Moins de juniors = moins de futurs seniors

Aux États-Unis comme en France, les institutions comme l’Insee ou la Fed constatent une stagnation, voire une baisse, de l’emploi dans les secteurs liés à l’informatique, ceci corrélé à l’arrivée en masse des outils d’IA générative.

Après un peu plus de trois ans d’IA générative, les premières analyses chiffrées du marché du travail dans l’informatique sont arrivées. Une corrélation commence à se dessiner franchement entre la morosité de l’emploi dans le secteur et l’arrivée des outils comme Claude Code, Codex et autres Cursor.

Une baisse de l’emploi chez les devs aux États-Unis

Ainsi, dans une note de conjoncture, l’Insee explique que « l’emploi salarié dans le secteur des activités spécialisées, scientifiques et techniques, qui représente 8 % de l’emploi salarié aux États-Unis, décélère depuis 2023 et baisse en 2025 :- 0,2 % en 2025, après + 0,3 % en 2024 et + 2,5 % en 2023. Dans le secteur plus spécifique des services de conception de systèmes informatiques et services connexes, qui représente 2 % de l’emploi salarié, l’emploi recule même depuis deux ans (- 1,6 % en 2025, après - 1,2 % en 2024) ».

L’organisme français de la statistique ajoute que, dans le même temps, « la valeur ajoutée rapportée à l’emploi privé suggère une amélioration récente de la productivité apparente, notamment en 2025, dans les secteurs des activités spécialisées, scientifiques et techniques et des services de conception de systèmes informatiques et services connexes », ceci toujours aux États-Unis.

Moins d’emplois de développeurs, mais pas forcément moins d’emplois pour les développeurs

Un rapport de la Réserve fédérale américaine (Fed) publié aussi en mars dernier va dans le même sens. La Fed n’a pas étudié le problème de la même façon. Elle a simulé ce qu’aurait pu être l’évolution du marché de l’emploi des développeurs aux États-Unis si l’IA générative n’avait pas émergé, en analysant le marché de l’emploi dans les industries qui ont traditionnellement une demande intensive en développeurs et dans les autres. « Si l’on considère la période d’environ trois ans écoulée depuis novembre 2022 et en prenant comme référence les 5,735 millions d’emplois de développeurs existants, cela signifie qu’environ 500 000 emplois de développeurs supplémentaires auraient été créés si l’on n’avait pas eu recours à grande échelle aux modèles de langage de grande capacité (LLM) », expliquent les chercheurs de l’institution [PDF].

Plus en détail, on voit que « l’écart ne se creuse de manière significative qu’au milieu de l’année 2024 » en regardant le premier graphique ci-dessous.

Les deux graphiques suivants permettent de s’apercevoir que c’est dans les industries où la demande en développeurs est traditionnellement intensive que celle-ci stagne au lieu d’augmenter :

Ils ajoutent cependant une remarque : « pour plusieurs raisons, nous n’interprétons pas ces résultats comme une preuve que l’IA a supprimé 500 000 emplois dans l’économie ». Effectivement, les développeurs peuvent avoir pris des postes qui ne sont pas étiquetés comme tels. Et ils expliquent que « l’IA pourrait modifier la composition des tâches des professions, ainsi un potentiel développeur d’aujourd’hui pourrait se diriger vers un poste de management ou une autre profession qui utilise désormais davantage ses compétences de développeur ».

Pour les chercheurs de la Fed, l’industrie de l’IA générative n’est pas « encore » un possible facteur de retournement de la situation de l’emploi chez les développeurs aux États-Unis. « Au total, les effectifs d’OpenAI, d’Anthropic et de Google DeepMind sont probablement inférieurs à 15 000 personnes, et bon nombre de ces employés ne sont pas des développeurs. Même en multipliant ce chiffre par six pour tenir compte des start-ups et des équipes d’IA chez Meta, Microsoft et ailleurs, on atteindrait toujours moins de 2 % des développeurs américains », explique leur rapport.

Des observations similaires sur le marché français

Du côté français, l’Insee estime qu’une « lecture analogue peut être menée » : « depuis 2023, l’emploi baisse dans ce secteur, tandis que la valeur ajoutée conserve une trajectoire sans inflexion marquée ».

En allant un peu plus dans le détail, il explique que ce sont plutôt les profils juniors qui seraient touchés. « Les ajustements liés à l’IA pourraient, à court terme, se concentrer moins sur l’emploi total que sur la structure des embauches, en particulier sur les positions d’entrée dans certains métiers (fonctions support, administratif, conseil, certaines tâches de développement et d’analyse), et pénaliser fortement les jeunes », explique l’organisme.

Ainsi, on peut voir qu’en France, au quatrième trimestre 2025, l’emploi des jeunes salariés (15 - 29 ans, hors alternants) est en baisse de 7,4 % sur un an dans les activités informatiques :

Quand on regarde les chiffres sur 2 ans, entre 2023 et 2025, l’emploi s’est contracté de 3 % dans les activités informatiques et services d’information, mais ce sont les juniors qui en payent le prix. Ainsi, alors que les 30 - 54 ans et les 55 ans et plus voient les offres d’emplois toujours augmenter sensiblement, « l’emploi salarié des 15 - 29 ans (hors alternants) recule en glissement annuel de 7,4 % dans les activités informatiques », explique l’Insee :

De son côté, le chercheur de l’université de Boston, James Bessen, s’appuie sur l’augmentation globale de l’emploi dans le secteur aux États-Unis pour souligner que la « job-pocalypse » dont la peur s’était répandue suite à un billet de blog viral de Matt Schumer n’a pas eu lieu. « Étonnamment, cependant, après trois ans d’utilisation de l’IA, les emplois dans le secteur du développement logiciel ont continué à progresser de manière soutenue, atteignant des niveaux d’emploi records : 2,5 millions en février ».

Moins de juniors = moins de futurs seniors

Aux États-Unis comme en France, les institutions comme l’Insee ou la Fed constatent une stagnation, voire une baisse, de l’emploi dans les secteurs liés à l’informatique, ceci corrélé à l’arrivée en masse des outils d’IA générative.

Après un peu plus de trois ans d’IA générative, les premières analyses chiffrées du marché du travail dans l’informatique sont arrivées. Une corrélation commence à se dessiner franchement entre la morosité de l’emploi dans le secteur et l’arrivée des outils comme Claude Code, Codex et autres Cursor.

Une baisse de l’emploi chez les devs aux États-Unis

Ainsi, dans une note de conjoncture, l’Insee explique que « l’emploi salarié dans le secteur des activités spécialisées, scientifiques et techniques, qui représente 8 % de l’emploi salarié aux États-Unis, décélère depuis 2023 et baisse en 2025 :- 0,2 % en 2025, après + 0,3 % en 2024 et + 2,5 % en 2023. Dans le secteur plus spécifique des services de conception de systèmes informatiques et services connexes, qui représente 2 % de l’emploi salarié, l’emploi recule même depuis deux ans (- 1,6 % en 2025, après - 1,2 % en 2024) ».

L’organisme français de la statistique ajoute que, dans le même temps, « la valeur ajoutée rapportée à l’emploi privé suggère une amélioration récente de la productivité apparente, notamment en 2025, dans les secteurs des activités spécialisées, scientifiques et techniques et des services de conception de systèmes informatiques et services connexes », ceci toujours aux États-Unis.

Moins d’emplois de développeurs, mais pas forcément moins d’emplois pour les développeurs

Un rapport de la Réserve fédérale américaine (Fed) publié aussi en mars dernier va dans le même sens. La Fed n’a pas étudié le problème de la même façon. Elle a simulé ce qu’aurait pu être l’évolution du marché de l’emploi des développeurs aux États-Unis si l’IA générative n’avait pas émergé, en analysant le marché de l’emploi dans les industries qui ont traditionnellement une demande intensive en développeurs et dans les autres. « Si l’on considère la période d’environ trois ans écoulée depuis novembre 2022 et en prenant comme référence les 5,735 millions d’emplois de développeurs existants, cela signifie qu’environ 500 000 emplois de développeurs supplémentaires auraient été créés si l’on n’avait pas eu recours à grande échelle aux modèles de langage de grande capacité (LLM) », expliquent les chercheurs de l’institution [PDF].

Plus en détail, on voit que « l’écart ne se creuse de manière significative qu’au milieu de l’année 2024 » en regardant le premier graphique ci-dessous.

Les deux graphiques suivants permettent de s’apercevoir que c’est dans les industries où la demande en développeurs est traditionnellement intensive que celle-ci stagne au lieu d’augmenter :

Ils ajoutent cependant une remarque : « pour plusieurs raisons, nous n’interprétons pas ces résultats comme une preuve que l’IA a supprimé 500 000 emplois dans l’économie ». Effectivement, les développeurs peuvent avoir pris des postes qui ne sont pas étiquetés comme tels. Et ils expliquent que « l’IA pourrait modifier la composition des tâches des professions, ainsi un potentiel développeur d’aujourd’hui pourrait se diriger vers un poste de management ou une autre profession qui utilise désormais davantage ses compétences de développeur ».

Pour les chercheurs de la Fed, l’industrie de l’IA générative n’est pas « encore » un possible facteur de retournement de la situation de l’emploi chez les développeurs aux États-Unis. « Au total, les effectifs d’OpenAI, d’Anthropic et de Google DeepMind sont probablement inférieurs à 15 000 personnes, et bon nombre de ces employés ne sont pas des développeurs. Même en multipliant ce chiffre par six pour tenir compte des start-ups et des équipes d’IA chez Meta, Microsoft et ailleurs, on atteindrait toujours moins de 2 % des développeurs américains », explique leur rapport.

Des observations similaires sur le marché français

Du côté français, l’Insee estime qu’une « lecture analogue peut être menée » : « depuis 2023, l’emploi baisse dans ce secteur, tandis que la valeur ajoutée conserve une trajectoire sans inflexion marquée ».

En allant un peu plus dans le détail, il explique que ce sont plutôt les profils juniors qui seraient touchés. « Les ajustements liés à l’IA pourraient, à court terme, se concentrer moins sur l’emploi total que sur la structure des embauches, en particulier sur les positions d’entrée dans certains métiers (fonctions support, administratif, conseil, certaines tâches de développement et d’analyse), et pénaliser fortement les jeunes », explique l’organisme.

Ainsi, on peut voir qu’en France, au quatrième trimestre 2025, l’emploi des jeunes salariés (15 - 29 ans, hors alternants) est en baisse de 7,4 % sur un an dans les activités informatiques :

Quand on regarde les chiffres sur 2 ans, entre 2023 et 2025, l’emploi s’est contracté de 3 % dans les activités informatiques et services d’information, mais ce sont les juniors qui en payent le prix. Ainsi, alors que les 30 - 54 ans et les 55 ans et plus voient les offres d’emplois toujours augmenter sensiblement, « l’emploi salarié des 15 - 29 ans (hors alternants) recule en glissement annuel de 7,4 % dans les activités informatiques », explique l’Insee :

De son côté, le chercheur de l’université de Boston, James Bessen, s’appuie sur l’augmentation globale de l’emploi dans le secteur aux États-Unis pour souligner que la « job-pocalypse » dont la peur s’était répandue suite à un billet de blog viral de Matt Schumer n’a pas eu lieu. « Étonnamment, cependant, après trois ans d’utilisation de l’IA, les emplois dans le secteur du développement logiciel ont continué à progresser de manière soutenue, atteignant des niveaux d’emploi records : 2,5 millions en février ».

InterActive Corp (IAC) vient officiellement de fermer le site de son moteur de recherche Ask.com qui existait depuis 1997.

« Alors que IAC poursuit sa réorientation stratégique, nous avons pris la décision de mettre fin à nos activités dans le domaine de la recherche, dont fait partie Ask.com », affirme l’entreprise sur la page d’accueil du site.

Le site qui laissait les utilisateurs poser leurs questions dans un langage naturel s’est fait rattraper, depuis l’arrivée de ChatGPT, par les chatbots boostés à l’IA générative. Apparu sous le nom de Ask Jeeves, utilisant le prénom du majordome à qui l’internaute pouvait poser toutes sortes de questions, le moteur de recherche a été renommé ensuite Ask en 2006 après avoir été racheté par InterActive Corp.

« Nous sommes profondément reconnaissants envers les brillants ingénieurs, concepteurs et équipes qui ont développé et soutenu Ask au fil des décennies. Et à vous, les millions d’utilisateurs qui vous êtes tournés vers nous pour trouver des réponses dans un monde en constante évolution, merci pour votre curiosité sans limite, votre fidélité et votre confiance », affirme l’entreprise.

Les pages des réponses aux questions des utilisateurs (par exemple ici ou là) affichent maintenant une erreur 404.

Le groupe InterActive Corp, qui possède encore de nombreux sites à travers sa filiale People Inc ou encore le titre de presse The Daily Beast, avait arrêté le financement du site College Humour en 2020 et en 2021 avait lancé en bourse la plateforme de streaming Vimeo.

• Vimeo touchée à son tour par la vague d’attaques liée à Anodot

InterActive Corp (IAC) vient officiellement de fermer le site de son moteur de recherche Ask.com qui existait depuis 1997.

« Alors que IAC poursuit sa réorientation stratégique, nous avons pris la décision de mettre fin à nos activités dans le domaine de la recherche, dont fait partie Ask.com », affirme l’entreprise sur la page d’accueil du site.

Le site qui laissait les utilisateurs poser leurs questions dans un langage naturel s’est fait rattraper, depuis l’arrivée de ChatGPT, par les chatbots boostés à l’IA générative. Apparu sous le nom de Ask Jeeves, utilisant le prénom du majordome à qui l’internaute pouvait poser toutes sortes de questions, le moteur de recherche a été renommé ensuite Ask en 2006 après avoir été racheté par InterActive Corp.

« Nous sommes profondément reconnaissants envers les brillants ingénieurs, concepteurs et équipes qui ont développé et soutenu Ask au fil des décennies. Et à vous, les millions d’utilisateurs qui vous êtes tournés vers nous pour trouver des réponses dans un monde en constante évolution, merci pour votre curiosité sans limite, votre fidélité et votre confiance », affirme l’entreprise.

Les pages des réponses aux questions des utilisateurs (par exemple ici ou là) affichent maintenant une erreur 404.

Le groupe InterActive Corp, qui possède encore de nombreux sites à travers sa filiale People Inc ou encore le titre de presse The Daily Beast, avait arrêté le financement du site College Humour en 2020 et en 2021 avait lancé en bourse la plateforme de streaming Vimeo.

• Vimeo touchée à son tour par la vague d’attaques liée à Anodot

Tout ça pour ça ?

Dans une décision qui marque peut-être la fin d’un dossier de 17 ans, le Conseil d’État vient de planter des clous du cercueil de la « réponse graduée », dispositif mis en place par la fameuse Hadopi et opéré depuis 2021 par l’Arcom.

Le Conseil d’État vient de répondre à une question vieille de 17 ans : oui, dans sa version actuelle, la « réponse graduée » telle que mise en place à l’époque de la Hadopi et reprise par l’Arcom depuis 2021 est illégale. « Le Conseil d’État juge aujourd’hui que le dispositif de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n’est pas conforme au droit européen », explique l’institution judiciaire dans un communiqué.

Il donne ainsi finalement (en partie) raison à la Quadrature du Net, FDN, Franciliens.net et la FFDN qui l’avaient saisi pour demander l’annulation du décret du 5 mars 2010 qui permettait à la Hadopi puis à l’Arcom de mettre le dispositif en place.

Celui-ci leur permettait de sanctionner la non-sécurisation d’une connexion. En 2009, lors de la fameuse bataille de la loi Hadopi, le gouvernement, mené par François Fillon à l’époque, a imposé à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de partage d’œuvres protégées. Cette obligation était accompagnée d’un mécanisme d’avertissements qui pouvait se solder théoriquement à la fin par une contravention de 1 500 euros.

Comme nous le précisons ci-dessus, le Conseil d’État ne donne pas totalement raison aux quatre associations qui auraient voulu que l’institution condamne ce dispositif « sur le principe ».

Elles avaient obtenu en 2020 de la part du Conseil constitutionnel la censure d’un bout de la loi Hadopi qui ne changeait pas grand-chose au processus. Une victoire à la Pyrrhus pour les requérants, expliquions-nous à l’époque.

Un dispositif non conforme au droit européen

Mais la procédure a continué et, en 2021, le Conseil d’État a décidé de saisir la Cour de justice de l’Union européenne, questionnant la conformité de la riposte graduée, non à la Constitution, mais au droit de l’Union.

• Riposte européenne contre la réponse graduée

Et c’est finalement sur l’avis de la CJUE que le Conseil d’État s’appuie maintenant pour considérer que le traitement de données à caractère personnel mis en place pour la troisième étape de la « réponse graduée » (la transmission au parquet) par le décret est problématique.

Selon le rapport du Conseil d’État, le dispositif pourrait permettre à l’autorité publique qui le gère (la Hadopi puis l’Arcom) d’être aussi « renseignée sur des aspects, y compris sensibles, de la vie privée des personnes en cause » en mettant en « relation [les] données d’identité, de manière itérative pour une même personne, avec des informations, même limitées, portant sur le contenu des œuvres illégalement mises à disposition sur Internet ». « Un tel accès doit être encadré par la réglementation nationale », estime l’institution.

Notamment, le Conseil d’État explique que « la Cour de justice de l’Union européenne dit pour droit que, lorsque cette autorité publique a déjà mis en relation à deux reprises les données d’identité d’une même personne avec des informations relatives au contenu d’œuvres illégalement mises à disposition sur Internet, elle ne peut procéder pour une troisième fois à cette mise en relation sans y avoir été autorisée par une juridiction ou une entité administrative indépendante ». Ce qui n’est pas prévu par le décret.

L’institution remarque aussi que le décret n’impose pas de « règles claires et précises qui garantissent une séparation effectivement étanche des données conservées par les fournisseurs de services de communications électroniques ».

Ainsi, « le décret du 5 mars 2010 fixant les règles de traitement des données ne respecte pas le droit de l’Union européenne », résume le Conseil d’État dans son communiqué. Et l’institution ordonne au gouvernement de revoir le décret pour le mettre en conformité avec ces exigences.

La mort du dispositif ?

Est-ce pour autant la mort complète du dispositif ? Pour la Quadrature du Net, « il revient désormais au gouvernement d’acter la mort de la Hadopi et, au lieu de tenter de la ressusciter, d’admettre enfin que le partage non-marchand de la culture en ligne ne doit pas être criminalisé ».

Mais l’Arcom pourrait remettre le couvert pour faire revivre le dispositif. « La Cour de justice de l’Union a validé le principe du dispositif de la réponse graduée, ce qui est objectivement une bonne nouvelle », affirme-t-elle à l’Informé, en ajoutant qu’« il y a désormais un débat de modalités, qui peut être complexe ». La nuance est importante : le principe est validé, pas sa mise en place. Elle doit concerter les sociétés d’ayants droit le 6 mai puis les fournisseurs d’accès.

Selon nos confrères, l’autorité envisagerait de mettre une première rustine, le temps que le gouvernement concocte un nouveau texte en réclamant aux FAI une déclaration sur l’honneur que les données qu’ils traitent sont bien étanches les unes par rapport aux autres. À voir si le Conseil d’État acceptera cette solution transitoire. Celui-ci explique dans son communiqué que, « dans l’attente d’un éventuel nouveau décret, le Conseil d’État précise que, dans le cas d’infractions pénales ne présentant pas une particulière gravité, l’Arcom ne peut demander aux opérateurs l’identification d’un abonné à partir de son adresse IP, que s’il est établi que ces données personnelles ont été conservées dans les conditions fixées par la CJUE ».

Ensuite, le texte pourrait être modifié par le législateur ou le ministre de la Culture pour que l’Arcom ne puisse plus avoir accès aux informations sur les œuvres téléchargées et ainsi plus déduire d’informations sensibles sur la personne mise en cause. L’autorité pourrait aussi décider de maintenir seulement les deux premières étapes de la « réponse graduée », considérée comme la « phase pédagogique ».

Interrogé par Next, l’avocat spécialisé dans le numérique Alexandre Archambault imagine aussi que l’identification des pirates puisse basculer au civil avec la qualification de « délinquance grave » comme pour le blocage des sites web de streaming contre les FAI, les moteurs de recherche et désormais les VPN.

• Formule 1, MotoGP : Canal+ fait feu de tout bois pour faire bloquer le streaming pirate

Tout ça pour ça ?

Dans une décision qui marque peut-être la fin d’un dossier de 17 ans, le Conseil d’État vient de planter des clous du cercueil de la « réponse graduée », dispositif mis en place par la fameuse Hadopi et opéré depuis 2021 par l’Arcom.

Le Conseil d’État vient de répondre à une question vieille de 17 ans : oui, dans sa version actuelle, la « réponse graduée » telle que mise en place à l’époque de la Hadopi et reprise par l’Arcom depuis 2021 est illégale. « Le Conseil d’État juge aujourd’hui que le dispositif de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n’est pas conforme au droit européen », explique l’institution judiciaire dans un communiqué.

Il donne ainsi finalement (en partie) raison à la Quadrature du Net, FDN, Franciliens.net et la FFDN qui l’avaient saisi pour demander l’annulation du décret du 5 mars 2010 qui permettait à la Hadopi puis à l’Arcom de mettre le dispositif en place.

Celui-ci leur permettait de sanctionner la non-sécurisation d’une connexion. En 2009, lors de la fameuse bataille de la loi Hadopi, le gouvernement, mené par François Fillon à l’époque, a imposé à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de partage d’œuvres protégées. Cette obligation était accompagnée d’un mécanisme d’avertissements qui pouvait se solder théoriquement à la fin par une contravention de 1 500 euros.

Comme nous le précisons ci-dessus, le Conseil d’État ne donne pas totalement raison aux quatre associations qui auraient voulu que l’institution condamne ce dispositif « sur le principe ».

Elles avaient obtenu en 2020 de la part du Conseil constitutionnel la censure d’un bout de la loi Hadopi qui ne changeait pas grand-chose au processus. Une victoire à la Pyrrhus pour les requérants, expliquions-nous à l’époque.

Un dispositif non conforme au droit européen

Mais la procédure a continué et, en 2021, le Conseil d’État a décidé de saisir la Cour de justice de l’Union européenne, questionnant la conformité de la riposte graduée, non à la Constitution, mais au droit de l’Union.

• Riposte européenne contre la réponse graduée

Et c’est finalement sur l’avis de la CJUE que le Conseil d’État s’appuie maintenant pour considérer que le traitement de données à caractère personnel mis en place pour la troisième étape de la « réponse graduée » (la transmission au parquet) par le décret est problématique.

Selon le rapport du Conseil d’État, le dispositif pourrait permettre à l’autorité publique qui le gère (la Hadopi puis l’Arcom) d’être aussi « renseignée sur des aspects, y compris sensibles, de la vie privée des personnes en cause » en mettant en « relation [les] données d’identité, de manière itérative pour une même personne, avec des informations, même limitées, portant sur le contenu des œuvres illégalement mises à disposition sur Internet ». « Un tel accès doit être encadré par la réglementation nationale », estime l’institution.

Notamment, le Conseil d’État explique que « la Cour de justice de l’Union européenne dit pour droit que, lorsque cette autorité publique a déjà mis en relation à deux reprises les données d’identité d’une même personne avec des informations relatives au contenu d’œuvres illégalement mises à disposition sur Internet, elle ne peut procéder pour une troisième fois à cette mise en relation sans y avoir été autorisée par une juridiction ou une entité administrative indépendante ». Ce qui n’est pas prévu par le décret.

L’institution remarque aussi que le décret n’impose pas de « règles claires et précises qui garantissent une séparation effectivement étanche des données conservées par les fournisseurs de services de communications électroniques ».

Ainsi, « le décret du 5 mars 2010 fixant les règles de traitement des données ne respecte pas le droit de l’Union européenne », résume le Conseil d’État dans son communiqué. Et l’institution ordonne au gouvernement de revoir le décret pour le mettre en conformité avec ces exigences.

La mort du dispositif ?

Est-ce pour autant la mort complète du dispositif ? Pour la Quadrature du Net, « il revient désormais au gouvernement d’acter la mort de la Hadopi et, au lieu de tenter de la ressusciter, d’admettre enfin que le partage non-marchand de la culture en ligne ne doit pas être criminalisé ».

Mais l’Arcom pourrait remettre le couvert pour faire revivre le dispositif. « La Cour de justice de l’Union a validé le principe du dispositif de la réponse graduée, ce qui est objectivement une bonne nouvelle », affirme-t-elle à l’Informé, en ajoutant qu’« il y a désormais un débat de modalités, qui peut être complexe ». La nuance est importante : le principe est validé, pas sa mise en place. Elle doit concerter les sociétés d’ayants droit le 6 mai puis les fournisseurs d’accès.

Selon nos confrères, l’autorité envisagerait de mettre une première rustine, le temps que le gouvernement concocte un nouveau texte en réclamant aux FAI une déclaration sur l’honneur que les données qu’ils traitent sont bien étanches les unes par rapport aux autres. À voir si le Conseil d’État acceptera cette solution transitoire. Celui-ci explique dans son communiqué que, « dans l’attente d’un éventuel nouveau décret, le Conseil d’État précise que, dans le cas d’infractions pénales ne présentant pas une particulière gravité, l’Arcom ne peut demander aux opérateurs l’identification d’un abonné à partir de son adresse IP, que s’il est établi que ces données personnelles ont été conservées dans les conditions fixées par la CJUE ».

Ensuite, le texte pourrait être modifié par le législateur ou le ministre de la Culture pour que l’Arcom ne puisse plus avoir accès aux informations sur les œuvres téléchargées et ainsi plus déduire d’informations sensibles sur la personne mise en cause. L’autorité pourrait aussi décider de maintenir seulement les deux premières étapes de la « réponse graduée », considérée comme la « phase pédagogique ».

Interrogé par Next, l’avocat spécialisé dans le numérique Alexandre Archambault imagine aussi que l’identification des pirates puisse basculer au civil avec la qualification de « délinquance grave » comme pour le blocage des sites web de streaming contre les FAI, les moteurs de recherche et désormais les VPN.

• Formule 1, MotoGP : Canal+ fait feu de tout bois pour faire bloquer le streaming pirate

Une optimisation trop rapide

Depuis 2017, une vulnérabilité dans le module cryptographique authencesn du noyau Linux laissait à un compte d’un simple utilisateur la possibilité de passer en root. Elle concerne la plupart des grandes distributions jusqu’au déploiement du patch, qui est déjà en cours.

C’est l’entreprise de sécurité Xint.io qui a révélé, ce mercredi 29 avril, cette vulnérabilité (CVE-2026-31431, d’une sévérité élevée de 7,8/10) permettant une élévation des privilèges en local.

Le score n’est « que » de 7,8 car le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine, ici un compte utilisateur. La même avec une attaque depuis le réseau (AV:N) se serait approchée de 10.

N’importe qui peut devenir root

Appelée « Copy Fail », celle-ci permet (sans accès au réseau, sans utiliser de fonctionnalités de débogage du noyau et sans avoir installé quoi que ce soit avant) à toute personne possédant un simple compte utilisateur sur quasiment n’importe quelle distribution Linux d’obtenir les privilèges root et donc d’y faire tout ce qu’elle veut.

Comme l’explique l’entreprise sur le site dédié à la faille, « un utilisateur local sans privilèges peut écrire quatre octets contrôlés dans le page cache de n’importe quel fichier accessible en lecture sur un système Linux, et s’en servir pour obtenir les privilèges root ».

Les responsables des distributions ont commencé à mettre à jour le paquet de leur noyau Linux pour bloquer l’utilisation d’une faille de sécurité qui se situait directement dans le noyau. Le danger concerne les systèmes partagés entre plusieurs utilisateurs, les clusters de conteneurs (Kubernetes, Docker…), etc. Un utilisateur lambda pourrait ainsi accéder aux données des autres utilisateurs.

Une faille dans le module cryptographique authencesn du noyau

Xint.io explique que cette faille a été découverte par le chercheur de l’entreprise Theori, Taeyang Lee, en étant assisté par l’IA de son outil Xint Code alors qu’il étudiait la manière dont le sous-système de cryptographie de Linux interagit avec les données stockées dans le page cache. C’est un système de cache qui permet au noyau d’avoir un accès plus rapide à certaines informations.

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

De fait, c’est un bug dans le module cryptographique authencesn du noyau Linux qui est en cause, accessible via l’interface de socket AF_ALG, en combinaison avec l’appel système splice(). « Un utilisateur peut ouvrir un socket, le lier à n’importe quel modèle AEAD (chiffrement authentifié avec données associées) et lancer le chiffrement ou le déchiffrement de données arbitraires. Aucun privilège n’est requis », explique Xint. De son côté, la fonction splice() transfère des données entre les descripteurs de fichiers et les pipes sans les copier, en renvoyant simplement les page caches par référence.

En utilisant un script Python très court (732 octets) qui ne fait appel qu’à des bibliothèques standard et ciblant le page cache du noyau, il est possible d’accéder au binaire qui permet d’être superutilisateur : /usr/bin/su. La modification se fait en mémoire, pas directement sur le périphérique de stockage.

Une ligne de commande suffit…

Nous l’avons testé sur un de nos VPS avec Ubuntu 24.04 LTS, nous sommes bien passés en root avec une seule ligne de commande en utilisant le script Python :

Les chercheurs ont constaté la faille sur les distributions Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 ou encore SUSE 16 et expliquent logiquement que « les autres distributions utilisant les noyaux concernés — Debian, Arch, Fedora, Rocky, Alma, Oracle, ainsi que les distributions embarquées — présentent le même comportement ».

Un patch pour le noyau a déjà été proposé et accepté. Celui-ci supprime une optimisation des opérations AEAD qui avait été ajoutée en 2017. « Mettez à jour le paquet du noyau de votre distribution avec une version incluant le commit a664bf3d603d de la branche principale », expliquent les chercheurs, « la plupart des principales distributions proposent désormais ce correctif », comme Debian (Forky et Sid), Ubuntu, par exemple mais la mise en place est encore en cours chez Red Hat et Suse.

Une optimisation trop rapide

Depuis 2017, une vulnérabilité dans le module cryptographique authencesn du noyau Linux laissait à un compte d’un simple utilisateur la possibilité de passer en root. Elle concerne la plupart des grandes distributions jusqu’au déploiement du patch, qui est déjà en cours.

C’est l’entreprise de sécurité Xint.io qui a révélé, ce mercredi 29 avril, cette vulnérabilité (CVE-2026-31431, d’une sévérité élevée de 7,8/10) permettant une élévation des privilèges en local.

Le score n’est « que » de 7,8 car le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine, ici un compte utilisateur. La même avec une attaque depuis le réseau (AV:N) se serait approchée de 10.

N’importe qui peut devenir root

Appelée « Copy Fail », celle-ci permet (sans accès au réseau, sans utiliser de fonctionnalités de débogage du noyau et sans avoir installé quoi que ce soit avant) à toute personne possédant un simple compte utilisateur sur quasiment n’importe quelle distribution Linux d’obtenir les privilèges root et donc d’y faire tout ce qu’elle veut.

Comme l’explique l’entreprise sur le site dédié à la faille, « un utilisateur local sans privilèges peut écrire quatre octets contrôlés dans le page cache de n’importe quel fichier accessible en lecture sur un système Linux, et s’en servir pour obtenir les privilèges root ».

Les responsables des distributions ont commencé à mettre à jour le paquet de leur noyau Linux pour bloquer l’utilisation d’une faille de sécurité qui se situait directement dans le noyau. Le danger concerne les systèmes partagés entre plusieurs utilisateurs, les clusters de conteneurs (Kubernetes, Docker…), etc. Un utilisateur lambda pourrait ainsi accéder aux données des autres utilisateurs.

Une faille dans le module cryptographique authencesn du noyau

Xint.io explique que cette faille a été découverte par le chercheur de l’entreprise Theori, Taeyang Lee, en étant assisté par l’IA de son outil Xint Code alors qu’il étudiait la manière dont le sous-système de cryptographie de Linux interagit avec les données stockées dans le page cache. C’est un système de cache qui permet au noyau d’avoir un accès plus rapide à certaines informations.

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

De fait, c’est un bug dans le module cryptographique authencesn du noyau Linux qui est en cause, accessible via l’interface de socket AF_ALG, en combinaison avec l’appel système splice(). « Un utilisateur peut ouvrir un socket, le lier à n’importe quel modèle AEAD (chiffrement authentifié avec données associées) et lancer le chiffrement ou le déchiffrement de données arbitraires. Aucun privilège n’est requis », explique Xint. De son côté, la fonction splice() transfère des données entre les descripteurs de fichiers et les pipes sans les copier, en renvoyant simplement les page caches par référence.

En utilisant un script Python très court (732 octets) qui ne fait appel qu’à des bibliothèques standard et ciblant le page cache du noyau, il est possible d’accéder au binaire qui permet d’être superutilisateur : /usr/bin/su. La modification se fait en mémoire, pas directement sur le périphérique de stockage.

Une ligne de commande suffit…

Nous l’avons testé sur un de nos VPS avec Ubuntu 24.04 LTS, nous sommes bien passés en root avec une seule ligne de commande en utilisant le script Python :

Les chercheurs ont constaté la faille sur les distributions Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 ou encore SUSE 16 et expliquent logiquement que « les autres distributions utilisant les noyaux concernés — Debian, Arch, Fedora, Rocky, Alma, Oracle, ainsi que les distributions embarquées — présentent le même comportement ».

Un patch pour le noyau a déjà été proposé et accepté. Celui-ci supprime une optimisation des opérations AEAD qui avait été ajoutée en 2017. « Mettez à jour le paquet du noyau de votre distribution avec une version incluant le commit a664bf3d603d de la branche principale », expliquent les chercheurs, « la plupart des principales distributions proposent désormais ce correctif », comme Debian (Forky et Sid), Ubuntu, par exemple mais la mise en place est encore en cours chez Red Hat et Suse.

Plus de sites genAI, mais pas plus de conneries proportionnellement

Selon un rapport d’Internet Archive, le contenu de 35 % des sites internet nouvellement créés en mai 2025 était soit complètement généré par intelligence artificielle, soit son édition était grandement assistée par une IA. Cela contribuerait à une baisse de la diversité sémantique et à une augmentation de sentiments très positifs, mais pas forcément à une augmentation de fausses informations.

Le web serait-il devenu un lieu où des machines parlent à des machines ? C’est l’idée qu’ont défendue certains chercheurs dès le début de l’année dernière en relançant la « théorie de l’Internet mort », formulée en 2021.

Le responsable de la Wayback Machine chez Internet Archive, Mark Graham, signe avec un chercheur maison et deux doctorants un rapport (.pdf) qui essaye de quantifier le flux de contenus générés par IA et ses conséquences avec les données récoltées par son outil. « Nous constatons qu’à la mi-2025, environ 35 % des sites web nouvellement publiés étaient classés comme générés par IA ou créés avec l’aide de l’IA, contre zéro avant le lancement de ChatGPT fin 2022 », expliquent-ils.

Pour arriver à cette estimation, l’équipe a extrait le texte des sites nouvellement créés détectés et archivés au sein de la Wayback Machine. Puis, après avoir testé différents outils de détection (Binoculars, Desklib, DivEye et l’API commerciale de Pangram v3), ils ont choisi de s’appuyer sur cette dernière, expliquant que c’était la meilleure solution, notamment pour son taux de détection des textes anglophones comme ceux dans d’autres langues et sa capacité à traiter du HTML.

35 % des nouveaux sites sont remplis de contenus générés par IA

Leurs résultats restent donc très fortement liés à cet outil de détection qui annonce sur son site web une précision de détection de 99,98 % et a mis en ligne un rapport technique sur sa méthode sans que celle-ci ne soit évaluée par des chercheurs indépendants.

Mais selon ces tests sur les archives du web récoltées par Internet Archive, le contenu des nouveaux sites internet est de plus en plus généré par IA ou son édition est grandement assistée par une IA : 35 % l’étaient en mai 2025 :

Ils ont aussi voulu vérifier plusieurs hypothèses craintes suite à la prolifération de ce genre de contenus sur internet qui pourrait « contribuer à une dégradation de la diversité sémantique et stylistique, de l’exactitude des faits, ainsi qu’à d’autres évolutions négatives ».

En faisant un petit sondage, ils se sont aperçus que 75 % des gens avaient peur, par exemple, d’être « de plus en plus souvent confrontés à des informations factuellement erronées et à des hallucinations », et que 83 % d’entre eux pensaient que le style des textes allait s’homogénéiser.

Ils ont ensuite vérifié ces hypothèses sur les données d’Internet Archive. Ils ont, par exemple, payé des fact-checkers pour voir si les informations incorrectes dans les données d’Internet Archive augmentaient. Mais ils n’ont pas trouvé de corrélation statistiquement significative. Pour le dire autrement, cette augmentation du nombre de nouveaux sites avec des contenus genAI ne fait pas augmenter le nombre de fausses informations.

Une similarité sémantique et une augmentation de contenus positifs détectées

En faisant d’autres tests, ils se sont aussi aperçus que l’augmentation des contenus générés par IA dans les données d’Internet Archive n’augmentait pas non plus mécaniquement l’homogénéité stylistique.

« Plutôt qu’une explosion de fausses informations, l’empreinte de la prolifération de l’IA sur Internet se manifeste principalement par une contraction sémantique et un glissement artificiel vers la positivité  », expliquent-ils.

En effet, la similarité sémantique qu’ils ont mesurée avec Pangram v3 augmente de façon corrélée à la prolifération de contenus générés par IA :

Et on retrouve la même corrélation avec le style plus positif des contenus mesuré ici aussi avec Pangram v3 :

« Le résultat le plus surprenant a été que notre hypothèse de la « dégradation de la vérité » n’a pas été confirmée », estime Jonas Doležal, l’un des doctorants de l’Imperial College London qui a participé à l’étude, interrogé par nos confrères de 404 Media.

« Il convient de noter que nous recherchions spécifiquement une augmentation des déclarations vérifiables comme étant fausses, ce que nous n’avons pas trouvé. Mais il se pourrait tout de même que l’IA augmente discrètement le volume des affirmations invérifiables, celles qui ne peuvent être vérifiées à l’aide des outils et des infrastructures de vérification des faits existants. Ou peut-être simplement qu’Internet n’était pas, dès le départ, un espace particulièrement attaché à la vérité », ajoute-t-il quand même.

Plus de sites genAI, mais pas plus de conneries proportionnellement

Selon un rapport d’Internet Archive, le contenu de 35 % des sites internet nouvellement créés en mai 2025 était soit complètement généré par intelligence artificielle, soit son édition était grandement assistée par une IA. Cela contribuerait à une baisse de la diversité sémantique et à une augmentation de sentiments très positifs, mais pas forcément à une augmentation de fausses informations.

Le web serait-il devenu un lieu où des machines parlent à des machines ? C’est l’idée qu’ont défendue certains chercheurs dès le début de l’année dernière en relançant la « théorie de l’Internet mort », formulée en 2021.

Le responsable de la Wayback Machine chez Internet Archive, Mark Graham, signe avec un chercheur maison et deux doctorants un rapport (.pdf) qui essaye de quantifier le flux de contenus générés par IA et ses conséquences avec les données récoltées par son outil. « Nous constatons qu’à la mi-2025, environ 35 % des sites web nouvellement publiés étaient classés comme générés par IA ou créés avec l’aide de l’IA, contre zéro avant le lancement de ChatGPT fin 2022 », expliquent-ils.

Pour arriver à cette estimation, l’équipe a extrait le texte des sites nouvellement créés détectés et archivés au sein de la Wayback Machine. Puis, après avoir testé différents outils de détection (Binoculars, Desklib, DivEye et l’API commerciale de Pangram v3), ils ont choisi de s’appuyer sur cette dernière, expliquant que c’était la meilleure solution, notamment pour son taux de détection des textes anglophones comme ceux dans d’autres langues et sa capacité à traiter du HTML.

35 % des nouveaux sites sont remplis de contenus générés par IA

Leurs résultats restent donc très fortement liés à cet outil de détection qui annonce sur son site web une précision de détection de 99,98 % et a mis en ligne un rapport technique sur sa méthode sans que celle-ci ne soit évaluée par des chercheurs indépendants.

Mais selon ces tests sur les archives du web récoltées par Internet Archive, le contenu des nouveaux sites internet est de plus en plus généré par IA ou son édition est grandement assistée par une IA : 35 % l’étaient en mai 2025 :

Ils ont aussi voulu vérifier plusieurs hypothèses craintes suite à la prolifération de ce genre de contenus sur internet qui pourrait « contribuer à une dégradation de la diversité sémantique et stylistique, de l’exactitude des faits, ainsi qu’à d’autres évolutions négatives ».

En faisant un petit sondage, ils se sont aperçus que 75 % des gens avaient peur, par exemple, d’être « de plus en plus souvent confrontés à des informations factuellement erronées et à des hallucinations », et que 83 % d’entre eux pensaient que le style des textes allait s’homogénéiser.

Ils ont ensuite vérifié ces hypothèses sur les données d’Internet Archive. Ils ont, par exemple, payé des fact-checkers pour voir si les informations incorrectes dans les données d’Internet Archive augmentaient. Mais ils n’ont pas trouvé de corrélation statistiquement significative. Pour le dire autrement, cette augmentation du nombre de nouveaux sites avec des contenus genAI ne fait pas augmenter le nombre de fausses informations.

Une similarité sémantique et une augmentation de contenus positifs détectées

En faisant d’autres tests, ils se sont aussi aperçus que l’augmentation des contenus générés par IA dans les données d’Internet Archive n’augmentait pas non plus mécaniquement l’homogénéité stylistique.

« Plutôt qu’une explosion de fausses informations, l’empreinte de la prolifération de l’IA sur Internet se manifeste principalement par une contraction sémantique et un glissement artificiel vers la positivité  », expliquent-ils.

En effet, la similarité sémantique qu’ils ont mesurée avec Pangram v3 augmente de façon corrélée à la prolifération de contenus générés par IA :

Et on retrouve la même corrélation avec le style plus positif des contenus mesuré ici aussi avec Pangram v3 :

« Le résultat le plus surprenant a été que notre hypothèse de la « dégradation de la vérité » n’a pas été confirmée », estime Jonas Doležal, l’un des doctorants de l’Imperial College London qui a participé à l’étude, interrogé par nos confrères de 404 Media.

« Il convient de noter que nous recherchions spécifiquement une augmentation des déclarations vérifiables comme étant fausses, ce que nous n’avons pas trouvé. Mais il se pourrait tout de même que l’IA augmente discrètement le volume des affirmations invérifiables, celles qui ne peuvent être vérifiées à l’aide des outils et des infrastructures de vérification des faits existants. Ou peut-être simplement qu’Internet n’était pas, dès le départ, un espace particulièrement attaché à la vérité », ajoute-t-il quand même.

Après avoir mis la pression sur Anthropic pour pouvoir utiliser comme il veut ses modèles jusqu’à l’avoir désignée « fournisseur à risque pour la sécurité nationale », le Pentagone s’est tourné vers les concurrents de la startup. D’abord OpenAI en mars, le Pentagone est maintenant en discussion avec Google.

Cameron Stanley, le responsable numérique du Pentagone a confirmé être en discussion avec l’entreprise pour l’utilisation de Gemini au sein du département de la Défense états-unien. « Il n’est jamais bon de trop dépendre d’un seul fournisseur », a-t-il expliqué à CNBC, « on le constate particulièrement dans le domaine des logiciels ».

La justice a récemment refusé l’appel effectué par Anthropic concernant cette qualification qui l’empêche de travailler avec le département de la défense.

Cameron Stanley a affirmé à CNBC qu’utiliser Gemini permettait au Pentagone d’économiser « littéralement des milliers d’heures de travail chaque semaine ». Selon Google, l’entreprise fait partie d’un « vaste consortium » fournissant des services et des infrastructures « au service de la sécurité nationale ».

Chez OpenAI, l’accord avait provoqué des remous en interne jusqu’à la démission de la responsable de la branche robotique d’OpenAI, Caitlin Kalinowski. Selon le Washington Post, l’accord avec le Pentagone fait aussi réagir au sein de Google. Plus de 600 employés, dont une bonne partie sont au DeepMind AI lab qui développe Gemini, ont signé une lettre adressée à Sundar Pichai, le CEO de l’entreprise.

« Nous voulons que l’IA profite à l’humanité ; nous ne voulons pas qu’elle soit utilisée à des fins inhumaines ou extrêmement néfastes. Cela inclut les armes autonomes létales et la surveillance de masse, mais va bien au-delà », écrivent-ils. « La seule façon de garantir que Google ne soit pas associé à de tels préjudices est de refuser tout contrat classifié. Sinon, de telles utilisations pourraient avoir lieu à notre insu et sans que nous ayons les moyens de les empêcher ».

« Des vies humaines sont déjà perdues et les libertés civiles sont menacées, tant dans notre pays qu’à l’étranger, en raison d’une utilisation abusive de la technologie que nous contribuons pour l’essentiel à mettre au point », ajoutent-ils.

Après avoir mis la pression sur Anthropic pour pouvoir utiliser comme il veut ses modèles jusqu’à l’avoir désignée « fournisseur à risque pour la sécurité nationale », le Pentagone s’est tourné vers les concurrents de la startup. D’abord OpenAI en mars, le Pentagone est maintenant en discussion avec Google.

Cameron Stanley, le responsable numérique du Pentagone a confirmé être en discussion avec l’entreprise pour l’utilisation de Gemini au sein du département de la Défense états-unien. « Il n’est jamais bon de trop dépendre d’un seul fournisseur », a-t-il expliqué à CNBC, « on le constate particulièrement dans le domaine des logiciels ».

La justice a récemment refusé l’appel effectué par Anthropic concernant cette qualification qui l’empêche de travailler avec le département de la défense.

Cameron Stanley a affirmé à CNBC qu’utiliser Gemini permettait au Pentagone d’économiser « littéralement des milliers d’heures de travail chaque semaine ». Selon Google, l’entreprise fait partie d’un « vaste consortium » fournissant des services et des infrastructures « au service de la sécurité nationale ».

Chez OpenAI, l’accord avait provoqué des remous en interne jusqu’à la démission de la responsable de la branche robotique d’OpenAI, Caitlin Kalinowski. Selon le Washington Post, l’accord avec le Pentagone fait aussi réagir au sein de Google. Plus de 600 employés, dont une bonne partie sont au DeepMind AI lab qui développe Gemini, ont signé une lettre adressée à Sundar Pichai, le CEO de l’entreprise.

« Nous voulons que l’IA profite à l’humanité ; nous ne voulons pas qu’elle soit utilisée à des fins inhumaines ou extrêmement néfastes. Cela inclut les armes autonomes létales et la surveillance de masse, mais va bien au-delà », écrivent-ils. « La seule façon de garantir que Google ne soit pas associé à de tels préjudices est de refuser tout contrat classifié. Sinon, de telles utilisations pourraient avoir lieu à notre insu et sans que nous ayons les moyens de les empêcher ».

« Des vies humaines sont déjà perdues et les libertés civiles sont menacées, tant dans notre pays qu’à l’étranger, en raison d’une utilisation abusive de la technologie que nous contribuons pour l’essentiel à mettre au point », ajoutent-ils.

L’année dernière, la Commission européenne avait ouvert deux enquêtes sur la protection des mineurs sur Facebook et Instagram. Concernant l’accès à ses réseaux par les moins de 13 ans, elle vient de conclure « à titre préliminaire » que ces plateformes « enfreignaient la législation sur les services numériques (DSA) pour ne pas avoir identifié, évalué et atténué avec diligence les risques liés à l’accès des mineurs de moins de 13 ans à leurs services ».

La Commission européenne considère notamment que les mesures mises en place par Meta pour faire respecter ses propres conditions générales fixant l’âge minimum à 13 ans ne sont pas efficaces. « Par exemple, lors de la création d’un compte, les mineurs de moins de 13 ans peuvent saisir une fausse date de naissance qui leur permet de faire plus que leur âge, sans aucun contrôle efficace en place pour vérifier l’exactitude de la date de naissance autodéclarée », explique la Commission.

Elle explique aussi que l’outil fourni par Meta pour signaler les mineurs de moins de 13 ans sur la plate-forme est « difficile à utiliser et peu efficace, nécessitant jusqu’à sept clics pour accéder au formulaire de signalement, qui n’est pas automatiquement prérempli avec les informations de l’utilisateur ». Elle ajoute que même lorsqu’il y a un signalement, Meta ne met pas en place de suivi approprié « et le mineur signalé peut simplement continuer à utiliser le service sans aucun type de contrôle ».

Elle estime que l’évaluation effectuée par Meta des risques que des mineurs de moins de 13 ans accèdent à ses plateformes est « incomplète et arbitraire ». Selon la Commission, cette évaluation contredit « de nombreux éléments de preuve provenant de toute l’Union européenne indiquant qu’environ 10 à 12 % des enfants de moins de 13 ans accèdent à Instagram et/ou Facebook » et ignore les preuves scientifiques « facilement disponibles » qui montrent que les jeunes enfants sont plus vulnérables aux problèmes que causent des plateformes comme Instagram et Facebook.

« À ce stade », l’institution européenne considère que les deux plateformes de Meta doivent modifier cette méthode d’évaluation des risques et les évaluer concrètement, mais aussi renforcer les mesures de prévention, de détection et de retrait des mineurs de moins de 13 ans de leur service.

La Commission attend maintenant les réponses de Meta à ces conclusions pour clore définitivement son enquête. Elle ajoute que si ces conclusions sont confirmées, elle pourra infliger une amende de 6 % du chiffre d’affaires annuel mondial de Meta.

À Reuters, Meta a affirmé avoir mis en place des mesures pour détecter et supprimer les comptes d’enfants de moins de 13 ans et qu’elle en dévoilera d’autres la semaine prochaine. « La vérification de l’âge est un défi à l’échelle du secteur, qui nécessite une solution à l’échelle du secteur, et nous continuerons à collaborer de manière constructive avec la Commission européenne sur cette question importante », précise un porte-parole de l’entreprise à l’agence de presse.

L’année dernière, la Commission européenne avait ouvert deux enquêtes sur la protection des mineurs sur Facebook et Instagram. Concernant l’accès à ses réseaux par les moins de 13 ans, elle vient de conclure « à titre préliminaire » que ces plateformes « enfreignaient la législation sur les services numériques (DSA) pour ne pas avoir identifié, évalué et atténué avec diligence les risques liés à l’accès des mineurs de moins de 13 ans à leurs services ».

La Commission européenne considère notamment que les mesures mises en place par Meta pour faire respecter ses propres conditions générales fixant l’âge minimum à 13 ans ne sont pas efficaces. « Par exemple, lors de la création d’un compte, les mineurs de moins de 13 ans peuvent saisir une fausse date de naissance qui leur permet de faire plus que leur âge, sans aucun contrôle efficace en place pour vérifier l’exactitude de la date de naissance autodéclarée », explique la Commission.

Elle explique aussi que l’outil fourni par Meta pour signaler les mineurs de moins de 13 ans sur la plate-forme est « difficile à utiliser et peu efficace, nécessitant jusqu’à sept clics pour accéder au formulaire de signalement, qui n’est pas automatiquement prérempli avec les informations de l’utilisateur ». Elle ajoute que même lorsqu’il y a un signalement, Meta ne met pas en place de suivi approprié « et le mineur signalé peut simplement continuer à utiliser le service sans aucun type de contrôle ».

Elle estime que l’évaluation effectuée par Meta des risques que des mineurs de moins de 13 ans accèdent à ses plateformes est « incomplète et arbitraire ». Selon la Commission, cette évaluation contredit « de nombreux éléments de preuve provenant de toute l’Union européenne indiquant qu’environ 10 à 12 % des enfants de moins de 13 ans accèdent à Instagram et/ou Facebook » et ignore les preuves scientifiques « facilement disponibles » qui montrent que les jeunes enfants sont plus vulnérables aux problèmes que causent des plateformes comme Instagram et Facebook.

« À ce stade », l’institution européenne considère que les deux plateformes de Meta doivent modifier cette méthode d’évaluation des risques et les évaluer concrètement, mais aussi renforcer les mesures de prévention, de détection et de retrait des mineurs de moins de 13 ans de leur service.

La Commission attend maintenant les réponses de Meta à ces conclusions pour clore définitivement son enquête. Elle ajoute que si ces conclusions sont confirmées, elle pourra infliger une amende de 6 % du chiffre d’affaires annuel mondial de Meta.

À Reuters, Meta a affirmé avoir mis en place des mesures pour détecter et supprimer les comptes d’enfants de moins de 13 ans et qu’elle en dévoilera d’autres la semaine prochaine. « La vérification de l’âge est un défi à l’échelle du secteur, qui nécessite une solution à l’échelle du secteur, et nous continuerons à collaborer de manière constructive avec la Commission européenne sur cette question importante », précise un porte-parole de l’entreprise à l’agence de presse.

Acheter sa conférence scientifique sur Telegram, c'est possible

Une étude montre que les actes des conférences scientifiques peuvent accueillir massivement des articles rédigés (ou générés par IA) dans le but de vendre aux chercheurs une place bien au chaud pour leur signature moyennant 11 à 400 dollars. Next est allé à la rencontre d’un des chercheurs de cette étude.

Des chercheurs de tous les coins du monde passent par des tiers peu scrupuleux pour publier en masse des actes de conférences qui n’ont aucun sens, juste pour gonfler leur nombre de publications et leur dossier de carrière.

Dans leur article mis en ligne sur la plateforme arXiv (avant relecture par les pairs donc), Anna Abalkina, Yagmur Ozturk et leurs collègues rappellent que « les usines à articles constituent une menace croissante pour l’intégrité de la science ». Jusque-là, certains de leurs collègues avaient déjà travaillé sur leur impact sur les revues scientifiques.

• Les articles scientifiques frauduleux croissent deux fois plus vite que les rétractations
• Les chercheurs essayent de faire le tri dans la jungle de l’édition scientifique

Mais leur travail montre que les conférences sont aussi touchées. Ici, ces chercheuses et chercheurs ont identifié plus de 1 800 articles issus d’actes de colloques créés par ces « Paper mills », des usines à articles qui proposent d’apposer une signature pour un prix allant de 11 à 400 dollars selon la position de l’auteur (premier ou dernier signataire, ça a de l’importance dans certaines disciplines) et le pays du vendeur.

On pourrait imaginer que les actes de conférences soient protégés de ce genre d’attaque car, en principe, les recherches y sont présentées de vive voix. Mais ça ne semble pourtant pas bloquer l’existence de présentations de fausses recherches. Jusque-là, personne n’avait cherché à analyser le phénomène sur les actes de conférences. « Cette lacune est importante car, dans certains domaines, notamment en informatique, les actes de conférences constituent le principal vecteur de diffusion des résultats de recherche originaux », expliquent les autrices et auteurs dans leur article.

Des pubs sur Facebook, LinkedIn ou Telegram

La National Science Foundation (NSF), une des principales agences étasuniennes de financement de la recherche, vient de perdre l’intégralité de son conseil d’administration (CA).

« Au nom du président Donald J. Trump, je vous écris pour vous informer que votre mandat en tant que membre du Conseil national des sciences prend fin avec effet immédiat. Merci pour votre engagement », ont reçu par email ce vendredi 24 avril les 24 membres du CA, explique la revue Science.

Tous sont des chercheurs ou ingénieurs venant du milieu universitaire ou de l’industrie nommés par le président. Mais ils sont normalement en place pour six ans avec une rotation assurée par le renouvellement de huit membres tous les deux ans.

Le directeur de la National Science Foundation et 25^e membre du CA, Sethuraman Panchanathan, pourtant nommé par Donald Trump à la fin de son premier mandat, avait démissionné en avril 2025 en affirmant : « j’ai fait tout ce que j’ai pu ». Depuis, la NSF, comme les autres fonds de financements américains de la recherche, s’est vue imposer l’idéologie de Donald Trump à la place du peer-review pour décider des financements des projets de recherche.

« Peut-être qu’une façon de le dire du point de vue de l’administration, c’est que ce groupe de personnes nommées par le président conseillait au Congrès de ne pas se plier aux souhaits du président », explique à Science l’astrophysicien Keivan Stassun de l’université Vanderbilt (Nashville) qui en faisait partie.

Selon le Washington Post, ce même vendredi, l’administration Trump a présenté un projet de budget partiel pour l’exercice 2026 qui réduirait le budget de la NSF de plus de 50 %, le faisant passer de 8,8 milliards de dollars à 3,9 milliards de dollars, en affirmant que la NSF « a financé des recherches dont l’intérêt public est discutable, telles que les impacts hypothétiques de scénarios climatiques extrêmes et des études sociales de niche ».

La National Science Foundation (NSF), une des principales agences étasuniennes de financement de la recherche, vient de perdre l’intégralité de son conseil d’administration (CA).

« Au nom du président Donald J. Trump, je vous écris pour vous informer que votre mandat en tant que membre du Conseil national des sciences prend fin avec effet immédiat. Merci pour votre engagement », ont reçu par email ce vendredi 24 avril les 24 membres du CA, explique la revue Science.

Tous sont des chercheurs ou ingénieurs venant du milieu universitaire ou de l’industrie nommés par le président. Mais ils sont normalement en place pour six ans avec une rotation assurée par le renouvellement de huit membres tous les deux ans.

Le directeur de la National Science Foundation et 25^e membre du CA, Sethuraman Panchanathan, pourtant nommé par Donald Trump à la fin de son premier mandat, avait démissionné en avril 2025 en affirmant : « j’ai fait tout ce que j’ai pu ». Depuis, la NSF, comme les autres fonds de financements américains de la recherche, s’est vue imposer l’idéologie de Donald Trump à la place du peer-review pour décider des financements des projets de recherche.

« Peut-être qu’une façon de le dire du point de vue de l’administration, c’est que ce groupe de personnes nommées par le président conseillait au Congrès de ne pas se plier aux souhaits du président », explique à Science l’astrophysicien Keivan Stassun de l’université Vanderbilt (Nashville) qui en faisait partie.

Selon le Washington Post, ce même vendredi, l’administration Trump a présenté un projet de budget partiel pour l’exercice 2026 qui réduirait le budget de la NSF de plus de 50 %, le faisant passer de 8,8 milliards de dollars à 3,9 milliards de dollars, en affirmant que la NSF « a financé des recherches dont l’intérêt public est discutable, telles que les impacts hypothétiques de scénarios climatiques extrêmes et des études sociales de niche ».

Are We the Baddies?

Alors que le cofondateur et actuel CEO de Palantir, Alex Karp, a réaffirmé sa volonté de mettre son entreprise au service d’une vision fascisante du pouvoir, certains employés, passés ou présents, commencent tout juste à se poser des questions. Pendant ce temps-là, l’entreprise a déployé un lobbying important dans les sphères du pouvoir d’autres pays que les États-Unis.

Il y a une dizaine de jours, Palantir reprenait officiellement en 22 points la vision politique de son CEO, Alex Karp, assumant vouloir faire du numérique un instrument de puissance coercitive pour l’Amérique et plus largement pour l’Occident.

Comme nous le rappelions, Alex Karp et son acolyte Peter Thiel, cofondateur de l’entreprise, n’avaient pas caché leur intention, dès la création de Palantir, de mettre l’analyse de données au service de la surveillance de masse et de projets militaires dans le contexte de l’après 11 septembre 2001. Alors que Peter Thiel évoquait l’année dernière l’Antéchrist pour parler de ceux qui veulent réguler la tech, sans faire de liste exhaustive, Alex Karp n’était pas en reste : il qualifiait en 2024 les progressistes d’adeptes d’« une religion païenne superficielle », ajoutait la même année que « les militants pour la paix sont des militants pour la guerre », avant de déclarer, en mars 2025, qu’il adorait « l’idée de [se] procurer un drone et de faire asperger d’urine légèrement mélangée à du fentanyl les analystes qui ont essayé de nous rouler ». Un an plus tard, en mars dernier, Alex Karp lâchait sa vision sur la façon dont les États-Unis devaient mener leur guerre en Iran, en ne laissant surtout pas les femmes démocrates enrayer la course à l’IA.

Des anciens et actuels salariés s’inquiètent d’une dérive

Mais la reprise des 22 points par le compte X de l’entreprise elle-même semble avoir réveillé les doutes chez certains employés et plusieurs de leurs anciens collègues.

« Le discours général de Palantir, tel qu’il se le racontait à lui-même et à ses employés, était qu’au lendemain du 11 septembre, nous savions qu’il y aurait une forte pression en faveur de la sécurité, et nous craignions que cette sécurité ne porte atteinte aux libertés civiles. Aujourd’hui, la menace vient de l’intérieur. Je pense qu’il y a une sorte de crise d’identité et un véritable défi à relever », explique à Wired un ancien employé de Palantir anonyme. « Nous étions censés être ceux qui empêchaient bon nombre de ces abus. Aujourd’hui, nous ne les empêchons pas. Il semble que nous les facilitons ».

Le média tech américain raconte aussi les conversations d’anciens salariés autour des missions assurées par l’entreprise pour assurer la politique de Donald Trump notamment sur l’immigration, en lui proposant son outil d’assistance à l’expulsion Immigration OS. « Est-ce que tu suis la dérive de Palantir vers le fascisme ? » est devenu la façon de se dire bonjour au téléphone entre anciens salariés, raconte l’un d’entre eux. Et, selon lui, « ça n’exprime pas un sentiment du genre “Oh, c’est impopulaire et difficile”, mais plutôt “y a un problème” ».

Dans le Slack interne, des employés de l’entreprise ont posé des questions après la mort de l’infirmier en réanimation Alex Pretti, abattu par un agent de la Border Patrol. Ils ont même obtenu des sessions de « ask me anything » (AMA) organisés par la direction pour répondre à leurs questions sur le sujet de la collaboration avec l’ICE. Pendant l’une d’elles, un responsable a franchement expliqué : «  Karp tient vraiment à ce projet et ne cesse de le réaffirmer […]. Notre rôle consiste principalement à lui faire des suggestions et à essayer de le réorienter, mais cela s’est avéré largement infructueux et il semble que nous soyons engagés sur une voie très claire qui consiste à continuer à développer ce workflow ».

Et, selon Wired, des salariés ont posé des questions sur l’implication de Palantir dans la guerre en Iran dans le channel Slack « actualités » de l’entreprise, se voyant parfois critiqués par d’autres pour avoir discuté d’informations classifiées sur ce canal ouvert à tous les salariés.

• Palantir profite à fond de l’élection de Donald Trump

Officiellement, tout va toujours bien en interne : « Nous recrutons les meilleurs talents pour contribuer à la défense des États-Unis et de leurs alliés, ainsi que pour développer et déployer nos logiciels afin d’aider les gouvernements et les entreprises du monde entier. Palantir n’est pas un bloc monolithique de convictions, et nous ne devons pas l’être », affirme à Wired un porte-parole officiel. « Nous sommes tous fiers de notre culture caractérisée par un dialogue interne animé, voire par des désaccords, sur les domaines complexes dans lesquels nous travaillons. Cela a été le cas depuis notre création et cela reste vrai aujourd’hui. ». Et l’entreprise est « fière » de soutenir l’armée américaine « sous les administrations démocrates comme républicaines ».

Des lobbyistes à la pelle en dehors des frontières US

Si ça tangue un peu en interne, l’entreprise semble avoir de bons moyens de lobbying pour rester influente à l’étranger et remporter des contrats en dehors des frontières américaines. Ainsi, au Royaume-Uni où l’implication de Palantir dans le système de santé de la NHS et celui de la défense est pointée du doigt, le média The Nerve vient de recenser 30 hauts responsables britanniques recrutés par l’entreprise pour son lobbying, dont Tom Watson, ancien vice-président du Parti travailliste, et John Woodcock, ancien conseiller spécial de Gordon Brown.

Rappelons qu’en France, la DGSI a renouvelé en fin d’année dernière son contrat avec Palantir et que l’ancienne porte-parole du PS, Julie Martinez, était déléguée mondiale à la protection des données de l’entreprise jusqu’à récemment. Ayant quitté ces deux postes pour préparer l’élection à la mairie de Clichy, elle a échoué au second tour face à Rémi Muzeau (LR).

• La déléguée mondiale à la Protection des Données de Palantir est aussi porte-parole du PS

Réagissant aux 22 points de Palantir, l’ancienne ministre et actuelle ambassadrice pour le numérique et l’IA pour le gouvernement, Clara Chappaz ne semble pas inquiète de l’influence politique de Palantir et de son CEO sur les contrats français et européens. « Oui, certains patrons américains ne cachent plus qu’ils ont un certain nombre d’idées, qu’ils essayent d’influencer, qu’ils les montrent au grand jour, parce qu’il y a des enjeux commerciaux. Ces idées les aident d’un point de vue purement business à vendre plus, à être plus décomplexés dans la façon dont on va utiliser les solutions, parce qu’il y a des enjeux idéologiques certainement pour certains », affirmait-elle à C ce soir, le 23 avril dernier. « Mais, attention, ce n’est pas parce qu’on utilise ces solutions que c’est le far west. En Europe, y a l’état de droit, y a des règles et toutes les entreprises, quelles qu’elles soient, respectent ces règles. Et si le dirigeant de Palantir a des idées politiques, qu’il se présente aux élections, parce que c’est comme ça qu’on peut influencer les règles, le cadre. Ce n’est pas simplement en faisant des tweets ».

Are We the Baddies?

Alors que le cofondateur et actuel CEO de Palantir, Alex Karp, a réaffirmé sa volonté de mettre son entreprise au service d’une vision fascisante du pouvoir, certains employés, passés ou présents, commencent tout juste à se poser des questions. Pendant ce temps-là, l’entreprise a déployé un lobbying important dans les sphères du pouvoir d’autres pays que les États-Unis.

Il y a une dizaine de jours, Palantir reprenait officiellement en 22 points la vision politique de son CEO, Alex Karp, assumant vouloir faire du numérique un instrument de puissance coercitive pour l’Amérique et plus largement pour l’Occident.

Comme nous le rappelions, Alex Karp et son acolyte Peter Thiel, cofondateur de l’entreprise, n’avaient pas caché leur intention, dès la création de Palantir, de mettre l’analyse de données au service de la surveillance de masse et de projets militaires dans le contexte de l’après 11 septembre 2001. Alors que Peter Thiel évoquait l’année dernière l’Antéchrist pour parler de ceux qui veulent réguler la tech, sans faire de liste exhaustive, Alex Karp n’était pas en reste : il qualifiait en 2024 les progressistes d’adeptes d’« une religion païenne superficielle », ajoutait la même année que « les militants pour la paix sont des militants pour la guerre », avant de déclarer, en mars 2025, qu’il adorait « l’idée de [se] procurer un drone et de faire asperger d’urine légèrement mélangée à du fentanyl les analystes qui ont essayé de nous rouler ». Un an plus tard, en mars dernier, Alex Karp lâchait sa vision sur la façon dont les États-Unis devaient mener leur guerre en Iran, en ne laissant surtout pas les femmes démocrates enrayer la course à l’IA.

Des anciens et actuels salariés s’inquiètent d’une dérive

Mais la reprise des 22 points par le compte X de l’entreprise elle-même semble avoir réveillé les doutes chez certains employés et plusieurs de leurs anciens collègues.

« Le discours général de Palantir, tel qu’il se le racontait à lui-même et à ses employés, était qu’au lendemain du 11 septembre, nous savions qu’il y aurait une forte pression en faveur de la sécurité, et nous craignions que cette sécurité ne porte atteinte aux libertés civiles. Aujourd’hui, la menace vient de l’intérieur. Je pense qu’il y a une sorte de crise d’identité et un véritable défi à relever », explique à Wired un ancien employé de Palantir anonyme. « Nous étions censés être ceux qui empêchaient bon nombre de ces abus. Aujourd’hui, nous ne les empêchons pas. Il semble que nous les facilitons ».

Le média tech américain raconte aussi les conversations d’anciens salariés autour des missions assurées par l’entreprise pour assurer la politique de Donald Trump notamment sur l’immigration, en lui proposant son outil d’assistance à l’expulsion Immigration OS. « Est-ce que tu suis la dérive de Palantir vers le fascisme ? » est devenu la façon de se dire bonjour au téléphone entre anciens salariés, raconte l’un d’entre eux. Et, selon lui, « ça n’exprime pas un sentiment du genre “Oh, c’est impopulaire et difficile”, mais plutôt “y a un problème” ».

Dans le Slack interne, des employés de l’entreprise ont posé des questions après la mort de l’infirmier en réanimation Alex Pretti, abattu par un agent de la Border Patrol. Ils ont même obtenu des sessions de « ask me anything » (AMA) organisés par la direction pour répondre à leurs questions sur le sujet de la collaboration avec l’ICE. Pendant l’une d’elles, un responsable a franchement expliqué : «  Karp tient vraiment à ce projet et ne cesse de le réaffirmer […]. Notre rôle consiste principalement à lui faire des suggestions et à essayer de le réorienter, mais cela s’est avéré largement infructueux et il semble que nous soyons engagés sur une voie très claire qui consiste à continuer à développer ce workflow ».

Et, selon Wired, des salariés ont posé des questions sur l’implication de Palantir dans la guerre en Iran dans le channel Slack « actualités » de l’entreprise, se voyant parfois critiqués par d’autres pour avoir discuté d’informations classifiées sur ce canal ouvert à tous les salariés.

• Palantir profite à fond de l’élection de Donald Trump

Officiellement, tout va toujours bien en interne : « Nous recrutons les meilleurs talents pour contribuer à la défense des États-Unis et de leurs alliés, ainsi que pour développer et déployer nos logiciels afin d’aider les gouvernements et les entreprises du monde entier. Palantir n’est pas un bloc monolithique de convictions, et nous ne devons pas l’être », affirme à Wired un porte-parole officiel. « Nous sommes tous fiers de notre culture caractérisée par un dialogue interne animé, voire par des désaccords, sur les domaines complexes dans lesquels nous travaillons. Cela a été le cas depuis notre création et cela reste vrai aujourd’hui. ». Et l’entreprise est « fière » de soutenir l’armée américaine « sous les administrations démocrates comme républicaines ».

Des lobbyistes à la pelle en dehors des frontières US

Si ça tangue un peu en interne, l’entreprise semble avoir de bons moyens de lobbying pour rester influente à l’étranger et remporter des contrats en dehors des frontières américaines. Ainsi, au Royaume-Uni où l’implication de Palantir dans le système de santé de la NHS et celui de la défense est pointée du doigt, le média The Nerve vient de recenser 30 hauts responsables britanniques recrutés par l’entreprise pour son lobbying, dont Tom Watson, ancien vice-président du Parti travailliste, et John Woodcock, ancien conseiller spécial de Gordon Brown.

Rappelons qu’en France, la DGSI a renouvelé en fin d’année dernière son contrat avec Palantir et que l’ancienne porte-parole du PS, Julie Martinez, était déléguée mondiale à la protection des données de l’entreprise jusqu’à récemment. Ayant quitté ces deux postes pour préparer l’élection à la mairie de Clichy, elle a échoué au second tour face à Rémi Muzeau (LR).

• La déléguée mondiale à la Protection des Données de Palantir est aussi porte-parole du PS

Réagissant aux 22 points de Palantir, l’ancienne ministre et actuelle ambassadrice pour le numérique et l’IA pour le gouvernement, Clara Chappaz ne semble pas inquiète de l’influence politique de Palantir et de son CEO sur les contrats français et européens. « Oui, certains patrons américains ne cachent plus qu’ils ont un certain nombre d’idées, qu’ils essayent d’influencer, qu’ils les montrent au grand jour, parce qu’il y a des enjeux commerciaux. Ces idées les aident d’un point de vue purement business à vendre plus, à être plus décomplexés dans la façon dont on va utiliser les solutions, parce qu’il y a des enjeux idéologiques certainement pour certains », affirmait-elle à C ce soir, le 23 avril dernier. « Mais, attention, ce n’est pas parce qu’on utilise ces solutions que c’est le far west. En Europe, y a l’état de droit, y a des règles et toutes les entreprises, quelles qu’elles soient, respectent ces règles. Et si le dirigeant de Palantir a des idées politiques, qu’il se présente aux élections, parce que c’est comme ça qu’on peut influencer les règles, le cadre. Ce n’est pas simplement en faisant des tweets ».

A voté !

La pratique du vote par correspondance électronique se développe de plus en plus. Ce constat posé, la CNIL a émis une nouvelle recommandation pour proposer un cadre plus clair sur les objectifs de sécurité. Celle-ci est applicable pour tout nouveau scrutin dont la préparation n’a pas déjà commencé. Elle s’accompagne d’un guide plus technique de l’ANSSI pour atteindre ces objectifs.

La CNIL vient d’actualiser sa recommandation sur la sécurité des systèmes de vote par correspondance électronique qui datait de 2019. Celle-ci s’accompagne d’un guide de l’ANSSI pour aider à entrer un peu plus dans le technique si on veut mettre en place un tel système.

En France, le vote par correspondance électronique n’est utilisé pour des élections politiques que pour celui des Français résidant à l’étranger à l’occasion des élections législatives et de celles des conseillers et délégués des Français de l’étranger.

Celles-ci sont particulières et « nécessitent des mesures de sécurité complémentaires » que la CNIL et l’ANSSI n’abordent pas dans leurs recommandations. Mais on ne vote pas que lors des scrutins politiques nationaux.

Tous les Français qui sont engagés dans des organisations doivent parfois se plier à cette formalité. Assemblées générales d’associations, d’actionnaires ou de copropriétaires, élections organisées par des ordres professionnels, fédérations sportives ou universités, il y a de multiples occasions de voter.

Rappelons qu’avant les élections officielles pour la présidentielle de 2027, certains veulent aussi organiser des primaires. La CNIL et l’ANSSI rangent ces scrutins dans le même sac que les élections « non politiques ». De plus en plus, les organisations pensent pouvoir s’appuyer sur le vote par correspondance électronique, qui a le mérite de toucher plus de monde que celles et ceux qui viennent aux réunions.

Pour tous ces scrutins « non politiques », ces deux organismes ont décidé de mettre à jour leurs recommandations. Du côté de la CNIL, l’autorité fixe dans sa recommandation [PDF] les objectifs de sécurité minimaux « en fonction des risques que présentent l’organisation et le déroulement du vote ». Alors que l’ANSSI, elle, propose un guide pour mettre en place techniquement le système afin de répondre à ces objectifs.

Comme elle l’avait indiqué en fin d’année dernière, la CNIL confirme dans son nouveau communiqué que les scrutins déjà en préparation et prévus en 2026, comme ceux des élections des représentants du personnel de la fonction publique, « pourront continuer à appliquer la version de 2019 de la recommandation ». Elle ajoute cependant qu’« en revanche, la nouvelle recommandation s’applique à tout nouveau scrutin ».

Des « principes fondamentaux » à respecter

Dans sa recommandation, la CNIL rappelle « des principes fondamentaux qui commandent les opérations électorales concernées ». En 2019, son texte listait « le secret du scrutin sauf pour les scrutins publics, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection ».

La nouvelle recommandation ajoute « l’intégrité des suffrages exprimés » et « l’accès au vote pour tous les électeurs ». Elle donne aussi des définitions à ces principes, ce qui permet d’éclaircir son point de vue quant à leur mise en place réelle.

Des objectifs à atteindre en fonction de trois niveaux de risques

Comme en 2019, l’autorité s’appuie sur un système en trois niveaux de risque du scrutin pour évaluer quels sont les objectifs de sécurité qui doivent être atteints. Mais elle les a remaniés pour « mieux prendre en compte la diversité des scrutins concernés, leur contexte d’organisation et les enjeux qui leur sont propre ».

Ainsi le niveau 1 (risques faibles) concerne des élections où les sources de menaces ont « peu de ressources et peu de motivations », et où « l’administrateur (ou les administrateurs) du système d’information n’est ni votant, ni candidat ». La CNIL cite en exemple des « élections de représentants de parents d’élèves dans les établissements scolaires ou de scrutins organisés au sein d’associations locales ».

Le niveau 2 concerne des élections pour lesquelles les sources de menaces « peuvent disposer de ressources moyennes et de motivations moyennes ». Elle considère que « des élections de représentants du personnel au sein d’organismes de petite taille ou de taille moyenne » sont un bon exemple de ce genre de cas.

Enfin, le niveau 3 concerne des votes plus importants où les personnes risquant d’attaquer peuvent « disposer de ressources importantes ou de fortes motivations », comme dans le cadre « d’élections organisées au sein d’ordres professionnels réglementés, des primaires de partis politiques, ou d’élections de représentants du personnel au sein d’organisations importantes ».

Si ces niveaux semblent assez vagues, la CNIL propose dans sa recommandation un questionnaire qui permet de s’autoévaluer avec un système de points (niveau 1 : entre 0 et 4, niveau 2 : entre 5 et 8 points et niveau 3 : plus de 8 points) :

En fonction de ce niveau, la CNIL donne une liste d’objectifs de sécurité à atteindre allant du minimum consistant à « mettre en œuvre une solution technique et organisationnelle ne présentant pas de faille majeure » à, par exemple pour le niveau 3, « renforcer le caractère secret du scrutin en ne manipulant jamais le secret permettant leur dépouillement sur un serveur qui serait en capacité de rapprocher l’identité des électeurs de leur bulletin ».

L’ANSSI vous guide

Dans son document, l’autorité explique qu’ « il revient au responsable de traitement ou à son prestataire de déterminer les moyens permettant d’atteindre les objectifs de sécurité énoncés, ces choix devant être documentés ».

Mais comme on vous l’a dit plus tôt, l’ANSSI vous a concocté un guide. Celui-ci [PDF] fait 150 pages et détaille, par objectif fixé par la CNIL, ce qu’il faut faire. Il rajoute même quelques recommandations complémentaires « limitant les impacts de situations où le serveur de vote pourrait permettre le bourrage d’urne, la conservation illégitime ou la fuite de la clé privée de l’élection et la génération d’une clé privée de l’élection favorisant un des attributaires ».

En plus de ces objectifs de sécurité à atteindre, la CNIL ajoute à sa recommandation des indications sur les informations à fournir aux électeurs, sur l’accessibilité du vote, la mise en place d’une expertise indépendante pour la mise en place de la solution, le déroulé du vote en lui-même ainsi que sur la garantie d’un contrôle a posteriori et la conservation des données.