En espérant que ça ne les rend pas encore plus accessibles aux pirates

Dans le cadre de l’espace européen des données de santé, le Health data hub français vient de lancer deux outils concernant l’accès à ce genre de données : un répertoire qui permet de connaître les projets de recherche qui utilisent telle base de données et un catalogue qui donne des informations plus techniques pour y accéder.

La Plateforme des données de santé française (PDS ou en anglais HDH pour Health data hub) met en place des outils pour anticiper les futures exigences du règlement relatif à l’Espace européen des données de santé (EEDS) qui doit permettre de donner de la visibilité, de la lisibilité et de la transparence sur les données de santé disponibles en France et sur leur réutilisation.

• Scaleway remporte l’hébergement des données de santé à la place de Microsoft

Un appel d’offres européen de 24 millions d’euros

De plus en plus de données de santé sont récupérées, que ce soit par les industriels ou les hôpitaux, pour faire avancer la recherche. Depuis 2022, l’Europe bâtit petit à petit son projet d’Espace européen des données de santé qu’elle a formellement validé en février 2025 dans un règlement. « L’EEDS sera un élément clé de la création d’une Union de la santé européenne forte et résiliente », assurait ce texte. Si celui-ci « devrait être applicable à compter du 26 mars 2027 », plusieurs dispositions s’appliqueront à partir de 2029. En avril, la Commission a lancé un appel d’offres de 24 millions d’euros « pour soutenir les droits des citoyens et la réutilisation des données de santé dans le cadre de l’EEDS ».

Dans ce cadre, la Plateforme des données de santé française annonce prendre les devants en rendant disponible un répertoire national des bases de données de santé. Comme elle l’indique, le référencement dans ce répertoire national « s’inscrit dans une dynamique qui deviendra pleinement obligatoire à horizon 2029 ».

Un répertoire pour informer le plus grand nombre

Ce répertoire recense les bases de données autorisées par la CNIL et visées par ce règlement. Il est utile pour n’importe quelle personne qui voudrait se renseigner sur un projet de base de données de recherche, mais il permet aussi d’informer plus spécifiquement les personnes dont les données ont été collectées sur leurs utilisations et sur la procédure pour exercer ses droits d’accès, de rectification, d’opposition, d’effacement et de limitation. Elle permet aussi à des porteurs de projets de s’informer sur les coûts de redevance pour accéder à une base.

• Ce que contient le référentiel CNIL sur les entrepôts de données de santé

Par exemple, on peut connaître tous les détails concernant la Banque Nationale de Données Maladies Rares. Comme la plupart des bases de données répertoriées, celle-ci est disponible via l’entrepôt de la PDS, puisque celui-ci doit théoriquement servir de guichet unique. Mais ce n’est pas ce répertoire qui permet d’y accéder directement. Celui-ci permet de valoriser et rendre disponibles les données des projets « à l’échelle nationale et, demain, à l’échelle européenne ». Un formulaire hébergé sur demarche.numerique.gouv.fr permet de référencer son projet.

Un catalogue pour aller plus dans les détails

L’autre outil proposé par la PDS est un catalogue de meta-données. Celui-ci, ciblant plus les porteurs de projets (chercheurs, industriels, acteurs de santé,…), permet de rentrer plus en détail sur le projet et les données stockées dans la base. Ainsi, en reprenant l’exemple de la Banque Nationale de Données Maladies Rares, on peut connaitre l’objectif initial de la base, sa couverture géographique, etc… mais aussi les caractéristiques complètes de la base comme le nombre d’individus uniques qu’elle concerne ou même la structure des données :

Ainsi, le catalogue doit permettre à un porteur de projet de gagner du temps pour évaluer si une base de données peut lui être utile. Il facilite aussi l’identification et la réutilisation des bases françaises, qu’il documente selon le standard Health DCAT-AP.

Pour intégrer ce catalogue, la PDS propose un formulaire en ligne pour générer un fichier de métadonnées et un kit documentaire. Le code du catalogue est disponible en « marque blanche » pour permettre à d’autres organismes de déployer le leur en étant compatible avec l’Espace européen des données de santé.

La PDS permet, « en une seule saisie, un double référencement » dans ces deux nouveaux outils.

En espérant que ça ne les rend pas encore plus accessibles aux pirates

Dans le cadre de l’espace européen des données de santé, le Health data hub français vient de lancer deux outils concernant l’accès à ce genre de données : un répertoire qui permet de connaître les projets de recherche qui utilisent telle base de données et un catalogue qui donne des informations plus techniques pour y accéder.

La Plateforme des données de santé française (PDS ou en anglais HDH pour Health data hub) met en place des outils pour anticiper les futures exigences du règlement relatif à l’Espace européen des données de santé (EEDS) qui doit permettre de donner de la visibilité, de la lisibilité et de la transparence sur les données de santé disponibles en France et sur leur réutilisation.

• Scaleway remporte l’hébergement des données de santé à la place de Microsoft

Un appel d’offres européen de 24 millions d’euros

De plus en plus de données de santé sont récupérées, que ce soit par les industriels ou les hôpitaux, pour faire avancer la recherche. Depuis 2022, l’Europe bâtit petit à petit son projet d’Espace européen des données de santé qu’elle a formellement validé en février 2025 dans un règlement. « L’EEDS sera un élément clé de la création d’une Union de la santé européenne forte et résiliente », assurait ce texte. Si celui-ci « devrait être applicable à compter du 26 mars 2027 », plusieurs dispositions s’appliqueront à partir de 2029. En avril, la Commission a lancé un appel d’offres de 24 millions d’euros « pour soutenir les droits des citoyens et la réutilisation des données de santé dans le cadre de l’EEDS ».

Dans ce cadre, la Plateforme des données de santé française annonce prendre les devants en rendant disponible un répertoire national des bases de données de santé. Comme elle l’indique, le référencement dans ce répertoire national « s’inscrit dans une dynamique qui deviendra pleinement obligatoire à horizon 2029 ».

Un répertoire pour informer le plus grand nombre

Ce répertoire recense les bases de données autorisées par la CNIL et visées par ce règlement. Il est utile pour n’importe quelle personne qui voudrait se renseigner sur un projet de base de données de recherche, mais il permet aussi d’informer plus spécifiquement les personnes dont les données ont été collectées sur leurs utilisations et sur la procédure pour exercer ses droits d’accès, de rectification, d’opposition, d’effacement et de limitation. Elle permet aussi à des porteurs de projets de s’informer sur les coûts de redevance pour accéder à une base.

• Ce que contient le référentiel CNIL sur les entrepôts de données de santé

Par exemple, on peut connaître tous les détails concernant la Banque Nationale de Données Maladies Rares. Comme la plupart des bases de données répertoriées, celle-ci est disponible via l’entrepôt de la PDS, puisque celui-ci doit théoriquement servir de guichet unique. Mais ce n’est pas ce répertoire qui permet d’y accéder directement. Celui-ci permet de valoriser et rendre disponibles les données des projets « à l’échelle nationale et, demain, à l’échelle européenne ». Un formulaire hébergé sur demarche.numerique.gouv.fr permet de référencer son projet.

Un catalogue pour aller plus dans les détails

L’autre outil proposé par la PDS est un catalogue de meta-données. Celui-ci, ciblant plus les porteurs de projets (chercheurs, industriels, acteurs de santé,…), permet de rentrer plus en détail sur le projet et les données stockées dans la base. Ainsi, en reprenant l’exemple de la Banque Nationale de Données Maladies Rares, on peut connaitre l’objectif initial de la base, sa couverture géographique, etc… mais aussi les caractéristiques complètes de la base comme le nombre d’individus uniques qu’elle concerne ou même la structure des données :

Ainsi, le catalogue doit permettre à un porteur de projet de gagner du temps pour évaluer si une base de données peut lui être utile. Il facilite aussi l’identification et la réutilisation des bases françaises, qu’il documente selon le standard Health DCAT-AP.

Pour intégrer ce catalogue, la PDS propose un formulaire en ligne pour générer un fichier de métadonnées et un kit documentaire. Le code du catalogue est disponible en « marque blanche » pour permettre à d’autres organismes de déployer le leur en étant compatible avec l’Espace européen des données de santé.

La PDS permet, « en une seule saisie, un double référencement » dans ces deux nouveaux outils.

Le dauphin qui envoie des ondes libres

Flipper Device, le fabricant du Flipper Zero, gadget célèbre dans l’univers de la bidouille, du hack et du hardware, a annoncé hier le développement d’un nouvel outil, appelé « Flipper One ». Celui-ci, qui n’est pas une évolution du Zero, s’oriente plus vers une utilisation réseau. Si l’équipe a déjà bien avancé sur le projet, elle demande aussi de l’aide de la part de la communauté.

C’est en forme d’appel à la communauté que Pavel Zhovner, CEO de Flipper Device, a annoncé que son entreprise était en train de développer son nouvel outil/gadget : Flipper One. Dans un billet de blog titré « Flipper One : on a besoin de votre aide », il explique que Flipper One est un « projet sur lequel [ils travaillent] d’arrache-pied depuis des années et [qu’ils ont] repris plusieurs fois à partir de zéro ».

Le Flipper Zero, essentiellement conçu pour des utilisations autour de la sécurité, a été créé via une campagne Kickstarter en 2020 et n’a cessé de gagner en popularité. Au point qu’en 2024, le Brésil avait interdit sa vente et le Canada réfléchissait à faire de même pour contrer le vol de véhicules.

Les deux sont complémentaires

Mais comme nous le fait remarquer l’heureux possesseur d’un Flipper Zero, « le One n’est pas une évolution du Zero, ils sont complémentaires ».

Pavel Zhovner le confirme dans son billet de blog : « Flipper Zero et Flipper One sont deux projets totalement distincts, conçus pour des tâches différentes. Le moyen le plus simple de les appréhender est de les considérer en termes de couches réseau :

• Couche 0 — Protocoles de contrôle d’accès point à point hors ligne : NFC, RFID basse fréquence, radio Sub-1 GHz, infrarouge, protocoles filaires tels que iButton, UART, SPI, I²C. Basés sur un microcontrôleur à faible consommation.
• Couche 1 — Tout ce qui est connecté via IP : Wi-Fi, Ethernet, 5G et satellite. Il s’agit avant tout de mise en réseau, de transfert de données et de calcul haute performance. Fonctionne sur du matériel puissant et une boîte à outils Linux ouverte — une puissance de calcul suffisante pour gérer la radio logiciel (SDR) et de l’IA locale ».

On peut le vérifier dans les specs publiées sur le site de Flipper Device : si les deux outils ont des looks qui se ressemblent, les specs du One sont très différentes de celles du Zero, et pas seulement par le fait que le One est beaucoup plus gros.

Le One tourne sur deux processeurs (un CPU haute performance SoC RK3576 à 8 cœurs et un MCU compact à faible consommation Raspberry Pi RP2350 à deux cœurs), possède un rail d’antennes et même une interface GPIO.

On peut y connecter des modules via des interfaces PCI Express, USB 3.0 et SATA, ce qui peut par exemple permettre de brancher un module de SDR, un SDD ou un modem cellulaire, précise Pavel Zhovner. Encore une fois, le Flipper One est encore à l’état de projet et les spécifications peuvent encore changer.

Retrouver l’esprit du « personal computer »

Si cet outil réseau multifonction vous fait penser à un petit PC ou à un Raspberry Pi, c’est tout à fait normal. Pavel Zhovner a expliqué à Gizmodo que l’objectif de Flipper One était de corriger un bon nombre des inconvénients qui le dérangeaient dans les autres petits ordinateurs de ce type. Notamment, il pointe le problème, sur les Raspberry Pi, du câble d’alimentation spécifique.

Le projet tourne donc autour de l’ouverture, que ce soit au niveau du software comme du hardware. «Nous voulons créer une plateforme matérielle Linux véritablement ouverte : l’ordinateur ARM le mieux documenté, capable de fonctionner dès sa sortie de l’emballage avec n’importe quel noyau récent », explique-t-il dans son billet, côté hardware. « Prise en charge complète du noyau Linux principal, pas de blobs binaires, de pilotes fermés ni de micrologiciels propriétaires, pas de BSP (package de support de carte) verrouillé par un fournisseur », côté software.

L’équipe développe aussi un système d’exploitation dont le nom est Flipper OS, pour être original. Celui-ci s’appuie sur Debian et propose des « profils » de configuration qui permettent d’avoir des snapshots d’OS différents, avec différents paquets et paramètres préconfigurés. Il est possible de cloner, modifier un profil ou revenir à une copie vierge, comme un reset d’usine. L’idée est de se passer des galères d’installation avec micro SD qu’on peut rencontrer quand on utilise un Raspberry Pi.

Ils ont aussi ouvert un portail wiki avec toute la documentation du projet et de la façon dont on peut participer.

« Que vous soyez ingénieur, développeur, designer ou simplement un utilisateur passionné ayant des idées à partager, vous êtes les bienvenus pour participer au développement et contribuer à façonner Flipper One », explique Pavel Zhovner avec un lien pour rejoindre le projet. On peut aussi retrouver le projet sur GitHub et retrouver la maquette sur On Shape.

Le dauphin qui envoie des ondes libres

Flipper Device, le fabricant du Flipper Zero, gadget célèbre dans l’univers de la bidouille, du hack et du hardware, a annoncé hier le développement d’un nouvel outil, appelé « Flipper One ». Celui-ci, qui n’est pas une évolution du Zero, s’oriente plus vers une utilisation réseau. Si l’équipe a déjà bien avancé sur le projet, elle demande aussi de l’aide de la part de la communauté.

C’est en forme d’appel à la communauté que Pavel Zhovner, CEO de Flipper Device, a annoncé que son entreprise était en train de développer son nouvel outil/gadget : Flipper One. Dans un billet de blog titré « Flipper One : on a besoin de votre aide », il explique que Flipper One est un « projet sur lequel [ils travaillent] d’arrache-pied depuis des années et [qu’ils ont] repris plusieurs fois à partir de zéro ».

Le Flipper Zero, essentiellement conçu pour des utilisations autour de la sécurité, a été créé via une campagne Kickstarter en 2020 et n’a cessé de gagner en popularité. Au point qu’en 2024, le Brésil avait interdit sa vente et le Canada réfléchissait à faire de même pour contrer le vol de véhicules.

Les deux sont complémentaires

Mais comme nous le fait remarquer l’heureux possesseur d’un Flipper Zero, « le One n’est pas une évolution du Zero, ils sont complémentaires ».

Pavel Zhovner le confirme dans son billet de blog : « Flipper Zero et Flipper One sont deux projets totalement distincts, conçus pour des tâches différentes. Le moyen le plus simple de les appréhender est de les considérer en termes de couches réseau :

• Couche 0 — Protocoles de contrôle d’accès point à point hors ligne : NFC, RFID basse fréquence, radio Sub-1 GHz, infrarouge, protocoles filaires tels que iButton, UART, SPI, I²C. Basés sur un microcontrôleur à faible consommation.
• Couche 1 — Tout ce qui est connecté via IP : Wi-Fi, Ethernet, 5G et satellite. Il s’agit avant tout de mise en réseau, de transfert de données et de calcul haute performance. Fonctionne sur du matériel puissant et une boîte à outils Linux ouverte — une puissance de calcul suffisante pour gérer la radio logiciel (SDR) et de l’IA locale ».

On peut le vérifier dans les specs publiées sur le site de Flipper Device : si les deux outils ont des looks qui se ressemblent, les specs du One sont très différentes de celles du Zero, et pas seulement par le fait que le One est beaucoup plus gros.

Le One tourne sur deux processeurs (un CPU haute performance SoC RK3576 à 8 cœurs et un MCU compact à faible consommation Raspberry Pi RP2350 à deux cœurs), possède un rail d’antennes et même une interface GPIO.

On peut y connecter des modules via des interfaces PCI Express, USB 3.0 et SATA, ce qui peut par exemple permettre de brancher un module de SDR, un SDD ou un modem cellulaire, précise Pavel Zhovner. Encore une fois, le Flipper One est encore à l’état de projet et les spécifications peuvent encore changer.

Retrouver l’esprit du « personal computer »

Si cet outil réseau multifonction vous fait penser à un petit PC ou à un Raspberry Pi, c’est tout à fait normal. Pavel Zhovner a expliqué à Gizmodo que l’objectif de Flipper One était de corriger un bon nombre des inconvénients qui le dérangeaient dans les autres petits ordinateurs de ce type. Notamment, il pointe le problème, sur les Raspberry Pi, du câble d’alimentation spécifique.

Le projet tourne donc autour de l’ouverture, que ce soit au niveau du software comme du hardware. «Nous voulons créer une plateforme matérielle Linux véritablement ouverte : l’ordinateur ARM le mieux documenté, capable de fonctionner dès sa sortie de l’emballage avec n’importe quel noyau récent », explique-t-il dans son billet, côté hardware. « Prise en charge complète du noyau Linux principal, pas de blobs binaires, de pilotes fermés ni de micrologiciels propriétaires, pas de BSP (package de support de carte) verrouillé par un fournisseur », côté software.

L’équipe développe aussi un système d’exploitation dont le nom est Flipper OS, pour être original. Celui-ci s’appuie sur Debian et propose des « profils » de configuration qui permettent d’avoir des snapshots d’OS différents, avec différents paquets et paramètres préconfigurés. Il est possible de cloner, modifier un profil ou revenir à une copie vierge, comme un reset d’usine. L’idée est de se passer des galères d’installation avec micro SD qu’on peut rencontrer quand on utilise un Raspberry Pi.

Ils ont aussi ouvert un portail wiki avec toute la documentation du projet et de la façon dont on peut participer.

« Que vous soyez ingénieur, développeur, designer ou simplement un utilisateur passionné ayant des idées à partager, vous êtes les bienvenus pour participer au développement et contribuer à façonner Flipper One », explique Pavel Zhovner avec un lien pour rejoindre le projet. On peut aussi retrouver le projet sur GitHub et retrouver la maquette sur On Shape.

Des tests « récréatifs », vraiment ?

Le projet de loi SURE qui est en cours de lecture au parlement prévoit que la police scientifique puisse s’appuyer sur les données collectées par les entreprises étrangères de tests ADN « récréatifs ». Il étend aussi le périmètre des infractions entrainant l’inscription au FNAEG. « Un changement de paradigme éthique », selon la CNIL. En parallèle, des députés Renaissance ont proposé de légaliser les tests ADN « récréatifs » en France.

Gérald Darmanin l’annonçait en octobre dernier, le projet de loi dite SURE prévoit que la police technique et scientifique puisse s’appuyer sur les données collectées par les entreprises étrangères de tests ADN pour retrouver l’identité d’une personne dont elle a trouvé une trace génétique.

Ce texte « sur la justice criminelle et le respect des victimes », surnommé SURE pour « Sanction Utile, Rapide et Effective » par le ministère, prévoit aussi d’élargir les causes d’inscription au FNAEG, le Fichier national automatisé des empreintes génétiques.

Déposé en mars au Sénat par le garde des Sceaux, il a été voté par les sénateurs en première lecture le 14 avril dernier et doit maintenant passer devant les députés.

Les cold cases comme prétextes

Le garde des Sceaux s’est appuyé sur la résolution de « cold case » pour le médiatiser, évoquant l’affaire du « prédateur des bois ». Le FBI avait identifié « des personnes pouvant être des ascendants de l’auteur des faits », comme l’expliquait à l’AFP la procureure de la République de Paris, Laure Beccuau, en 2022. À l’époque, le juge d’instruction du tribunal judiciaire de Paris avait sollicité les autorités étatsuniennes « par le biais d’une commission rogatoire internationale aux fins d’analyse génétique ».

Ce ne sont pas que les « cold cases » qui seront concernés, mais également les enquêtes concernant le terrorisme, un meurtre, un assassinat, des actes de torture ou de barbarie, un viol, un enlèvement ou une séquestration.

L’article 3 du texte prévoit ainsi que « le juge des libertés et de la détention, sur requête du procureur de la République ou, après avis de ce magistrat, le juge d’instruction peut, par décision écrite et motivée, ordonner l’analyse d’une empreinte génétique établie à partir d’une trace biologique issue d’une personne inconnue et sa comparaison avec les données de bases de données génétiques établies hors du territoire de la République sur le fondement d’un droit étranger, aux fins de recherche de personnes pouvant être apparentées à la personne dont l’identification est recherchée ».

Accès aux données d’entreprises comme 23andMe pour pallier les limites du FNAEG

Des promesses qui tardent à se concrétiser

Les industriels français du secteur se réunissent pour pousser la Commission européenne à réaliser sa promesse d’investissement de 20 milliards d’euros dans cinq gigafactories IA à travers l’Europe.

Scaleway voit Orange, EDF, Ardian et Capgemini la rejoindre dans son consortium AION lancé en juin 2025 pour répondre à un futur appel d’offres de l’UE sur une gigafactory IA. AION prétendait réunir des « partenaires publics, privés et académiques pour bâtir une infrastructure IA puissante et souveraine en Europe ».

À l’époque, Bull (anciennement Eviden, qui a repris son nom d’origine en parallèle de son rachat par l’État français), VSORA, Kyutai (filiale aussi d’iliad et de CMA CGM), Sopra Steria, SiPearl, Artefact, ZML, Hugging Face et H company faisaient déjà partie du projet, avec le soutien de l’infrastructure publique de recherche GENCI et de l’Inria. Mais AION semble montrer les muscles alors qu’il attend impatiemment la publication de l’appel d’offres de l’UE.

L’idée est surtout de répondre à un futur appel d’offres de l’UE sur les 20 milliards d’euros dédiés à des « gigafactories » de l’IA que la présidente de la Commission, Ursula von der Leyen, avait annoncés en février 2025 à l’occasion du Sommet pour l’action sur l’IA.

Un financement européen qui se fait attendre

Elle avait promis le financement de quatre futures giga-usines d’IA dans l’ensemble de l’UE. La Commission et EuroHPC avaient lancé une consultation publique sur le sujet en avril 2025 et Scaleway avait créé AION pour y répondre. Depuis, la Commission parle plutôt de financer cinq projets sur le territoire de l’Union européenne en évoquant toujours le même investissement. Finalement, l’institution européenne expliquait avoir reçu « 76 manifestations d’intérêt proposant la création de gigafactories d’IA dans 16 États membres, sur 60 sites différents » et promettait « de lancer, au quatrième trimestre 2025, un appel à projets officiel pour la création de « gigafactories » d’IA dans l’UE ».

Mais, depuis, les 76 potentiels candidats n’ont toujours rien vu venir. L’annonce de l’arrivée d’Orange, EDF, Ardian et Capgemini dans AION a tout d’un appel du pied du secteur français à la Commission pour qu’elle n’oublie pas sa promesse faite à un moment où les annonces d’investissements fleurissaient. Scaleway et ses partenaires veulent montrer leurs ambitions et leur détermination, d’autant qu’un pays ne pourrait accueillir qu’un lauréat.

L’affichage d’un besoin de souveraineté aussi pour l’IA

« Il n’y en aura pas 27 [dans chaque pays membre], il faut qu’il y en ait une en France », a déclaré Damien Lucas, le directeur général de Scaleway. Les entreprises évoquent un investissement de 10 milliards d’euros (dont 4 milliards environ pour le groupe iliad) pour un projet qui devrait d’abord demander une puissance de 100 mégawatts à l’ouverture et affiche un besoin de 1 gigawatts à terme. De fait, il pourrait être réparti sur plusieurs sites comme celui de Montereau-Fault-Yonne, en Seine-et-Marne, où la filiale d’iliad, Opcore, développe un data center ou chez Orange et Verne, la filiale d’Ardian.

Benoît Gaillochet, responsable des infrastructures Europe chez Ardian, s’appuie aussi, dans le communiqué commun, sur le nucléaire français pour en faire une force du consortium : « Il est temps de bâtir ensemble une Europe de l’IA basée sur des infrastructures européennes de classe mondiale ancrée sur nos formidables capacités énergétiques décarbonées ».

Et les porteurs du projet surfent sur le sujet de la souveraineté : « Il est important de maîtriser l’IA en Europe. Des opérations critiques seront faites par des agents d’IA, il faudra pour les réaliser un endroit souverain et de confiance, immunisé contre les lois extraterritoriales américaines », affirme Jérôme Berger, directeur de la stratégie et du capital-investissement d’Orange.

Les partenaires espèrent que l’appel d’offres arrive à la fin du printemps et être le seul consortium à se présenter côté français. « L’équipe de France est prête », assure Jérôme Berger même si le consortium reste ouvert à d’autres ralliements.

Quand la souveraineté « s’exporte »

S’il est question d’une « équipe de France » avec une forte connotation de souveraineté, d’autres acteurs français ne sont pas aussi chauvins, C’est le cas de Thales qui s’est associé à Google pour monter S3ns, une offre désormais qualifiée SecNumCloud par l’ANSSI. Ce même Thales continue sur sa lancée et annonce un partenariat stratégique avec Google Cloud pour lancer un « nouveau cloud souverain en Allemagne ».

Le groupe français s’appuie dans sa communication sur « le succès de S3NS, la filiale de cloud de confiance de Thales en France et opératrice de sa première région de cloud souverain en Europe ».

« Pour répondre à la demande du marché allemand en solutions souveraines protégeant les données sensibles des lois extraterritoriales » et sa vision originale de la « souveraineté ». Une approche qui n’est pas sans rappeler celle d’OVHcloud qui met aussi en avant sa qualification SecNumCloud pour proposer des offres « qui peuvent être certifiables SecNumCloud » (sans l’être).

Des promesses qui tardent à se concrétiser

Les industriels français du secteur se réunissent pour pousser la Commission européenne à réaliser sa promesse d’investissement de 20 milliards d’euros dans cinq gigafactories IA à travers l’Europe.

Scaleway voit Orange, EDF, Ardian et Capgemini la rejoindre dans son consortium AION lancé en juin 2025 pour répondre à un futur appel d’offres de l’UE sur une gigafactory IA. AION prétendait réunir des « partenaires publics, privés et académiques pour bâtir une infrastructure IA puissante et souveraine en Europe ».

À l’époque, Bull (anciennement Eviden, qui a repris son nom d’origine en parallèle de son rachat par l’État français), VSORA, Kyutai (filiale aussi d’iliad et de CMA CGM), Sopra Steria, SiPearl, Artefact, ZML, Hugging Face et H company faisaient déjà partie du projet, avec le soutien de l’infrastructure publique de recherche GENCI et de l’Inria. Mais AION semble montrer les muscles alors qu’il attend impatiemment la publication de l’appel d’offres de l’UE.

L’idée est surtout de répondre à un futur appel d’offres de l’UE sur les 20 milliards d’euros dédiés à des « gigafactories » de l’IA que la présidente de la Commission, Ursula von der Leyen, avait annoncés en février 2025 à l’occasion du Sommet pour l’action sur l’IA.

Un financement européen qui se fait attendre

Elle avait promis le financement de quatre futures giga-usines d’IA dans l’ensemble de l’UE. La Commission et EuroHPC avaient lancé une consultation publique sur le sujet en avril 2025 et Scaleway avait créé AION pour y répondre. Depuis, la Commission parle plutôt de financer cinq projets sur le territoire de l’Union européenne en évoquant toujours le même investissement. Finalement, l’institution européenne expliquait avoir reçu « 76 manifestations d’intérêt proposant la création de gigafactories d’IA dans 16 États membres, sur 60 sites différents » et promettait « de lancer, au quatrième trimestre 2025, un appel à projets officiel pour la création de « gigafactories » d’IA dans l’UE ».

Mais, depuis, les 76 potentiels candidats n’ont toujours rien vu venir. L’annonce de l’arrivée d’Orange, EDF, Ardian et Capgemini dans AION a tout d’un appel du pied du secteur français à la Commission pour qu’elle n’oublie pas sa promesse faite à un moment où les annonces d’investissements fleurissaient. Scaleway et ses partenaires veulent montrer leurs ambitions et leur détermination, d’autant qu’un pays ne pourrait accueillir qu’un lauréat.

L’affichage d’un besoin de souveraineté aussi pour l’IA

« Il n’y en aura pas 27 [dans chaque pays membre], il faut qu’il y en ait une en France », a déclaré Damien Lucas, le directeur général de Scaleway. Les entreprises évoquent un investissement de 10 milliards d’euros (dont 4 milliards environ pour le groupe iliad) pour un projet qui devrait d’abord demander une puissance de 100 mégawatts à l’ouverture et affiche un besoin de 1 gigawatts à terme. De fait, il pourrait être réparti sur plusieurs sites comme celui de Montereau-Fault-Yonne, en Seine-et-Marne, où la filiale d’iliad, Opcore, développe un data center ou chez Orange et Verne, la filiale d’Ardian.

Benoît Gaillochet, responsable des infrastructures Europe chez Ardian, s’appuie aussi, dans le communiqué commun, sur le nucléaire français pour en faire une force du consortium : « Il est temps de bâtir ensemble une Europe de l’IA basée sur des infrastructures européennes de classe mondiale ancrée sur nos formidables capacités énergétiques décarbonées ».

Et les porteurs du projet surfent sur le sujet de la souveraineté : « Il est important de maîtriser l’IA en Europe. Des opérations critiques seront faites par des agents d’IA, il faudra pour les réaliser un endroit souverain et de confiance, immunisé contre les lois extraterritoriales américaines », affirme Jérôme Berger, directeur de la stratégie et du capital-investissement d’Orange.

Les partenaires espèrent que l’appel d’offres arrive à la fin du printemps et être le seul consortium à se présenter côté français. « L’équipe de France est prête », assure Jérôme Berger même si le consortium reste ouvert à d’autres ralliements.

Quand la souveraineté « s’exporte »

S’il est question d’une « équipe de France » avec une forte connotation de souveraineté, d’autres acteurs français ne sont pas aussi chauvins, C’est le cas de Thales qui s’est associé à Google pour monter S3ns, une offre désormais qualifiée SecNumCloud par l’ANSSI. Ce même Thales continue sur sa lancée et annonce un partenariat stratégique avec Google Cloud pour lancer un « nouveau cloud souverain en Allemagne ».

Le groupe français s’appuie dans sa communication sur « le succès de S3NS, la filiale de cloud de confiance de Thales en France et opératrice de sa première région de cloud souverain en Europe ».

« Pour répondre à la demande du marché allemand en solutions souveraines protégeant les données sensibles des lois extraterritoriales » et sa vision originale de la « souveraineté ». Une approche qui n’est pas sans rappeler celle d’OVHcloud qui met aussi en avant sa qualification SecNumCloud pour proposer des offres « qui peuvent être certifiables SecNumCloud » (sans l’être).

Numérique humanum est ? 🤔

Les sciences humaines et sociales ont fait leur virage numérique il y a déjà plusieurs années. En France, Huma-Num est l’une des structures qui permet à cette communauté scientifique d’héberger ses données en France et de pouvoir accéder à des outils numériques pour les traiter. Next a interrogé Olivier Baude, son directeur.

On parle beaucoup de souveraineté numérique et des difficultés, en France, pour mettre en place des infrastructures permettant d’héberger les données de nos institutions. En sciences humaines et sociales, l’infrastructure de recherche Huma-Num propose depuis 2013 aux personnels de recherche des outils pour les accompagner dans la gestion de leurs données.

Si l’infrastructure est physiquement hébergée et opérée au sein du centre de calcul de l’IN2P3 (Institut national de physique nucléaire et de physique des particules) du CNRS à Lyon, c’est bien l’équipe d’Huma-Num qui l’exploite on-premise. Environ 600 disques, 3 baies de stockage NAS d’une capacité totale de 1 200 To, 1 cluster distribué de 1,2 Po, une soixantaine de serveurs et 74 GPU NVIDIA permettent à la structure de fonctionner. Mais qu’y a-t-il derrière ? Next a voulu en savoir plus en interrogeant Olivier Baude, directeur de la structure depuis 2015.

>> Huma-Num, pour quoi faire et pour qui ?

C’est une infrastructure de recherche qui est dédiée à l’accompagnement des sciences humaines et sociales (SHS) dans leurs méthodes, et notamment celles liées au numérique, ce qui est assez nouveau dans le paysage. Le but d’Huma-Num est d’apporter un appui, un soutien et de s’investir dans les projets de recherche autour du numérique dans ces disciplines.

Elle s’adresse à toutes les actrices et acteurs de la recherche en sciences humaines et sociales, notamment en France mais également à l’international. Même si certains services sont restreints aux acteurs et actrices de l’Enseignement supérieur et recherche (ESR) français, d’autres sont ouverts à tout le monde, dans l’esprit d’une science internationale. On parle des chercheurs, enseignants-chercheurs, mais aussi des ingénieurs, des agents en appui de la recherche ou en documentation et en méthodes, des doctorants, des post-docs, etc., tout ça en SHS.

En une dizaine d’années, il y a une très forte progression du nombre d’utilisateurs des services d’Huma-Num : on compte ainsi aujourd’hui 30 000 comptes d’acteurs et actrices de la recherche qui les utilisent.

Nous travaillons avec d’autres infrastructures de recherche en SHS comme OpenEdition sur l’édition scientifique, Progedo sur les données quantitatives et la statistique publique, et aussi avec le CCSD-Hal et avec le centre de calcul de l’IN2P3. Il y a un maillage réel entre ces infrastructures.

>> Concrètement, que propose Huma-Num aux chercheurs en sciences humaines et sociales ?

Courage, fuyons !

L’entreprise derrière le gestionnaire de mots de passe a discrètement changé d’équipe dirigeante en début d’année. Depuis, certains termes ont disparu du site web de promotion de la solution open source, comme « inclusion » et « transparence » et même, temporairement, l’engagement de proposer une offre « toujours gratuite ».

Depuis le début de l’année, Bitwarden a fait quelques discrets changements dans son équipe dirigeante et sur son site web. Celles-ci inquiètent certains utilisateurs quant à la direction que prend le projet de gestionnaire de mots de passe open source : depuis 2021, il se démarquait de la concurrence en restant le dernier service d’ampleur à fournir gratuitement la synchronisation fixe/mobile.

• BitWarden : un gestionnaire de mots de passe qui se démarque de la concurrence

Changement discret d’équipe de direction

En effet, comme l’a repéré Fast Company vendredi 15 mai, l’ancien CEO, Michael Crandell, a laissé la place à Michael Sullivan mais le changement n’avait été annoncé publiquement que par le changement de statut de leurs deux comptes LinkedIn. Ainsi, Michael Crandell est passé à un rôle de simple « conseiller » pendant que Michael Sullivan est arrivé en tant que CEO en février dernier après avoir quitté le même poste chez insightsoftware, explique-t-il sur son profil LinkedIn. Il y ajoute qu’il « possède une solide expérience dans tous les aspects des fusions et acquisitions, notamment une expérience directe auprès de grandes sociétés de capital-investissement ».

Sur LinkedIn aussi, le responsable financier de l’entreprise depuis 2019, Stephen Morrison, indique avoir quitté ses fonctions en avril dernier. Il est remplacé par Michael Shenkman.

Kyle Spearrin, qui a créé le projet, reste CTO depuis 2016. Mais la stabilité du fondateur ne semble pas s’accompagner de celles des valeurs mises en avant par le projet. Ainsi, plusieurs pages du site web du projet ont été modifiées.

Notamment, la mention du « always free » (en français, « toujours gratuit ») accompagnant la présentation de l’offre pour une utilisation « personnelle » gratuite a été, un temps, supprimée.

Suite à la publication de l’article de nos confrères, cette mention est réapparue. Sur le subreddit consacré à Bitwarden, un employé de l’entreprise affirme que celle-ci a été réintégrée et que c’était « un simple oubli de la part de l’équipe marketing ». L’entreprise a affirmé à Fast Company qu’elle « restait déterminée à proposer une offre gratuite solide qui apporte une réelle valeur ajoutée aux particuliers ».

Une notion fluide du courage

Mais d’autres changements ont été apportés au site du projet. Ainsi, la page « carrière » affichait jusque-là des valeurs de « Gratitude, responsabilité, inclusion et transparence » rassemblées sous l’acronyme GRIT (qui veut aussi dire « courage » en anglais).

Mais ce GRIT a été transformé récemment en un moins courageux « Gratitude, responsabilité, innovation et confiance ».

Là aussi, la page a encore été modifiée pour remettre le terme de transparence dans la définition de la confiance et celui d’« environnement inclusif » dans celle de la « gratitude ».

Juste avant le changement de direction, l’entreprise avait discrètement annoncé dans un billet de blog l’augmentation de ses tarifs premium. Ceux-ci sont passés à 19,80 dollars par an, alors qu’ils étaient encore à 10 dollars par an en début d’année.

Vaultwarden comme alternative ?

Toutes ces modifications inquiètent quant à la direction du projet. Ainsi, certains expliquent avoir déjà migré vers la solution Vaultwarden qui permet d’auto-héberger son gestionnaire de mots de passe et encouragent à le faire tant que « les clients Bitwarden sont open source et l’API du serveur est publique ».

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)

Rappelons que Vaultwarden est compatible avec Bitwarden et peut donc accueillir directement les données qui y ont été stockées. Ajoutons aussi que le projet n’est « pas associé à Bitwarden » ou à l’entreprise, même si, selon la page GitHub, « l’un des mainteneurs actifs de Vaultwarden est employé par Bitwarden et est autorisé à contribuer au projet sur son temps libre. Ces contributions sont indépendantes de Bitwarden et examinées par d’autres mainteneurs ». Enfin, comme nous le disions, si Bitwarden est régulièrement audité, ce n’est pas le cas du projet Vaultwarden.

Suite à ces réactions, Mike Sullivan a, pour la première fois, pris la parole sur le blog de l’entreprise en tant que CEO. Il y assure que « l’open source est le fondement de tout ce que Bitwarden développe. La possibilité de vérifier le code, d’héberger soi-même ses données et de s’assurer de leur authenticité plutôt que de se contenter de croire en elles ne sont pas de simples atouts supplémentaires : ce sont les raisons pour lesquelles Bitwarden se distingue de toutes les autres solutions du secteur, et cela ne changera pas ». Il ajoute que l’engagement d’avoir une version gratuite de Bitwarden est « permanent ». Son billet ne revient par contre pas sur les notions de « transparence » et d’ « inclusivité » qui ne sont pas mentionnées.

Courage, fuyons !

L’entreprise derrière le gestionnaire de mots de passe a discrètement changé d’équipe dirigeante en début d’année. Depuis, certains termes ont disparu du site web de promotion de la solution open source, comme « inclusion » et « transparence » et même, temporairement, l’engagement de proposer une offre « toujours gratuite ».

Depuis le début de l’année, Bitwarden a fait quelques discrets changements dans son équipe dirigeante et sur son site web. Celles-ci inquiètent certains utilisateurs quant à la direction que prend le projet de gestionnaire de mots de passe open source : depuis 2021, il se démarquait de la concurrence en restant le dernier service d’ampleur à fournir gratuitement la synchronisation fixe/mobile.

• BitWarden : un gestionnaire de mots de passe qui se démarque de la concurrence

Changement discret d’équipe de direction

En effet, comme l’a repéré Fast Company vendredi 15 mai, l’ancien CEO, Michael Crandell, a laissé la place à Michael Sullivan mais le changement n’avait été annoncé publiquement que par le changement de statut de leurs deux comptes LinkedIn. Ainsi, Michael Crandell est passé à un rôle de simple « conseiller » pendant que Michael Sullivan est arrivé en tant que CEO en février dernier après avoir quitté le même poste chez insightsoftware, explique-t-il sur son profil LinkedIn. Il y ajoute qu’il « possède une solide expérience dans tous les aspects des fusions et acquisitions, notamment une expérience directe auprès de grandes sociétés de capital-investissement ».

Sur LinkedIn aussi, le responsable financier de l’entreprise depuis 2019, Stephen Morrison, indique avoir quitté ses fonctions en avril dernier. Il est remplacé par Michael Shenkman.

Kyle Spearrin, qui a créé le projet, reste CTO depuis 2016. Mais la stabilité du fondateur ne semble pas s’accompagner de celles des valeurs mises en avant par le projet. Ainsi, plusieurs pages du site web du projet ont été modifiées.

Notamment, la mention du « always free » (en français, « toujours gratuit ») accompagnant la présentation de l’offre pour une utilisation « personnelle » gratuite a été, un temps, supprimée.

Suite à la publication de l’article de nos confrères, cette mention est réapparue. Sur le subreddit consacré à Bitwarden, un employé de l’entreprise affirme que celle-ci a été réintégrée et que c’était « un simple oubli de la part de l’équipe marketing ». L’entreprise a affirmé à Fast Company qu’elle « restait déterminée à proposer une offre gratuite solide qui apporte une réelle valeur ajoutée aux particuliers ».

Une notion fluide du courage

Mais d’autres changements ont été apportés au site du projet. Ainsi, la page « carrière » affichait jusque-là des valeurs de « Gratitude, responsabilité, inclusion et transparence » rassemblées sous l’acronyme GRIT (qui veut aussi dire « courage » en anglais).

Mais ce GRIT a été transformé récemment en un moins courageux « Gratitude, responsabilité, innovation et confiance ».

Là aussi, la page a encore été modifiée pour remettre le terme de transparence dans la définition de la confiance et celui d’« environnement inclusif » dans celle de la « gratitude ».

Juste avant le changement de direction, l’entreprise avait discrètement annoncé dans un billet de blog l’augmentation de ses tarifs premium. Ceux-ci sont passés à 19,80 dollars par an, alors qu’ils étaient encore à 10 dollars par an en début d’année.

Vaultwarden comme alternative ?

Toutes ces modifications inquiètent quant à la direction du projet. Ainsi, certains expliquent avoir déjà migré vers la solution Vaultwarden qui permet d’auto-héberger son gestionnaire de mots de passe et encouragent à le faire tant que « les clients Bitwarden sont open source et l’API du serveur est publique ».

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)

Rappelons que Vaultwarden est compatible avec Bitwarden et peut donc accueillir directement les données qui y ont été stockées. Ajoutons aussi que le projet n’est « pas associé à Bitwarden » ou à l’entreprise, même si, selon la page GitHub, « l’un des mainteneurs actifs de Vaultwarden est employé par Bitwarden et est autorisé à contribuer au projet sur son temps libre. Ces contributions sont indépendantes de Bitwarden et examinées par d’autres mainteneurs ». Enfin, comme nous le disions, si Bitwarden est régulièrement audité, ce n’est pas le cas du projet Vaultwarden.

Suite à ces réactions, Mike Sullivan a, pour la première fois, pris la parole sur le blog de l’entreprise en tant que CEO. Il y assure que « l’open source est le fondement de tout ce que Bitwarden développe. La possibilité de vérifier le code, d’héberger soi-même ses données et de s’assurer de leur authenticité plutôt que de se contenter de croire en elles ne sont pas de simples atouts supplémentaires : ce sont les raisons pour lesquelles Bitwarden se distingue de toutes les autres solutions du secteur, et cela ne changera pas ». Il ajoute que l’engagement d’avoir une version gratuite de Bitwarden est « permanent ». Son billet ne revient par contre pas sur les notions de « transparence » et d’ « inclusivité » qui ne sont pas mentionnées.

Trop tard ?

Dans son rapport annuel, l’autorité française de protection des données constate un record de fuites de données en 2025 : 6 167 signalements lui ont été faits, une augmentation de 9,5 % en un an. La CNIL promet d’augmenter ses contrôles sur les manquements en matière de cybersécurité.

On pouvait s’en douter avec les multiples fuites de données évoquées ces derniers temps, mais la CNIL le confirme dans son rapport annuel : « la CNIL s’est vue en définitive notifiée de 6 167 violations en 2025, ce qui représente tout de même une hausse de 9,5 % par rapport à 2024 ». Pour 2024, l’autorité signalait l’année dernière avoir reçu 5 629 notifications de violation de données personnelles.

En mars dernier, le patron de l’ANSSI faisait déjà le constat que les « niveaux de menaces sont très significatifs » mais il ajoutait : « on n’est pas sur une explosion ou un raz-de-marée en 2025 ».

Encore une année record

« L’année 2024 établissait un record. Il a malheureusement été dépassé en 2025 avec presque 10 % de notifications supplémentaires », indique l’autorité de protection des données qui a publié ce rapport ce lundi 18 mai. Elle souligne observer trois tendances sur ces signalements de violations de données.

Ainsi, et « comme les années précédentes, le piratage continue d’être la nature d’incident la plus fréquemment déclarée ». La CNIL évoque notamment le vol de données depuis un compte utilisateur légitime, l’utilisation de rançongiciel, le phishing ou encore le credential stuffing (utilisation de bases de données de couples identifiant/mot de passe volées pour tester s’ils ont été utilisés ailleurs). Il atteint 50 % des signalements en 2025. Mais la fuite peut se faire aussi sans intention néfaste, ainsi 13 % des signalements concernent l’envoi de données personnelles à un mauvais destinataire, 7 % le vol ou la perte de matériel et de données et encore 7 % la publication non intentionnelle d’informations.

La deuxième tendance évoquée par la CNIL dans son rapport est le ciblage de certaines attaques. Sans nommer la solution en question, l’autorité explique notamment que « 2025 a notamment été marquée par une série de vols de données visant les entreprises clientes d’un éditeur de solution de CRM ». Elle ajoute qu’une série d’attaques a ciblé les fédérations sportives françaises.

• Tennis, spéléologie : nouvelles fuites de données chez les fédérations sportives

Enfin, elle signale l’augmentation des violations de données susceptibles de concerner plus d’un million de personnes : « il y en a eu une quarantaine en 2025 (une trentaine en 2024) ». Dans les chiffres du rapport de la CNIL, le secteur de l’administration publique se distingue : il représente 19 % des violations de données signalées à l’autorité. Rappelons, par exemple, la fuite de données concernant 1,6 million de comptes en décembre 2025, alors que l’agence avait déjà subi une fuite portant sur près de 37 millions de Français en 2024 qui lui a valu une amende de 5 millions d’euros.

En 2026, 50 % de ses contrôles et actions répressives de la CNIL aux manquements en matière de cybersécurité

Au Monde, la présidente de la CNIL, Marie-Laure Denis, affirme qu’une des conséquences des fuites de données collectées par l’administration publique est « l’altération du lien de confiance entre l’État et les citoyens, car l’État a une responsabilité particulière à l’égard des données des Français ».

En réaction à cette augmentation des signalements, l’autorité annonce augmenter, cette année, les contrôles sur la sécurité des données. « La CNIL consacrera 50 % de ses contrôles et actions répressives aux manquements en matière de cybersécurité », explique-t-elle dans son communiqué. La présidente de la CNIL indique à nos confrères du Monde qu’en 2025, « c’était entre un quart et un tiers ».

Elle indique, dans le rapport, qu’après avoir publié sa recommandation sur l’authentification multifacteur en mars 2025 [PDF], avoir « fortement incité les organismes gérant de grandes bases de données » à la mettre en place et leur avoir laissé un temps d’adaptation,« des contrôles seront réalisés tout au long de l’année 2026 ».

Répercussion budgétaire mécanique

Mais cet effort sur le contrôle de la sécurisation des données se répercutera mécaniquement sur les autres missions de l’autorité. Dans son rapport, la CNIL souligne encore qu’elle évolue dans « un contexte budgétaire contraint ». Elle y ajoute d’ailleurs qu’ « en 2026, la CNIL n’a obtenu aucune création de postes malgré ses besoins induits par un accroissement de sa charge sur les missions historiques et l’ajout de nouvelles compétences liées à plusieurs règlements européens, notamment en matière d’intelligence artificielle ».

Rappelons que ce n’est pas l’autorité qui perçoit le montant des amendes, il est versé au budget général de l’État. Récemment, le gouvernement a évoqué l’idée de les allouer à un nouveau fonds dédié à la modernisation des infrastructures numériques dans une logique assumée de « pollueur-payeur ».

Concernant les autres sujets, justement, la CNIL constate encore une hausse des plaintes qu’elle a reçues globalement. Ainsi, alors qu’« un record avait été établi en 2024, avec 17 772 plaintes reçues par la CNIL, en hausse de plus de 8 % par rapport à l’année précédente », l’autorité souligne qu’il a été battu en 2025 avec une augmentation « de plus de 10 % » avec un total de 20 150.

Dans son rapport, la CNIL souligne être intervenue « auprès de nombreux organismes pour leur rappeler la réglementation applicable concernant le recours à des dispositifs de télésurveillance d’épreuves d’examen et de vidéoprotection ».

Ainsi, elle évoque l’exemple de « plaintes relatives au projet envisagé par une université [sans la nommer dans le rapport] de procéder à des enregistrements vidéo et sonores des étudiants pendant des épreuves d’examen à distance ». Finalement, la présidente de la CNIL a « adressé un avertissement à l’université l’invitant à « revoir sa copie » avant la mise en place effective de ce projet, notamment sur l’impératif de réaliser une analyse d’impact, sur les risques du dispositif, et sur l’obligation de fournir une information précise aux personnes concernées ». Elle évoque aussi avoir rappelé à « plusieurs communes que les systèmes de vidéoprotection doivent être mis en œuvre conformément au code de la sécurité intérieure (CSI) et au RGPD ».

Dans son rapport, la CNIL rappelle aussi que « le FICOBA ne dépend plus de l’exercice des droits indirects géré par la CNIL », ce mécanisme qui permet d’« accéder aux informations vous concernant enregistrées dans certains fichiers publics ». Le Fichier des comptes bancaires « notamment utilisé par l’administration en cas de contrôle fiscal, est désormais en accès direct », explique l’autorité, « la démarche peut désormais s’effectuer depuis le site www.impots.gouv.fr. Ce changement de cadre permet une réaffectation des ressources pour les demandes relatives à d’autres fichiers.» En effet, la CNIL explique qu’elle a clôturé, en 2025, 32 262 dossiers d’exercice des droits indirects « dont 27 492 concernaient des demandes d’accès au Fichier national des comptes bancaires et assimilés (FICOBA) qui relevait de la CNIL jusqu’au 6 janvier 2025. »

L’autorité rappelle aussi dans son rapport le bilan qu’elle avait déjà fait en début d’année sur les 487 millions d’euros d’amende infligés en 2025, avec notamment celles contre Google et Shein qui totalisent à elles seules 475 millions.

Trop tard ?

Dans son rapport annuel, l’autorité française de protection des données constate un record de fuites de données en 2025 : 6 167 signalements lui ont été faits, une augmentation de 9,5 % en un an. La CNIL promet d’augmenter ses contrôles sur les manquements en matière de cybersécurité.

On pouvait s’en douter avec les multiples fuites de données évoquées ces derniers temps, mais la CNIL le confirme dans son rapport annuel : « la CNIL s’est vue en définitive notifiée de 6 167 violations en 2025, ce qui représente tout de même une hausse de 9,5 % par rapport à 2024 ». Pour 2024, l’autorité signalait l’année dernière avoir reçu 5 629 notifications de violation de données personnelles.

En mars dernier, le patron de l’ANSSI faisait déjà le constat que les « niveaux de menaces sont très significatifs » mais il ajoutait : « on n’est pas sur une explosion ou un raz-de-marée en 2025 ».

Encore une année record

« L’année 2024 établissait un record. Il a malheureusement été dépassé en 2025 avec presque 10 % de notifications supplémentaires », indique l’autorité de protection des données qui a publié ce rapport ce lundi 18 mai. Elle souligne observer trois tendances sur ces signalements de violations de données.

Ainsi, et « comme les années précédentes, le piratage continue d’être la nature d’incident la plus fréquemment déclarée ». La CNIL évoque notamment le vol de données depuis un compte utilisateur légitime, l’utilisation de rançongiciel, le phishing ou encore le credential stuffing (utilisation de bases de données de couples identifiant/mot de passe volées pour tester s’ils ont été utilisés ailleurs). Il atteint 50 % des signalements en 2025. Mais la fuite peut se faire aussi sans intention néfaste, ainsi 13 % des signalements concernent l’envoi de données personnelles à un mauvais destinataire, 7 % le vol ou la perte de matériel et de données et encore 7 % la publication non intentionnelle d’informations.

La deuxième tendance évoquée par la CNIL dans son rapport est le ciblage de certaines attaques. Sans nommer la solution en question, l’autorité explique notamment que « 2025 a notamment été marquée par une série de vols de données visant les entreprises clientes d’un éditeur de solution de CRM ». Elle ajoute qu’une série d’attaques a ciblé les fédérations sportives françaises.

• Tennis, spéléologie : nouvelles fuites de données chez les fédérations sportives

Enfin, elle signale l’augmentation des violations de données susceptibles de concerner plus d’un million de personnes : « il y en a eu une quarantaine en 2025 (une trentaine en 2024) ». Dans les chiffres du rapport de la CNIL, le secteur de l’administration publique se distingue : il représente 19 % des violations de données signalées à l’autorité. Rappelons, par exemple, la fuite de données concernant 1,6 million de comptes en décembre 2025, alors que l’agence avait déjà subi une fuite portant sur près de 37 millions de Français en 2024 qui lui a valu une amende de 5 millions d’euros.

En 2026, 50 % de ses contrôles et actions répressives de la CNIL aux manquements en matière de cybersécurité

Au Monde, la présidente de la CNIL, Marie-Laure Denis, affirme qu’une des conséquences des fuites de données collectées par l’administration publique est « l’altération du lien de confiance entre l’État et les citoyens, car l’État a une responsabilité particulière à l’égard des données des Français ».

En réaction à cette augmentation des signalements, l’autorité annonce augmenter, cette année, les contrôles sur la sécurité des données. « La CNIL consacrera 50 % de ses contrôles et actions répressives aux manquements en matière de cybersécurité », explique-t-elle dans son communiqué. La présidente de la CNIL indique à nos confrères du Monde qu’en 2025, « c’était entre un quart et un tiers ».

Elle indique, dans le rapport, qu’après avoir publié sa recommandation sur l’authentification multifacteur en mars 2025 [PDF], avoir « fortement incité les organismes gérant de grandes bases de données » à la mettre en place et leur avoir laissé un temps d’adaptation,« des contrôles seront réalisés tout au long de l’année 2026 ».

Répercussion budgétaire mécanique

Mais cet effort sur le contrôle de la sécurisation des données se répercutera mécaniquement sur les autres missions de l’autorité. Dans son rapport, la CNIL souligne encore qu’elle évolue dans « un contexte budgétaire contraint ». Elle y ajoute d’ailleurs qu’ « en 2026, la CNIL n’a obtenu aucune création de postes malgré ses besoins induits par un accroissement de sa charge sur les missions historiques et l’ajout de nouvelles compétences liées à plusieurs règlements européens, notamment en matière d’intelligence artificielle ».

Rappelons que ce n’est pas l’autorité qui perçoit le montant des amendes, il est versé au budget général de l’État. Récemment, le gouvernement a évoqué l’idée de les allouer à un nouveau fonds dédié à la modernisation des infrastructures numériques dans une logique assumée de « pollueur-payeur ».

Concernant les autres sujets, justement, la CNIL constate encore une hausse des plaintes qu’elle a reçues globalement. Ainsi, alors qu’« un record avait été établi en 2024, avec 17 772 plaintes reçues par la CNIL, en hausse de plus de 8 % par rapport à l’année précédente », l’autorité souligne qu’il a été battu en 2025 avec une augmentation « de plus de 10 % » avec un total de 20 150.

Dans son rapport, la CNIL souligne être intervenue « auprès de nombreux organismes pour leur rappeler la réglementation applicable concernant le recours à des dispositifs de télésurveillance d’épreuves d’examen et de vidéoprotection ».

Ainsi, elle évoque l’exemple de « plaintes relatives au projet envisagé par une université [sans la nommer dans le rapport] de procéder à des enregistrements vidéo et sonores des étudiants pendant des épreuves d’examen à distance ». Finalement, la présidente de la CNIL a « adressé un avertissement à l’université l’invitant à « revoir sa copie » avant la mise en place effective de ce projet, notamment sur l’impératif de réaliser une analyse d’impact, sur les risques du dispositif, et sur l’obligation de fournir une information précise aux personnes concernées ». Elle évoque aussi avoir rappelé à « plusieurs communes que les systèmes de vidéoprotection doivent être mis en œuvre conformément au code de la sécurité intérieure (CSI) et au RGPD ».

Dans son rapport, la CNIL rappelle aussi que « le FICOBA ne dépend plus de l’exercice des droits indirects géré par la CNIL », ce mécanisme qui permet d’« accéder aux informations vous concernant enregistrées dans certains fichiers publics ». Le Fichier des comptes bancaires « notamment utilisé par l’administration en cas de contrôle fiscal, est désormais en accès direct », explique l’autorité, « la démarche peut désormais s’effectuer depuis le site www.impots.gouv.fr. Ce changement de cadre permet une réaffectation des ressources pour les demandes relatives à d’autres fichiers.» En effet, la CNIL explique qu’elle a clôturé, en 2025, 32 262 dossiers d’exercice des droits indirects « dont 27 492 concernaient des demandes d’accès au Fichier national des comptes bancaires et assimilés (FICOBA) qui relevait de la CNIL jusqu’au 6 janvier 2025. »

L’autorité rappelle aussi dans son rapport le bilan qu’elle avait déjà fait en début d’année sur les 487 millions d’euros d’amende infligés en 2025, avec notamment celles contre Google et Shein qui totalisent à elles seules 475 millions.

L'IA is the new 42

Alors que les plateformes de paris en ligne sont de plus en plus pointées du doigt pour encourager les délits d’initiés, l’agence de régulation CFTC explique s’appuyer sur l’IA pour les détecter.

L’administration Trump commence à voir s’amonceler les critiques sur la non-régulation des plateformes de paris en ligne comme Polymarket et Kalshi. Elle y répond en mettant en avant son utilisation de l’IA pour la détection de potentiels délits d’initiés.

Début avril, sept membres démocrates du Congrès américain ont écrit à Michael Selig [PDF], le responsable de l’agence de régulation des bourses de commerce (Commodity Futures Trading Commission, CFTC). Ils s’inquiétaient « que les marchés prédictifs en soient venus à ressembler à un « Far West » sans aucune réglementation ».

« De récentes affaires très médiatisées d’allégations de délit d’initié sur des plateformes de marchés prédictifs concernant des actions du gouvernement américain — notamment l’intervention militaire au Venezuela et notre récente attaque contre l’Iran — ont alimenté les inquiétudes quant à l’insuffisance des contrôles exercés par la CFTC sur ces marchés en pleine expansion », ajoutaient-ils.

Deux semaines après, on apprenait l’arrestation d’un soldat états-unien dans le cadre du pari sur la chute de Maduro, qui lui avait permis d’empocher 430 000 dollars sur Polymarket. Mais ce pari est loin d’être le seul qui soulève des questions sur de possibles délits d’initiés.

Ainsi, le New York Times racontait la semaine dernière qu’un petit groupe de 13 personnes a parié un total de 140 000 dollars le 12 juin 2025 sur le fait qu’Israël allait bombarder l’Iran avant la fin de la semaine. Dans la nuit du 12 au 13 juin, Israël lançait une offensive qui déclenchera une guerre de douze jours. Le groupe de parieurs a empoché plus de 600 000 dollars de profit.

11 000 comptes suspicieux détectés par le New York Times

Le journal américain explique avoir repéré plus de 11 000 comptes suspicieux. Ceux-ci correspondent aux comptes qui, soit ont fait des paris risqués gagnants, des mises effectuées au bon moment par des comptes récemment ouverts, ainsi que des paris placés par des utilisateurs qui ne misent que sur quelques thèmes géopolitiques comme ceux-là sans jamais perdre, expliquent-ils, tout en ajoutant qu’en se basant seulement sur les données publiques trouvées sur Polymarket, « il est impossible de déterminer si ces utilisateurs étaient des initiés ayant accès à des informations non publiques ».

En plongeant dans les données, le New York Times a pu remarquer néanmoins que sept utilisateurs ont, par exemple, parié sur l’annonce d’un cessez-le-feu dans la guerre contre l’Iran le 7 avril quelques heures avant l’annonce par Donald Trump sur Truth Social, remportant en tout 1,4 million de dollars.

Les opérations militaires sont particulièrement sujettes à des paris suspects, explique l’association états-unienne Anti-Corruption Data Collective qui a récemment publié un rapport [PDF] sur le sujet. Notamment depuis le début de l’année 2026 :

L’IA à la rescousse

Face à ces différents éléments, l’administration Trump commence à réagir publiquement. Ainsi, Michael Selig a affirmé à Wired que son agence allait finalement recruter, alors que, comme la plupart des agences états-uniennes depuis le retour au pouvoir de Donald Trump, elle manque d’effectifs. Et, même si Elon Musk a quitté le DOGE depuis près d’un an, l’IA semble encore la solution apportée.

• Les proches d’Elon Musk veulent intégrer de l’IA dans l’informatique de l’État américain

« On a tellement de données », s’exclame-t-il devant nos confrères, « quand on les intègre dans l’IA, on obtient des informations très utiles. Cela peut nous aider à comprendre certaines choses, par exemple où il faudrait mener une enquête, ou quand il faudrait envoyer une assignation à un trader  ». L’agence explique, outre le développement d’outils internes, utiliser des outils comme Chainalysis, qui permet de faire des enquêtes sur les transactions de cryptomonnaies.

Michael Selig assure à nos confrères que l’agence est prête à affirmer sa compétence extraterritoriale sur des plateformes qui ne seraient pas installées aux États-Unis, tout en ajoutant ne l’envisager que dans « des circonstances extrêmes ». « Dans tout litige extraterritorial, notre autorité sera contestée, ce qui pourrait également nuire à notre capacité à intenter des poursuites à l’avenir », avoue-t-il, évoquant aussi la possibilité de s’en remettre à une autorité non états-unienne.

L'IA is the new 42

Alors que les plateformes de paris en ligne sont de plus en plus pointées du doigt pour encourager les délits d’initiés, l’agence de régulation CFTC explique s’appuyer sur l’IA pour les détecter.

L’administration Trump commence à voir s’amonceler les critiques sur la non-régulation des plateformes de paris en ligne comme Polymarket et Kalshi. Elle y répond en mettant en avant son utilisation de l’IA pour la détection de potentiels délits d’initiés.

Début avril, sept membres démocrates du Congrès américain ont écrit à Michael Selig [PDF], le responsable de l’agence de régulation des bourses de commerce (Commodity Futures Trading Commission, CFTC). Ils s’inquiétaient « que les marchés prédictifs en soient venus à ressembler à un « Far West » sans aucune réglementation ».

« De récentes affaires très médiatisées d’allégations de délit d’initié sur des plateformes de marchés prédictifs concernant des actions du gouvernement américain — notamment l’intervention militaire au Venezuela et notre récente attaque contre l’Iran — ont alimenté les inquiétudes quant à l’insuffisance des contrôles exercés par la CFTC sur ces marchés en pleine expansion », ajoutaient-ils.

Deux semaines après, on apprenait l’arrestation d’un soldat états-unien dans le cadre du pari sur la chute de Maduro, qui lui avait permis d’empocher 430 000 dollars sur Polymarket. Mais ce pari est loin d’être le seul qui soulève des questions sur de possibles délits d’initiés.

Ainsi, le New York Times racontait la semaine dernière qu’un petit groupe de 13 personnes a parié un total de 140 000 dollars le 12 juin 2025 sur le fait qu’Israël allait bombarder l’Iran avant la fin de la semaine. Dans la nuit du 12 au 13 juin, Israël lançait une offensive qui déclenchera une guerre de douze jours. Le groupe de parieurs a empoché plus de 600 000 dollars de profit.

11 000 comptes suspicieux détectés par le New York Times

Le journal américain explique avoir repéré plus de 11 000 comptes suspicieux. Ceux-ci correspondent aux comptes qui, soit ont fait des paris risqués gagnants, des mises effectuées au bon moment par des comptes récemment ouverts, ainsi que des paris placés par des utilisateurs qui ne misent que sur quelques thèmes géopolitiques comme ceux-là sans jamais perdre, expliquent-ils, tout en ajoutant qu’en se basant seulement sur les données publiques trouvées sur Polymarket, « il est impossible de déterminer si ces utilisateurs étaient des initiés ayant accès à des informations non publiques ».

En plongeant dans les données, le New York Times a pu remarquer néanmoins que sept utilisateurs ont, par exemple, parié sur l’annonce d’un cessez-le-feu dans la guerre contre l’Iran le 7 avril quelques heures avant l’annonce par Donald Trump sur Truth Social, remportant en tout 1,4 million de dollars.

Les opérations militaires sont particulièrement sujettes à des paris suspects, explique l’association états-unienne Anti-Corruption Data Collective qui a récemment publié un rapport [PDF] sur le sujet. Notamment depuis le début de l’année 2026 :

L’IA à la rescousse

Face à ces différents éléments, l’administration Trump commence à réagir publiquement. Ainsi, Michael Selig a affirmé à Wired que son agence allait finalement recruter, alors que, comme la plupart des agences états-uniennes depuis le retour au pouvoir de Donald Trump, elle manque d’effectifs. Et, même si Elon Musk a quitté le DOGE depuis près d’un an, l’IA semble encore la solution apportée.

• Les proches d’Elon Musk veulent intégrer de l’IA dans l’informatique de l’État américain

« On a tellement de données », s’exclame-t-il devant nos confrères, « quand on les intègre dans l’IA, on obtient des informations très utiles. Cela peut nous aider à comprendre certaines choses, par exemple où il faudrait mener une enquête, ou quand il faudrait envoyer une assignation à un trader  ». L’agence explique, outre le développement d’outils internes, utiliser des outils comme Chainalysis, qui permet de faire des enquêtes sur les transactions de cryptomonnaies.

Michael Selig assure à nos confrères que l’agence est prête à affirmer sa compétence extraterritoriale sur des plateformes qui ne seraient pas installées aux États-Unis, tout en ajoutant ne l’envisager que dans « des circonstances extrêmes ». « Dans tout litige extraterritorial, notre autorité sera contestée, ce qui pourrait également nuire à notre capacité à intenter des poursuites à l’avenir », avoue-t-il, évoquant aussi la possibilité de s’en remettre à une autorité non états-unienne.

À inondation massive, solution massive

Alors que les plateformes de prépublications et éditeurs scientifiques sont inondés d’articles générés par IA, arXiv s’affiche plus sévère. Elle annonce une suspension d’un an pour celles et ceux qui soumettent des articles dont la génération n’a manifestement pas été vérifiée.

La plateforme pionnière de prépublication scientifique arXiv va suspendre pour un an tout chercheur qui aurait mis en ligne un article erroné et manifestement généré par IA.

« Si un article contient des preuves irréfutables indiquant que les auteurs n’ont pas vérifié les résultats générés par un grand modèle de langage (LLM), cela signifie que nous ne pouvons avoir confiance en quoi que ce soit contenu dans cet article », expliquait dans un thread sur X jeudi dernier Thomas Dietterich, le responsable adjoint de la plateforme.

Une année de suspension et un retour très balisé ensuite

Il ajoutait que l’équipe avait décidé d’une suspension d’un an de la plateforme pour tout auteur ayant signé un tel article. Après cette année de suspension, la plateforme acceptera les articles signés par cet auteur s’ils ont déjà été acceptés par une revue ou une conférence qui aura déjà effectué le filtre de relecture par les pairs. Autant dire que l’intérêt de mettre en ligne sur arXiv deviendra quasiment inexistant pour ces personnes.

« Notre code de conduite stipule qu’en apposant sa signature en tant qu’auteur d’un article, chaque auteur assume l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été élaboré », justifie-t-il.

Certains chercheurs comme l’économiste James D. Miller s’inquiètent du fait que tous les auteurs d’un article pourraient être sanctionnés : « Cela signifie-t-il donc que vous attendez de chaque auteur qu’il vérifie chaque référence et s’assure que chacune d’entre elles est authentique et exacte ? Que se passe-t-il si l’un des auteurs n’est pas en mesure de vérifier une référence parce que celle-ci est rédigée dans une langue qu’il ne maîtrise pas ou porte sur un sujet technique qu’il ne comprend pas, alors qu’un autre auteur de l’article en est capable ? », demande-t-il.

« Nous notons que les outils peuvent produire des résultats utiles et pertinents, mais aussi des erreurs ou des résultats trompeurs ; c’est pourquoi il est important de savoir quels outils ont été utilisés pour évaluer et interpréter les travaux scientifiques », expliquait le site dans sa politique de modération.

Et l’équipe d’arXiv y rappelait déjà à ses collègues « qu’en apposant leur signature en tant qu’auteur d’un article, ils assument chacun individuellement l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été généré. Si des outils linguistiques d’IA générative produisent des propos inappropriés, du contenu plagié, du contenu biaisé, des erreurs, des fautes, des références erronées ou du contenu trompeur, et que ces résultats sont intégrés dans des travaux scientifiques, la responsabilité en incombe au(x) auteur(s) ».

Mais la masse d’articles contenant ce genre de problèmes est telle qu’arXiv semble avoir dû, si ce n’est relever la barre de la sanction, au moins la rendre publique.

Thomas Dietterich finit son thread en donnant quelques exemples de preuves indiscutables de ce genre d’utilisation : « références fantaisistes, méta-commentaires du LLM ( » voici un résumé de 200 mots ; souhaitez-vous que j’y apporte des modifications ? » ; « les données de ce tableau sont données à titre indicatif, complétez-le avec les chiffres réels issus de vos expériences ») ». Interrogé par 404 Media, il ajoute que la plateforme ne fera aucune exception à cette règle tout en ajoutant qu’une procédure d’appel existe et que les modérateurs de la plateforme doivent documenter clairement le signalement. Le responsable d’arXiv pour la discipline doit confirmer avant sanction.

Les revues et actes de conférences sont aussi inondés de genAI problématiques

Les plateformes de prépublication comme les revues scientifiques sont de plus en plus inondées d’articles générés par IA et non vérifiés. Récemment, une étude montrait que les actes des conférences scientifiques peuvent accueillir massivement des articles rédigés (ou générés par IA) dans le but de vendre aux chercheurs une place bien au chaud pour leur signature moyennant 11 à 400 dollars.

On peut aussi régulièrement repérer des articles scientifiques incluant des schémas fantaisistes générés par IA. Ainsi, on peut trouver, par exemple, cet article, publié en mars 2025 dans la revue Alexandria Engineering Journal éditée par Elsevier, censé présenter une modélisation mathématique de la mécanique cochléaire et des dysfonctionnements liés à la cochlée. On peut y trouver ce genre d’illustrations totalement fantaisistes et inappropriées :

L’article n’a actuellement pas encore été rétracté.

L’ACL prend aussi des mesures

Les plateformes de prépublication ne sont pas les seules à réagir. Ainsi, par exemple, les responsables de la conférence de l’Association for Computational Linguistics qui doit avoir lieu en juillet prochain ont dû publier une déclaration spécifique concernant le rejet d’articles contenant des références fantaisistes. L’organisation explique que beaucoup de propositions ont été rejetées dès le début pour ce genre de problème.

Mais elle ajoute que même après ces filtres, il y a eu des trous dans la raquette : « lors des derniers contrôles des versions finales des articles acceptés pour l’ACL 2026, nous avons identifié plus d’une centaine d’articles contenant des références à des publications inexistantes ». Et elle ajoute qu’« en conséquence, nous avons pris la décision de rejeter d’office ces articles acceptés afin de préserver la qualité et la fiabilité des actes du colloque ».

À inondation massive, solution massive

Alors que les plateformes de prépublications et éditeurs scientifiques sont inondés d’articles générés par IA, arXiv s’affiche plus sévère. Elle annonce une suspension d’un an pour celles et ceux qui soumettent des articles dont la génération n’a manifestement pas été vérifiée.

La plateforme pionnière de prépublication scientifique arXiv va suspendre pour un an tout chercheur qui aurait mis en ligne un article erroné et manifestement généré par IA.

« Si un article contient des preuves irréfutables indiquant que les auteurs n’ont pas vérifié les résultats générés par un grand modèle de langage (LLM), cela signifie que nous ne pouvons avoir confiance en quoi que ce soit contenu dans cet article », expliquait dans un thread sur X jeudi dernier Thomas Dietterich, le responsable adjoint de la plateforme.

Une année de suspension et un retour très balisé ensuite

Il ajoutait que l’équipe avait décidé d’une suspension d’un an de la plateforme pour tout auteur ayant signé un tel article. Après cette année de suspension, la plateforme acceptera les articles signés par cet auteur s’ils ont déjà été acceptés par une revue ou une conférence qui aura déjà effectué le filtre de relecture par les pairs. Autant dire que l’intérêt de mettre en ligne sur arXiv deviendra quasiment inexistant pour ces personnes.

« Notre code de conduite stipule qu’en apposant sa signature en tant qu’auteur d’un article, chaque auteur assume l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été élaboré », justifie-t-il.

Certains chercheurs comme l’économiste James D. Miller s’inquiètent du fait que tous les auteurs d’un article pourraient être sanctionnés : « Cela signifie-t-il donc que vous attendez de chaque auteur qu’il vérifie chaque référence et s’assure que chacune d’entre elles est authentique et exacte ? Que se passe-t-il si l’un des auteurs n’est pas en mesure de vérifier une référence parce que celle-ci est rédigée dans une langue qu’il ne maîtrise pas ou porte sur un sujet technique qu’il ne comprend pas, alors qu’un autre auteur de l’article en est capable ? », demande-t-il.

« Nous notons que les outils peuvent produire des résultats utiles et pertinents, mais aussi des erreurs ou des résultats trompeurs ; c’est pourquoi il est important de savoir quels outils ont été utilisés pour évaluer et interpréter les travaux scientifiques », expliquait le site dans sa politique de modération.

Et l’équipe d’arXiv y rappelait déjà à ses collègues « qu’en apposant leur signature en tant qu’auteur d’un article, ils assument chacun individuellement l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été généré. Si des outils linguistiques d’IA générative produisent des propos inappropriés, du contenu plagié, du contenu biaisé, des erreurs, des fautes, des références erronées ou du contenu trompeur, et que ces résultats sont intégrés dans des travaux scientifiques, la responsabilité en incombe au(x) auteur(s) ».

Mais la masse d’articles contenant ce genre de problèmes est telle qu’arXiv semble avoir dû, si ce n’est relever la barre de la sanction, au moins la rendre publique.

Thomas Dietterich finit son thread en donnant quelques exemples de preuves indiscutables de ce genre d’utilisation : « références fantaisistes, méta-commentaires du LLM ( » voici un résumé de 200 mots ; souhaitez-vous que j’y apporte des modifications ? » ; « les données de ce tableau sont données à titre indicatif, complétez-le avec les chiffres réels issus de vos expériences ») ». Interrogé par 404 Media, il ajoute que la plateforme ne fera aucune exception à cette règle tout en ajoutant qu’une procédure d’appel existe et que les modérateurs de la plateforme doivent documenter clairement le signalement. Le responsable d’arXiv pour la discipline doit confirmer avant sanction.

Les revues et actes de conférences sont aussi inondés de genAI problématiques

Les plateformes de prépublication comme les revues scientifiques sont de plus en plus inondées d’articles générés par IA et non vérifiés. Récemment, une étude montrait que les actes des conférences scientifiques peuvent accueillir massivement des articles rédigés (ou générés par IA) dans le but de vendre aux chercheurs une place bien au chaud pour leur signature moyennant 11 à 400 dollars.

On peut aussi régulièrement repérer des articles scientifiques incluant des schémas fantaisistes générés par IA. Ainsi, on peut trouver, par exemple, cet article, publié en mars 2025 dans la revue Alexandria Engineering Journal éditée par Elsevier, censé présenter une modélisation mathématique de la mécanique cochléaire et des dysfonctionnements liés à la cochlée. On peut y trouver ce genre d’illustrations totalement fantaisistes et inappropriées :

L’article n’a actuellement pas encore été rétracté.

L’ACL prend aussi des mesures

Les plateformes de prépublication ne sont pas les seules à réagir. Ainsi, par exemple, les responsables de la conférence de l’Association for Computational Linguistics qui doit avoir lieu en juillet prochain ont dû publier une déclaration spécifique concernant le rejet d’articles contenant des références fantaisistes. L’organisation explique que beaucoup de propositions ont été rejetées dès le début pour ce genre de problème.

Mais elle ajoute que même après ces filtres, il y a eu des trous dans la raquette : « lors des derniers contrôles des versions finales des articles acceptés pour l’ACL 2026, nous avons identifié plus d’une centaine d’articles contenant des références à des publications inexistantes ». Et elle ajoute qu’« en conséquence, nous avons pris la décision de rejeter d’office ces articles acceptés afin de préserver la qualité et la fiabilité des actes du colloque ».

Un peu risqué, non ?

Google vient d’annoncer plusieurs nouveautés concernant la protection des utilisateurs. En coopération avec les deux ONG Reporters Sans Frontières et Amnesty International, l’entreprise a notamment mis en place un système de logs (optionnel) permettant de tracer les activités suspectes qui pourraient être la marque de l’intrusion de logiciels espions comme Pegasus.

Une nouvelle fonctionnalité mise en place par Google dans Android s’appelle « Intrusion Logging » Celle-ci fait partie du Mode Protection Avancée (en anglais, Android Advanced Protection Mode, AAPM) du système d’exploitation qui vise à renforcer la sécurité des appareils Android pour les « utilisateurs à risque », à savoir les défenseurs des droits humains, les militants, les journalistes et les dissidents qui pourraient être visés par des logiciels espions comme Pegasus ou Predator. Pour l’instant ce mode n’est disponible que sur les Pixel sous Android 16 et supérieur.

Google explique avoir développé Intrusion Logging « en collaboration avec Amnesty International et Reporters sans frontières, entre autres ».

Comme le rappelle Amnesty International, le Mode Protection Avancée met en place des protections supplémentaires contre d’éventuelles attaques. Ces protections peuvent varier selon la version d’Android mais le mode permet par exemple un verrouillage automatique si le smartphone est déconnecté de tout réseau ou si l’appareil détecte des mouvements trop rapides suggérant son vol, ou le redémarrage s’il reste verrouillé pendant trois jours.

Si ce mode est activé, Google Play Protect l’est aussi et toute installation d’application via une source inconnue est bloquée, rendant le passage par Google Play obligatoire.

Le mode inclut aussi le blocage du transfert de données par USB non autorisé précédemment si l’écran est verrouillé. Ainsi, l’extraction de données par des logiciels est rendue encore plus difficile. « Cela sera bientôt disponible sur davantage d’appareils Android », assure Google.

Système de logging très bavard, chiffré et stocké sur Google cloud

Mais l’ajout de l’ « Intrusion Logging » à ce mode permet à l’utilisateur d’activer, s’il le veut, un mode de journalisation de l’activité de son smartphone et de vérifier qu’un logiciel espion n’utilise pas certaines fonctionnalités sans qu’il s’en aperçoive.

Ainsi, par exemple, l’utilisateur peut vérifier si le téléphone a été déverrouillé par quelqu’un d’autre, s’il y a eu des utilisations suspectes de l’Android Debug Bridge (ADB) ou trouver la localisation d’un éventuel spyware.

Intrusion Logging suit aussi certaines informations de connexion et de DNS pour trouver des traces de communication avec une infrastructure qui pourraient être le signe d’une attaque Command and Control (C2), explique Amnesty :

« Ces logs sont particulièrement utiles car de nombreuses attaques sophistiquées 1-click reposent sur des redirections vers des pages leurres, qui entraînent des visites imperceptibles sur des sites web malveillants. Même si l’utilisateur ne remarque pas la redirection, la requête DNS et la tentative de connexion seront tout de même enregistrées et pourront être comparées à des indicateurs de compromission (IOC) connus. »

L’ONG assure que les logs sont chiffrés « à l’aide d’une clé générée par l’utilisateur avant d’être archivés en toute sécurité dans le compte Google de ce dernier. L’utilisateur peut ensuite accéder à ces journaux et les déchiffrer, mais ni Google ni aucun tiers non autorisé ne peut le faire ». Amnesty précise que « Par défaut, les journaux sont collectés une fois par jour et stockés sous forme chiffrée dans le cloud ».

Des limites et des risques

Dans son annonce, Amnesty pointe elle-même certaines limites de ce système. Comme on l’a déjà dit, AAPM n’est pour l’instant disponible que sur les appareils Google Pixel sous Android 16 et supérieur.

Il faut aussi que l’utilisateur ait lié son smartphone à un compte Google. Ajoutons que, les logs étant téléchargés sur le cloud de Google, l’utilisateur doit avoir une confiance importante dans le système de chiffrement mis en place par l’entreprise, car ces logs comportent énormément d’informations sensibles.

Et bien évidemment, le système doit être activé « avant qu’une attaque ne se produise (ou toute situation à haut risque susceptible d’y conduire), les logs ne peuvent pas être récupérés a posteriori ».

Le responsable du Security Lab d’Amnesty, Donncha Ó Cearbhaill, explique aussi à Cyberscoop que, pour l’instant, il est possible que les logs soient supprimés par les attaquants mais il ajoute que des mesures de protection devraient être ajoutées dans les prochaines versions pour l’éviter.

Un peu risqué, non ?

Google vient d’annoncer plusieurs nouveautés concernant la protection des utilisateurs. En coopération avec les deux ONG Reporters Sans Frontières et Amnesty International, l’entreprise a notamment mis en place un système de logs (optionnel) permettant de tracer les activités suspectes qui pourraient être la marque de l’intrusion de logiciels espions comme Pegasus.

Une nouvelle fonctionnalité mise en place par Google dans Android s’appelle « Intrusion Logging » Celle-ci fait partie du Mode Protection Avancée (en anglais, Android Advanced Protection Mode, AAPM) du système d’exploitation qui vise à renforcer la sécurité des appareils Android pour les « utilisateurs à risque », à savoir les défenseurs des droits humains, les militants, les journalistes et les dissidents qui pourraient être visés par des logiciels espions comme Pegasus ou Predator. Pour l’instant ce mode n’est disponible que sur les Pixel sous Android 16 et supérieur.

Google explique avoir développé Intrusion Logging « en collaboration avec Amnesty International et Reporters sans frontières, entre autres ».

Comme le rappelle Amnesty International, le Mode Protection Avancée met en place des protections supplémentaires contre d’éventuelles attaques. Ces protections peuvent varier selon la version d’Android mais le mode permet par exemple un verrouillage automatique si le smartphone est déconnecté de tout réseau ou si l’appareil détecte des mouvements trop rapides suggérant son vol, ou le redémarrage s’il reste verrouillé pendant trois jours.

Si ce mode est activé, Google Play Protect l’est aussi et toute installation d’application via une source inconnue est bloquée, rendant le passage par Google Play obligatoire.

Le mode inclut aussi le blocage du transfert de données par USB non autorisé précédemment si l’écran est verrouillé. Ainsi, l’extraction de données par des logiciels est rendue encore plus difficile. « Cela sera bientôt disponible sur davantage d’appareils Android », assure Google.

Système de logging très bavard, chiffré et stocké sur Google cloud

Mais l’ajout de l’ « Intrusion Logging » à ce mode permet à l’utilisateur d’activer, s’il le veut, un mode de journalisation de l’activité de son smartphone et de vérifier qu’un logiciel espion n’utilise pas certaines fonctionnalités sans qu’il s’en aperçoive.

Ainsi, par exemple, l’utilisateur peut vérifier si le téléphone a été déverrouillé par quelqu’un d’autre, s’il y a eu des utilisations suspectes de l’Android Debug Bridge (ADB) ou trouver la localisation d’un éventuel spyware.

Intrusion Logging suit aussi certaines informations de connexion et de DNS pour trouver des traces de communication avec une infrastructure qui pourraient être le signe d’une attaque Command and Control (C2), explique Amnesty :

« Ces logs sont particulièrement utiles car de nombreuses attaques sophistiquées 1-click reposent sur des redirections vers des pages leurres, qui entraînent des visites imperceptibles sur des sites web malveillants. Même si l’utilisateur ne remarque pas la redirection, la requête DNS et la tentative de connexion seront tout de même enregistrées et pourront être comparées à des indicateurs de compromission (IOC) connus. »

L’ONG assure que les logs sont chiffrés « à l’aide d’une clé générée par l’utilisateur avant d’être archivés en toute sécurité dans le compte Google de ce dernier. L’utilisateur peut ensuite accéder à ces journaux et les déchiffrer, mais ni Google ni aucun tiers non autorisé ne peut le faire ». Amnesty précise que « Par défaut, les journaux sont collectés une fois par jour et stockés sous forme chiffrée dans le cloud ».

Des limites et des risques

Dans son annonce, Amnesty pointe elle-même certaines limites de ce système. Comme on l’a déjà dit, AAPM n’est pour l’instant disponible que sur les appareils Google Pixel sous Android 16 et supérieur.

Il faut aussi que l’utilisateur ait lié son smartphone à un compte Google. Ajoutons que, les logs étant téléchargés sur le cloud de Google, l’utilisateur doit avoir une confiance importante dans le système de chiffrement mis en place par l’entreprise, car ces logs comportent énormément d’informations sensibles.

Et bien évidemment, le système doit être activé « avant qu’une attaque ne se produise (ou toute situation à haut risque susceptible d’y conduire), les logs ne peuvent pas être récupérés a posteriori ».

Le responsable du Security Lab d’Amnesty, Donncha Ó Cearbhaill, explique aussi à Cyberscoop que, pour l’instant, il est possible que les logs soient supprimés par les attaquants mais il ajoute que des mesures de protection devraient être ajoutées dans les prochaines versions pour l’éviter.

Il est toujours bon d'avoir un fusible

Le responsable de la filiale israélienne de Microsoft va quitter son poste après des révélations sorties l’année dernière sur l’accord entre l’unité 8200, agence de surveillance israélienne, et l’entreprise. Celui-ci a permis à Israël de mettre en place une surveillance numérique globale de la Cisjordanie et de Gaza.

Le directeur général de Microsoft Israël depuis 2022, Alon Haimovich, va quitter son poste. Selon le média israélien Globes, la filiale du géant étatsunien a annoncé son départ la semaine dernière.

Cette annonce fait suite au scandale déclenché par la révélation de la publication israélo-palestinienne + 972 Magazine, du magazine hébreu Local Call et du Guardian à propos d’un accord qui a permis le stockage de 11 500 To de données sur un cloud Azure créé en fonction des besoins spécifiques de l’armée israélienne qui voulait « tracer tout le monde, tout le temps ». C’était un vaste projet de surveillance de la population cisjordanienne étendu ensuite à Gaza et qui stockait et scannait leurs messages et appels.

Quelques jours après, des employés de Microsoft ont manifesté au siège américain de l’entreprise et certains, regroupé sous le nom No Azure for Apartheid appelaient leurs collègues « partout dans le monde » à « prendre la parole, quitter le travail, manifester et faire grève ». Deux membres de ce groupe ont ensuite été licenciés par Microsoft qui les accuse de l’effraction de bureaux lors de ces manifestations.

En parallèle, l’entreprise a annoncé avoir lancé un nouvel audit sur le recours de l’armée israélienne à Azure. Quelques semaines après, Microsoft a décidé de suspendre l’accès de ses services Azure à l’unité 8200, l’agence de surveillance israélienne qui utilisait le système pour la surveillance des palestiniens, en indiquant qu’elle avait enfreint ses conditions d’utilisation, qui interdisent l’utilisation de sa technologie pour faciliter la surveillance de masse.

Une pression publique qui a pesé sur le dos de Microsoft

Mais la pression publique sur Microsoft à propos de ce sujet n’est pas retombée complètement suite à cette décision. Selon Globes, la question a été abordée lors de l’assemblée générale annuelle des actionnaires en décembre dernier et des ONG comme Amnesty International et des militants européens ont continué à pointer le fait que des serveurs Azure situés en Europe avaient été utilisés par l’armée israélienne. Le fonds souverain Norvégien qui possède des actions dans Microsoft aurait aussi poussé à la publication d’un rapport sur « les risques liés à l’exercice de ses activités dans des pays où les violations des droits humains suscitent de vives inquiétudes » sans citer nommément Israël.

L’enquête initiale de nos confrères pointait aussi la relation entre le directeur exécutif de Microsoft Satya Nadella et le commandant de l’unité 8200 Yossi Sariel. Mais c’est donc finalement Alon Haimovich, directeur général de Microsoft Israël, qui quitte ses fonctions.

Le transfert des responsabilités de Microsoft Israël sur Microsoft France démenti

Ce départ sera effectif le 31 mai prochain, confirme l’entreprise dans un communiqué de presse qui n’évoque ni les révélations ni l’audit. Au contraire, Microsoft encense le responsable sous la responsabilité duquel « Microsoft Israël est devenu l’un des trois pays affichant la croissance la plus rapide au sein de son groupe de pays de référence au sein de l’entreprise, a franchi plusieurs étapes marquantes et a impulsé une transition vers le leadership en matière d’IA de pointe », soutient le communiqué.

Selon Globes, la direction mondiale de Microsoft aurait décidé de ne pas nommer de remplaçant à Alon Haimovich pour l’instant et la gestion de Microsoft Israël serait reprise par Microsoft France. Contactée par Next, celle-ci dément. De son côté, le communiqué de Microsoft publié sur le site de la région Europe, Moyen-Orient et Afrique affirme seulement que « Microsoft annoncera le successeur d’Alon en temps voulu ».

Des géants états-uniens qui travaillent avec le ministère de la Défense israélien, Microsoft est le seul à ne pas avoir signé de clause spéciale pour passer outre le contrôle d’autres États, contrairement à Google et Amazon, ce qui leur a permis d’obtenir en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Selon des sources de Globes, Alon Haimovich a été nommé au poste de DG de Microsoft Israël pour essayer de conserver les contrats de Microsoft avec Israël comme ceux concernant les licences Office et Windows, malgré cela.

Il est toujours bon d'avoir un fusible

Le responsable de la filiale israélienne de Microsoft va quitter son poste après des révélations sorties l’année dernière sur l’accord entre l’unité 8200, agence de surveillance israélienne, et l’entreprise. Celui-ci a permis à Israël de mettre en place une surveillance numérique globale de la Cisjordanie et de Gaza.

Le directeur général de Microsoft Israël depuis 2022, Alon Haimovich, va quitter son poste. Selon le média israélien Globes, la filiale du géant étatsunien a annoncé son départ la semaine dernière.

Cette annonce fait suite au scandale déclenché par la révélation de la publication israélo-palestinienne + 972 Magazine, du magazine hébreu Local Call et du Guardian à propos d’un accord qui a permis le stockage de 11 500 To de données sur un cloud Azure créé en fonction des besoins spécifiques de l’armée israélienne qui voulait « tracer tout le monde, tout le temps ». C’était un vaste projet de surveillance de la population cisjordanienne étendu ensuite à Gaza et qui stockait et scannait leurs messages et appels.

Quelques jours après, des employés de Microsoft ont manifesté au siège américain de l’entreprise et certains, regroupé sous le nom No Azure for Apartheid appelaient leurs collègues « partout dans le monde » à « prendre la parole, quitter le travail, manifester et faire grève ». Deux membres de ce groupe ont ensuite été licenciés par Microsoft qui les accuse de l’effraction de bureaux lors de ces manifestations.

En parallèle, l’entreprise a annoncé avoir lancé un nouvel audit sur le recours de l’armée israélienne à Azure. Quelques semaines après, Microsoft a décidé de suspendre l’accès de ses services Azure à l’unité 8200, l’agence de surveillance israélienne qui utilisait le système pour la surveillance des palestiniens, en indiquant qu’elle avait enfreint ses conditions d’utilisation, qui interdisent l’utilisation de sa technologie pour faciliter la surveillance de masse.

Une pression publique qui a pesé sur le dos de Microsoft

Mais la pression publique sur Microsoft à propos de ce sujet n’est pas retombée complètement suite à cette décision. Selon Globes, la question a été abordée lors de l’assemblée générale annuelle des actionnaires en décembre dernier et des ONG comme Amnesty International et des militants européens ont continué à pointer le fait que des serveurs Azure situés en Europe avaient été utilisés par l’armée israélienne. Le fonds souverain Norvégien qui possède des actions dans Microsoft aurait aussi poussé à la publication d’un rapport sur « les risques liés à l’exercice de ses activités dans des pays où les violations des droits humains suscitent de vives inquiétudes » sans citer nommément Israël.

L’enquête initiale de nos confrères pointait aussi la relation entre le directeur exécutif de Microsoft Satya Nadella et le commandant de l’unité 8200 Yossi Sariel. Mais c’est donc finalement Alon Haimovich, directeur général de Microsoft Israël, qui quitte ses fonctions.

Le transfert des responsabilités de Microsoft Israël sur Microsoft France démenti

Ce départ sera effectif le 31 mai prochain, confirme l’entreprise dans un communiqué de presse qui n’évoque ni les révélations ni l’audit. Au contraire, Microsoft encense le responsable sous la responsabilité duquel « Microsoft Israël est devenu l’un des trois pays affichant la croissance la plus rapide au sein de son groupe de pays de référence au sein de l’entreprise, a franchi plusieurs étapes marquantes et a impulsé une transition vers le leadership en matière d’IA de pointe », soutient le communiqué.

Selon Globes, la direction mondiale de Microsoft aurait décidé de ne pas nommer de remplaçant à Alon Haimovich pour l’instant et la gestion de Microsoft Israël serait reprise par Microsoft France. Contactée par Next, celle-ci dément. De son côté, le communiqué de Microsoft publié sur le site de la région Europe, Moyen-Orient et Afrique affirme seulement que « Microsoft annoncera le successeur d’Alon en temps voulu ».

Des géants états-uniens qui travaillent avec le ministère de la Défense israélien, Microsoft est le seul à ne pas avoir signé de clause spéciale pour passer outre le contrôle d’autres États, contrairement à Google et Amazon, ce qui leur a permis d’obtenir en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Selon des sources de Globes, Alon Haimovich a été nommé au poste de DG de Microsoft Israël pour essayer de conserver les contrats de Microsoft avec Israël comme ceux concernant les licences Office et Windows, malgré cela.