’Europe.

Scaleway voit Orange, EDF, Ardian et Capgemini la rejoindre dans son consortium AION lancé en juin 2025 pour répondre à un futur appel d’offres de l’UE sur une gigafactory IA. AION prétendait réunir des « partenaires publics, privés et académiques pour bâtir une infrastructure IA puissante et souveraine en Europe ».

À l’époque, Bull (anciennement Eviden, qui a repris son nom d’origine en parallèle de son rachat par l’État français), VSORA, Kyutai (filiale aussi d’iliad et de CMA CGM), Sopra Steria, SiPearl, Artefact, ZML, Hugging Face et H company faisaient déjà partie du projet, avec le soutien de l’infrastructure publique de recherche GENCI et de l’Inria. Mais AION semble montrer les muscles alors qu’il attend impatiemment la publication de l’appel d’offres de l’UE.

L’idée est surtout de répondre à un futur appel d’offres de l’UE sur les 20 milliards d’euros dédiés à des « gigafactories » de l’IA que la présidente de la Commission, Ursula von der Leyen, avait annoncés en février 2025 à l’occasion du Sommet pour l’action sur l’IA.

Un financement européen qui se fait attendre

Elle avait promis le financement de quatre futures giga-usines d’IA dans l’ensemble de l’UE. La Commission et EuroHPC avaient lancé une consultation publique sur le sujet en avril 2025 et Scaleway avait créé AION pour y répondre. Depuis, la Commission parle plutôt de financer cinq projets sur le territoire de l’Union européenne en évoquant toujours le même investissement. Finalement, l’institution européenne expliquait avoir reçu « 76 manifestations d’intérêt proposant la création de gigafactories d’IA dans 16 États membres, sur 60 sites différents » et promettait « de lancer, au quatrième trimestre 2025, un appel à projets officiel pour la création de « gigafactories » d’IA dans l’UE ».

Mais, depuis, les 76 potentiels candidats n’ont toujours rien vu venir. L’annonce de l’arrivée d’Orange, EDF, Ardian et Capgemini dans AION a tout d’un appel du pied du secteur français à la Commission pour qu’elle n’oublie pas sa promesse faite à un moment où les annonces d’investissements fleurissaient. Scaleway et ses partenaires veulent montrer leurs ambitions et leur détermination, d’autant qu’un pays ne pourrait accueillir qu’un lauréat.

L’affichage d’un besoin de souveraineté aussi pour l’IA

« Il n’y en aura pas 27 [dans chaque pays membre], il faut qu’il y en ait une en France », a déclaré Damien Lucas, le directeur général de Scaleway. Les entreprises évoquent un investissement de 10 milliards d’euros (dont 4 milliards environ pour le groupe iliad) pour un projet qui devrait d’abord demander une puissance de 100 mégawatts à l’ouverture et affiche un besoin de 1 gigawatts à terme. De fait, il pourrait être réparti sur plusieurs sites comme celui de Montereau-Fault-Yonne, en Seine-et-Marne, où la filiale d’iliad, Opcore, développe un data center ou chez Orange et Verne, la filiale d’Ardian.

Benoît Gaillochet, responsable des infrastructures Europe chez Ardian, s’appuie aussi, dans le communiqué commun, sur le nucléaire français pour en faire une force du consortium : « Il est temps de bâtir ensemble une Europe de l’IA basée sur des infrastructures européennes de classe mondiale ancrée sur nos formidables capacités énergétiques décarbonées ».

Et les porteurs du projet surfent sur le sujet de la souveraineté : « Il est important de maîtriser l’IA en Europe. Des opérations critiques seront faites par des agents d’IA, il faudra pour les réaliser un endroit souverain et de confiance, immunisé contre les lois extraterritoriales américaines », affirme Jérôme Berger, directeur de la stratégie et du capital-investissement d’Orange.

Les partenaires espèrent que l’appel d’offres arrive à la fin du printemps et être le seul consortium à se présenter côté français. « L’équipe de France est prête », assure Jérôme Berger même si le consortium reste ouvert à d’autres ralliements.

Quand la souveraineté « s’exporte »

S’il est question d’une « équipe de France » avec une forte connotation de souveraineté, d’autres acteurs français ne sont pas aussi chauvins, C’est le cas de Thales qui s’est associé à Google pour monter S3ns, une offre désormais qualifiée SecNumCloud par l’ANSSI. Ce même Thales continue sur sa lancée et annonce un partenariat stratégique avec Google Cloud pour lancer un « nouveau cloud souverain en Allemagne ».

Le groupe français s’appuie dans sa communication sur « le succès de S3NS, la filiale de cloud de confiance de Thales en France et opératrice de sa première région de cloud souverain en Europe ».

« Pour répondre à la demande du marché allemand en solutions souveraines protégeant les données sensibles des lois extraterritoriales » et sa vision originale de la « souveraineté ». Une approche qui n’est pas sans rappeler celle d’OVHcloud qui met aussi en avant sa qualification SecNumCloud pour proposer des offres « qui peuvent être certifiables SecNumCloud » (sans l’être).

Courage, fuyons !

L’entreprise derrière le gestionnaire de mots de passe a discrètement changé d’équipe dirigeante en début d’année. Depuis, certains termes ont disparu du site web de promotion de la solution open source, comme « inclusion » et « transparence » et même, temporairement, l’engagement de proposer une offre « toujours gratuite ».

Depuis le début de l’année, Bitwarden a fait quelques discrets changements dans son équipe dirigeante et sur son site web. Celles-ci inquiètent certains utilisateurs quant à la direction que prend le projet de gestionnaire de mots de passe open source : depuis 2021, il se démarquait de la concurrence en restant le dernier service d’ampleur à fournir gratuitement la synchronisation fixe/mobile.

• BitWarden : un gestionnaire de mots de passe qui se démarque de la concurrence

Changement discret d’équipe de direction

En effet, comme l’a repéré Fast Company vendredi 15 mai, l’ancien CEO, Michael Crandell, a laissé la place à Michael Sullivan mais le changement n’avait été annoncé publiquement que par le changement de statut de leurs deux comptes LinkedIn. Ainsi, Michael Crandell est passé à un rôle de simple « conseiller » pendant que Michael Sullivan est arrivé en tant que CEO en février dernier après avoir quitté le même poste chez insightsoftware, explique-t-il sur son profil LinkedIn. Il y ajoute qu’il « possède une solide expérience dans tous les aspects des fusions et acquisitions, notamment une expérience directe auprès de grandes sociétés de capital-investissement ».

Sur LinkedIn aussi, le responsable financier de l’entreprise depuis 2019, Stephen Morrison, indique avoir quitté ses fonctions en avril dernier. Il est remplacé par Michael Shenkman.

Kyle Spearrin, qui a créé le projet, reste CTO depuis 2016. Mais la stabilité du fondateur ne semble pas s’accompagner de celles des valeurs mises en avant par le projet. Ainsi, plusieurs pages du site web du projet ont été modifiées.

Notamment, la mention du « always free » (en français, « toujours gratuit ») accompagnant la présentation de l’offre pour une utilisation « personnelle » gratuite a été, un temps, supprimée.

Suite à la publication de l’article de nos confrères, cette mention est réapparue. Sur le subreddit consacré à Bitwarden, un employé de l’entreprise affirme que celle-ci a été réintégrée et que c’était « un simple oubli de la part de l’équipe marketing ». L’entreprise a affirmé à Fast Company qu’elle « restait déterminée à proposer une offre gratuite solide qui apporte une réelle valeur ajoutée aux particuliers ».

Une notion fluide du courage

Mais d’autres changements ont été apportés au site du projet. Ainsi, la page « carrière » affichait jusque-là des valeurs de « Gratitude, responsabilité, inclusion et transparence » rassemblées sous l’acronyme GRIT (qui veut aussi dire « courage » en anglais).

Mais ce GRIT a été transformé récemment en un moins courageux « Gratitude, responsabilité, innovation et confiance ».

Là aussi, la page a encore été modifiée pour remettre le terme de transparence dans la définition de la confiance et celui d’« environnement inclusif » dans celle de la « gratitude ».

Juste avant le changement de direction, l’entreprise avait discrètement annoncé dans un billet de blog l’augmentation de ses tarifs premium. Ceux-ci sont passés à 19,80 dollars par an, alors qu’ils étaient encore à 10 dollars par an en début d’année.

Vaultwarden comme alternative ?

Toutes ces modifications inquiètent quant à la direction du projet. Ainsi, certains expliquent avoir déjà migré vers la solution Vaultwarden qui permet d’auto-héberger son gestionnaire de mots de passe et encouragent à le faire tant que « les clients Bitwarden sont open source et l’API du serveur est publique ».

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)

Rappelons que Vaultwarden est compatible avec Bitwarden et peut donc accueillir directement les données qui y ont été stockées. Ajoutons aussi que le projet n’est « pas associé à Bitwarden » ou à l’entreprise, même si, selon la page GitHub, « l’un des mainteneurs actifs de Vaultwarden est employé par Bitwarden et est autorisé à contribuer au projet sur son temps libre. Ces contributions sont indépendantes de Bitwarden et examinées par d’autres mainteneurs ». Enfin, comme nous le disions, si Bitwarden est régulièrement audité, ce n’est pas le cas du projet Vaultwarden.

Suite à ces réactions, Mike Sullivan a, pour la première fois, pris la parole sur le blog de l’entreprise en tant que CEO. Il y assure que « l’open source est le fondement de tout ce que Bitwarden développe. La possibilité de vérifier le code, d’héberger soi-même ses données et de s’assurer de leur authenticité plutôt que de se contenter de croire en elles ne sont pas de simples atouts supplémentaires : ce sont les raisons pour lesquelles Bitwarden se distingue de toutes les autres solutions du secteur, et cela ne changera pas ». Il ajoute que l’engagement d’avoir une version gratuite de Bitwarden est « permanent ». Son billet ne revient par contre pas sur les notions de « transparence » et d’ « inclusivité » qui ne sont pas mentionnées.

Trop tard ?

Dans son rapport annuel, l’autorité française de protection des données constate un record de fuites de données en 2025 : 6 167 signalements lui ont été faits, une augmentation de 9,5 % en un an. La CNIL promet d’augmenter ses contrôles sur les manquements en matière de cybersécurité.

On pouvait s’en douter avec les multiples fuites de données évoquées ces derniers temps, mais la CNIL le confirme dans son rapport annuel : « la CNIL s’est vue en définitive notifiée de 6 167 violations en 2025, ce qui représente tout de même une hausse de 9,5 % par rapport à 2024 ». Pour 2024, l’autorité signalait l’année dernière avoir reçu 5 629 notifications de violation de données personnelles.

En mars dernier, le patron de l’ANSSI faisait déjà le constat que les « niveaux de menaces sont très significatifs » mais il ajoutait : « on n’est pas sur une explosion ou un raz-de-marée en 2025 ».

Encore une année record

« L’année 2024 établissait un record. Il a malheureusement été dépassé en 2025 avec presque 10 % de notifications supplémentaires », indique l’autorité de protection des données qui a publié ce rapport ce lundi 18 mai. Elle souligne observer trois tendances sur ces signalements de violations de données.

Ainsi, et « comme les années précédentes, le piratage continue d’être la nature d’incident la plus fréquemment déclarée ». La CNIL évoque notamment le vol de données depuis un compte utilisateur légitime, l’utilisation de rançongiciel, le phishing ou encore le credential stuffing (utilisation de bases de données de couples identifiant/mot de passe volées pour tester s’ils ont été utilisés ailleurs). Il atteint 50 % des signalements en 2025. Mais la fuite peut se faire aussi sans intention néfaste, ainsi 13 % des signalements concernent l’envoi de données personnelles à un mauvais destinataire, 7 % le vol ou la perte de matériel et de données et encore 7 % la publication non intentionnelle d’informations.

La deuxième tendance évoquée par la CNIL dans son rapport est le ciblage de certaines attaques. Sans nommer la solution en question, l’autorité explique notamment que « 2025 a notamment été marquée par une série de vols de données visant les entreprises clientes d’un éditeur de solution de CRM ». Elle ajoute qu’une série d’attaques a ciblé les fédérations sportives françaises.

• Tennis, spéléologie : nouvelles fuites de données chez les fédérations sportives

Enfin, elle signale l’augmentation des violations de données susceptibles de concerner plus d’un million de personnes : « il y en a eu une quarantaine en 2025 (une trentaine en 2024) ». Dans les chiffres du rapport de la CNIL, le secteur de l’administration publique se distingue : il représente 19 % des violations de données signalées à l’autorité. Rappelons, par exemple, la fuite de données concernant 1,6 million de comptes en décembre 2025, alors que l’agence avait déjà subi une fuite portant sur près de 37 millions de Français en 2024 qui lui a valu une amende de 5 millions d’euros.

En 2026, 50 % de ses contrôles et actions répressives de la CNIL aux manquements en matière de cybersécurité

Au Monde, la présidente de la CNIL, Marie-Laure Denis, affirme qu’une des conséquences des fuites de données collectées par l’administration publique est « l’altération du lien de confiance entre l’État et les citoyens, car l’État a une responsabilité particulière à l’égard des données des Français ».

En réaction à cette augmentation des signalements, l’autorité annonce augmenter, cette année, les contrôles sur la sécurité des données. « La CNIL consacrera 50 % de ses contrôles et actions répressives aux manquements en matière de cybersécurité », explique-t-elle dans son communiqué. La présidente de la CNIL indique à nos confrères du Monde qu’en 2025, « c’était entre un quart et un tiers ».

Elle indique, dans le rapport, qu’après avoir publié sa recommandation sur l’authentification multifacteur en mars 2025 [PDF], avoir « fortement incité les organismes gérant de grandes bases de données » à la mettre en place et leur avoir laissé un temps d’adaptation,« des contrôles seront réalisés tout au long de l’année 2026 ».

Répercussion budgétaire mécanique

Mais cet effort sur le contrôle de la sécurisation des données se répercutera mécaniquement sur les autres missions de l’autorité. Dans son rapport, la CNIL souligne encore qu’elle évolue dans « un contexte budgétaire contraint ». Elle y ajoute d’ailleurs qu’ « en 2026, la CNIL n’a obtenu aucune création de postes malgré ses besoins induits par un accroissement de sa charge sur les missions historiques et l’ajout de nouvelles compétences liées à plusieurs règlements européens, notamment en matière d’intelligence artificielle ».

Rappelons que ce n’est pas l’autorité qui perçoit le montant des amendes, il est versé au budget général de l’État. Récemment, le gouvernement a évoqué l’idée de les allouer à un nouveau fonds dédié à la modernisation des infrastructures numériques dans une logique assumée de « pollueur-payeur ».

Concernant les autres sujets, justement, la CNIL constate encore une hausse des plaintes qu’elle a reçues globalement. Ainsi, alors qu’« un record avait été établi en 2024, avec 17 772 plaintes reçues par la CNIL, en hausse de plus de 8 % par rapport à l’année précédente », l’autorité souligne qu’il a été battu en 2025 avec une augmentation « de plus de 10 % » avec un total de 20 150.

Dans son rapport, la CNIL souligne être intervenue « auprès de nombreux organismes pour leur rappeler la réglementation applicable concernant le recours à des dispositifs de télésurveillance d’épreuves d’examen et de vidéoprotection ».

Ainsi, elle évoque l’exemple de « plaintes relatives au projet envisagé par une université [sans la nommer dans le rapport] de procéder à des enregistrements vidéo et sonores des étudiants pendant des épreuves d’examen à distance ». Finalement, la présidente de la CNIL a « adressé un avertissement à l’université l’invitant à « revoir sa copie » avant la mise en place effective de ce projet, notamment sur l’impératif de réaliser une analyse d’impact, sur les risques du dispositif, et sur l’obligation de fournir une information précise aux personnes concernées ». Elle évoque aussi avoir rappelé à « plusieurs communes que les systèmes de vidéoprotection doivent être mis en œuvre conformément au code de la sécurité intérieure (CSI) et au RGPD ».

Dans son rapport, la CNIL rappelle aussi que « le FICOBA ne dépend plus de l’exercice des droits indirects géré par la CNIL », ce mécanisme qui permet d’« accéder aux informations vous concernant enregistrées dans certains fichiers publics ». Le Fichier des comptes bancaires « notamment utilisé par l’administration en cas de contrôle fiscal, est désormais en accès direct », explique l’autorité, « la démarche peut désormais s’effectuer depuis le site www.impots.gouv.fr. Ce changement de cadre permet une réaffectation des ressources pour les demandes relatives à d’autres fichiers.» En effet, la CNIL explique qu’elle a clôturé, en 2025, 32 262 dossiers d’exercice des droits indirects « dont 27 492 concernaient des demandes d’accès au Fichier national des comptes bancaires et assimilés (FICOBA) qui relevait de la CNIL jusqu’au 6 janvier 2025. »

L’autorité rappelle aussi dans son rapport le bilan qu’elle avait déjà fait en début d’année sur les 487 millions d’euros d’amende infligés en 2025, avec notamment celles contre Google et Shein qui totalisent à elles seules 475 millions.

L'IA is the new 42

Alors que les plateformes de paris en ligne sont de plus en plus pointées du doigt pour encourager les délits d’initiés, l’agence de régulation CFTC explique s’appuyer sur l’IA pour les détecter.

L’administration Trump commence à voir s’amonceler les critiques sur la non-régulation des plateformes de paris en ligne comme Polymarket et Kalshi. Elle y répond en mettant en avant son utilisation de l’IA pour la détection de potentiels délits d’initiés.

Début avril, sept membres démocrates du Congrès américain ont écrit à Michael Selig [PDF], le responsable de l’agence de régulation des bourses de commerce (Commodity Futures Trading Commission, CFTC). Ils s’inquiétaient « que les marchés prédictifs en soient venus à ressembler à un « Far West » sans aucune réglementation ».

« De récentes affaires très médiatisées d’allégations de délit d’initié sur des plateformes de marchés prédictifs concernant des actions du gouvernement américain — notamment l’intervention militaire au Venezuela et notre récente attaque contre l’Iran — ont alimenté les inquiétudes quant à l’insuffisance des contrôles exercés par la CFTC sur ces marchés en pleine expansion », ajoutaient-ils.

Deux semaines après, on apprenait l’arrestation d’un soldat états-unien dans le cadre du pari sur la chute de Maduro, qui lui avait permis d’empocher 430 000 dollars sur Polymarket. Mais ce pari est loin d’être le seul qui soulève des questions sur de possibles délits d’initiés.

Ainsi, le New York Times racontait la semaine dernière qu’un petit groupe de 13 personnes a parié un total de 140 000 dollars le 12 juin 2025 sur le fait qu’Israël allait bombarder l’Iran avant la fin de la semaine. Dans la nuit du 12 au 13 juin, Israël lançait une offensive qui déclenchera une guerre de douze jours. Le groupe de parieurs a empoché plus de 600 000 dollars de profit.

11 000 comptes suspicieux détectés par le New York Times

Le journal américain explique avoir repéré plus de 11 000 comptes suspicieux. Ceux-ci correspondent aux comptes qui, soit ont fait des paris risqués gagnants, des mises effectuées au bon moment par des comptes récemment ouverts, ainsi que des paris placés par des utilisateurs qui ne misent que sur quelques thèmes géopolitiques comme ceux-là sans jamais perdre, expliquent-ils, tout en ajoutant qu’en se basant seulement sur les données publiques trouvées sur Polymarket, « il est impossible de déterminer si ces utilisateurs étaient des initiés ayant accès à des informations non publiques ».

En plongeant dans les données, le New York Times a pu remarquer néanmoins que sept utilisateurs ont, par exemple, parié sur l’annonce d’un cessez-le-feu dans la guerre contre l’Iran le 7 avril quelques heures avant l’annonce par Donald Trump sur Truth Social, remportant en tout 1,4 million de dollars.

Les opérations militaires sont particulièrement sujettes à des paris suspects, explique l’association états-unienne Anti-Corruption Data Collective qui a récemment publié un rapport [PDF] sur le sujet. Notamment depuis le début de l’année 2026 :

L’IA à la rescousse

Face à ces différents éléments, l’administration Trump commence à réagir publiquement. Ainsi, Michael Selig a affirmé à Wired que son agence allait finalement recruter, alors que, comme la plupart des agences états-uniennes depuis le retour au pouvoir de Donald Trump, elle manque d’effectifs. Et, même si Elon Musk a quitté le DOGE depuis près d’un an, l’IA semble encore la solution apportée.

• Les proches d’Elon Musk veulent intégrer de l’IA dans l’informatique de l’État américain

« On a tellement de données », s’exclame-t-il devant nos confrères, « quand on les intègre dans l’IA, on obtient des informations très utiles. Cela peut nous aider à comprendre certaines choses, par exemple où il faudrait mener une enquête, ou quand il faudrait envoyer une assignation à un trader  ». L’agence explique, outre le développement d’outils internes, utiliser des outils comme Chainalysis, qui permet de faire des enquêtes sur les transactions de cryptomonnaies.

Michael Selig assure à nos confrères que l’agence est prête à affirmer sa compétence extraterritoriale sur des plateformes qui ne seraient pas installées aux États-Unis, tout en ajoutant ne l’envisager que dans « des circonstances extrêmes ». « Dans tout litige extraterritorial, notre autorité sera contestée, ce qui pourrait également nuire à notre capacité à intenter des poursuites à l’avenir », avoue-t-il, évoquant aussi la possibilité de s’en remettre à une autorité non états-unienne.

À inondation massive, solution massive

Alors que les plateformes de prépublications et éditeurs scientifiques sont inondés d’articles générés par IA, arXiv s’affiche plus sévère. Elle annonce une suspension d’un an pour celles et ceux qui soumettent des articles dont la génération n’a manifestement pas été vérifiée.

La plateforme pionnière de prépublication scientifique arXiv va suspendre pour un an tout chercheur qui aurait mis en ligne un article erroné et manifestement généré par IA.

« Si un article contient des preuves irréfutables indiquant que les auteurs n’ont pas vérifié les résultats générés par un grand modèle de langage (LLM), cela signifie que nous ne pouvons avoir confiance en quoi que ce soit contenu dans cet article », expliquait dans un thread sur X jeudi dernier Thomas Dietterich, le responsable adjoint de la plateforme.

Une année de suspension et un retour très balisé ensuite

Il ajoutait que l’équipe avait décidé d’une suspension d’un an de la plateforme pour tout auteur ayant signé un tel article. Après cette année de suspension, la plateforme acceptera les articles signés par cet auteur s’ils ont déjà été acceptés par une revue ou une conférence qui aura déjà effectué le filtre de relecture par les pairs. Autant dire que l’intérêt de mettre en ligne sur arXiv deviendra quasiment inexistant pour ces personnes.

« Notre code de conduite stipule qu’en apposant sa signature en tant qu’auteur d’un article, chaque auteur assume l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été élaboré », justifie-t-il.

Certains chercheurs comme l’économiste James D. Miller s’inquiètent du fait que tous les auteurs d’un article pourraient être sanctionnés : « Cela signifie-t-il donc que vous attendez de chaque auteur qu’il vérifie chaque référence et s’assure que chacune d’entre elles est authentique et exacte ? Que se passe-t-il si l’un des auteurs n’est pas en mesure de vérifier une référence parce que celle-ci est rédigée dans une langue qu’il ne maîtrise pas ou porte sur un sujet technique qu’il ne comprend pas, alors qu’un autre auteur de l’article en est capable ? », demande-t-il.

« Nous notons que les outils peuvent produire des résultats utiles et pertinents, mais aussi des erreurs ou des résultats trompeurs ; c’est pourquoi il est important de savoir quels outils ont été utilisés pour évaluer et interpréter les travaux scientifiques », expliquait le site dans sa politique de modération.

Et l’équipe d’arXiv y rappelait déjà à ses collègues « qu’en apposant leur signature en tant qu’auteur d’un article, ils assument chacun individuellement l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été généré. Si des outils linguistiques d’IA générative produisent des propos inappropriés, du contenu plagié, du contenu biaisé, des erreurs, des fautes, des références erronées ou du contenu trompeur, et que ces résultats sont intégrés dans des travaux scientifiques, la responsabilité en incombe au(x) auteur(s) ».

Mais la masse d’articles contenant ce genre de problèmes est telle qu’arXiv semble avoir dû, si ce n’est relever la barre de la sanction, au moins la rendre publique.

Thomas Dietterich finit son thread en donnant quelques exemples de preuves indiscutables de ce genre d’utilisation : « références fantaisistes, méta-commentaires du LLM ( » voici un résumé de 200 mots ; souhaitez-vous que j’y apporte des modifications ? » ; « les données de ce tableau sont données à titre indicatif, complétez-le avec les chiffres réels issus de vos expériences ») ». Interrogé par 404 Media, il ajoute que la plateforme ne fera aucune exception à cette règle tout en ajoutant qu’une procédure d’appel existe et que les modérateurs de la plateforme doivent documenter clairement le signalement. Le responsable d’arXiv pour la discipline doit confirmer avant sanction.

Les revues et actes de conférences sont aussi inondés de genAI problématiques

Les plateformes de prépublication comme les revues scientifiques sont de plus en plus inondées d’articles générés par IA et non vérifiés. Récemment, une étude montrait que les actes des conférences scientifiques peuvent accueillir massivement des articles rédigés (ou générés par IA) dans le but de vendre aux chercheurs une place bien au chaud pour leur signature moyennant 11 à 400 dollars.

On peut aussi régulièrement repérer des articles scientifiques incluant des schémas fantaisistes générés par IA. Ainsi, on peut trouver, par exemple, cet article, publié en mars 2025 dans la revue Alexandria Engineering Journal éditée par Elsevier, censé présenter une modélisation mathématique de la mécanique cochléaire et des dysfonctionnements liés à la cochlée. On peut y trouver ce genre d’illustrations totalement fantaisistes et inappropriées :

L’article n’a actuellement pas encore été rétracté.

L’ACL prend aussi des mesures

Les plateformes de prépublication ne sont pas les seules à réagir. Ainsi, par exemple, les responsables de la conférence de l’Association for Computational Linguistics qui doit avoir lieu en juillet prochain ont dû publier une déclaration spécifique concernant le rejet d’articles contenant des références fantaisistes. L’organisation explique que beaucoup de propositions ont été rejetées dès le début pour ce genre de problème.

Mais elle ajoute que même après ces filtres, il y a eu des trous dans la raquette : « lors des derniers contrôles des versions finales des articles acceptés pour l’ACL 2026, nous avons identifié plus d’une centaine d’articles contenant des références à des publications inexistantes ». Et elle ajoute qu’« en conséquence, nous avons pris la décision de rejeter d’office ces articles acceptés afin de préserver la qualité et la fiabilité des actes du colloque ».

Un peu risqué, non ?

Google vient d’annoncer plusieurs nouveautés concernant la protection des utilisateurs. En coopération avec les deux ONG Reporters Sans Frontières et Amnesty International, l’entreprise a notamment mis en place un système de logs (optionnel) permettant de tracer les activités suspectes qui pourraient être la marque de l’intrusion de logiciels espions comme Pegasus.

Une nouvelle fonctionnalité mise en place par Google dans Android s’appelle « Intrusion Logging » Celle-ci fait partie du Mode Protection Avancée (en anglais, Android Advanced Protection Mode, AAPM) du système d’exploitation qui vise à renforcer la sécurité des appareils Android pour les « utilisateurs à risque », à savoir les défenseurs des droits humains, les militants, les journalistes et les dissidents qui pourraient être visés par des logiciels espions comme Pegasus ou Predator. Pour l’instant ce mode n’est disponible que sur les Pixel sous Android 16 et supérieur.

Google explique avoir développé Intrusion Logging « en collaboration avec Amnesty International et Reporters sans frontières, entre autres ».

Comme le rappelle Amnesty International, le Mode Protection Avancée met en place des protections supplémentaires contre d’éventuelles attaques. Ces protections peuvent varier selon la version d’Android mais le mode permet par exemple un verrouillage automatique si le smartphone est déconnecté de tout réseau ou si l’appareil détecte des mouvements trop rapides suggérant son vol, ou le redémarrage s’il reste verrouillé pendant trois jours.

Si ce mode est activé, Google Play Protect l’est aussi et toute installation d’application via une source inconnue est bloquée, rendant le passage par Google Play obligatoire.

Le mode inclut aussi le blocage du transfert de données par USB non autorisé précédemment si l’écran est verrouillé. Ainsi, l’extraction de données par des logiciels est rendue encore plus difficile. « Cela sera bientôt disponible sur davantage d’appareils Android », assure Google.

Système de logging très bavard, chiffré et stocké sur Google cloud

Mais l’ajout de l’ « Intrusion Logging » à ce mode permet à l’utilisateur d’activer, s’il le veut, un mode de journalisation de l’activité de son smartphone et de vérifier qu’un logiciel espion n’utilise pas certaines fonctionnalités sans qu’il s’en aperçoive.

Ainsi, par exemple, l’utilisateur peut vérifier si le téléphone a été déverrouillé par quelqu’un d’autre, s’il y a eu des utilisations suspectes de l’Android Debug Bridge (ADB) ou trouver la localisation d’un éventuel spyware.

Intrusion Logging suit aussi certaines informations de connexion et de DNS pour trouver des traces de communication avec une infrastructure qui pourraient être le signe d’une attaque Command and Control (C2), explique Amnesty :

« Ces logs sont particulièrement utiles car de nombreuses attaques sophistiquées 1-click reposent sur des redirections vers des pages leurres, qui entraînent des visites imperceptibles sur des sites web malveillants. Même si l’utilisateur ne remarque pas la redirection, la requête DNS et la tentative de connexion seront tout de même enregistrées et pourront être comparées à des indicateurs de compromission (IOC) connus. »

L’ONG assure que les logs sont chiffrés « à l’aide d’une clé générée par l’utilisateur avant d’être archivés en toute sécurité dans le compte Google de ce dernier. L’utilisateur peut ensuite accéder à ces journaux et les déchiffrer, mais ni Google ni aucun tiers non autorisé ne peut le faire ». Amnesty précise que « Par défaut, les journaux sont collectés une fois par jour et stockés sous forme chiffrée dans le cloud ».

Des limites et des risques

Dans son annonce, Amnesty pointe elle-même certaines limites de ce système. Comme on l’a déjà dit, AAPM n’est pour l’instant disponible que sur les appareils Google Pixel sous Android 16 et supérieur.

Il faut aussi que l’utilisateur ait lié son smartphone à un compte Google. Ajoutons que, les logs étant téléchargés sur le cloud de Google, l’utilisateur doit avoir une confiance importante dans le système de chiffrement mis en place par l’entreprise, car ces logs comportent énormément d’informations sensibles.

Et bien évidemment, le système doit être activé « avant qu’une attaque ne se produise (ou toute situation à haut risque susceptible d’y conduire), les logs ne peuvent pas être récupérés a posteriori ».

Le responsable du Security Lab d’Amnesty, Donncha Ó Cearbhaill, explique aussi à Cyberscoop que, pour l’instant, il est possible que les logs soient supprimés par les attaquants mais il ajoute que des mesures de protection devraient être ajoutées dans les prochaines versions pour l’éviter.