Archives par mot-clé : Europe

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite) l’exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l’ingénierie sociale et l’exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.
La présence de cookies de session et de tokens d’authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d’anciennes fuites, proviennent d’activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l’émergence de plateformes de « Malware-as-a-Service » (MaaS) et de solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d’entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées. Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l’ordre. La fuite de 16 milliards d’identifiants cristallise plusieurs enjeux juridiques majeurs.

Responsabilité : le défi de la territorialité
D’abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d’application territorial (4), son effectivité reste conditionnée à la coopération internationale et aux mécanismes d’entraide judiciaire. Ensuite, la problématique de l’attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L’ampleur de cette violation interroge donc l’adéquation des mécanismes de notification prévus par le RGPD (5), conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD
L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident, et procédure de test et d’évaluation régulières de l’efficacité des mesures. Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu’obligatoire, ne protège pas contre l’exfiltration d’identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l’attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l’interprétation extensive de l’article « Sécurité du traitement » (6) : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu’ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?
Le principe de d’accountability consacré par le RGPD (7) impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l’étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L’obligation de sécurité s’étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L’arrêt « Fashion ID » (8), rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s’étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects. L’analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d’attaque et l’efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l’action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d’information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.
L’adoption généralisée de technologies d’authentification avancées devient un impératif face à l’inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C (9), pour la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l’utilisateur et une clé publique stockée par le service. L’authentification s’effectue par signature cryptographique, sans transmission d’informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).
Aussi, l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L’évolution vers des méthodes d’authentification continue, analysant en permanence le comportement de l’utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L’imposition de standards minimaux d’authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP2 (10), constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité
La fuite de 16 milliards d’identifiants révèle les limites du cadre réglementaire actuel face à l’évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires (11). L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l’adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués. @

Un « Cloud & AI Act » européen proposé fin 2025

Publié le par

En fait. Le 3 juillet, lors des 19e Assises du Très haut débit à Paris, la présidente de l’Arcep a appelé la Commission européenne à une régulation ex-ante du cloud et de l’IA « s’inspirant des succès de la régulation des télécoms en France ». Bruxelles prépare un « Cloud & AI Act » pour le 4e trimestre 2025.

En clair. La Commission européenne va proposer au quatrième trimestre 2025 un règlement sur « le développement de l’informatique en nuage et de l’IA ». Le Parlement européen, destinataire de cette proposition législative, pourrait débattre de ce texte dès le premier trimestre 2026.
Ce Cloud & AI Development Act (« CAIDA ») fait partie des priorités numériques de « la boussole pour la compétitivité » sur laquelle la Commission « von der Leyen II » s’est engagée en janvier 2025 (1). Ce projet est également consigné dans la lettre de mission adressée en septembre 2024 (2) à la vice-présidente exécutive de la Commission européenne, Henna Virkkunen. Pour mener ses travaux législatifs sur le futur CAIDA, la Commission européenne va s’appuyer sur les réponses à son appel à contributions qui s’est achevé le 3 juillet. « Le processus de construction [des centres de données] exige des capitaux importants, créant ainsi des barrières à l’entrée pour de nouveaux acteurs. […] Les problèmes recensés [difficultés d’accès aux ressources naturelles (énergie, eau, terres) et d’obtention des composants technologiques et des capitaux] ont (suite) les mêmes causes sous-jacentes dans l’ensemble de l’UE et nécessitent par conséquent une approche coordonnée et harmonisée », justifie l’exécutif européen dans son document soumis à consultation (3). Pour faire de l’Europe un « continent de l’IA », Bruxelles vise à « tripler les capacités des centres de données de l’UE dans les cinq à sept années à venir ». Mais la Commission européenne a sondé les parties prenantes pour savoir s’il faut des mesures « non législatives », ou bien une règlementation « souple » sinon « contraignante », voire « complète » avec une « agence distincte indépendante » chargée de l’application cohérente des mesures.
En France, l’Arcep appelle à une régulation ex-ante (les règles en général contraignantes étant fixées dès le départ) du cloud et de l’IA « à l’échelle européenne, pro-investissement, [et] s’inspirant des succès de la régulation des télécoms en France [suivi des investissements, transparence sur les conditions d’accès aux infrastructures, ouverture aux acteurs émergents] » (4). Et sa présidente, Laure de La Raudière, de mettre en garde le 3 juillet – aux Assises du très haut débit (5) – contre « une petite musique, chantant les bénéfices supposés de la dérégulation, pour favoriser les investissements ». @

Les Etats généraux de l’information (EGI) attendent toujours et encore leur projet de loi

Publié le par

Dix mois après la fin des Etats généraux de l’information (EGI), le texte de loi promis par la ministre de la Culture Rachida Dati – censé en reprendre les recommandations – verra-t-il le jour avant l’entrée en application, le 8 août 2025, du règlement européen sur la liberté des médias (EMFA) ?

« Bonjour Madame Rachida Dati, j’imagine que vous êtes au courant, mais votre projet de holding pour l’audiovisuel public vient d’être rejeté [le 30 juin 2025] à l’Assemblée nationale [où cette proposition de loi reviendra en deuxième lecture en septembre, après un vote bloqué au Sénat le 11 juillet dernier, ndlr]. […] Mais vous pouvez en tirer du positif : votre défaite n’est-elle pas l’occasion de vous mettre au travail à la suite des Etats généraux de l’information et de réfléchir enfin aux conditions d’indépendance des rédactions dans les médias privés ? ». C’est ainsi que l’économiste Julia Cagé et professeure à Sciences Po a interpellé la ministre de la Culture (photo), dans un post publié sur LinkedIn le 1er juillet (1).

Projet de loi « EGI » avant le 8 août ?
Il s’est écoulé dix mois depuis la fin des Etats généraux de l’information (EGI), avec la restitution publique le 12 septembre 2024 au Conseil économique, social et environnemental (Cese) de la quinzaine de recommandations faites pour renforcer le pluralisme, la transparence et l’indépendance des médias en France : transparence sur les actionnaires des médias et leur gouvernance, comités d’éthique, chartes déontologiques, administrateurs indépendants, journalistes associés à la prise de décisions, secret des sources, droits voisins, éducation aux médias, … Le gouvernement tarde à donner suite aux EGI (voulus par Emmanuel Macron), dont le rapport de 352 pages (2) reste pour l’instant lettre morte.
Fin novembre 2024, lors d’un colloque sur l’audiovisuel organisé par le cabinet NPA, Rachida Dati avait assuré qu’il y aura « évidemment » un projet de loi dans la suite des EGI : « Mon intention est de reprendre l’exhaustivité des recommandations des Etats généraux de l’information », avait promis la ministre de la Culture, après avoir évoqué les grandes lignes du (suite) futur texte législatif : « Une meilleure transparence de la part des médias, sur leurs actionnaires, la généralisation des comités d’éthique, la publication des chartes de déontologie et, pour notre jeunesse, (faire de) l’éducation aux médias et à l’information une composante essentielle de la préparation des élèves à la citoyenneté » (3). Il y avait bien eu par ailleurs une proposition de loi portée par la sénatrice (PS) Sylvie Robert (4) et déposée en juillet 2024 pour « Renforcer l’indépendance des médias et mieux protéger les journalistes ». Ce texte, qui avait au moins le mérite d’exister, a été adopté par le Sénat trois mois après, malgré l’intervention de la ministre en séance du 17 octobre : « Votre proposition de loi, madame la rapporteure [Sylvie Robert, ndlr], me semble arriver quelque peu à contretemps. Elle a été déposée avant la restitution des Etats généraux de l’information et n’en tire donc pas toutes les conséquences ; elle n’anticipe pas non plus l’entrée en vigueur prochaine du règlement européen sur la liberté des médias [EMFA, ndlr] », avait reproché Rachida Dati devant les sénateurs (5). La proposition de loi adoptée fut transmise dans la foulée à l’Assemblée nationale, où elle attend son heure au sein de la commission des affaires culturelles et de l’éducation. Concernant ce règlement européen évoqué par la ministre, appelé European Media Freedom Act (EMFA), il entrera en application à partir du 8 août 2025 (6).
« Ce règlement européen nous impose de réexaminer notre droit concernant la protection du secret des sources, comme sur d’autres sujets liés aux médias. Dès lors, nous devons nous garder de multiplier les textes sur les médias », avait encore justifié la ministre de la Culture à l’automne dernier. Mais au lieu de tenir sa promesse « EGI » dans les mois qui suivirent, Rachida Dati s’était lancée à corps perdu dans la contestée proposition de loi « Réforme de l’audiovisuel public et souveraineté audiovisuelle » – portée initialement par le sénateur centriste Laurent Lafon – pour tenter de réformer l’audiovisuel public.
Mais ce texte attendu de longue date à l’Assemblée nationale (7), avec son projet de holding « France Médias », adopté par le Sénat depuis plus de deux ans maintenant (8), a été d’emblée rejeté le 30 juin 2025 par les députés (9). Maintenant que le texte « France Médias » est renvoyé au Sénat et aux calendes grecques, Rachida Dati devrait pouvoir honorer sa promesse d’un projet de loi « EGI ».

Entre candidate (Paris) et justice (Renault)
A moins que la candidate à la mairie de Paris, dont elle est maire du 7e arrondissement depuis 2008, n’ait d’autres chats à fouetter – entre la rue de Valois et la rue de Grenelle. A moins aussi que « la prise de guerre d’Emmanuel Macron » ne soit rattrapée par les affaires, dont le procès « Renault » où elle est poursuivie en correctionnelle pour « atteinte à la probité » et « enrichissement personnel ». Pour l’ancienne Garde des Sceaux-ministre de la Justice (mai 2007-juin 2009), une condamnation judiciaire serait le comble. A moins enfin que sa déclaration de patrimoine à la Haute autorité pour la transparence de la vie publique (HATVP) ne soit déclarée sous-évaluée. @

Charles de Laubier

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Publié le par

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite) la base légale et la transparence d’un tel traitement. Le 4 septembre 2024, la DPC avait alors demandé au Comité européen sur la protection des données (EDPB) de rendre un avis sur l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA (7). Tenant compte de cet avis du 17 décembre (8), Meta a réévalué certaines modalités de son projet (notamment le renforcement des mesures de filtrage pour réduire le risque que des données personnelles soient mémorisées par les modèles d’IA lors de la phase d’entraînement) et a fourni à la DPC une documentation actualisée dans l’optique de débuter l’entraînement de ses modèles d’IA le 27 mai 2025.
Après avoir examiné les propositions de Meta et recueilli les commentaires des autres autorités de contrôle européennes, la DPC a formulé un certain nombre de recommandations qui ont été appliquées par Meta, parmi lesquelles la simplification des formulaires d’opposition au traitement et leur accessibilité pendant plus d’un an, la fourniture d’une information claire sur les moyens permettant aux utilisateurs de contrôler les données utilisées (paramétrage des contenus en mode privé), et un délai plus long entre ces informations et le lancement du projet pour leur permettre réellement de s’y opposer (9). L’annonce de ce projet a suscité une levée de boucliers par plusieurs associations, telles que UFC-Que Choisir (10) en France ou Noyb en Autriche. Cette dernière a notamment adressé à l’entreprise une mise en demeure (11), se réservant la possibilité d’intenter une action de groupe au civil. En parallèle, une association de consommateurs allemande (VZNRW) a saisi en référé le tribunal régional supérieur de Cologne – Oberlandesgericht Köln (OLG Köln) – afin qu’il soit interdit à Meta de traiter les données personnelles partagées publiquement par les utilisateurs sur les services Facebook et Instagram afin de développer et améliorer ses IA. Dans une décision (12) rendue le 23 mai 2025, le tribunal rejette la demande de l’association (après un examen qu’il qualifie de sommaire de l’affaire, mais qui est pourtant très étayé), et ne remet pas en cause la légalité du projet de Meta. En effet, en s’appuyant sur une argumentation documentée, conforme à l’avis de l’EDPB et enrichie de l’avis circonstancié des autorités de contrôle des Länder du Bade-Wurtemberg et d’Hambourg, il a écarté, un à un, les griefs soulevés tenant à : la violation du Digital Markets Act (DMA) ; l’impossibilité pour Meta de fonder le traitement sur l’intérêt légitime ; et l’absence d’exception autorisant le traitement de données sensibles. L’OLG Köln a d’abord estimé que la constitution d’une base de données d’entraînement au moyen des données publiques issues des services Facebook et Instagram ne violait pas le DMA (13) – Meta étant désigné comme contrôleur d’accès par la Commission européenne pour ces services essentiels.

Gatekeeper : pas de violation du DMA
Le DMA interdit à tout contrôleur d’accès de combiner, sans consentement préalable de l’utilisateur, les données personnelles provenant d’un service essentiel, qu’il propose aux utilisateurs, avec celles provenant d’un autre service. Selon le tribunal, le fait que Meta introduise des données partiellement désidentifiées et fragmentées provenant de deux services de plateforme dans un ensemble non structuré de données d’entraînement ne constitue pas une combinaison de données, au sens du DMA, en l’absence de lien et mise en relation des données personnelles d’un utilisateur provenant d’un service à celles du même utilisateur provenant d’un autre service. L’OLG Köln valide ensuite le recours à l’intérêt légitime comme base légale de traitement, en réalisant une analyse complète, s’appuyant sur les différents critères exigés par l’EDPB. Le tribunal y reconnaît ainsi que l’intérêt poursuivi, à savoir proposer une IA générative optimisée en fonction des habitudes régionales, quoique commercial, est légitime, puis que le traitement envisagé par Meta s’avère nécessaire pour atteindre cet intérêt en l’absence d’un moyen moins intrusif.

Rapport de Meta pour octobre 2025
Pour démontrer cette nécessité, le tribunal de Cologne mobilise l’AI Act (14) qui reconnaît expressément que le développement et l’entraînement des modèles d’IA génératifs requièrent un accès à de grandes quantités de données (15). S’agissant des moyens moins intrusifs proposés notamment par l’association – à savoir le fait d’utiliser uniquement des données anonymisées ou synthétiques (données qui ne sont pas issues d’une observation réelle, mais qui sont créées artificiellement via des simulations), ou de restreindre l’entraînement aux seules données d’interaction avec les systèmes d’IA –, ils ne permettraient pas, selon l’OLG Köln, d’obtenir des résultats comparables.
Enfin, la mise en balance de l’intérêt légitime poursuivi par Meta avec les intérêts et droits des personnes concernées est jugée adéquate. Le tribunal allemand a identifié les conséquences négatives du traitement, notamment les atteintes aux droits des personnes de décider et contrôler l’usage de leurs données et au droit à l’effacement. Ces conséquences négatives sont toutefois tempérées en raison, d’une part, du caractère public des données traitées limitant les risques liés à une divulgation (puisque ces données sont déjà accessibles librement), et, d’autre part, des mesures de mitigation mises en place par Meta. Sont soulignées les mesures visant à réduire le caractère identifiant des données (incluant la tokenisation) et à les rassembler sous une forme non structurée. Sont également mises au crédit de Meta les possibilités offertes aux utilisateurs pour empêcher l’inclusion de leurs données dans la base d’entraînement : le retrait du statut « public » de leurs publications ou de leur compte ainsi que l’opposition au traitement spécifique des données pour entraîner les modèles d’IA par l’intermédiaire de deux formulaires disponibles en ligne. L’OLG Köln a estimé que l’opposition pouvait ainsi être exercée sans difficulté et de manière éclairée par l’utilisateur dans un délai suffisant (six semaines avant la mise en œuvre effective du traitement). La décision laisse toutefois en suspens la question du caractère effectif de cette possibilité d’opposition pour les tiers non-utilisateurs cités dans les publications ou commentaires. Concernant les attentes raisonnables des personnes concernées, le traitement des données publiées à partir du 26 juin 2024 est jugé prévisible pour les utilisateurs qui ont été informés de ce traitement par l’annonce du 10 juin 2024. S’agissant des données publiées antérieurement, leur traitement n’est, en revanche, pas jugé prévisible car sa finalité n’est pas d’améliorer les services existants de Meta mais de développer des IA utilisables de manière autonome et accessibles à tous. Cette absence de prévisibilité n’est toutefois pas vue comme une difficulté pour la juridiction qui justifie l’absence d’interdiction de traiter ces données au motif que les utilisateurs disposent d’un instrument d’opposition efficace. Enfin, le traitement des données sensibles des utilisateurs est autorisé car il porte sur des données manifestement rendues publiques par l’utilisateur, l’une des exceptions prévues à l’article 9 du RGPD. S’agissant des données sensibles de tiers partagées par les utilisateurs via des publications, le tribunal de Cologne reconnaît que l’exception précédente ne peut pas être mobilisée, mais estime – en s’appuyant notamment sur une jurisprudence de la Cour de Justice de l’UE de 2019 (qui n’aborde pourtant pas cette problématique précise (16)) et sur le fait qu’une application littérale de l’article 9 du RGPD ne permettrait pas d’atteindre les objectifs de l’AI Act – que Meta peut traiter ces données de manière incidente et résiduelle jusqu’à ce que l’interdiction de le faire soit sollicitée par le tiers concerné. Cette décision de l’OLG Köln, couplée aux échanges avec la DPC et à la mise en place des mesures proposées par cette dernière – enrichies de l’avis des autres autorités de l’UE –, entérinent donc la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA. Mais l’entreprise ne bénéficie pas d’un blanc-seing pour autant.
La DPC suit de près le déploiement du projet et attend un rapport complet de Meta pour le mois d’octobre 2025 contenant, entre autres, des développements sur l’efficacité et l’adéquation des mesures. En parallèle, les autorités de l’UE collaborent (17) pour évaluer plus largement la conformité des traitements envisagés par Meta, notamment en lien avec la phase de déploiement des systèmes d’IA qui pose d’autres questions au regard du RGPD. Meta n’est donc pas totalement à l’abri de l’engagement d’une procédure de sanction par la DPC si des manquements sont constatés. Enfin, bien que la Cnil ne se soit pas officiellement positionnée sur la licéité des pratiques de Meta, la récente mise à jour de ses fiches sur la mobilisation de l’intérêt légitime pour développer un système d’IA (18) témoigne d’une certaine tolérance concernant ce type de pratiques.

Position de la Cnil sur l’intérêt légitime
La Cnil, ayant pris en compte les retours du terrain, y a notamment précisé que l’intérêt commercial entourant les projets de développement de systèmes d’IA par les entreprises constituait un intérêt légitime à part entière. Elle a également admis que cette base légale pouvait être mobilisée par un réseau social qui collecte des données d’utilisateurs rendues librement accessibles et manifestement publiques sur son forum en ligne afin de développer un agent conversationnel. Cette prise en compte par la Cnil des réalités économiques et opérationnelles est bienvenue et rassurera les développeurs de systèmes d’IA qui envisagent d’utiliser ou de constituer de grandes bases de données pour entraîner leurs modèles. @

Avec leur index web européen EUSP, Qwant et Ecosia veulent s’affranchir de Microsoft et concurrencer Google

Publié le par

Le français Qwant et l’allemand Ecosia ont l’ambition de devenir une alternative européenne au quasimonopole de Google dans les moteurs de recherche, où l’IA rebat les cartes. Leur index web européen EUSP vise l’indépendance par rapport à Bing de Microsoft – accusé de pratique anti-concurrentielle.

Selon nos informations, Qwant livre discrètement depuis le mois d’avril en France des résultats – sur son moteur de recherche – issus de l’index web européen codéveloppé avec son partenaire allemand Ecosia, un autre moteur de recherche alternatif. « Nous avons démarré en avril 2025, en France seulement pour le moment, et nous progressons chaque mois : près d’une requête sur deux est servie depuis notre index européen », indique à Edition Multimédi@ Olivier Abecassis (photo de gauche), directeur général de Qwant.
Cet index web européen, appelé European Search Perspective (EUSP), est développé par la joint-venture European Perspective, société créée à Paris en 2024, détenue à parts égales par Qwant et Ecosia, et présidée par Olivier Abecassis. « Pour l’Allemagne, c’est avant fin 2025, plutôt au quatrième trimestre », nous précise-t-il. Les premiers moteurs de recherche alternatifs à profiter de l’accès en temps réel aux données web les plus à-jour et pertinentes de cet index européen sont non seulement Qwant et Ecosia, mais aussi le français Lilo dont Qwant a finalisé l’acquisition mi-mai. « Ecosia et Lilo utiliseront également l’index EUSP pour servir dans les semaines à venir une partie de leurs requêtes en France », nous indique encore celui qui fut directeur du numérique du groupe TF1 (2016-2022).

Index web pour moteurs alternatifs et agents IA
La joint-venture European Perspective compte lever des capitaux auprès d’investisseurs extérieurs pour assurer son développement sur le long terme et être en capaciter de rivaliser avec Google. L’ambition du tandem franco-allemand : « Renforcer une alternative européenne, éthique et indépendante aux Gafam », mais aussi « plus respectueux de la vie privée » (1). Les résultats de recherche seront d’abord en langues française et allemande, une extension à l’anglais étant prévue, avec l’objectif à plus long terme d’être dans toutes les langues européennes. « Cet index pourra être rejoint par d’autres moteurs de recherche et servir de ressource clé pour l’industrie européenne, par exemple en fournissant un pool de données transparent et sécurisé pour (suite) les nouvelles technologies d’intelligence artificielle et pour les nouveaux usages des IA génératives », ont expliqué le patron de Qwant et celui d’Ecosia, l’Allemand Christian Kroll (photo de droite), lors de l’annonce en novembre 2024 de leur association autour de l’EUSP (2).

Enquêtes antitrust sur Microsoft/Bing
Pour que leur index européen – RGPD-compatible (3) – puisse être utilisé par d’autres, que cela soit des développeurs d’intelligence artificielle (agent IA) ou d’autres moteurs de recherche alternatifs, une API (Application Programming Interface) appelée Staan – pour Search Trusted API Access Net-work (4) – a été mise à disposition depuis le 12 juin. « Le lancement d’une API souveraine pour les moteurs de recherche alternatifs, mais aussi pour tous les acteurs de l’IA qui nécessitent des contenus frais, est une étape majeure », se félicite Olivier Abecassis lors de notre échange. Staan (5) arrive à point nommé. Car six ans après avoir passé un « partenariat exclusif » avec Microsoft, pour notamment utiliser l’API de Bing pour « les recherches algorithmiques », la régie publicitaire Microsoft Adverti-sing (exBing Ads) ou encore le service de cloud Azure (6), la firme américaine de Redmond a annoncé mi-mai qu’elle allait mettre un terme aux API de son moteur de recherche Bing à partir du 11 août 2025. « Toutes les instances existantes des API Bing Search seront complètement mises hors service et le produit ne sera plus disponible pour l’utilisation ou l’inscription de nouveaux clients », avertit Microsoft (7), dont la deadline n’est pas du goût des utilisateurs.
Jusqu’à maintenant très dépendant des bibliothèques de Bing, tandis qu’Ecosia l’est non seulement de Bing mais aussi de Google, le français Qwant est déjà très remonté contre son partenaire historique, à tel point qu’il vient de déposer plainte contre lui devant l’Autorité de la concurrence (ADLC), selon les révélations de l’agence Reuters le 3 juin (8). Il reproche à Microsoft d’avoir dégradé la qualité des résultats de son moteur de recherche Qwant via Bing. Le moteur français demande au gendarme de la concurrence de prendre des mesures conservatoires à l’encontre du géant américain, tout en enquêtant sur les pratiques de ce dernier accusé d’abus de position dominante. Microsoft risque dans cette affaire jusqu’à 10 % de son chiffre d’affaires mondial en cas de condamnation par l’ADLC, laquelle n’a pas attendu la plainte de Qwant pour – d’après cette fois l’agence Bloomberg le 10 février dernier (9) – commencer à enquêter sur la dégradation présumée de la qualité des résultats de recherches auprès des moteurs rivaux qui paient pour accéder à l’écosystème de syndication Bing. Questionné sur l’action lancée devant l’autorité antitrust, Olivier Abecassis nous a répondu : « Nous ne commentons pas ce sujet », sans démentir l’action menée. Un porte-parole de Microsoft cité par Reuters début juin a déclaré : « Cette plainte est sans fondement. Nous coopérons pleinement avec l’enquête de l’Autorité de la concurrence ».
De son côté, à Berlin, Ecosia a recours non seulement à Bing mais aussi à Google pour ses résultats de recherche. Mais cette start-up Ecosia « à but non lucratif » n’a pas saisi le gendarme allemand de la concurrence – le Bundeskartellamt (BKartA) – comme nous l’a confirmé son directeur des opérations, Wolfgang Oels : « Nous n’avons pas déposé de plainte officielle en Allemagne contre Microsoft ». Cependant, le BKartA a ouvert en 2023 une enquête sur Microsoft en incluant Bing (10), puis en désignant en 2024 la firme de Redmond comme « entreprise d’une importance capitale pour la concurrence sur tous les marchés » (11). L’étau se resserre donc des deux côtés du Rhin, d’autant plus que Microsoft a été désigné par la Commission européenne comme « contrôleur d’accès » (gatekeeper) – sur Windows (12), dont Bing, et LinkedIn – dans le cadre du Digital Markets Act (DMA) en vigueur depuis le 7 mars 2024. Le marché de niche de la syndication de moteurs de recherche pourrait coûter très cher au « M » de Gafam, si l’infraction devenait caractérisée. Avec Staan, l’API de l’index web européen EUPS, la jointventure European Perspective veut devenir « un acteur clé de la souveraineté numérique européenne et du pluralisme d’accès à l’information via la recherche sur le Web ». Pour l’instant, à juin 2025, Qwant revendique 6 millions d’utilisateurs et Ecosia 20 millions d’utilisateurs. Selon Statcounter (13), la part de marché mondiale de Qwant dans le « search » est de 0,03 % en mai 2025, et en France de 0,77 %. En mai, Qwant a indiqué travailler avec Mistral AI pour optimiser les réponses.

Le « champion » OVH œuvre pour l’EUSP
L’index web européen EUSP est hébergé par le prestataire français OVHcloud, basé à Roubaix et cofondé par le franco-polonais Octave Klaba (photo ci-dessus), son président, lequel a racheté avec son frère Miroslaw Klaba en juin 2023 la société Qwant pour 14 millions d’euros via l’entreprise Synfonium, créée à cette occasion (14). Les deux frères en détiennent tous les deux 75 % via leur holding respective Jezby Ventures et Deep Code – aux côtés des 25 % de l’Etat français via la Caisse des dépôts (CDC). En attendant, Google affiche toujours une part de marché insolente de 89,45 % en Europe. @

Charles de Laubier