Archives par mot-clé : Numérique

La présomption d’exploitation des contenus culturels par les IA reste incertaine voire inconstitutionnelle

Publié le par

La proposition de loi instaurant une « présomption d’exploitation des contenus culturels par les fournisseurs d’intelligence artificielle » a été déposée au Sénat le 12 décembre 2025. Ce projet de texte ne fait pas l’unanimité, ni en France ni au Parlement européen, et soulève des questions.

(La commission juridique du Parlement européen a voté le 28 janvier 2026 pour le rapport de l’eurodéputé Alex Voss, mais expurgé de l’irrebuttable presumption of use).

La proposition de loi instaurant une « présomption d’exploitation des contenus culturels par les fournisseurs d’intelligence artificielle », déposée au Sénat le 12 décembre 2025, sera-t-elle examinée en ce début 2026 ? Rien n’est moins sûr, car ce texte – concocté en plein lobbying d’organisations d’ayants droits et sur recommandation d’une mission du ministère de la Culture conduite par le Conseil supérieur de la propriété littéraire et artistique (CSPLA) – soulève des questions et des réserves de la part des entreprises visées et du gouvernement.

Les deux objectifs poursuivis par le Sénat
Pour les sénatrices Agnès Evren (LR) et Laure Darcos (Indépendants) ainsi que le sénateur Pierre Ouzoulias (communiste/CRCE), qui ont publié le 9 juillet 2025 un rapport d’information intitulé « Création et IA : de la prédation au partage de la valeur » (1), il s’agit d’instaurer une inversion de la charge de la preuve ou tout du moins d’alléger la charge de la preuve pesant sur les ayants droit lorsque ces derniers forment un recours. En clair : ce serait aux entreprises de systèmes d’IA de démontrer qu’elles n’utilisent pas de contenus culturels pour l’entraînement de leurs systèmes d’IA.
« La présomption proposée ici est dite simple ou réfragable [réfutable, pouvant être contredits, ou mis en défaut par un raisonnement ou une preuve, ndlr]. Elle peut donc être renversée par la preuve contraire, c’est-à-dire la démonstration au juge que le ou les contenus n’ont pas été utilisés », justifient les sénateurs emmenés par Laure Darcos (photo). D’autant que pour les auteurs de la proposition de loi, « il serait difficilement audible de soutenir que la charge de la preuve, qui incombe aujourd’hui aux titulaires de droits, alors qu’ils n’ont pas la maîtrise technique de l’outil IA, est trop lourde pour des professionnels de l’exploitation de la donnée ». La proposition de loi vise donc à instaurer cette présomption légale, en poursuivant un double objectif comme (suite) cela est expliqué dans les motifs (2) :
Le premier objectif est de restaurer l’effectivité des droits en allégeant la charge de la preuve. Au lieu de la preuve de l’exploitation d’un contenu culturel pour entraîner un modèle d’IA, quasi impossible à rapporter sans une transparence totale de la part des fournisseurs d’IA, le mécanisme de présomption requiert la preuve d’un fait connu, plus simple à rapporter.
Le second objectif de cette présomption est de dissuader les acteurs de l’intelligence artificielle d’adopter certains comportements ou, à l’inverse, de les inciter à en suivre d’autres. La règle de droit a un effet prophylactique. Aussi, la présomption n’est pas qu’un outil contentieux. Elle a également pour objectif de favoriser l’émergence d’un marché éthique et compétitif, conciliant soutien à l’innovation et préservation de la culture, hors de tout procès, par le simple effet incitatif de la règle.
Mais qu’est-ce que la présomption ? « La présomption est fondée sur la vraisemblance de ce qui advient le plus souvent. Lorsqu’une IA générative produit un contenu à la manière d’un contenu protégé ou dans le style d’un créateur ou d’un auteur, il est vraisemblable qu’elle a utilisé les contenus de ce dernier. Il en est de même lorsque l’IA “régurgite” des extraits ou des éléments d’une œuvre ou d’un objet protégé, lorsqu’elle en développe une analyse, ou lorsqu’il existe des ressemblances entre l’objet protégé et le contenu généré », expliquent les sénateurs pour justifier leur proposition de loi qui inverse la charge de la preuve.
Quoi qu’il en soit, la France devra notifier cette mesure législative à la Commission européenne, via le Tris (Technical Regulation Information System), avant son éventuelle adoption – donc avant l’examen parlementaire. Cette procédure déclencherait alors une période de statu quo de trois mois, durant laquelle le texte ne peut pas être adopté. Selon les constatations de Edition Multimédi@, la base Tris (3) ne fait pas encore état d’une notification de la France sur ce texte.

De Laure Darcos à l’eurodéputé Axel Voss
« Par cette proposition de loi, le législateur français entend être précurseur et susciter un élan auprès de ses partenaires européens pour rééquilibrer le rapport de force entre titulaires de droits et fournisseurs d’IA », assurent les porteurs de la proposition de loi. Le lobbying des ayants droits s’est d’ailleurs intensifié au niveau de de l’Union européenne, où l’idée d’une présomption d’utilisation des contenus culturels par les fournisseurs d’IA est poussée par député européen Axel Voss (photo ci-dessous). Ce démocrate-chrétien allemand – membre de la CDU dans son pays et membre du PPE (4) au Parlement européen – est l’un des principaux architectes des politiques européennes sur le droit d’auteur (ex- rapporteur de la directive droit d’auteur de 2019), la régulation numérique et l’IA, ainsi que sur la protection des données. Il est régulièrement perçu comme proche des positions des ayants droit.

Vote européen incertain le 9 mars 2026
C’est Axel Voss qui suggère au Parlement européen d’introduire le principe de « présomption irréfragable d’utilisation » (irrebuttable presumption of use) de contenus protégés par le droit d’auteur utilisés pour la formation des systèmes d’IA, lorsque les obligations de transparence complètes n’ont pas été pleinement respectées. Porte-parole du PPE au sein de la commission des affaires juridiques (Juri) du Parlement européen, il est l’auteur du rapport « Copyright et IA générative – opportunités et challenges » (5) pour cette dernière qui examine le rapport « Voss » amendé, contenant cette disposition de présomption, en vue d’un vote en plénière prévu initialement le 19 janvier 2026 mais renvoyé au 9 mars. Il recommande à la Commission européenne de « proposer l’établissement d’une présomption irréfragable selon laquelle, pour tout modèle ou système d’IA à usage général (GenAI) mis sur le marché de l’Union, les œuvres et autres objets protégés par le droit d’auteur ou les droits voisins ont été utilisés pour sa formation lorsque les obligations légales de transparence énoncées dans la présente résolution n’ont pas été pleinement respectées » (6). Ainsi, lorsque les fournisseurs ou les diffuseurs d’IA ne font pas preuve d’une transparence complète, cela donne lieu à une présomption irréfragable selon laquelle toute œuvre protégée par un droit d’auteur ou tout autre objet protégé pertinent a été utilisé à des fins de formation (7). Le rapport « Voss » recommande en outre que « lorsqu’un titulaire de droits obtient gain de cause dans une procédure judiciaire, soit sur la base de cette présomption, soit en présentant des preuves, tous les frais de justice et autres dépenses raisonnables et proportionnés engagés […] sont à la charge du fournisseur du modèle ou système d’IA ».
Qu’est-ce que la transparence des systèmes d’IA ? Le rapport « Copyright & GenAI » estime que cette transparence doit consister en « une liste détaillée identifiant chaque contenu protégé par le droit d’auteur utilisé pour la formation » et cette même exigence devrait « s’appliquer mutatis mutandis à toute utilisation ultérieure du contenu à des fins d’inférence, de génération augmentée par récupération ou de fine-réglage non seulement par les fournisseurs de modèles d’IA, comme le stipule [l’AI Act (8)], mais aussi par les fournisseurs ou les déploiements de systèmes d’IA ». Il suggère en outre qu’une telle transparence pourrait être facilitée par un intermédiaire de confiance, tel que l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO), lequel serait chargé d’informer les titulaires de droits de l’utilisation de leur contenu, leur permettant ainsi de faire valoir des revendications en lien avec son utilisation pour la formation des systèmes d’IA (9).
Mais les débats en commission Juri du Parlement européen, avant le vote en plénière le 19 janvier, ont révélé de sérieuses divergences sur le rapport « Voss » et sur les nombreux amendements déposés et consignés le 15 septembre 2025 dans un document de… 193 pages – en lien ici (10), environ 300 selon le rapporteur Axel Voss. Sans préjuger de l’issu des travaux législatifs européens, les titulaires de droits français, eux, se sont réjouis le 17 décembre 2025 du dépôt au Sénat de la proposition de loi « Présomption d’exploitation des contenus culturels par les fournisseurs de systèmes d’IA » : « Ce dépôt s’inscrit dans la droite ligne de l’impulsion donnée par la ministre de la Culture, Rachida Dati, depuis son arrivée rue de Valois en matière de défense du droit d’auteur et des droits voisins, en venant traduire l’une des principales recommandations de la mission confiée par le CSPLA à la professeure Alexandra Bensamoun (11) sur la rémunération des contenus culturels utilisés par les systèmes d’intelligence artificielle (volet juridique) », ont acclamé une quinzaine d’organisations professionnels (12) telles que la SACD (13), la Sacem (14), l’Apig (15), la Scam (16) ou encore le SNE (17). Mais cette présomption légale d’exploitation des contenus culturels par les IA génératives soulève des questions constitutionnelles au regard du droit français.

La présomption IA : anticonstitutionnelle ?
C’est ce que se demande Vincent Fauchoux, avocat associé chez Deprez Guignot Associés (DDG), et président de l’International Law Association for Artificial Intelligence (ILAAI). « Si la jurisprudence constitutionnelle admet le recours à des présomptions légales, c’est à la condition qu’elles soient réfragables, proportionnées à l’objectif poursuivi et qu’elles ne portent pas une atteinte excessive aux droits de la défense, à la présomption d’innocence et à la liberté d’entreprendre. […] L’avenir normatif de cette proposition apparaît, à tout le moins, incertain », prévient-il dans une note juridique publiée le 19 décembre (18). Les start-up françaises de l’IA, Mistral AI en tête, s’inquiètent d’une telle mesure, tandis que les ministères de la Culture et du Numérique s’interrogent sur la viabilité juridique de cette présomption IA. @

Charles de Laubier

L’Internet Society (Isoc), cofondée par Vinton Cerf il y a 33 ans, peine à résorber la fracture numérique

Publié le par

Dans le monde, 2,6 milliards d’êtres humains ne sont toujours pas connectés à Internet. Face à cette fracture numérique mondiale persistante, l’Isoc (Internet Society) cofondée en 1992 par Vinton Cerf – devenu « évangéliste » chez Google – a du mal à lever des fonds à la hauteur de sa promesse d’un Internet « pour tous ».

L’Américain Vinton Cerf (photo), qui a co-inventé avec son compatriote Robert Kahn le protocole Internet TCP/IP (1) – après s’être inspiré en mars 1973, lors d’une visite à Louveciennes, des travaux du Français Louis Pouzin (2) sur le datagramme (commutation de paquets) –, a lancé le 24 novembre dernier un appel aux dons pour financer l’Internet Society (Isoc). Vinton Cerf a cofondé, avec Robert Kahn et Lyman Chapin cette organisation américaine à but non lucratif le 11 décembre 1992 – il y a 33 ans presque jour pour jour. L’informaticien « Vint » (82 ans) et l’électronicien « Rob » (86 ans), qui ont tous les deux travaillé dans les années 1970 autour du réseau Arpanet créé au sein du département de la Défense des Etats-Unis, sont considérés comme étant parmi les « pères d’Internet », avec le frenchie « Louis » (94 ans). L’Isoc est née avec Internet dans le but de « faciliter, soutenir et promouvoir l’évolution et la croissance d’Internet en tant qu’infrastructure mondiale de communication pour la recherche » (3). Mais c’est bien grâce à l’Europe et à l’invention du Web par le Britannique Tim Berners-Lee – travaillant alors au Cern en Suisse, dans le « Building 31 » situé à la frontière sur territoire français (4) – que cet Internet, d’accord très technique et académique, deviendra grand public à partir du milieu des années 1990. L’Isoc, organisation institutionnelle d’Internet, est dans le même temps devenue la « maison mère » des communautés techniques IETF (5) et IAB (6).

L’Isoc : grande mission, petits moyens
« Bonjour, je m’appelle Vint Cerf. J’ai été président fondateur de l’Internet Society en 1992. Et nous voilà en 2025, et l’[Isoc] poursuit sa mission. Je souhaite que vous compreniez que donner de votre temps, de votre énergie, et même un peu de votre argent à l’[Isoc] lui permettra d’accomplir sa mission principale : faire en sorte qu’Internet soit vraiment pour tout le monde », a déclaré le 24 novembre dans un appel aux dons – en vidéo diffusée sur YouTube – celui qui est non seulement le cofondateur de l’Internet Society, où il n’a plus de fonctions exécutives depuis les années 2000, mais aussi vice-président de Google où il a été recruté il y a 20 ans comme « Chief Internet Evangelist ». Et l’icône du Net d’ajouter : (suite) « J’espère donc que vous vous joindrez à moi pour soutenir cette cause. Je viens moi-même de contribuer à hauteur de 25.000 dollars, et je vous invite à envisager de faire de même. En attendant, à bientôt sur le Net ! ».

2,6 milliards d’humains non connectés
Vint Cerf a choisi de lancer cette campagne quelques jours avant le « Giving Tuesday », qui est la journée mondiale de la générosité arrivant chaque année le mardi suivant la fête de Thanksgiving aux Etats-Unis, soit le 2 décembre en 2025. « Faites un don dès maintenant et notre président fondateur, Vint Cerf, abondera du même montant les premiers 25.000 dollars de dons », a encouragé l’Isoc sur son compte LinkedIn (7). Au 5 décembre, la collecte dépassait à peine les 23.000 dollars sur les 50.000 dollars visés (8). Or ce modeste objectif semble minuscule et symbolique par rapport au positionnement historique de l’Isoc qui est de contribuer à résorber cette fracture numérique qui empêche encore aujourd’hui 2,6 milliards d’êtres humains de se connecter correctement à Internet. Si l’Isoc – dont le slogan est « Internet est pour tous » – mène cette campagne symbolique de quelques dizaines de milliers de dollars auprès du grand public, qu’elle sollicite ainsi sur des dons de petits montants (12 dollars, 40, 80, …), elle s’appuie aussi sur sa fondation – l’Internet Society Foundation, sa filiale créée en novembre 2019 (9) – pour « institutionnaliser » les levées de fonds (dons, adhésions, subventions, …) pour l’octroi à son tour de subventions (10) et la mise en place de partenariats pour des montants annuels de plusieurs millions de dollars. Sur l’année 2024, la fondation a ainsi financé 203 projets de connexion et d’inclusion numérique dans 111 pays pour un total de 16,2 millions de dollars (11) : réseaux communautaires dans des villages reculés, adoption d’outils numériques par des entrepreneurs, recherches sur la sécurité d’Internet, solutions résilientes dans des zones sujettes aux catastrophes naturelles, …
Mais le budget des deux entités – l’Isoc « canal historique » et l’Isoc Foundation, chacune ayant comme PDG Sally Wentworth (photo ci-dessus) – restent très limité au regard des enjeux planétaires, malgré 135 « chapitres » (antennes locales) dont l’Isoc France créée il y aura 30 ans l’année prochaine. Pour leur « Plan d’action 2026 » respectif, tous les deux publiés en novembre, l’Isoc historique disposera de 41,2 millions de dollars sur l’année prochaine (12) et l’Isoc Foundation de 28 millions de dollars seulement (13). Et encore, heureusement que les deux entités perçoivent chacune un gros pécule provenant de la vente de noms de domaine de premier niveau tels que « .org », à savoir 32 millions de dollars pour près de 80 % (77,7 % précisément) du « chiffre d’affaires » de l’Isoc historique et 28 millions de dollars pour la totalité du « chiffre d’affaires » 2026 de la fondation. Car l’organisation américaine à but non lucratif est aussi la maison mère d’une filiale « à but non lucratif » baptisée Public Interest Registry (PIR), qui, créée en 2002 à Reston dans l’Etat de Virginie, commercialise en exclusivité via des registrars dans le monde les noms de domaines se terminant par « .org » (plus de 11,7 millions actifs à ce jour (14)), mais aussi – depuis leur création il y a dix ans – les « .ong » (2.107 actifs (15)) et en anglais les « .ngo » (4.465 actifs (16)) pour les ONG dans le monde, les organisations non-gouvernementales. PIR a étendu ses activités de « registre d’intérêt public » à partir de 2019 en reprenant à l’Icann – la principale organisation américaine non-gouvernementale, dont Vinton Cerf a été président du conseil d’administration, chargée de gérer dans le monde les adresses de l’Internet (17) – les domaines de premier niveau « .charity », « .foundation », « .gives » et « .giving ». Autant de gTLD (Generic Top-Level Domain) qu’elle regroupe dans sa « famille de domaines .org » (18). Ainsi, PIR rapportera aux deux entités de l’Internet Society pas moins de 60 millions de dollars cumulés en 2026 – une manne en hausse.
Cette pépite PIR a d’ailleurs failli être vendue par l’Isoc, si avait abouti son projet – soutenu par Vinton Cerf (19) – de céder en 2019 ce « registre d’intérêt public » à la société de capital investissement Ethos Capital pour 1,135 milliard de dollars. Mais cette opération fit polémique en raison de son caractère financier et au regard des missions d’intérêt public de l’Isoc et de PIR. La justice s’en était mêlée, y voyant une violation des statuts à but non lucratif de ces organisations caritatives soumises aux lois californiennes. Sous pression, l’Icann avait rejeté le 30 avril 2020 la proposition de vente du PIR à Ethos Capital (20).

Une « réserve » de 1,7 million de dollars
Mais, dans l’hypothèse où les revenus PIR venaient à diminuer, le conseil d’administration de l’Isoc a choisi de placer une partie de ses recettes dans des « réserves » pour que l’organisation puisse tout de même survivre et remplir sa mission. C’est ainsi que l’Isoc a thésaurisé 1,7 million de dollars pour commencer 2026 avec ce qu’elle appelle le « fonds du conseil ». Cette somme est prévue pour différents projets à venir : dans la « transformation numérique » (478.500 dollars), les « technologies facilitatrices » (25.000 dollars), des « initiatives ESG » pour l’environnement, le social et la gouvernance (200.000 dollars), les « systèmes de gestion des ressources humaines » (626.000 dollars) et l’« accessibilité » (100.000 dollars). Là où il faudrait des milliards… @

Charles de Laubier

Anne Le Hénanff, ministre de l’IA et du numérique

Publié le par

En fait. Le 12 octobre, Anne Le Hénanff, députée (Horizon) de la première circonscription du Morbihan (Bretagne), a été nommée ministre déléguée à l’Intelligence artificielle et au Numérique. La Bretonne remplace la Parisienne Clara Chappaz (Renaissance) qui était démissionnaire depuis le 5 octobre.

En clair. C’est l’une des trois Bretonnes du gouvernement « Lecornu 2 » constitué le dimanche 12 octobre. Anne Le Hénanff a remplacé Naïma Moutchou, laquelle avait succédé le 5 octobre à Clara Chappaz avant d’être démissionnaire dès le lendemain avec l’implosion de « Lecornu 1 » (le plus éphémère gouvernement de la Ve République, le Premier ministre démissionnant 27 jours après sa nomination par Emmanuel Macron). Alors que Naïma Moutchou avait le nouveau maroquin intitulé « ministre de la Transformation et de la Fonction publiques, de l’Intelligence artificielle et du Numérique », Anne Le Hénanff reprend, elle, celui de Clara Chappaz : « ministre déléguée chargée de l’Intelligence artificielle et du Numérique » (1). Point commun entre les deux députées Anne Le Hénanff et Naïma Moutchou : elles sont toutes les deux affiliées à l’Assemblée nationale au parti Horizon de l’ancien Premier ministre Edouard Philippe.
La nouvelle ministre était même jusqu’à présent co-porte-parole d’Horizon depuis un an et demi. Il n’y aura sans doute pas de passation de pouvoirs publique, mais Anne Le Hénanff – députée de la 1ère circonscription du Morbihan (Vannes) depuis juin 2022 – ne s’est pas privée de (suite) raconter par le menu, auprès de plusieurs médias (Ouest-France, France 3 Bretagne, …), les circonstances de sa nomination surprise : dimanche soir 12 octobre, au sortir d’un concert, le cabinet du Premier ministre l’appelle sur son mobile pour lui proposer le poste ; après réflexion et concertation avec son entourage, elle accepte en disant « oui » à Sébastien Lecornu qui l’appela à 21h (2).
Si la nouvelle ministre déléguée (3) de l’IA et du numérique (Anne Le Hénanff) dure plus longtemps que sa prédécesseure d’un jour (Naïma Moutchou), maintenant que le gouvernement « Lecornu 2 » a évité de justesse la censure le 16 octobre, elle peut rêver tenir un peu plus d’un an comme celle d’avant (Clara Chappaz). Ses faits d’armes comme députée : coauteur d’un rapport en 2023 sur le projet de loi « Régulation numérique » (SREN) et de deux autres en 2024 sur la cyberdéfense. Elle est depuis près d’un an, vice-présidente de la CSNP (4). Ses missions comme ministre : maintenir la position de la France sur l’IA, transformer l’administration publique, protéger les données des Français, garantir la souveraineté numérique du pays, protéger les mineurs et lutter contre le harcèlement en ligne. @

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite) l’exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l’ingénierie sociale et l’exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.
La présence de cookies de session et de tokens d’authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d’anciennes fuites, proviennent d’activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l’émergence de plateformes de « Malware-as-a-Service » (MaaS) et de solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d’entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées. Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l’ordre. La fuite de 16 milliards d’identifiants cristallise plusieurs enjeux juridiques majeurs.

Responsabilité : le défi de la territorialité
D’abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d’application territorial (4), son effectivité reste conditionnée à la coopération internationale et aux mécanismes d’entraide judiciaire. Ensuite, la problématique de l’attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L’ampleur de cette violation interroge donc l’adéquation des mécanismes de notification prévus par le RGPD (5), conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD
L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident, et procédure de test et d’évaluation régulières de l’efficacité des mesures. Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu’obligatoire, ne protège pas contre l’exfiltration d’identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l’attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l’interprétation extensive de l’article « Sécurité du traitement » (6) : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu’ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?
Le principe de d’accountability consacré par le RGPD (7) impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l’étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L’obligation de sécurité s’étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L’arrêt « Fashion ID » (8), rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s’étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects. L’analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d’attaque et l’efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l’action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d’information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.
L’adoption généralisée de technologies d’authentification avancées devient un impératif face à l’inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C (9), pour la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l’utilisateur et une clé publique stockée par le service. L’authentification s’effectue par signature cryptographique, sans transmission d’informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).
Aussi, l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L’évolution vers des méthodes d’authentification continue, analysant en permanence le comportement de l’utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L’imposition de standards minimaux d’authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP2 (10), constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité
La fuite de 16 milliards d’identifiants révèle les limites du cadre réglementaire actuel face à l’évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires (11). L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l’adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués. @

Le milliardaire Pierre-Edouard Stérin, catholique identitaire, construit son groupe de médias numériques

Publié le par

Il rêve de rentrer dans le club des dix milliardaires qui possèdent des pans entiers de la presse française, mais – à défaut d’avoir pu s’emparer de médias traditionnels (écarté il y a un an par Marianne puis par La Croix) – l’évangélisateur Pierre-Edouard Stérin lance sa croisade médiatique dans le monde digital.

Il y a un an, en juillet 2024, la filiale française CMI France du magnat tchèque Daniel Kretinsky – l’un des dix milliardaires détenant des pans entiers des médias français (1) – cessait toute discussion avec un parvenu milliardaire en quête lui aussi d’influence médiatique, Pierre-Edouard Stérin (photo), qui voulait s’emparer de Marianne. Pour un catholique identitaire bien à droite voire à l’extrême droite, conservateur limite traditionnaliste, tenter de s’approprier l’hebdomadaire laïc et anti-néolibéral cofondé par feu Jean-François Khan (intellectuel de gauche devenu centriste), c’était osé mais voué à l’échec. La rédaction de Marianne, devenue « souverainiste », avait dans un premier temps (le 21 juin 2024) voté pour « la poursuite des négociations sur les garanties d’indépendance » (2) avec Pierre-Edouard Stérin via son family office Otium Capital. Mais la Société des rédacteurs de Marianne (SRM) avait in extremis changé d’avis, à la suite de révélations dans la presse sur les liens étroits de ce prétendant avec l’extrême droite, et vote (le 27 juin 2024) « à l’unanimité contre le rachat du magazine par Pierre-Edouard Stérin » (3). C’est notamment une enquête parue la veille dans Le Monde, et intitulée « “Versailles connection” : comment le milliardaire Pierre-Edouard Stérin place ses pions au RN » (4), qui jettent un froid sur les négociations menées avec ce libertarien conservateur par Daniel Kretinsky et son représentant en France Denis Olivennes (pourtant réputé de gauche, devenu lui aussi centriste).

Echecs de Stérin sur Marianne et La Croix
Pourtant, ce n’est pas faute pour Pierre-Edouard Stérin (51 ans) de ne pas connaître Daniel Kretinsky (50 ans), puisque les deux milliardaires avaient – avec Stéphane Courbit (« élevé dans une culture athée de “bouffeurs de curés” » puis « devenu catholique pratiquant », d’après Paris Match) – fait une offre début 2023 pour tenter de racheter le numéro deux français de l’édition Editis à Vincent Bolloré. Mais l’inquiétude suscitée par Pierre-Edouard Stérin dissuade celui-ci de poursuivre dans ce trio, tandis que Stéphane Courbit le quitte aussi pour d’autres raisons, laissant le Tchèque s’emparer seul d’Editis (5) en juin 2023. Gros-Jean comme devant après la déconvenue que lui a infligée Marianne un an après, voici que ce chrétien militant a continué à croire en sa bonne étoile médiatique en tentant de mettre un pied dans la porte entrouverte de Bayard Presse, l’éditeur du quotidien catholique (de gauche) La Croix, propriété de la congrégation des Augustins de l’Assomption (appelée aussi congrégation des Assomptionnistes). Ce groupe confessionnel publie aussi (suite) l’hebdomadaire Le Pèlerin, le mensuel Notre Temps, Pomme d’Api ou encore des livres et BD (Milan, Bayard Jeunesse, Crer, …).

Croisade lancée via des médias en ligne
Mais Pierre-Edouard Stérin y est allé masqué et de façon indirecte : c’est Alban du Rostu (photo ci-contre), son ex-bras droit et ex-directeur général du Fonds du bien commun (FBC) créé par le milliardaire catholique, qui sera nommé en novembre 2024 au poste de directeur de la stratégie et du développement du groupe Bayard. Et ce, aux côtés et avec la bénédiction de François Morinière, le nouveau président du directoire du groupe Bayard, nommé en mai 2024 et en poste depuis le 1er novembre 2024. Or Alban du Rostu a joué un rôle central dans le projet Périclès – acronyme de « Patriotes enracinés résistants identitaires chrétiens libéraux européens souverainistes » ! C’est comme un coffret-cadeau Smartbox pour chrétien en quête de racines, si l’on fait l’analogie avec l’entreprise Smartbox – enregistrée à Dublin (Irlande) – spécialiste des coffrets cadeaux, cofondée en 2003 par Pierre-Edouard Stérin et à l’origine de sa fortune de milliardaire, 81e place en 2025 selon Challenges (6), et exilé fiscal en Belgique depuis 2012. Objectif politico-religieux de Périclès (7) financé par FBC : amener au pouvoir, dès 2027, une union de la droite – incluant donc l’extrême droite – et diffuser les valeurs religieuses, conservatrices et libérales sur le long terme. « Otium n’a pas d’activité dans les médias. Ces activités dépendent du FBC », indique à Edition Multimédi@ François Durvye, directeur général d’Otium Capital. Otium, qui finance FBC, dispose de 150 millions d’euros d’investissements sur cinq ans (fonds Resonance lancé en 2022 par Otium Capital), auxquels viennent d’être ajoutés 180 millions d’euros d’ici 2030 (Otium Studio (8)).
Cette croisade passe par l’acquisition de médias – papier et numériques – ou la prise de participations pour user de leur influence à travers toute la France, « la fille aînée de l’Eglise ». Aussitôt le lièvre « Stérin/Rostu » levé au sein de Bayard, sa direction – après l’échec d’une tentative d’apaisement (9) – a dû faire marche arrière face à la levée de boucliers de la part du personnel et de l’intersyndicale – avec débrayage, pétition en ligne « Non à l’entrée de l’extrême droite » (10), tribune d’auteurs dans Actuallité (11) et interpellations de lecteurs. Le 2 décembre 2024, la direction de Bayard est contrainte d’annoncer qu’« Alban du Rostu […] renonce […] à son entrée dans le groupe » (12) et que par ailleurs il n’y aura pas de participation au capital de l’école ESJ Paris, rachetée par des milliardaires et investisseurs conservateurs : Pierre-Edouard Stérin et Alban du Rostu, aux côtés de Vincent Bolloré, Rodophe Saadé, Bernard Arnault ou encore la famille Dassault (13). Chez Bayard, c’est une victoire sur l’extrême droite (14).
Malgré ces échecs, le catho-conservateur Pierre-Edouard Stérin (« PES ») garde intacte son ambition d’évangélisateur médiatique. Mais il n’a pour l’instant d’autres choix que de continuer à investir dans des médias numériques pour accroître son rayonnement. Il a investi en janvier 2023 (via son fonds Otium Capital) dans Neo, le média vidéo cofondé par l’ex-journaliste de M6 Bernard de La Villardière, lequel a quitté l’entreprise peu avant pour « désaccord stratégique », notamment lié à cette levée de fonds. La même année « PES » investit aussi (toujours via Otium) dans le média digital Le Crayon destiné aux jeunes et actif sur les réseaux sociaux. En 2024 cette fois, le média conservateur en ligne Factuel reçoit « plus de 1 million d’euros », dit-on, de « PES » (encore Otium) mais il périclite au printemps de la même année. Toujours l’an dernier, le catho conservateur du projet Périclès a élargi sa galaxie médiatique en injectant de l’argent dans l’agence d’influenceurs web Marmeladz, éditrice de médias numériques à jeune audience de la Génération Z (Gossip Room, Officielles, Gentsu, Art Room, Rapghetto, …) et diffusés sur YouTube, TikTok, Snapchat ou encore Facebook Watch. A défaut de média mainstream ou de mass media traditionnels, « PES » s’est rabattu sur Internet en y élargissant son champ de « prosélytisme ». « Le mécène des droites » – ou « le parrain de l’extrême droite », c’est selon – se met en ordre de bataille, en prévision des municipales de 2026 et de la présidentielle de 2027, afin de faire triompher ses idées catho-conservatrices.

Après le média social Cerfia, Explore Media
Encore récemment, en juin 2025, le milliardaire d’extrême droite a fait parler de lui lorsque des révélations – notamment sur X par un « lanceur d’alertes » au pseudonyme Ambroise Leroy (15) – ont fait état du rachat du média social Cerfia, éditeur notamment du très suivi compte X (1,2 million d’abonnés), par son family office Otium. Cerfia, à « l’actualité à portée de main ! » (16), est contrôlé par la société DM News, sise rue Saint-Joseph à Paris et détenue par Médiane, sous la présidence de la holding Adventure de Adrien Aversa, le fondateur de Marmeladz (déjà dans le giron d’Otium). Dans la foulée était révélée l’acquisition en avril 2025 – via Médiane – de Explore Media (17) aux 2,4 millions de followers sur TikTok. A qui le tour ? @

Charles de Laubier