Dans un communiqué, le CNRS annonce fièrement que « la France multiplie par 4 les ressources scientifiques en IA », avec son supercalculateur Jean Zay. Il s’agit en fait de l’inauguration par des responsables et des politiques d’une machine déjà utilisée depuis des mois.

Le supercalculateur Jean Zay n’est pas nouveau : il a été ouvert en 2019 et inauguré en 2020, avec une puissance crête de 15,9 PFlop/s. Une première extension est arrivée durant l’été 2021 (28 PFlop/s) puis une seconde en juin 2022 (36,85 petaflops).

• Le supercalculateur Jean Zay grimpe à 125,9 PFlop/s, avec 1 456 GPU H100

Début 2024, le GENCI annonçait le passage à 126 PFlop/s – soit une hausse de 3,4x des performances brutes – avec la mise en place d’une nouvelle partition comprenant 1 456 GPU H100 de NVIDIA. Il était alors question de l’installer en avril puis de la rendre « entièrement disponible aux utilisateurs au début de l’été 2024 ».

Voilà qu’en ce mois de mai, le CNRS annonce fièrement que « la France multiplie par 4 les ressources scientifiques en IA »… mais ce n’était donc pas le cas depuis plusieurs mois ? Y a-t-il eu du retard ? En réalité, oui et non (dans l’ordre des questions), il s’agit aujourd’hui de « l’inauguration officielle de cette extension ». Rappelons au passage que le x4 est en réalité un x3,4, comme nous l’avons déjà expliqué.

En novembre dernier, le ministère de l’Enseignement supérieur et de la Recherche annonçait d’ailleurs déjà que « la puissance cumulée est à présent de 125,9 Pétaflop/s (soit quasiment 126 millions de milliards d’opérations flottantes par seconde) ».

Quoi qu’il en soit, cette inauguration est l’occasion de rappeler les thématiques des projets qui vont profiter du supercalculateur : « traitement des langues, informatique multimodale, recherche biomédicale, physique fondamentale, climatologie, nouveaux matériaux et nouvelles énergies, véhicules autonomes, aide à la décision, agriculture, culture… ».

Le CNRS précise enfin que « la chaleur résiduelle de l’installation est récupérée pour chauffer l’équivalent de 1 500 foyers sur le plateau de Saclay », c’est 500 de plus que lors des précédentes annonces (en mars et novembre), sans que la raison de cette hausse ne soit précisée.

Leave my data alone

Et si on faisait un petit check-up partage de données ?

Partons d’un principe simple : si, au fil des années, les géants numériques ont accumulé suffisamment de données pour bien cerner vos intérêts, alors leurs publicités ont toutes les chances de happer votre attention. Vu le contexte politique, vous pourriez aussi vouloir minimiser la valeur des informations que vous cédez aux acteurs numériques implantés aux États-Unis.

• Boycotter la tech américaine, c’est théoriquement possible (mais ça ne va pas être simple)

Si, donc, vous êtes dans un processus de désintoxication ou une volonté d’éloignement des GAFAM, mais que le travail, votre organisation habituelle, le modèle de votre smartphone, ou n’importe quelle autre raison vous pousse à continuer d’utiliser ces services, alors une première opération peut consister à minimiser la prise de ces acteurs sur vos comportements et à affaiblir la pertinence de leurs systèmes publicitaires.

De mon côté, j’ai adopté depuis plusieurs années une logique de minimisation de toutes les logiques de personnalisation des plateformes états-uniennes que j’utilise (enfin ça, c’est ce que je croyais jusqu’à écrire ce tuto en utilisant un compte Google créé récemment). Cette minimisation demande cela dit à être vérifiée régulièrement, puisque les plateformes modifient tout aussi fréquemment l’apparence et les logiques de paramétrages de leurs services.

Dans une série d’articles, nous allons donc passer en revue quelques bonnes pratiques permettant d’éviter le suivi à long terme de plateformes numériques du quotidien. Une pierre, deux coups : cela nous permettra aussi d’augmenter la sécurité de nos comptes vis-à-vis d’autres personnes.

• [Tuto] : comment empêcher Meta d’utiliser vos données pour entraîner ses IA

Commençons donc par Google, dont le navigateur Chrome possède 2/3 des parts de marché de la recherche en ligne dans le monde. Depuis myactivity.google.com, vous pouvez vérifier toutes les données que la société stocke sur vos navigations en ligne.

Du côté de Mon activité Google

Contrairement à ce que je pensais, je constate ici que je n’ai pas suspendu l’enregistrement de mes historiques Web, YouTube, et d’autres applications Google. Mais faisons cela ensemble (ici, depuis un ordinateur).

En dessous de la barre « Rechercher dans votre activité », vous pouvez commencer par supprimer l’historique. Pour ce faire, il faut choisir le bouton « Supprimer » écrit en bleu dans la capture ci-dessus, puis « toute la période », puis supprimer, puis ok.

Remontons ensuite aux trois blocs principaux : « Activité sur le Web et les applications », « Vos Trajets », « Historique YouTube ».

Le premier nous emmène sur une page intitulée « Commandes relatives à l’activité ». Cliquez sur le bouton « désactiver » écrit en bleu, puis sur « désactiver et supprimer l’activité ».

Google m’affiche un premier panneau explicatif, sur lequel il faut cliquer « suivant » pour vérifier toutes les applications dont on supprime l’activité, choisir uniquement les applications qui nous intéressent, puis de nouveau le bouton « suivant », et le tour est joué. Chaque fois qu’on suspend un type de partages de données, Google passe ses écrans en grisé, avec à peine un peu de bleu, comme ceci :

Ensuite, retournez à la page « Mon activité ». Si ce n’est pas fait chez vous, cliquez sur l’onglet « Vos Trajets » pour arrêter le suivi de la géolocalisation.

Retournez de nouveau à la page « Mon activité » sur la case « Historique YouTube », où vous pourrez réitérer l’opération de la même façon. Contrairement à ce que vous aurez peut-être remarqué dans l’onglet « Activité sur le Web et les applications », Google ne propose pas ici de suspendre le suivi futur ET de supprimer l’historique. C’est la raison pour laquelle il vaut mieux supprimer l’historique global de vos activités en tout premier lieu.

Sécuriser l’historique

Vous préférez garder votre historique, mais en empêcher l’accès à d’autres internautes, par exemple des personnes avec lesquelles vous partageriez votre machine ? Sur la page d’accueil titrée « Mon activité Google » cliquez sur « paramétrer la validation de « Mon activité » », juste au-dessus de la barre de recherche.

Vous pouvez désormais protéger la liste de vos actions passées avec une vérification supplémentaire. 


Choisissez « exiger la validation supplémentaire », rentrez le mot de passe de votre compte, enregistrez, et vous verrez le cadenas ci-dessus vous confirmer que l’opération s’est bien déroulée.

Une fois toutes ces opérations menées, rendez-vous à gauche de l’écran « Mon activité Google », cliquez sur le menu burger (les trois lignes superposées), et choisissez « Commandes relatives à l’activité ».

En scrollant vers le bas, vous allez voir le résumé de toutes les actions que nous venons de faire : celles liées aux « Activité sur le Web et les applications », celles relatives à « vos trajets », celles relatives à « votre historique YouTube ». Si c’est ce que vous avez effectivement choisi, toutes devraient être indiquées désactivées.

Encore plus bas, voici que réapparaissent quelques couleurs.

Jusqu’ici, vous avez surtout paramétré des éléments liés à vos activités : vous avez dit à Google d’en stocker un minimum de traces. Ce panneau-ci, en revanche, va vous permettre d’indiquer à la plateforme ce que vous acceptez de la part de ses partenaires publicitaires.

Cliquez sur « Mes préférences publicitaires », vous vous retrouverez devant un nouvel écran (qui ne prend visiblement pas en charge le mode sombre) :

Là, Google me propose de « renouveler mes annonces » mais je l’ignore : dans l’encart en haut à droite, qui indique « annonces personnalisées », je clique sur le bouton « activé » pour l’éteindre. Google me demande si j’en suis bien sûre (oui oui, promis).

Puis me suggère de vérifier les sites et applications partenaires.

Si vous cliquez sur les mots « Examiner ce paramètre », la plateforme vous renverra sur une nouvelle page de ce dédale, qui vous permettra à nouveau de vérifier vos paramètres de recherches et vos préférences publicitaires. Mais si, comme moi, vous avez tout désactivé au fil des dernières étapes, ces écrans ne vous seront pas utiles.

Une autre manière de procéder à tout ce paramétrage est d’aller dans votre espace compte – myaccount.google.com, et de cliquer sur « Données et confidentialités ». En scrollant, vous tomberez sur un panneau qui résume les étapes que nous venons d’effectuer. Dans notre cas, il permet de vérifier que tout est bien désactivé.

Si vous y avez jeté un œil, cela dit, scrollez encore un peu : en dessous apparait un écran dédié aux informations que vous pouvez partager avec d’autres personnes.

Si vous cliquez dessus, vous arriverez à une page permettant de paramétrer qui peut voir votre nom, votre photo de profil, votre genre si vous l’avez renseigné (pas tellement besoin de le faire si vous êtes dans une optique de protection de votre vie privée, ou alors vous pouvez mentir : ça s’appelle du data poisoning, ou empoisonnement de données, et ça participe à fausser la précision des résultats fournis par Google ou toute autre plateforme concernée) et votre date de naissance (là encore, n’hésitez pas à écrire n’importe quoi).

Vous avez déjà effectué un bon tour, mais si vous êtes encore motivé, vous pouvez encore circuler au milieu des pages « Sécurité », « Contacts et partages » et « Paiements et abonnements ». Pour protéger sa vie privée, les recommandations sont simples : moins on partage d’informations personnelles, mieux on se porte. Et sinon, il y a toujours la tactique de l’obfuscation.

Pour ce qui est de Discover, l’application de recommandation algorithmique de contenus de Google, cliquez sur le bouton en haut à droite avec votre photo de profil, puis sur « Utiliser l’application sans compte » pour couper la personnalisation.

Cela faisait un moment que Linus Torvalds voulait se débarrasser de ces vieux processeurs. Du moins pas d’eux directement, mais du 32 bits lui-même, dont ils auraient été les principales victimes collatérales.

« J’ai vraiment l’impression qu’il est temps d’abandonner le support i486. Il n’y a aucune raison pour que quiconque gaspille une seconde d’effort de développement sur ce genre de problème », écrivait-il encore il y a quelques jours.

Un autre développeur, Ingo Molnàr, a détaillé cette position : « Dans l’architecture x86, nous disposons de diverses installations d’émulation matérielle compliquées sur x86-32 pour prendre en charge d’anciens processeurs 32 bits que très très peu de personnes utilisent avec des noyaux modernes. Cette colle de compatibilité est parfois même à l’origine de problèmes que les gens passent du temps à résoudre, temps qui pourrait être consacré à d’autres choses ».

En d’autres termes, cet ancien code, que très peu de gens utilisent, consomme du temps de développement qui pourrait être mieux employé. Et cette fois, ça va se faire. Ingo Molnàr a présenté une série de modifications pour le noyau 6.15, en cours de finalisation. Les caractéristiques minimales réclamées par Linux vont se baser désormais sur TSC (Time Stamp Counter) et CX8, dont les 486 et premiers 586 sont dépourvus.

Le changement aura-t-il un impact sur les utilisateurs ? Peu probable, tant ces configurations sont anciennes. Les 486 sont apparus il y a 36 ans (à cette époque, l’unité de calcul en virgule flottante étant encore en option) et Intel ne les fabrique plus depuis 18 ans. En revanche, le noyau sera nettoyé d’un code ancien, générant ses propres problèmes.

• L’incroyable évolution des processeurs : du 386 au 486 (plus d’un million de transistors), sans oublier les 5 × 86

« Rogntudju »

Depuis le rachat de VMware par Broadcom, les relations sont tendues avec une partie de la clientèle. La suppression des licences perpétuelles a fait couler beaucoup d’encre. Maintenant que les contrats de support pour ces licences expirent l’un après l’autre, Broadcom passe à l’étape suivante : mettre en demeure les entreprises de ne plus installer la moindre mise à jour.

Le rachat de VMware, pour 61 milliards de dollars, n’en finit plus de faire parler de lui. La plus grande onde de choc a été causée par l’arrêt complet des licences perpétuelles. Il est devenu tout à coup impossible pour les entreprises d’acheter simplement des logiciels VMware. À la place, Broadcom a regroupé les produits dans des formules d’abonnements. Le problème est vite apparu : même quand il ne fallait qu’un ou deux produits, les entreprises devaient prendre des packs, entrainant une facture bien plus lourde.

• La grogne monte contre VMware (Broadcom) : AT&T, Orange et Thales vont en justice

Depuis un peu plus d’un an, la situation se tend, au point que l’Europe a décidé de s’en mêler. Tandis que la grogne montait, VMware a parfois lâché un peu de lest, rendant au passage certains produits gratuits, dont les clients de virtualisation VMware Workstation et Fusion, y compris en usage commercial.

L’objectif de Broadcom est cependant clair : faire rentrer autant de liquidités que possible en peu de temps. Les abonnements proposés vont dans ce sens, et on a pu voir fin mars que l’éditeur serrait la vis sur les licences VMware en quadruplant le nombre de cœurs minimum de facturation (de 16 à 72). Et ces tensions ne sont pas près de se calmer.

Ultimatum sur les licences perpétuelles

Comme l’indiquait il y a quelques jours Ars Technica, Broadcom envoie depuis peu des courriers aux clients équipés de licences perpétuelles. La société s’attaque frontalement à ceux dont le contrat de support s’est terminé et n’a pas été renouvelé. Elle demande instamment que cesse l’installation de mises à jour majeures et mineures, les correctifs de bugs ou failles de sécurité et globalement de toutes les révisions de leurs produits. Seule exception, les correctifs de sécurité pour les vulnérabilités 0-day.

Le courrier explique que la fin du contrat d’assistance signifie que plus aucune nouvelle version ne peut être installée, y compris les mises à jour intermédiaires d’entretien. En conséquence, si de telles versions ont été installées, elles doivent être supprimées. Pour Broadcom, les versions présentes à expiration du contrat d’assistance sont les dernières, même pour des licences perpétuelles.

« Toute utilisation du support après la date d’expiration constitue une violation substantielle de l’accord conclu avec VMware et une atteinte aux droits de propriété intellectuelle de VMware, pouvant donner lieu à des demandes de dommages-intérêts accrus et à des honoraires d’avocat », indique ainsi la lettre, signée de Michael Brown, directeur général de Broadcom.

Tout le monde est servi

Il ne semble pas cependant que ces courriers fassent suite à une situation observée. Selon les témoignages lus par Ars Technica, ces mises en demeure sont envoyées automatiquement à tous les clients ayant acheté des licences perpétuelles, dès que les contrats d’assistance sont expirés. Y compris ceux qui n’ont rien installé depuis, voire ayant transité vers des solutions concurrentes, dont Proxmox.

En outre, Broadcom informe dans son courrier se réserver le droit de procéder à des audits, « ainsi que tout autre recours contractuel ou légal disponible ». « Foutaises » pour Dean Colpitts, directeur technique de Members IT Group, pour qui ces menaces ne riment à rien, car la falsification dans ce domaine est simple et invérifiable. Toujours selon lui, la plupart des clients VMware de son entreprise utilisent désormais les produits sans support. Il ajoute que la principale préoccupation est désormais de s’assurer que le personnel n’installe pas d’autres versions que les dernières présentes à l’expiration des contrats.

Première plainte en Allemagne

Nos voisins d’outre-Rhin sont également passés à l’attaque. L’association de consommateurs VOICE a déposé plainte contre Broadcom pour abus de position dominante.

Dans le communiqué, publié le 7 mai, l’association allemande reproche « à Broadcom d’imposer des augmentations de prix exorbitantes et injustes dans le cadre du passage de la licence perpétuelle à l’abonnement, à l’aide de bundles de produits composés arbitrairement ». L’impact sur la concurrence serait particulièrement négatif et ces pratiques n’auraient qu’un seul but : « atteindre les objectifs de chiffre d’affaires et de bénéfices annoncés pour VMware ». Au risque de tuer la poule aux œufs d’or ?

« Broadcom exploite de manière très préoccupante la dépendance de ses clients vis-à-vis des produits VMware. En tant qu’association d’utilisateurs indépendante représentant les intérêts de ses membres, nous nous devons d’agir contre de telles pratiques déloyales. Nous avons d’abord essayé de dialoguer directement avec Broadcom, mais aucune amélioration n’a pu être obtenue pour les utilisateurs. L’entreprise ne se préoccupe manifestement que de ses objectifs financiers ambitieux et ne s’intéresse absolument pas aux intérêts de ses clients », a ajouté Robin Kaufmann, directeur de l’association.

Ayant déposé plainte, VOICE invite toutes les entreprises souhaitant se défendre à la contacter. La perspective d’un recours collectif n’est pas abordée.

Éthique et toc ?

L’utilisation non éthique de l’informatique par des entreprises fait régulièrement scandale. Donner un code d’éthique aux ingénieurs peut sembler une première solution pour éviter ce genre de problèmes. Des chercheurs ont constaté que, seul, un code de ce genre n’a pas de réelle influence sur leur comportement.

La manipulation par Volkswagen des données d’émissions dans ce qu’on a appelé le DieselGate, l’utilisation non éthique par Facebook en 2014 des informations sur les émotions de ses utilisateurs, le scandale Cambridge Analytica et les autres utilisations des réseaux sociaux pour manipuler des élections… Ces dernières années, on ne manque pas d’exemples de logiciels développés, modifiés ou paramétrés dans le but de tromper les autorités ou les utilisateurs.

Comme dans d’autres secteurs comme la biologie, la médecine ou le droit avant elle, l’informatique a vu éclore des « codes d’éthique » et la volonté de faire émerger la réflexion sur les bonnes et mauvaises pratiques dans la discipline. Mais cette approche est-elle efficace ?

Des chercheurs brésiliens et allemands ont essayé de répondre à cette question. Dans une étude repérée par le chercheur Irénée Régnauld sur son blog, ils ont comparé les réponses de 225 étudiants et de professionnels de l’IT répartis dans deux groupes à propos de questions éthiques. À l’un des deux, on a présenté une vidéo présentant un code de déontologie, à l’autre aucune information supplémentaire à leurs connaissances ne leur était fournie.

Cette vidéo, de 9 minutes environ, résume tout le code d’éthique et de conduite professionnelle proposé par l’association internationale de professionnels de l’informatique ACM (Association for Computing Machinery). Celui-ci existe depuis 1972 et a été mis à jour en 2018. C’est « l’un des codes de conduite les plus connus destinés aux professionnels des technologies de l’information et de l’informatique », selon les auteurs de l’étude.

16 dilemmes éthiques et des questions morales

Leur questionnaire comporte 16 dilemmes éthiques très spécifiques à l’univers du numérique. Par exemple, les chercheurs posent la situation suivante :

« Vous faites partie d’une équipe chargée de maintenir un logiciel critique pour le système financier d’un client. Au cours des tests, vous découvrez un bug critique présent depuis longtemps. Vous le corrigez, mais votre responsable ne souhaite pas en informer le client, de peur qu’il ne mette en doute la compétence de votre entreprise ». Et ils demandent ensuite « qu’est-ce que vous faites ? »

Ou encore :

« Vous avez développé un programme de mouvement s’appuyant sur une IA pour un robot industriel qui transporte des matériaux lourds. Après deux mois de test, aucune anomalie n’a été identifiée. Un mois après l’opération de test (maintenant en production), le robot renverse une employée enceinte, ce qui entraîne son décès. Le rapport technique fait état de problèmes liés au programme d’étalonnage des capteurs du robot. Ce mauvais étalonnage trouve son origine dans le code source et les données utilisées lors des essais ». Les chercheurs demandent ensuite à la personne si elle assume ou pas la responsabilité ou si elle est indécise.

Cette série de dilemmes est accompagnée de deux questions d’auto-évaluation sur les connaissances et l’importance de l’éthique dans la pratique et de 10 questions morales plus générale en auto-évaluation. Le questionnaire est disponible intégralement sur GitHub.

Aucune différence

Leur étude ne voit aucune différence significative de résultats entre les deux groupes testés, suggérant qu’une simple exposition à des informations sur un code d’éthique ne permet pas de changer les comportements ni leur perception du sujet. La plupart des participants affirment d’ailleurs avoir déjà été plus ou moins formés sur ces sujets lors de leurs études. Ils sont aussi plus de 90 % des participants à considérer que ce genre de codes d’éthiques sont importants dans les pratiques de leur domaine.

« Les stratégies de management visant à promouvoir un comportement éthique par l’utilisation passive d’un code de bonne conduite peuvent s’avérer inefficaces pour atteindre le résultat escompté », concluent les chercheurs, même s’ils conviennent aussi que la rapidité de leur vidéo de 9 minutes peut avoir influencé leurs résultats.

Dans son billet, Irénée Régnauld ajoute que « le simple fait de spéculer un comportement réel depuis un questionnaire peut s’interroger. D’autre part, en situation réelle, les décisions se prennent rarement seuls : les travailleurs discutent entre eux, s’influencent, etc. Individualiser une décision éthique revient à faire peser la responsabilité sur une seule personne, ce qui est évidemment problématique – à moins d’entrer dans un cadre spécifique qui serait celui du lancement d’alerte, et qui pose d’autres questions ».

iOS 19 et macOS 16, qui seront présentés le mois prochain, incluront une nouvelle salve de fonctions dédiées à l’accessibilité. Apple a profité de la journée mondiale de sensibilisation à l’accessibilité, comme les précédentes années, pour présenter ses nouveautés, en amont de la WWDC qui aura lieu du 9 au 13 juin.

Parmi les apports mis en avant, une nouvelle étiquette pour les fonctions d’accessibilité dans l’App Store. À la manière de celle existant pour la vie privée, la nouvelle affichera une synthèse de ce que peut faire l’application en matière d’accessibilité : compatibilité VoiceOver, textes plus gros, descriptions audios, thème sombre, contraste élevé, etc.

On note également l’arrivée d’une fonction Braille Access sur iPhone, iPad et Mac, avec notamment un outil pour prendre des notes dans ce système d’écriture. Braille Access pourra ouvrir directement les fichiers Braille Ready Format (BRF).

Safari va s’y coller aussi, avec une version spécifique du mode Lecteur, qui permet pour rappel d’extraire le texte d’une page pour en afficher une version épurée. Ce « Lecteur accessibilité » disposera de fonctions spécifiques pour manipuler plus avant le texte. Grosse nouveauté d’ailleurs : ce lecteur spécial pourra être invoqué dans toutes les applications, et pas seulement dans le navigateur d’Apple.

Signalons aussi une nouvelle Loupe pour le Mac (pouvant agir aussi sur le nouveau Lecteur accessibilité), l’arrivée des sous-titres en direct sur l’Apple Watch (en se servant de l’iPhone comme microphone), la possibilité d’utiliser le Vision Pro comme loupe générale, des sons d’ambiance ou encore une fonction de réduction du mal des transports pour le Mac (elle existe déjà sur iPhone).

Dans un billet de blog, l’entreprise a révélé son Material 3 Expressive, langage graphique bâti sur les fondations de Material You et se voulant plus expressif. L’annonce avait pour rappel déjà été publiée il y a une semaine, avant d’être rapidement retirée.

Et effectivement, l’ensemble est riche en couleurs, vise la douceur avec des arrondis omniprésents et présente de nombreux petits effets graphiques. Par exemple, supprimer une notification dans la liste aura une légère influence sur les notifications proches.

Comme on peut le voir sur la vidéo, ces effets sont nombreux mais relativement subtils. On peut également voir que ce design débarquera aussi bien sur Android que sur Wear OS.  Google, dans son exposé, indique que ces changements sont le résultat de « recherches approfondies ».

Pourtant, il y a quelques jours, quand les premières informations sur ce nouveau langage graphique sont apparues, on pouvait lire de nombreux commentaires négatifs, voire acides, notamment chez Neowin.

Il ne s’agit pas que de modifications visuelles. Une partie des améliorations est liée à la lisibilité et, de manière générale, à l’accessibilité. Un travail particulier a par exemple été fait sur la police et sa taille à travers l’ensemble des interfaces.

Les réglages rapides sont également plus personnalisables, avec la possibilité d’ajouter plus de boutons. Material 3 Expressive inclura aussi le suivi « live » dans les notifications, comme on le trouve dans iOS depuis quelques années. Il permet d’afficher la progression d’une livraison, d’une commande, etc.

Selon Google, la diffusion aura lieu plus tard dans l’année et commencera par Android 16. Il ne semble pas prévu de répercussion sur les Android plus anciens. Dans tous les cas, ce sont – comme toujours – les Pixel qui seront servis en premier.

Il y a deux ans, Microsoft annonçait déjà le licenciement de 10 000 personnes. Plus récemment, en juin c’était au tour d’HoloLens et Azure de subir des coupes, et en septembre la branche Xbox. Aujourd’hui, CNBC annonce que 3 % des effectifs, soit environ 6 000 personnes, seront laissées sur le carreau.

« Nous continuons à mettre en œuvre les changements organisationnels nécessaires pour positionner au mieux l’entreprise sur le succès dans un marché dynamique », indique laconiquement Microsoft.

« La décision de Microsoft intervient quelques semaines après que l’entreprise a fait état d’une croissance plus forte que prévu de son activité d’informatique dématérialisée (« cloud ») Azure et de résultats exceptionnels au dernier trimestre, apaisant ainsi les inquiétudes des investisseurs dans une économie incertaine », rappelle Reuters.

Alerte Captain Obvious

Continuer à utiliser de vieux produits pour accéder à Internet alors qu’ils ne sont plus du tout sécurisés n’est pas une bonne idée, tout le monde en conviendra. Le FBI tire la sonnette d’alarme sur les routeurs, mais c’est un peu l’arbre qui cache la forêt.

La semaine dernière, le FBI a publié un bulletin d’alerte « flash »… et à la lecture de son titre, on serait presque tenté de qualifier le Federal Bureau of Investigation de Captain Obvious : « Des cybercriminels ciblent des routeurs en fin de vie pour lancer des attaques et dissimuler leurs activités ».

Ce n’est pas dans les vieux routeurs qu’on fait la meilleure sécurité

Des produits en fin de vie, cela signifie l’interruption des mises à jour de fonctionnalité, mais également de sécurité, quelle que soit la gravité de la faille. Il suffit donc d’une brèche critique et exploitable à distance pour que l’appareil soit ouvert aux quatre vents à n’importe quelle personne malintentionnée, sans possibilité de corriger le tir.

Les pirates se servent ensuite des produits compromis comme point d’entrée pour « installer des logiciels malveillants et utiliser ces routeurs dans des botnets pour lancer des attaques coordonnées ou vendre un accès aux appareils ». Ces routeurs peuvent aussi servir de relais aux pirates pour essayer de cacher leur adresse IP, leur localisation et/ou leur identité. Le FBI donne un exemple : « Des cyberacteurs chinois […] ont utilisé des botnets pour dissimuler des piratages d’infrastructures critiques américaines ».

Des produits Linksys et Cisco pointés du doigt

Dans son bulletin d’alerte, le FBI partage une liste d’une douzaine de produits : les Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, WRT320N, WRT310N et WRT610N, ainsi que les Cisco E1000 et M10. Mais ce ne sont que quelques références dans l’immensité des routeurs laissés à l’abandon par les fabricants.

Le FBI ajoute dans son bulletin une liste d’indicateur de compromissions. Il émet aussi une recommandation : « un utilisateur peut prévenir une compromission en désactivant l’administration à distance et en redémarrant l’appareil ».

Le problème ne concerne pas que les routeurs… loin de là

Le FBI parle des routeurs, mais la problématique est la même sur des smartphones qui sont trop rapidement abandonnés par les constructeurs. Depuis maintenant plusieurs années, Google pousse les fabricants à augmenter la durée du suivi, mais cela reste dans tous les cas largement insuffisant pour les modèles d’entrée et de milieu de gamme.

Rappelons que, le 20 juin, entrera en vigueur une extension du règlement sur l’économie circulaire qui impose des mises à jour logicielles pendant au moins cinq ans après mise sur le marché.

• Comment Google pousse les fabricants vers sept ans de mises à jour Android

Ce bulletin d’alerte du FBI n’a rien de surprenant, la problématique est connue depuis des années. La partie visible de l’iceberg pour le grand public est certainement la fin de vie de certaines versions de Windows. La dernière en date, Windows 10, ne sera plus maintenue à partir du 10 octobre, en même temps que d’autres produits.

• Exchange, Office, Outlook, Windows… Microsoft fera un ménage par le vide le 14 octobre

Installer une porte blindée et… la laisser ouverte

Pour les professionnels, Chloé Chabanol (sous-directrice des opérations de l’ANSSI), rappelait une triste réalité : « l’exploitation massive et inquiétante des équipements de bordure », c’est-à-dire les pare-feux, les VPN, les filtres antispams, etc.

Des équipements dédiés à la sécurité… à condition de les maintenir à jour. L’ANSSI donnait l’exemple de pirates ayant ciblé des produits de chez Palo Alto qui comportaient une vulnérabilité critique plus de deux mois après la publication d’un correctif.

• En France, le niveau de risque des cybermenaces est « particulièrement élevé »

Le Club des cinq : DDR 5, Zen 5, PCIe 5, AM5…

AMD renouvelle sa gamme de processeurs d’entrée de gamme pour les serveurs et lance les EPYC 4005. Ils exploitent la dernière architecture Zen 5 et proposent jusqu’à seize cœurs sur un socket AM5. Ils sont vendus à partir de 239 dollars.

Les processeurs EPYC d’AMD sont des modèles pensés pour les serveurs, contrairement aux Ryzen qui sont des CPU pour les ordinateurs de bureau (et les portables). Il existe plusieurs familles d’EPYC : les 4000, 7000, 8000 et 9000. Plus on monte dans les numéros, plus il y a de fonctionnalités et plus les performances sont élevées.

EPYC 4005 : AM5 et Zen 5 au programme

Il y a plusieurs mois, les EPYC 9005 ont été annoncés par AMD, sur un socket SP5 avec la prise en charge de 1P ou 2P suivant les modèles (c’est-à-dire pour des cartes mères avec un ou deux sockets). Suivant les références, ils exploitent des cœurs Zen 5 ou Zen 5c, une version allégée permettant une plus grande densité de cœurs par CPU (jusqu’à 192 pour l’EPYC 9965).

Cette fois-ci, c’est au tour des modèles d’entrée de gamme de passer à la cinquième génération avec les 4005 (nom de code Grado) – notez le 5 à la fin de la référence –, tous avec ces cœurs Zen 5. Ils prennent donc la suite des 4004 (nom de code Raphael) qui étaient pour leur part en Zen 4.

• EPYC 4004 (AM5) : AMD adapte ses Ryzen 7000 pour les serveurs

Puisqu’on parle de la nomenclature des processeurs, voici la convention de nommage officielle d’AMD. On notera que la présence d’un « P » à la fin signifie 1P (c’est le cas de tous les EPYC 4005) et donc utilisable sur des cartes mères avec un seul socket. Quant au « X », il indique la présence de 3D V-Cache, comme sur les autres processeurs Ryzen de chez AMD, une technologie permettant d’ajouter 64 Mo de mémoire cache L3.

Six nouveaux CPU, de la DDR5 plus rapide

Dans la série des 4005, le fabricant présente six processeurs, tous en 1P, de l’EPYC 4245P avec 6C/12T au EPYC 4585PX avec 16C/32T et 128 Mo de cache L3. Alors que la famille des EPYC 4004 débute à quatre cœurs seulement, les EPYC 4005 ont pour le moment un minimum de six cœurs. Les fréquences oscillent entre 3.0 GHZ au repos (base) et 5,7 GHz en boost.

Les processeurs proposent tous deux canaux pour de la DDR5 ECC à 5 600 MHz contre 5 200 MHz sur les EPYC 4004 (192 Go maximum). Comme la génération précédente, on retrouve jusqu’à 28 lignes PCIe 5, une partie graphique intégrée avec du RDNA2 et le RAIDXpert2.

AMD met aussi en avant un bus de 512 bits pour AVX (au lieu de 2x 256 bits sur les 4004), un changement apporté par l’architecture Zen 5. Ce sont les seules différences mises en avant par AMD. On retrouve donc toujours une conception comprenant un ou deux CCD (Core Chiplet Die) pour un maximum de 16 cœurs. 1 Mo de mémoire cache L2 est présent par cœur, avec 32 Mo de L3 par CCD.

• CPU AMD : sous le capot des architectures Zen 5, XDNA 2 et RDNA 3.5

De 65 à 170 watts de TDP

Les processeurs EPYC 4005 avec six et huit cœurs sont donc limités à 32 Mo de cache L3 (un seul CCD) tandis que les versions avec douze ou seize cœurs ont droit à 64 Mo (2x 32 Mo). Comme toujours, les processeurs « X » ont 64 Mo de L3 supplémentaire (3D V-Cache).

Niveau TDP, les EPYC 4005 sont à 65 watts, sauf les EPYC 45650 et 4585PX (16C/32T pour les deux) à 170 watts. Un saut important par rapport au 4545P, lui aussi avec 16C/32T, mais dont le TDP est de 65 watts. La seule différence mise en avant par AMD entre le 4545P et le 4565P concerne les fréquences : 3.0 GHz en base et 5.4 GHz en boost pour le premier, 4.3 et 5,7 GHz pour le second (dont le TDP est donc doublé).

Les EPYC 4005 sont vendus à partir de 239 dollars

Les processeurs sont vendus à partir de 239 dollars (prix pour 1 000 unités commandées) pour le 4245P avec 6C/12T, on passe à 329 dollars pour le 4345P (8C/16T), 399 dollars pour le 4565P (12C/24T), 549 dollars pour le 4545P (16C/32T jusqu’à 5.4 GHz), 589 dollars pour le 4565P (16C/32T jusqu’à 5.7 GHz) et enfin 699 dollars pour le 4585PX (16C/32T avec 3D V-Cache).

La semaine dernière, Samsung annonçait le premier écran « au monde » avec une dalle OLED à 500 Hz : l’Odyssey OLED G6. Il sera d’abord disponible à Singapour, en Thaïlande, au Vietnam et en Malaisie, avant d’arriver dans le reste du monde.

Samsung annonce un « taux de rafraîchissement de 500 Hz, un temps de réponse gris vers gris de 0,03 ms et une résolution QHD (2 560 x 1 440 pixels), avec une dalle QD-OLED ». La luminosité est de 300 cd/m², le taux de contraste de 1 000 000 :1. La connectique comprend un DisplayPort 1.4 et deux HDMI 2.1. Tous les détails techniques se trouvent par ici.

500 Hz n’est pas une révolution non plus puisque des fabricants proposent des écrans à 480 Hz depuis un moment déjà, avec une dalle WOLED de LG. C’est le cas d’Asus avec son ROG Swift OLED PG27AQDP, LG UltraGear 27GX790A-B et Sony INZONE M10S. Ils sont vendus entre 1 000 et 1 350 euros chez des revendeurs français.

Sans compter que cette course aux Hz n’est pas vraiment utile. Si le passage à 60 Hz puis à 240 Hz est notable, grimper davantage l’est bien moins pour une grande majorité des joueurs. D’autant qu’il faut une carte graphique capable de suivre la cadence pour en profiter pleinement dans les jeux.

Un important changement a lieu en ce moment pour la gestion du code source de Firefox. Mozilla l’a « déplacé » vers GitHub. Les guillemets sont de rigueur, car le processus de transition depuis les serveurs hg.mozilla.org est toujours en cours et la synchronisation avec les serveurs Mercurial est toujours active.

Dans l’immédiat, rien ne change donc pour les développeurs. Il s’agit cependant du début de la fin pour l’ancienne architecture utilisée par Mozilla. C’est la conséquence du choix de passer sur une infrastructure Git pour gérer le projet. Pour le moment, on ne parle que de stockage du code, sans impact sur le suivi des bugs, l’intégration continue et autres fonctions.

Notez qu’il ne s’agit pas du premier dépôt que Mozilla possède sur GitHub. La fondation utilise par exemple un dépôt miroir pour Gecko, bien qu’en lecture seule uniquement.

Donald Trump fait varier le cours de son jeton $Trump en annonçant des dîners pour les 200 plus gros acheteurs. Mais pour au moins 67 000 petits investisseurs, dont une grande partie se lançait dans le domaine pour la première fois, cela ne se traduit pour le moment que par des pertes.

Cette foule de personnes a versé près de 15 millions de dollars dans le crypto actif, mais plus de 80 % d’entre eux l’ont fait alors que le jeton était à son taux le plus haut, d’après une analyse du Washington Post. L’un de ceux qui avaient investi pour 10 000 dollars dans le $Trump en a déjà perdu 8 000 sur le papier.

Un résultat en contraste direct avec les gains amassés par Trump et ses proches, qui attirent d’ailleurs un lot croissant de critiques et de soupçons de corruption.

Le Washington Post s’est spécifiquement intéressé aux 67 000 personnes qui ont acquis des jetons via MoonPay, un service directement lié au site officiel du président des États-Unis. Le journal constate qu’en moyenne, ces acheteurs uniques ont dépensé 100 $ et en ont perdu 62 $ sur le papier – la moitié d’entre eux doivent encore vendre leurs jetons pour que l’étendue réelle des pertes soit réalisée. Seulement 3 % de ces acheteurs ont enregistré des gains, et 17 % détiennent des jetons d’une valeur à peu près égale à leurs prix d’achat.

Le même coin est géré conjointement par la Trump Organization et une société nommée Fight Fight Fight (le cri lancé par Donald Trump après sa tentative d’assassinat). Si celles-ci ont aussi perdu de la valeur, elles ont amassé des gains via le 1 % de frais sur chaque achat de crypto réalisé via leur système de transaction officiel.

Le Washington Post calcule par ailleurs que trois portefeuilles liés à la famille Trump ont engrangé 312 millions de dollars en vendant des jetons, et 43 millions de dollars de frais de vente.

Apple a publié hier soir la cinquième version intermédiaire pour les dernières versions de ses plateformes : iOS 18.5, macOS 15.5, watchOS 11.5, tvOS 18.5 et visionOS 2.5.

On ne peut pas dire que les nouveautés visibles se bousculent, après des versions « .4 » particulièrement intenses. Sur iOS par exemple, on trouve quelques nouveaux fonds d’écran et aménagement dans Mail, une meilleure prise en charge des eSIM chez Free ou encore un léger enrichissement du contrôle parental. L’ajout le plus significatif reste l’activation des communications d’urgence par satellite sur les iPhone 13.

Du côté de macOS, c’est encore plus léger. Tout au plus le bouton « Tous les e-mails » est devenu plus visible dans Mail, pour les personnes utilisant les catégories introduites par la version 15.4 du système. Pour les autres systèmes, la récolte est tout aussi maigre. On note quand même la possibilité sur Apple Watch de valider les achats réalisés sur l’application Apple TV sur des appareils tiers, ainsi que deux nouvelles voix pour Siri.

En revanche, ces mises à jour corrigent plusieurs dizaines de failles de sécurité. On trouve également ces correctifs dans des mises à jour disponibles pour d’anciennes versions des systèmes, comme macOS 14.7.6 et 13.7.6. L’installation de ces nouvelles versions est donc chaudement recommandée.

Move fast...

D’après une enquête effectuée par IBM auprès de 2 000 CEO à travers le monde, seulement un quart des projets d’intégration de l’intelligence artificielle ont produit le retour sur investissement attendu. Malgré cela, 61 % d’entre eux affirment être en train de mettre en place des projets d’IA agentique.

Pour l’instant, l’intégration de l’IA dans les entreprises fait face à des difficultés, constate IBM dans une enquête que l’entreprise a publiée le 6 mai dernier. De l’industrie du voyage à celle de l’électronique en passant par les télécoms ou les banques, le géant de l’informatique a sondé 2 000 CEO à travers le monde pendant le premier trimestre 2025.

Peu d’intégrations dans la chaine de production efficaces pour l’instant

« Au cours des trois dernières années, les chefs d’entreprise ont déclaré que seulement 25 % des initiatives en matière d’IA ont produit le retour sur investissement escompté et que seulement 16 % ont été étendues à l’ensemble de l’entreprise », résume l’entreprise dans son rapport [PDF].

Elle ajoute qu’ « en fait, seuls 52 % des CEO affirment que leur organisation crée de la valeur en utilisant l’IA générative au-delà de la réduction des coûts ».

Le rapport d’IBM constate que pour beaucoup d’entre eux, l’introduction de l’IA dans leur chaine de production l’a désorganisée : « la moitié des chefs d’entreprise admettent que le rythme des investissements récents les a laissés avec une technologie déconnectée et fragmentaire dans leur entreprise ».

La peur de prendre du retard

Et pourtant, dans la même enquête d’IBM, une bonne partie des CEO interrogés (61 %) déclarent que leur entreprise est en train de mettre en place des agents d’IA, qui doivent aller plus loin que la réponse à une question mais doit aussi pouvoir agir, et se prépare à les mettre en œuvre à grande échelle.

• C’est quoi l’IA agentique ?

Comme le pointe The Register, ce rapport montre que deux tiers des CEO ayant répondu à l’enquête d’IBM ont mis en place des projets incluant de l’intelligence artificielle par crainte de prendre du retard, subissant le fameux syndrome FOMO : fear of missing out, ou « peur de rater quelque chose ».

« 64 % des chefs d’entreprise déclarent que le risque de prendre du retard les pousse à investir dans certaines technologies avant d’avoir une idée précise de la valeur qu’elles apportent à l’organisation », explique IBM.

Le rapport choisit aussi de citer le CEO de l’assurance Mutual of America Financial, Stephen J. Rich, qui affirme : « les pessimistes semblent intelligents, mais les optimistes gagnent de l’argent. Je pense que les bouleversements du marché offrent des opportunités et que si vous avez l’impression de disposer d’un avantage en termes d’information, vous devriez prendre des risques ».

L’environnement et la cybersécurité délaissés

Dans son rapport, en partie éditée avec l’IA générative notamment pour les images et les graphiques, IBM constate aussi que la « volatilité », les changements rapides et difficilement prévisibles, incite les chefs d’entreprise à repenser toute leur organisation, et donc à faire passer certains sujets qui étaient vus comme des « challenges » en 2023 au second plan.

Ainsi, alors qu’en 2023 les CEO avaient pris en compte le développement durable comme leur premier « challenge » et que la cybersécurité passait tout de suite après, cette année le sujet environnemental n’arrive qu’en sixième position et la cybersécurité tombe à la 11è place.

La mise sur le marché de l’IA générative et son intégration encore erratique les poussent à penser la performance de leur chaine de production comme premier « challenge ». De la même façon, ils constatent une tension concernant le recrutement des spécialistes du sujet et la main d’œuvre compétente pour intégrer l’IA risque aussi d’être difficile à trouver et à préserver.

Pourtant, 37 % des CEO ont quand même répondu qu’ « il vaut mieux être rapide et avoir tort que d’avoir raison et d’être lent, en matière d’adoption des technologies ».

La présidente du Mexique Claudia Sheinbaum a annoncé poursuivre Google sur la question de la dénomination du golfe du Mexique.

À la suite du décret pris par Donald Trump en janvier, Google a gardé le nom « golfe du Mexique » pour les utilisateurs mexicains, affiche « golfe d’Amérique » pour les internautes états-uniens, et « golfe du Mexique (golfe d’Amérique) » pour les usagers extérieurs aux deux pays.

« La seule chose que nous cherchons est la conformité avec le décret du gouvernement des États-Unis », a déclaré Sheinbaum dans une conférence de presse, mais le pays « n’a pas l’autorité de renommer l’intégralité du Golfe, puisqu’il s’agit d’une attribution internationale ».

Et d’expliquer que si elle ne peut rien avancer pour les États, montagnes ou lacs du territoire états-unien, le pays dirigé par Donald Trump, en revanche, ne peut se prononcer sur la dénomination d’une région située au Mexique ou à Cuba.

En février, la présidente du Mexique s’était déjà publiquement adressé à Google pour qu’il renonce à nommer la région « golfe d’Amérique », et avait partagé la réponse du responsable des affaires publiques de l’entreprise, Cris Turner.

Celui-ci déclarait ne pas prévoir de changer sa politique.

Aux États-Unis, souligne The Verge, le gouvernement fait pression sur toutes les entités susceptibles de le faire pour qu’elles adoptent la nouvelle dénomination.

The Associated Press s’était ainsi retrouvée interdite d’accès aux conférences de presse de la Maison-Blanche pour avoir refusé d’adopter le nouveau nom – une interdiction que la justice a ordonné de lever en mars.

« On raccourcit tout, mais sans toucher à la longueur »

Lors de son entrée en vigueur en 2018, le règlement général sur la protection des données était un texte historique. La Commission travaille désormais à une simplification de ce texte complexe. Alors que les propositions n’ont pas été formellement posées sur la table, les premières critiques fusent déjà.

Le RGPD a pour beaucoup été un « phare » dans le domaine de la protection des données personnelles. Avec son règlement, l’Europe voulait donner le LA et inspirer les autres nations. Ce fut en partie le cas, la Californie et le Brésil adoptant des textes similaires. Son impact novateur sur le respect de la vie privée a aidé à mettre en lumière les pratiques de certaines entreprises, dont les condamnations sont venues illustrer l’ampleur du problème. Cependant, le règlement a été critiqué pour ses lourdeurs.

Lourdeurs et temps d’attente

Deux critiques ont ainsi été formulées à de nombreuses reprises. D’une part, le manque d’accompagnement des entreprises pour absorber une législation unanimement considérée comme complexe. D’autre part, la difficulté des processus était d’autant plus grande que le règlement affecte l’ensemble de l’Union européenne et qu’il suppose une collaboration renforcée des différentes autorités compétences, comme la CNIL en France. Or, toutes ne comprennent pas le RGPD de la même façon. Ces écarts ont créé une accumulation des procédures et un allongement significatif des délais de traitement.

Pour autant, le RGPD de 2018 n’était qu’une première version. Le sujet de sa simplification anime de vifs débats depuis deux ans. Il s’inscrit d’ailleurs dans une volonté de la Commission de simplifier de nombreuses procédures, intensifiée par le changement brusque d’attitude des États-Unis depuis le retour de Donald Trump à la Maison-Blanche. Compétitivité et investissements sont de nouveau les maitres-mots, faisant de la révision du RGPD un numéro de funambulisme. Une volonté de simplification que l’on retrouve notamment sur tout ce qui touche au développement durable, comme l’onde de choc du rapport Mario Draghi l’a montré en février.

Simplifier sans altérer ?

L’idée serait donc de simplifier une partie des procédures du RGPD, sans toucher à son essence. Mais comment obtenir globalement les mêmes résultats via des mécanismes plus fluides ? Essentiellement en allégeant certains critères, notamment pour les petites et moyennes structures.

La Commission envisage par exemple d’étendre certaines exemptions. Aujourd’hui, les structures de moins de 250 employés (entreprises, associations…) n’ont pas à tenir un registre des traitements opérés sur les données personnelles (article 30). La Commission réfléchit à relever ce plafond à toutes les structures de moins de 500 personnes et dont le chiffre d’affaires ne dépasse pas un certain seuil. De plus, cette dérogation ne s’applique actuellement pas si ces traitements présentent « un risque pour les droits et libertés des personnes physiques ». Le changement envisagé basculerait sur un « risque élevé ».

L’European Data Protection Board (EDPB, qui regroupe toutes les CNIL européennes) et l’European Data Protection Supervisor (EDPS, qui surveille la bonne application des lois sur la vie privée par les instances européennes) ont toutes deux manifester leur soutien à cette mesure.

Dans un courrier daté du 8 mai, les deux autorités rappellent cependant que cela ne dispensera pas les responsables de traitements des autres obligations. En outre, elles font remarquer à la Commission qu’il manque en l’état des informations. Elles demandent donc que soit mieux évalué l’impact, en indiquant notamment combien de structures seraient concernées et si un « équilibre proportionné » peut être établi entre juridiction des données personnelles et intérêts des organisations.

Paver la voie aux petites et jeunes entreprises

Cette simplification ne serait qu’un exemple, parmi un concert de voix réclamant une version plus légère du RGPD. Fin mars, la ministre danoise du Numérique, Caroline Stage Olsen, déclarait ainsi que si le RGPD avait apporté nombre de « bonnes choses », il fallait « faciliter la tâche des entreprises et leur permettre de se conformer », rapportait Politico.

Un peu plus tôt, Michael McGrath, le commissaire européen chargé de superviser les lois sur la confidentialité des données, révélait en effet l’ambition de simplifier le RGPD. Lors d’un échange au Center for Strategic and International Studies (CSIS, pdf), il parlait d’améliorer la compétitivité européenne via « toute une série de mesures de simplification ». Et de citer à nouveau le rapport Draghi, pour lequel le RGPD était trop strict et lourd en l’état, en plus d’une application incohérente à travers les membres de l’Union. Exemple : l’âge du consentement, différent selon les pays.

La conformité au RGPD ferait « peur », à cause notamment des coûts qu’elle engendre. Les petites et moyennes structures ne disposent pas toujours du personnel juridique nécessaire. Elles n’ont pas forcément de délégué à la protection des données (DPD) et ne connaissent pas toujours les exigences sur les AIPD (ou DPIA), les analyses d’impact sur la protection des données. La crainte d’énormes amendes, voulues dissuasives, engendrerait également une prudence excessive, voire une paralysie.

Plusieurs propositions ont été faites au sujet des AIPD. Actuellement, ces évaluations sont nécessaires dès qu’un risque élevé est supposé. Des exemptions pourraient être mises en place pour les PME dont le traitement des données est limité. Des modèles pré-approuvés sont également envisagés. Des orientations sectorielles pourraient être mises en place pour guider les entreprises et leur « mâcher » en partie le travail. La Commission réfléchit également à définir des seuils plus clairs pour déclencher l’obligation de nommer un DPD. Ces délégués pourraient être partagés entre plusieurs entreprises, voire pourraient être embauchés via des prestataires spécialisés.

Risques et critiques

Rouvrir le dossier RGPD en vue de le simplifier permettrait de répondre à une partie des craintes et critiques exprimées. Mais l’opération pourrait servir également de prétexte à une suppression zélée, sous prétexte de fluidifier la vie des entreprises et autres structures. C’était notamment la crainte exprimée par Guillaume Champeau sur LinkedIn le mois dernier. Il évoquait une « boite de pandore », dont l’ouverture servirait à glisser dans le texte des notions floues comme « l’intérêt légitime » ou des conditions allégées sur l’obtention du consentement.

Pourtant, à l’inverse, l’association noyb, fondée par Maximilien Schrems, met en garde contre une complexification extrême du RGPD. Le 17 avril, elle pointait que les négociations entre la Commission, le Parlement et le Conseil de l’Union créaient un sac de nœuds.

L’association reproche principalement à la Commission européenne l’absence d’étude d’impact sur le RGPD et de consultation avec les parties prenantes. Face aux problèmes de négociation, les volontés de simplification auraient abouti à la place à la multiplication des procédures et l’introduction de régimes spécifiques. Au lieu d’avoir une procédure simplifiée, il y en aurait maintenant une dizaine. Maximilien Schrems critique également « l’absence de savoir-faire procédural » et relève que la Commission ne semble pas avoir consulté d’avocats spécialisés. Il déplore en outre que rien ne semble prévu pour faciliter la coopération entre les différentes autorités des pays membres.

Pour l’instant, la Commission européenne n’a pas formellement annoncé l’ampleur des modifications envisagées. Cette publication devrait intervenir au cours des prochaines semaines et sera scrutée de près. Elles pourraient se limiter aux seules modifications « validées » par l’EDPB et l’EDPS, comme le suggérait Guillaume Champeau. Mais le RGPD, dans sa forme révisée, ne répondrait alors pas aux critiques sur sa lourdeur, dont les craintes de redondances avec de nombreux autres cadres réglementaires, dont le DMA, le DSA et les trois directives sur la cybersécurité, en cours de transposition en France.

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

L'amour est comme l'oiseau de Twitter

La France veut s’allier à l’Espagne, l’Irlande et la Grèce pour pousser les réseaux sociaux à vérifier l’âge des internautes, a déclaré la ministre déléguée chargée du Numérique Clara Chappaz.

Du 13 au 22 mai, familles, écoles et collectivités sont mobilisées par l’association 10 jours sans écrans pour viser, précisément, ce que son nom indique : 10 jours de sensibilisation pour aider enfants et adolescents à réduire le temps passé devant la télévision, les tablettes ou les smartphones.

Marraine de l’association, la ministre déléguée chargée de l’intelligence artificielle et du numérique, Clara Chappaz, explique à la Tribune que l’enjeu, « sans stigmatiser », est de dégager dix jours pour que « chaque famille, chaque classe puisse se poser la même question : quelle place voulons-nous laisser aux écrans et en particulier aux réseaux sociaux dans la construction de nos enfants ? »

« Nous sommes face à une crise de santé publique, et il est temps d’y répondre à la hauteur du problème », déclare la ministre, qui souhaite interdire les réseaux sociaux avant 15 ans.

Multiplication des alertes

En 2024, une étude menée par Ipsos pour Bayard/Milan constatait qu’en moyenne, les 13 - 19 ans passaient peu ou prou autant de temps devant les écrans qu’au collège (pour un emploi du temps hebdomadaire de 26 heures de cours), avec près de 18 h passées en ligne. Même chez les plus petits, de 1 à 6 ans, l’étude relevait une nette évolution entre les 2h10 passées en moyenne chaque semaine devant du contenu web en 2011, et les 6h08 hebdomadaires relevées en 2022.

L’action prend place dans un contexte d’inquiétudes croissantes sur le sujet à tous les âges. Fin avril, cinq sociétés savantes co-signaient une tribune appelant à interdire l’exposition des moins de six ans aux écrans, sans considération de contenu, au motif qu’elles « altèrent durablement leurs capacités intellectuelles ».

• Écrans et développement de l’enfant : pour l’Inserm, « le temps d’exposition n’est pas le seul facteur »

Quelques jours plus tôt, le succès de la tendance #SkinnyTok, promouvant la maigreur extrême sur TikTok, poussait la ministre à saisir l’Arcom et la Commission européenne.

Auprès de La Tribune, Clara Chappaz revient par ailleurs sur les problématiques de harcèlement numérique, auxquels un quart des jeunes de 6 à 18 ans sont confrontés. En septembre 2024, l’association e-enfance soulignait que la problématique se déclarait toujours plus tôt, avec 27 % d’élèves harcelés en primaire, contre 25 % au collège et 19 % au lycée.

Interdiction avant 15 ans

Comme le proposait déjà le rapport rendu par la Commission sur les enfants et les écrans l’an dernier, la ministre porte par ailleurs le projet d’obliger les plateformes à interdire l’accès aux réseaux sociaux aux moins de 15 ans. « Mon travail est aujourd’hui de rallier une coalition, avec l’Espagne, la Grèce et maintenant l’Irlande, pour convaincre la Commission européenne » d’aller plus loin que les obligations déjà imposées par le règlement sur les services numériques, indique Clara Chappaz.

Avec « une ligne simple : la vérification d’âge comme impératif ». Interrogée sur la faisabilité technique du projet, la ministre s’étonne que les plateformes soient « capables de pousser un contenu ciblé à un enfant de 11  ans », mais qu’elles ne sachent pas « vérifier s’il a 13 ou 15  ans ». Citant Yoti, Docapost et Opale.io, elle déclare : « des solutions de vérification d’âge existent, par exemple, via la reconnaissance faciale, les seuls mouvements de la main… » et insiste : « C’est trop facile de mettre la responsabilité sur le dos des parents, ou pire celui des enfants ».

• Instagram bascule tous les utilisateurs mineurs dans des comptes plus protégés

En septembre 2024, un sondage [PDF], mené par Ipsos auprès de 23 000 personnes dans le monde dont 1 000 Français, constatait que 80 % des répondants en France étaient favorables à l’interdiction des réseaux sociaux avant 14 ans, et 75 % étaient favorables à l’interdiction des smartphones dans les écoles.

En novembre 2024, l’Australie a adopté l’une des restrictions les plus strictes du monde en interdisant les réseaux sociaux au moins de 16 ans.

En Espagne, notamment sous l’impulsion d’affaires comme la diffusion de deepfakes de collégiennes dans la ville d’Almendralejo, les différentes régions d’Espagne ont progressivement interdit l’usage des smartphones dans les écoles jusqu’au collège, voire, dans une certaine mesure, le lycée. Depuis cette année, la mesure concerne l’ensemble du pays.

• 15 adolescents espagnols condamnés pour des deepnudes de leurs camarades de classe

Lors d’une rencontre avec le collège des cardinaux, le 10 mai, le nouveau pape Léon XIV a mentionné l’intelligence artificielle alors qu’il expliquait le choix de son nom de pape.

Il a fait référence à son prédécesseur Léon XIII, qui, « avec l’encyclique historique “Rerum novarum”, a abordé la question sociale dans le contexte de la première grande révolution industrielle », rapporte le Nouvel Obs.

Cette encyclique de 1891 inaugurait la « doctrine sociale » de l’Église catholique, a précisé Robert Francis Prevost, 69 ans, devenu pape le 8 mai 2025.

« Aujourd’hui l’Église offre à tous son héritage de doctrine sociale pour répondre à une autre révolution industrielle et aux développements de l’intelligence artificielle, qui posent de nouveaux défis pour la défense de la dignité humaine, de la justice et du travail », a-t-il déclaré lors du conclave des cardinaux.

• Antonio Casilli : « L’intelligence artificielle est l’une des industries extractives de notre époque »

Premier pape d’origine états-unienne, Léon XIV a aussi la nationalité péruvienne, où il a passé la moitié de sa vie de missionnaire.

Il est aussi le premier pape à avoir une (relative) trace numérique, ce qui a permis à The Verge d’exhumer des publications en faveur de la législation des armes à feu aux États-Unis ou appelant Donald Trump à mettre en place des régulations pour lutter contre le changement climatique.

Dire qu’on est au niveau de l’Internet des objets… ça fait peur

SolarPower Europe tire la sonnette d’alarme sur les risques de cybersécurité dans les installations solaires. L’organisation pointe du doigt les onduleurs connectés, majoritairement chinois, dont la sécurité n’est pas suffisante. Ce n’est pas le seul risque : plus d’une douzaine de fabricants auraient atteint un niveau critique d’équipements déployés en Europe ; une compromission pourrait avoir un impact significatif.

Le 28 avril, l’Espagne et le Portugal étaient victimes d’un black-out pendant plusieurs heures. La panne ne s’est pas propagée en France (même si des perturbations très limitées ont tout de même été enregistrées) et en Europe. Les causes ne sont pas encore connues, l’enquête officielle suit son cours (et peut prendre jusqu’à six mois).

• Black-out Espagne et Portugal : RTE fait le point et tord le cou à plusieurs fake news

Black-out ibérique : « toutes les hypothèses sont ouvertes »

À l’heure actuelle, « toutes les hypothèses sont ouvertes », affirmait encore le gouvernement espagnol la semaine dernière. Une des pistes en vogue concerne la part importante des énergies renouvelables dans le mix ibérique. « Des investigations en cours devront analyser dans quelles mesure cette forte part des énergies renouvelables [70 % d’éolien et de solaire au moment du black-out, ndlr] a pu jouer un rôle dans la propagation de l’incident », expliquait RTE il y a une semaine.

Ce n’est pas tant la production d’énergie qui est en cause que le délicat équilibre à trouver pour assurer une bonne stabilité au réseau électrique, comme nous l’avons détaillé dans notre dossier sur le sujet du solaire et de l’éolien. De son côté, la piste de la cyberattaque se refroidit avec le temps, mais n’est toujours pas écartée officiellement.

• Réseau électrique : pourquoi le solaire et l’éolien sont des « passagers clandestins » – Next

L’Europe et les risques de cyberattaques sur les onduleurs solaires

Cet événement de quelques heures et ses conséquences soulignent l’importance de l’électricité dans notre vie de tous les jours. C’est dans ce climat tendu que SolarPower Europe, une organisation qui regroupe plus de 300 entreprises du photovoltaïque), publie un rapport sur les risques cyber du photovoltaïque pour la stabilité du réseau électrique en Europe.

Le rapport, commandé à DNV et publié le 29 avril, soit le lendemain du black-aout ibérique, affirme que l’Europe se trouve dans « un contexte d’attaques croissantes contre ses infrastructures énergétiques », aussi bien par de « petits » pirates que par des groupes étatiques. Dans la ligne de mire, des installations photovoltaïques « de plus en plus connectées à Internet via les onduleurs ».

Les onduleurs sont pour rappel des éléments indispensables de toutes les installations, comme expliqué dans notre dossier. Ce sont, en effet, eux qui transforment le courant continu produit par les panneaux solaires en courant alternatif qui est ensuite utilisé ou injecté dans le réseau. Ils peuvent être connectés, par exemple pour renvoyer des informations sur le niveau de production.

• Kit solaire d’autoconsommation : que faut-il savoir avant d’en installer un soi-même ?
• Monter son propre kit photovoltaïque : choisir ses panneaux solaires et son micro-onduleur

Ils sont donc à la fois un élément indispensable et parfois connecté à Internet… ils représentent donc par définition un risque et doivent être surveillés de près. Dans les grandes lignes, le rapport pointe du doigt la forte concentration d’acteurs chinois avec des risques en cas de cyberattaques.

De petites installations conduisent à de gros risques ?

Si la cybersécurité en Europe est en train d’être renforcée, notamment via les directives NIS2, DORA et REC (en cours de transposition en France), cela concerne principalement les professionnels et entreprises d’une certaine taille ; pas les particuliers ni les petites entreprises.

Or, il existe, selon le rapport, bon nombre « de systèmes photovoltaïques sont trop petits pour être classés comme infrastructures critiques » et donc pris en compte par les différentes réglementations. Ils sont souvent exploités par des particuliers ou des petites entreprises. Mais mis bout à bout, ils peuvent représenter une part non négligeable de la production électrique.

IoT et onduleur photovoltaïque : même combat ?

« Du point de vue des communications et de la cybersécurité, la plupart des installations solaires en toiture s’apparentent davantage à des produits du monde de l’Internet des objets (IoT) qu’à des infrastructures énergétiques centralisées », explique le rapport.

On retrouve avec ces dernières des problématiques courantes de cybersécurité. La première d’entre elles : « Les noms d’utilisateur et mots de passe par défaut sont très courants pour tous les types d’installations ». Le rapport ajoute que les échanges de données manquent parfois de sécurité, que les mises à jour sont rares, surtout pour les modèles d’entrée de gamme, etc.

« Les fabricants chinois dominent le marché européen »

Selon les analyses de DNV sur les années 2015 à 2023, et « à l’instar des tendances mondiales, les fabricants chinois dominent le marché européen, bien que leur domination soit un peu moins marquée » sur le photovoltaïque.

Le premier exportateur en puissance est Huawei (115 GW sur un total de 350 GW), suivi par Sungrow (54 GW). Les autres sont au maximum à 30 GW.

Le cas de Huawei est particulier, car l’entreprise chinoise est sur la liste noire des États-Unis et sous un contrôle renforcé en Europe et en France pour ce qui a trait au déploiement des réseaux 5G. Selon le rapport, la Commission européenne devra se poser la question d’étendre les restrictions en place sur les télécommunications « à d’autres technologies pertinentes pour les infrastructures critiques, telles que les onduleurs ».

Huawei exclu de SolarPower Europe

Hasard ou pas du calendrier, Huawei vient de se faire exclure de SolarPower Europe, comme le rapporte Euractiv : « Le conseil d’administration de SolarPower Europe a pris la décision d’exclure Huawei le 28 avril 2025 », affirme un porte-parole.

En cause, l’ouverture par les autorités belges d’une enquête pour « corruption présumée de certains députés européens par la société chinoise Huawei », expliquaient nos confrères en mars. Dans la foulée, le Parlement européen annonçait « priver temporairement d’accès à ses bâtiments de Bruxelles et de Strasbourg tous les lobbyistes et les représentants de Huawei », indiquait de son côté l’AFP.

13 fabricants à surveiller comme le lait sur le feu, selon le rapport

« En supposant que chaque fabricant dispose d’un accès à distance à 70 % de sa base installée, ou puisse envoyer des mises à jour, en 2023, sept fabricants seraient en mesure de manipuler à distance plus de 10 GW de capacité de production et 13 fabricants pourraient disposer d’un accès à distance supérieur à 5 GW en Europe ». On imagine bien en pareille situation « qu’une compromission de l’une de ces entreprises pourrait avoir un impact significatif sur la stabilité du réseau ».

La situation serait préoccupante, car selon des simulations reprises par le rapport sur les réseaux électriques, compromettre de manière ciblée une puissance de 3 GW sur le solaire « pourrait avoir des conséquences importantes pour le réseau électrique européen ». Or, « plus d’une douzaine de fabricants occidentaux et non occidentaux contrôlent bien plus de 3 GW de capacité d’onduleurs installée ».

Et il faut ne pas oublier d’autres acteurs dont les actes malveillants (volontaires ou non) pourraient avoir de fâcheuses conséquences : les exploitants d’installations photovoltaïques, les installateurs et certains prestataires de services.

Deux recommandations

En guise de conclusion, Solar Power propose deux recommandations. La première est de mettre en place et surtout d’imposer « des contrôles de cybersécurité spécifiques à cette industrie, par exemple par le biais d’une norme, pour sécuriser les infrastructures solaires photovoltaïques pilotées à distance ».

La seconde est d’avoir une approche semblable aux règles du RGPD sur le transfert des données (garantir un niveau de protection équivalent à celui au sein de l’Union). La gestion et le contrôle d’installations photovoltaïques (notamment les systèmes solaires à petite échelle) ne devraient ainsi être autorisés que via des pays proposant un niveau de sécurité équivalent aux règles en vigueur dans l’Union européenne.