test

[Gaël] Bonjour, vous écoutez RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée.

[Gaël] Bienvenue dans cette nouvelle revue de l'actu numérique, aujourd'hui je suis accompagné de Benjamin et en duplex avec Monsieur A.

[Benjamin] Salut Gaël !

[Aeris] Bonjour à tous les deux !

[Gaël] Bon, premièrement, bienvenue à notre invité, notre nouvel invité, Aeris.

[Benjamin] Alors, mais attend, attend, attend, euh... Monsieur A, c'est Aeris !

[Gaël] Ah, il fallait pas le dire !

[Benjamin] Tout le monde s'appelle Monsieur...

[Benjamin] Non, sans déconner !

[Aeris] C'est anonymisé, donc en fait toutes les décisions de justice sont anonymisées, donc en fait tout le monde s'appelle Monsieur Abbé et le suivant est le CD, etc. Donc c'est pour ça que ça...

[Benjamin] Oh mais la déception, moi je pensais que c'était l'initiale. Je pensais que c'était l'initiale de ton pseudo.

[Benjamin] Donc tout le monde s'appelle monsieur A, bon bah déception.

[Benjamin] un petit peu triste.

[Gaël] Bon du coup, Aeris de retour avec nous depuis quelques temps, j'espère que tes travaux se passent bien premièrement.

[Aeris] On espère voir demain, on a la conformité qui passe demain pour vérifier que tout s'est bien passé.

[Benjamin] D'accord, moi je vous invite à suivre Aeris sur les réseaux pour voir un peu l'évolution du chantier, c'est assez impressionnant.

[Gaël] Et du coup je rebondis sur la conformité, tu nous as laissé sur un fil rouge avant de partir.

[Benjamin] BPCE j'avais complètement oublié ce sujet.

[Aeris] Ah oui, je vais reporter plein de demandes parce qu'il m'avait déjà pris pour un con. J'avais fait une demande d'Axel RGPD, il m'avait dit non, je te réponds dans 3 mois. Et donc ça expire demain, j'ai pas de nouvelles. Donc je pense qu'on est bon pour refaire un tour à Lac-Mille.

[Benjamin] Donc c'est reparti pour un tour.

[Benjamin] Donc en fait, tu nous as attendu sagement. Merci à toi. Et d'ailleurs, pendant que j'y pense, bonne année à AERIS, puisqu'on s'est pas vu depuis la rentrée. Bonne année.

[Gaël] Tu avais un deuxième sujet, une deuxième question à poser à Eris.

[Benjamin] J'ai plein de questions, j'ai toujours plein de questions à poser à Eris, je te rappelle que c'est comme ça qu'on a commencé un podcast. Alors, moi il y a un sujet qui me tarabuste un peu en ce moment, c'est qu'on voit qu'il y a de plus en plus de fuites un peu partout sur internet.

[Benjamin] Nos données sont de plus en plus exposées. Régulièrement on reçoit d'ailleurs des emails pour nous dire que c'est pas grave parce qu'il y a juste notre nom, notre prénom, notre adresse, notre date de naissance, bref, tout ce qu'on peut pas changer qui a été volé. Moi, personnellement, je préférerais qu'on me vole mon mot de passe parce que le mot de passe je peux le changer. Mais bon, ça c'est un autre débat.

[Benjamin] et il y a eu même un article qui est paru.

[Benjamin] En fin d'année, dans Mediapart, bien évidemment on mettra les liens dans les show notes de cet épisode, qui dressait un constat pour le moins inquiétant des fuites, parce qu'il y a une véritable accélération. Moi j'ai l'impression qu'il y a une accélération, je sais pas si c'est le cas de nos auditrices et de nos auditeurs, et il se trouve qu'Aeris, toi tu es derrière le site bonjourlafuites.eu.org si je ne dis pas de bêtises.

[Benjamin] Et alors est-ce que tu peux nous dire un peu qu'est ce que c'est que ce site, comment il est fait, pourquoi tu le fait, pour qui tu le fais, qu'est ce que tu souhaites en tirer ?

[Aeris] En fait, ça a commencé justement avec les emballements de fuites de données qui ont démarré on va dire 2025, courant 2025. On a commencé à voir les fuites arriver de plus en plus souvent, même déjà 2024, il y avait déjà les fuites de fruits, Bouygues Télécom, etc. Et ça a vraiment pris de l'ampleur sur 2025 avec des fuites qui arrivent tous les jours quasiment.

[Aeris] de toutes les associations sportives, les administrations, les entreprises, c'est vraiment un incarnage. Et avec une association que j'ai confondée qui s'appelle PURR (Pour un RGPD respecté), on a essayé de se...

[Aeris] d'aller voir l'acnil en fait en lui demandant pourquoi tu réagis pas, pourquoi les entreprises sont pas plus sanctionnées que ça, pourquoi il n'y a rien qui est fait pour éviter ces fuites là, qui sont en plus relativement bateaux en fait, ce n'est pas des grosses fuites compliquées, c'est des mots de passe qui sont pas robustes, des dettes techniques et des manques d'infrastructures dans les entreprises.

[Aeris] Et quand on a été voir cette lacune, elle nous a dit « En fait, je ne ferai pas grand-chose, les attaques sont sophistiquées, circulées, il n'y a rien à voir, moi je ne bougerai pas. » Et donc à partir de là, j'ai commencé à documenter toutes les failles et toutes les fuites qui arrivaient régulièrement. Donc je dois en avoir plus de 400, je crois, maintenant sur le site.

[Benjamin] 400 depuis 2024

[Aeris] Depuis 2024, mais globalement oui, c'est ça, 2024, mais le gros est vraiment à partir de mi 2025.

[Aeris] On a vraiment, on suit vraiment au jour le jour, on a fait un peu de rétrospectif de ce qui s'était passé sur 2024, mais vraiment au jour le jour, on le fait depuis 2025, depuis juillet 2025. Et on essaye justement de montrer que les fuites concernent vraiment tout le monde, tous les organismes, que ce soit l'administration, les banques, les fournisseurs d'accès, les mutuelles, les assurances, les associations sportives, tout le monde y passe.

[Gaël] Je regardais sur le site effectivement.

[Gaël] Je trouvais ça marrant que tu références la fédération, on a le droit de le nommer ou pas ?

[Gaël] C'est 3 millions de licenciés !

[Gaël] Mais en fait...

[Aeris] Non, non, non, en fait, c'est aussi un des problèmes que les fuites-là montrent. Il y a eu un exemple parce que là, Twinning-Baton, on n'a pas encore pu trop documenter puisque c'est arrivé hier ou avant-hier.

[Aeris] Mais par exemple, la Fédération française de tir à l'arc revendique qu'effectivement, je sais plus combien de monde compte, ils n'ont pas autant d'adhérents et licenciés, c'est juste qu'ils gardent les données sur quasiment plus de 30 ans. Là, on a eu le cas de quelqu'un qui était encore dans les bases de la Fédération de tir à l'arc, alors qu'il avait été licencié au collège. Donc les données sont conservées pendant 30, 10, 20, 30 ans, alors que ça aurait dû être supprimé depuis très longtemps.

[Benjamin] serait dû être supprimé, le RGPD impose de supprimer des données si on n'en a pas besoin.

[Aeris] Alors si on n'en a pas besoin, et en dehors de ça, on a aussi des lignes directrices de l'ACNIL qui dit bien qu'en fonction des cas d'usage qu'on va avoir, vous devez supprimer les données après tant de temps. Et chaque finalité a sa propre durée de rétention. On va prendre des cas plus classiques, par exemple de grande distribution. Si vous faites des contacts avec le support ou le SAV, ça doit être gardé six mois. Vos commandes vont être gardées un an, deux ans.

[Aeris] Tout votre compte client doit disparaître lui au bout de 3 ans, entre 2 et 3 ans à partir du moment où vous n'utilisez plus les services. Donc les entreprises sont supposées vous contacter en disant vous n'êtes pas connecté depuis 3 ans, on va supprimer vos données.

[Benjamin] Et il y en a qui le font, moi je reçois régulièrement des mails pour me dire que mon compte va être supprimé.

[Benjamin] Et alors au début je dis « oh là là vite vite vite il faut que » et puis après je dis « bah non en fait je m'en sers plus, j'en ai plus besoin » donc bah vas-y supprime.

[Gaël] un peu dans mes comptes.

[Benjamin] Oui, bien sûr, et puis en fait derrière tout ça, il y a une problématique de durée, puis il y a aussi une problématique de quantité de données, c'est-à-dire que la minimisation des données, je pense que ça a encore du mal à rentrer dans les mœurs, on sent bien qu'il y a beaucoup de prestataires qui essayent de choper le maximum de données.

[Benjamin] sans aucune corrélation avec le besoin qui en découle derrière, et ce qui fait que derrière, on a énormément de données qui fuite. Le nombre de sites où on me demande ma date de naissance, en fait, t'as pas besoin de ma date de naissance, et la date de naissance, c'est une donnée que je ne peux pas modifier une fois qu'elle a été volée, c'est mort.

[Benjamin] et il n'y en a pas besoin.

[Aeris] Et on a eu, par exemple, Free a été condamné la semaine dernière 42 millions d'euros pour la fuite de données qu'ils ont eu en 2024. Et dans les conclusions du rapporteur de Lac Nile, il disait bien que sur les 24 millions de données qu'il y avait fuitées, il y en avait 15 millions qui n'avaient rien à foutre dans la base depuis plusieurs années. Et en fait, le Free n'avait jamais nettoyé ses bases de données, donc ces 15 millions supplémentaires de données, donc quasiment la moitié, qui ont fini dans la nature alors que ça n'aurait jamais dû exister. Plus existé en tout cas dans les bases.

[Aeris] Et c'est un problème qu'on remonte...

[Gaël] c'est aussi les attaques. Moi je sais qu'aujourd'hui...

[Gaël] Et en plus maintenant, c'est carrément des appels beauté avec potentiellement de l'IA.

[Gaël] Donc je laisse quelques secondes, si vous m'appelez sur mon téléphone et que je ne choisis pas votre numéro, vous allez voir je ne vais pas vous répondre pendant quelques secondes pour savoir si c'est un bot ou pas qui m'appelle.

[Gaël] Et donc du coup les attaques sont beaucoup plus ciblées puisqu'ils peuvent savoir ce que vous faites.

[Gaël] On parlait de l'association sportive de tennis. Bon ben voilà, si on vous envoie un mail qui concerne le tennis ou le tir à l'arc.

[Gaël] vous allez probablement plus facilement tomber dans le piège. J'ai vu que c'était aussi du coup maintenant avec les plaques d'immatriculation.

[Gaël] Ils se font passer pour la...

[Gaël] Qu'est-ce que je vois ? Parce que du coup je scroll un petit peu et je me dis mince c'est complètement fou 2,1 millions de personnes

[Gaël] qui ont fuité pour l'office français de l'immigration et de l'intégration.

[Gaël] c'est très sensible, très vulnérable.

[Benjamin] vulnérables

[Aeris] Les données sont violentes, les données sont très violentes sur cette fuite-là. Il y a vraiment les numéros de sécu, il y a toutes les origines des migrants. Mais ça finit vraiment comme ça sur Internet.

[Benjamin] Et alors, moi je rebondis un peu sur l'actualité internationale puisque, comme nos auditrices auditeurs le savent peut-être, s'ils ont écouté l'épisode de la semaine dernière, je me suis rendu aux États-Unis munis de mon estat et que l'état à partir de bientôt, eh bien il faudrait partager toutes les données, y compris biométriques, des Européens avec les États-Unis. Donc on augmente la surface potentielle d'attaque.

[Benjamin] sans compter les problèmes d'intrusion, de vie privée, etc. Et centraliser toutes ces informations-là parce que peut-être ça peut servir, on voit bien le danger que ça représente.

[Aeris] C'est un peu le message qu'on essaie de faire passer à Lacnylle. Aujourd'hui, tout le monde fait n'importe quoi avec les données. Lacnylle elle-même est d'accord avec ça, puisque dans son dernier rapport qu'elle a publié, c'était avant Noël, elle a bien dit qu'il manque 80% de financement dans les infrastructures de sécurité réseau et dans toutes les entreprises.

[Aeris] La sécurité est vue comme un coup, comme on dit toujours les administrateurs système, tant que ça marche bien, on a l'impression qu'ils ne bossent pas et quand ça ne marche pas c'est de leur faute. Donc ils se font, ils n'ont pas les moyens. J'ai eu l'exemple dans une école, les administrateurs système réclamaient un firewall qui coûtait 5000 euros depuis 10 ans. L'école n'avait jamais voulu leur financer ça, ils se sont fait défoncer.

[Aeris] et c'est juste après coup qu'ils ont dit ah bah oui on va peut-être vous donner le firewall quand même quoi bah oui mais bon c'est trop tard les données sont dans la nature et il y a un vrai vrai décalage entre fait entre aujourd'hui le volume de données qui sont gérées dans les entreprises et le peu de sécurité qui sont liées en oeuvre

[Aeris] Vous comprenez l'utilisation de données, vous collecteriez pas beaucoup de choses, etc. Vous aurez peut-être besoin de mettre moins d'infrastructures, mais aujourd'hui, vu ce que vous collectez, oui, ça coûte cher.

[Benjamin] Exactement, minimiser les données c'est quand même la base, je pense qu'on pourrait être décroissant dans la collecte de données.

[Benjamin] Et juste moi, j'avais une question. Où est-ce que tu sources ces informations sur bonjourlafuit.hu.org ? Ça vient d'où ?

[Aeris] Alors on essaye de les sourcer le plus possible avec les communiqués de presse publique des organismes ou les articles de presse ou des choses comme ça. Mais bien souvent les entités ne communiquent pas sur les fuites de données et on est obligé d'aller les chercher sur des sites underground.

[Benjamin] Mais comment vous avez l'info ? Qui vous l'envoie ? Comment vous la trouvez ?

[Aeris] En fait, sur les forums, il y a des forums qui s'échangent sur ces bases de données.

[Aeris] et donc qui modifie, voilà, j'ai pété...

[Aeris] GPD, c'est des sites illégaux, carrément. Mais nous, du coup, on est devenu en fin de la veille. On fait de la veille dessus pour justement lister tout ce qui se passe et avoir l'information que quelque chose a futé, parce que les entreprises ne notifient pas alors qu'elles devraient le faire.

[Benjamin] T'es sur le Darknet.

[Benjamin] Ok.

[Gaël] On ne peut rien y faire.

[Gaël] Bon moi c'est un de mes sujets de prédilection aussi, la sécurité. En fait aujourd'hui...

[Gaël] y'a peu d'attaques qui sont vraiment sophistiquées, c'est souvent du social hacking ou des choses comme ça

[Gaël] il y a une histoire qui me faisait très rire parce que tout le monde nous fait installer des MFA dès qu'on doit accéder à un service.

[Gaël] c'est de spammer de MFA.

[Gaël] Donc du coup ton téléphone il en boucle, il y a les réceptions, et en fait au bout d'un moment la personne...

[Gaël] accepte parce que ça fait disparaître la notification.

[Benjamin] Ah ouais... Donc du MFA par SMS quoi.

[Gaël] MFA par SMS ou par application, tu sais, il y a plein d'applications. Donc est-ce que c'est vraiment...

[Gaël] aussi sophistiqué que ça, est-ce qu'il n'y a pas des choses très très simples à mettre en place ? Voilà, c'est quoi un peu l'état de l'art du hacking ?

[Aeris] C'est tout ce qu'on essaie de faire romancer à la knylle. Quand ils nous ont dit que les attaques sont sophistiquées, le lendemain il y avait l'UNSS qui fuitait. Je ne sais plus combien, l'UNSS c'est une association sportive qui est globale à toutes les écoles étudiantes. Donc c'est des millions de cartes d'identité qu'on finit dans la nature. Et juste parce que le mot de passe de leur administrateur c'était France 98.

[Aeris] Le niveau de sophistication, on en est là. On a la même chose avec le Louvre, le mot de passe du système d'information du Louvre, je ne sais plus ce que c'était, c'était Louvre 25 ou quelque chose comme ça, c'était vraiment ridicule. Et on a vraiment de ce genre de problématiques, déjà des problèmes de défaillance d'hygiène numérique standard, des développeurs qui ne savent pas ce qu'ils font, on a le cas avec par exemple la CAF, ça va faire plus d'un an qu'on leur remonte le problème, ils ont effectivement mis une LFA, sauf qu'en fait quand vous vous connaissez sur le site de la CAF, du coup vous rentrez votre login mot de passe.

[Aeris] et là vous avez la 2FA qui apparaît. Vous faites juste F5 et la 2FA disparaît sauf que le cookie est déjà déposé donc vous êtes déjà connecté sur le site de la CAF.

[Aeris] et on a remonté le problème depuis six mois et il n'y a personne qui bouge on l'a vu avec la BPC c'est notre fameux fil rouge, il ne font que des conneries en permanence et vraiment il y a une

[Aeris] Au niveau des entreprises, il y a une qualité de sécurité qui est proche du zéro.

[Gaël] Alors comment on fait parce que autant pour une entreprise...

[Gaël] pour des associations

[Gaël] qui sont toutes petites, qui n'ont pas beaucoup de moyens.

[Gaël] Pour toutes ces personnes là, comment est-ce qu'on fait pour se mettre à l'état de l'art et éviter du coup se faire pirater ?

[Aeris] C'est juste des bonnes pratiques à voir, c'est juste que les gens aujourd'hui ne raisonnent pas du tout comme ça. Ça ne demande pas grand chose en fait. Aujourd'hui si je prends les gondes de pur, au bout on essaye de se mettre en conformité, d'avoir une infrastructure qui touche, qui marche bien et qui soit sécurisée. On n'a pas eu besoin de tant que ça d'infrastructure. Alors oui, il y a un peu d'investissement au départ pour avoir le matériel, les firewalls, un peu d'administration système etc. Mais on est capable de le faire avec une association car on a deux personnes, on a un budget qui dépasse pas les 10 000 balles.

[Aeris] Et on arrive à le faire. Mais après, c'est aussi collecter mal donné, arrêter de faire du marketing qui va vouloir faire de la prospection à la terre entière et avoir accès à toutes les bases de données de toute l'entreprise. Et en fait, si vous raisonnez correctement, vous n'allez pas avoir tant que ça de problème. Par contre, effectivement, et aujourd'hui, c'est un peu le souci.

[Aeris] Il y a besoin de mettre un peu d'argent sur la table, de ne pas reléguer ça en disant c'est pas mon domaine, c'est pas le but de l'association, du coup je n'ai pas les moyens de le faire. Il faut quand même avoir des gens un peu compétents, avoir un peu de matériel, demander de l'aide quand il y a besoin etc. Mais il n'y a rien de dramatique à mettre en place, c'est juste que ce n'est pas du tout ancré dans la mentalité des gens.

[Benjamin] C'est culturel.

[Aeris] C'est très culturel.

[Gaël] Moi j'ai une association de...

[Gaël] de tout ce qui est numérique.

[Gaël] Bon bah, moi je suis quelqu'un de formé, je sais faire à peu près tout sur OVH ou sur d'autres types de...

[Gaël] d'hébergement.

[Gaël] Bon maintenant je suis pas faillible, j'ai quand même beaucoup de choses à faire et je pense qu'aujourd'hui c'est facile de...

[Gaël] Mais tu vois je prends...

[Gaël] Alors c'est pas pour attaquer qui que ce soit mais je vois en scrollant la fédération française de kickboxing 360 000 adhérents je suis pas certain

[Gaël] que dans cette fédération il y ait des admin 6 formés.

[Gaël] mais comment est-ce qu'ils font eux ?

[Gaël] Est-ce qu'on peut communiquer avec quelqu'un, un organe de l'Etat, une association qui...

[Gaël] qui auditent et qui aident à ces associations à se mettre à jour.

[Aeris] En fait, il y a l'ANSI qui fait des lignes directrices et qui communiquent sur le sujet. Je pense que des associations qui se rapprocheraient de ce genre d'entités auraient des conseils de toute façon. Suffit de regarder les lignes directrices, les rapports qui sont faits de l'ANSI sont quand même relativement clairs sur le sujet. Il y en a version justement PME, associations, qui vont vous dire comment mettre ça un peu au minimum vital. Mais après, par exemple, sur les fuites de données des associations, la plupart du temps, c'est les sous-traitants qui étaient faillibles.

[Gaël] Donc si vous êtes une association...

[Gaël] les deux principaux conseils c'est premièrement allez vous renseigner sur l'ANSSI

[Gaël] beaucoup de ressources et donc du coup c'est...

[Gaël] souvent assez facile à...

[Gaël] Et deuxièmement…

[Gaël] potentiellement fait contre un béton et contrôler ce qui est fait par votre prestataire. C'est ça en fait les points importants.

[Aeris] Et c'est pas potentiellement, c'est une légation légale. Le RGPD, et la CUNE l'avait déjà rappelé par exemple dans la sanction de DF, vous avez l'obligation de faire des contrats RGPD avec vos sous-traitants et vous avez l'obligation de les auditer tous les ans pour vérifier que ce qu'ils font sont conformités avec la réglementation. Sauf qu'aujourd'hui, combien de personnes va auditer ces clients ?

[Aeris] ces sous-traitants, quasiment personne. Vous prenez des contrats qui existent tout fait, vous les signez juste vite fait, vous les vérifiez jamais, et en fait, déjà rien que ça, vous avez un défaut de contrôle de la sous-traitance, et donc vous avez, vous êtes... Déjà vous vivez la loi au niveau du RGPD, mais vous mettez en péril les données des utilisateurs.

[Gaël] Benjamin, est-ce que t'as d'autres questions sur Bonjour la fuite ?

[Benjamin] Ouais, techniquement c'est quoi derrière la stack ?

[Aeris] Il n'y a pas de stack justement, c'est du tout statique.

[Benjamin] T'as pas mis un petit WordPress qu'on pourrait péter facilement ou...

[Aeris] Et justement, ça fait aussi partie des choses. Mettez des WordPress, il va falloir les maintenir, les mettre à jour, les maintenir. Et on va se retrouver aujourd'hui avec des WordPress qui sont obsolètes et plus maintenues parce que ça coûte cher à maintenir. Nous, on a fait le choix justement de tout faire en statique. Une fois que c'est déployé, ça bouge plus. De toute façon, il n'y a pas de choses qui bougent. Donc en fait, on ne risque rien. On peut les oublier dans un coin, ça nous allège beaucoup du boulot. Bon, je vois la fuite, je l'oublie dans un coin. C'est bon, c'est fini. Et ça marche, je le sens.

[Gaël] Donc y'a pas de Google Analytics.

[Aeris] Y'a pas d'analytique ? Y'a pas d'audients ?

[Aeris] et c'est Google Font, j'utilise des polices de caractère qui viennent de Google Font, mais j'ai récupéré les polices de caractère, je les ai hébervées sur mon site et puis c'est bon. Mais ça ne coûte pas de choses, mais ça évite effectivement les failles et ça évite les problèmes.

[Gaël] En tout cas, c'est un super site et moi j'apprends tout ce qui a été...

[Gaël] si les gens le savaient.

[Benjamin] C'est drôle ça dépend pour qui.

[Benjamin] dedans il ya des numéros IBAN qui ont été chipés

[Benjamin] Et alors un numéro Iban, on peut en changer, mais c'est enquiquinant.

[Gaël] Ouais, c'est compliqué.

[Benjamin] Déjà parce que souvent on la file au trésor public et on n'a pas envie d'être en délicatesse avec le trésor public.

[Benjamin] Et puis on sait qu'avec un Iban on peut se faire vider son compte.

[Aeris] Oui.

[Benjamin] Il n'y a pas d'authentification sur les prélèvements CEPA avec Liban.

[Benjamin] On n'avait pas parlé ensemble déjà, tous ? Non ?

[Gaël] Autant dire que là normalement les hackers ils peuvent vouloir toute votre identité et faire ce qu'ils veulent avec.

[Gaël] des fédérations de sport mais aussi des services...

[Gaël] Et genre, adresse mail, adresse postale, tout ça, ça doit être...

[Aeris] Relay Colis est assez marrant parce que quand ils ont notifié de la fuite de données, ils ont balancé les adresses mailles de tous leurs clients dedans. Donc ils ont fait une fuite de données en notifiant une fuite de données.

[Gaël] ça s'annule. Double feed de données ça s'annule. Je vois qu'il y a quand même aussi quelques sites pornos ce qui est tout le temps un peu délicat et des réseaux sociaux notamment Instagram.

[Gaël] Donc on peut dire que la...

[Gaël] Donc est-ce que c'est encore un vrai problème puisque tout est déjà accessible en ligne ?

[Aeris] Le volume est plaidé aujourd'hui par les responsables de traitement devant l'acnive en nous disant « non mais ça a déjà fuité, de toute façon je ne vous ai même pas carrément de dire que ça vient de nous » et puis ça a déjà fuité donc c'est pas grave.

[Aeris] Nous, en fait, c'est pas grave parce que les données étaient déjà complètement... Le fril appelé des conçais quand même devant la Knil. Ça a pas mort de l'autre côté, mais bon, il fallait tenter.

[Gaël] Je me rappelle d'un épisode et...

[Benjamin] C'était audacieux effectivement.

[Gaël] faire plus d'amendes aux entreprises françaises.

[Gaël] Bon ok, en fait c'est vraiment important, je me range à la vie de Boshama maintenant, c'est vraiment important parce que...

[Benjamin] Attention parce que tu vas finir par te ranger à la vie d'Aeris et ça va mal finir !

[Gaël] C'est cher d'adhérer à PUR !

[Aeris] Comme on dit à la CNIL sur les amendes, on ne demande pas non plus des amendes forcément très énormes, mais en moins marquer le coût. Aujourd'hui, les entreprises n'ont pas d'intérêt à investir dans la sécurité parce que les amendes coûtent moins cher que l'investissement. Donc en fait, les entreprises peuvent promilionner les amendes, elles disent de toute façon, au pire, on les paiera, ça coûtera moins cher que si on investit. On a eu l'exemple...

[Aeris] de couron, l'amende avait 9000 euros d'amende à une entité publique, à une miri, parce qu'elle n'avait pas de délégués à la protection des données. Et en fait, 9000 euros, ça a incité 70 communes à retirer leur DPO et à licencier leur DPO, parce que ça leur coûtait moins cher de payer 9000 balles tous les 10 ans.

[Aeris] que de payer un salaire de peut-être 40 ou 50 000 euros brut, donc ça veut dire 100 000 euros net, enfin brut pour l'entreprise tous les ans. Donc à moins d'avoir des amendes de 100 000 balles, les communes ont plus intérêt à licencier leurs DPOs et à payer les amendes qu'à recruter les DPOs.

[Benjamin] C'est exactement le petit dessin humoristique que je vous ai envoyé l'autre jour, ou... qu'est-ce qui se passe si je ne le fais pas ? T'as une amende. Ah, donc en fait, c'est pas interdit, c'est juste payant.

[Gaël] C'est un service payant ouais.

[Aeris] C'est ça, c'est juste une taxe. C'est exactement ça. Aujourd'hui, les amendes de la CNIL sont des taxes. Et pour maintenir, alors déjà, il faut que les amendes arrivent parce que la CNIL en met très très peu. Et les amendes sont souvent pas dissuasives, alors que le RGPD l'impose. Et on ne demande pas forcément de mettre des gros montants, mais des montants qui sont dissuasifs. Donc des petites violations vont avoir des petits montants, mais des violations comme prix, oui, il ne faut pas hésiter à taper.

[Gaël] Dernier sujet...

[Benjamin] Euh... Alors dernier déjà ? Non, alors on va intercaler Wikipédia.

[Benjamin] C'était ça ton dernier sujet ? Mais non, c'était pas le dernier sujet ça. Wikipédia, eh ben c'était les 25 ans de Wikipédia la semaine dernière.

[Benjamin] et on voulait souhaiter un joyeux anniversaire à Wikipédia.

[Gaël] Wikipédia ou Wikimédia.

[Benjamin] Alors c'est pas la même chose, Wikimedia et Wikipédia sont des projets de la Wikimedia Foundation, Wikimedia France en France.

[Gaël] Et donc du coup c'est Wikipédia qui a 25 ans.

[Benjamin] Et c'est Wikipédia qui a 25 ans, le 15 janvier...

[Benjamin] Oh la vache, j'étais en train de faire 2026-25 dans ma tête, oui, donc c'était ça.

[Gaël] Tu t'en es bien sorti, félicitations.

[Benjamin] Ah oui mais j'avais pas ma calculette sous le coude. Et...

[Benjamin] double année charnière puisque c'est aussi cette année qu'aura lieu.

[Gaël] Eh bien sûr, le Wikimedia France... Wikimania...

[Benjamin] Wikimania. Je sais que c'est compliqué, Wikimania.

[Benjamin] qui est donc l'événement annuel pour célébrer Wikipédia et tous les projets de Wikimedia, à Paris.

[Gaël] Tu nous promets de prendre des photos ?

[Benjamin] Je vous promets de prendre des photos puisque je suis membre du collectif WikiPortrait qui prend des photos pour Wikipédia.

[Benjamin] Et alors on mettra dans les liens, il y a un article.

[Benjamin] qui est paru, que j'ai trouvé assez bien écrit, parce qu'il y avait plein de fun facts et d'anecdotes truculentes sur Wikipédia, et à un moment j'ai eu un petit peu peur parce qu'il parle d'un contributeur dont sa spécialité était de corriger...

[Benjamin] Une faute de grammaire, toujours la même.

[Benjamin] J'ai cru que c'était moi.

[Benjamin] Il en a fait, il en a corrigé je crois 80 000, donc beaucoup plus que moi, moi j'en suis à quelques dizaines à peine et donc c'est une faute de plus de syntaxe d'ailleurs que de grammaire en anglais.

[Benjamin] vous irez lire l'article, moi pour ma part je me contente de corriger tous les gens qui mettent après que plus subjonctif, puisque après que, indicatif.

[Gaël] Aujourd'hui dès que tu parles à une IA, t'aurais pu voir...

[Benjamin] Peut-être, peut-être, on ne sait pas.

[Benjamin] Donc joyeux anniversaire Wikipédia. Non, il y avait quand même un dernier sujet, surtout quand t'as loupé une transi classe. Quand je disais que tu te rapproches de moi, tu vas finir par te rapprocher d'Aéris. Et on sait où ça mène, et bien ça mène au Conseil d'État.

[Benjamin] Ce qu'on disait en introduction, M. A, donc M. A, il y a eu un article dans Clubic, c'est ça ?

[Aeris] C'est ça.

[Benjamin] qui parlait d'un certain monsieur A

[Benjamin] qui était allée au Conseil d'État.

[Benjamin] Monsieur A pour...

[Aeris] Non, désolé. Désolé, je casse la minute.

[Benjamin] Est-ce que tu peux, puisqu'il ne reste plus énormément de temps, nous expliquer un peu ce qui l'en ressort ? Est-ce que c'est bien, pas bien ? Qu'est-ce qu'il y a de positif, qu'est-ce qu'il y a de négatif ? Et quels étaient les enjeux ?

[Aeris] En fait, c'était avant Noël. J'avais déposé plusieurs recours au Conseil d'État parce que la CNIL, quand on dépose des plaintes, la CNIL ne réagit pas. Le RGPD lui impose de nous tenir infirmés au bout de trois mois.

[Aeris] Après trois mois, ça a créé ce qu'on appelle une décision implicite de clôture.

[Aeris] C'est les fameux « si non se garder » rejets de l'administration française.

[Aeris] On avait une quarantaine de plantes, il y avait moi et un de mes complères de CUR, on a fait toute une audience au Conseil d'État. Il n'y avait que nous, je crois qu'il y avait 20 dossiers à passer au Conseil d'État. On avait été devant l'ACNIL en disant qu'on n'a pas eu d'informations de la part de l'ACNIL. L'ACNIL n'arrête pas de nous dire que l'information est un mail automatique qu'on reçoit quand ça passe le greffe de l'ACNIL.

[Aeris] La CNIL nous maintient que cette information suffit à vous dire que votre plante est prise en compte et que le délai de trois mois s'éteint. Et nous on a été voir le Conseil d'État et en lui disant le nom, pour nous c'est pas informatif.

[Aeris] Merci de sanctionner la CNIL et de lui dire qu'elle a bien promis pour nous informer.

[Aeris] Le Contre-État d'habitude nous rechaîne au dossier sur ces cas comme ça.

[Aeris] Là pour le coup on a une décision un peu étonnante, alors qui nous arrange pour Saint-Akara, qui nous dérange non doute.

[Aeris] Mais en fait, le Conseil d'État a dit effectivement en cours d'instance, donc quand on était devant le Conseil d'État, la CNI a dit « bah non, en fait, on n'a pas rejeté, on continue, nous, à bien traiter la plainte, donc il n'y a pas de souci, ne vous inquiétez pas ». Donc dans certains cas, elle a dit juste qu'elle continuait à traiter.

[Aeris] Et dans votre cas, elle nous l'a fait un peu à l'envers, pendant l'instant, elle a dit, oh je ferme, effectivement, moi je vais continuer à traiter, mais maintenant je ferme l'affaire, voilà la décision.

[Aeris] Les fameuses décisions qu'on connaît, ce qu'on appelle les faux rappels à la loi, qui n'ont ni connexion et qui ne correspondent pas pour nous à une décision, à un vrai rappel à la loi, la plupart du temps les responsables de traînement l'ignorent. Et donc mon conseil d'État a dit effectivement la CNIL continue réellement, donc il n'y a pas de rejet de la décision.

[Aeris] Mais comme elle l'a dit qu'elle avait continué l'instruction ou qu'elle l'a clôturé, c'est comme si elle avait retiré sa décision précédente et donc vous n'avez plus matière à attaquer. La décision n'existe plus, il n'y a pas de décision de rejet.

[Aeris] Et donc, il y a eu ce qu'on appelle un bon mot, ils ont jeté l'affaire.

[Benjamin] Donc si j'essaye de résumer, en gros vous vous avez déposé des plaintes de Knil, vous avez eu aucune réponse, donc vous dites bah vous aviez trois mois pour me dire ce qu'il en était.

[Benjamin] vous êtes allé voir en disant, ben, en fait, vous êtes allé au Conseil d'État pour dire bon ben si j'ai pas eu de nouvelles c'est que c'est rejeté, c'est pas normal, et on vous dit, ah, et la CNIL vous dit, ah non non non non, moi je continue à bosser dessus.

[Gaël] Moi j'ai une question sur les organes de l'Etat, parce que c'est un de mes grands dada.

[Gaël] Pourquoi conseil d'état et pas le tribunal administratif ?

[Aeris] Parce que dans le cas de la CNIL et dans le cas des décisions des plaintes de la CNIL, c'est directement le Conseil d'État en premier et dernier recours qui traite ces affaires-là. C'est une particularité de la CNIL et qui est un vrai problème pour nous d'ailleurs parce qu'on se retrouve directement au Conseil d'État et sans recours contre les décisions du CE.

[Gaël] Bah oui, parce que le Conseil d'État c'est l'organe le plus haut.

[Aeris] Pour nous il nous manque une étape. En fait le legislateur a été fainéant et a mis ce que la CNIL existait avant le RGPD en tant qu'autorité administrative indépendante. Et ils n'ont pas revu ce mécanisme-là, cette articulation. Ils ont collé la CNIL directement là-dedans. Et pour nous c'est un vrai problème parce que toutes les décisions de la CNIL ne relèvent que du Conseil d'État.

[Aeris] et le Conseil d'État refuse d'aller traiter au fond les affaires, il se tient juste à de la forme, et du pur administratif, pur et dur. Et typiquement il est en train de dire que les délais ne remettent pas en cause la légalité de la décision. C'est de toute façon, le délai il est expiré, donc de toute façon je peux rien faire. Je peux pas vous rattraper le temps perdu. Donc en fait moi je peux rien faire et la plupart des décisions du Conseil d'État finissent rejetées ou clôturées à cause de ça.

[Aeris] Là, il nous a un peu sauvés parce que...

[Aeris] Il nous a dit qu'il n'y avait pas de rejet et que c'était un non lieu. Donc en fait il fermait la décision, la requête qu'on faisait sur les fameux 3 mois et la rejetait. Il disait qu'il n'y a pas de lieu à statuer. Il nous disait, allez maintenant sur la décision explicite, allez recontester si jamais quand la CNIL fermera vos plaintes.

[Benjamin] Ok, donc en gros, on joue les prolongations.

[Benjamin] Et donc on rappellera quand même que toutes ces plaintes que vous prenez sur vous...

[Benjamin] D'ouvrir, c'est aussi pour protéger nos données personnelles qui ont tendance à fuiter si on fait rien.

[Aeris] Tout à fait, sachez pas, c'était sur des violations de données ou des choses comme ça.

[Benjamin] Parce que j'ai vu quelques commentaires sur les réseaux sociaux du type y'en a qui ont vraiment du temps à perdre

[Benjamin] il y en a qui ont du temps, oui, mais plus à offrir à la communauté pour protéger ces données.

[Gaël] Ensuite, si l'administration ne veut pas, je vais au tribunal administratif et si le tribunal administratif rend une décision qui nous convient.

[Gaël] convient pas, je peux faire appel au conseil d'état.

[Aeris] Il y a même la cour d'appel administratif encore avant.

[Gaël] Ouais, bah alors ça je... tu vois, je suis même pas encore au point sur toutes les cours, mais là aujourd'hui, le fait que ce soit au Conseil d'État, le Conseil d'État...

[Gaël] ne rend pas en fait de jugement en général directement sur des administrations.

[Aeris] Il n'a pas au fond, il n'a pas au fond.

[Gaël] Donc là aujourd'hui, la CNIL est un peu intouchable et je pense qu'il n'y a même pas d'instances supérieures En tout cas, il n'y a pas d'instances supérieures au Conseil d'État donc vous ne pouvez même pas faire appel à ces décisions

[Gaël] Mais c'est en Europe !

[Gaël] Oui mais voilà, mais ça prend encore d'autres...

[Aeris] C'est même pire que ça, c'est qu'en fait nous en tant que particulier on ne peut pas saisir l'ASCGE, il n'y a qu'une seule instance en France qui peut saisir l'ASCGE et c'est le Conseil d'État.

[Gaël] Ouais bah oui. Ouais c'est fort ça.

[Aeris] Donc quand on va voir le contenu, il dit que ce serait pas mal que tu saisises la CGUE parce qu'on a des questions à lui poser et qu'il y a des points d'interrogation. Et à chaque fois lui dit, bah non, je suis très d'accord avec moi-même et donc je n'irai pas aller devant la CGUE.

[Gaël] Bon y'a un petit point là-dessous et je pense qu'il faudra qu'on...

[Gaël] Moi ça m'intéresse si y'a des personnes...

[Gaël] Ça peut être intéressant de creuser un peu. Est-ce qu'on terminerait pas l'épisode là-dessus ?

[Benjamin] En tout cas on était ravis de te retrouver et j'espère que nos auditrices auditeurs également.

[Benjamin] Merci à toutes et à tous, vous avez écouté RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée.

[Benjamin] Ce podcast est hébergé par Castopod, solution open source libre et gratuite d'hébergement de podcasts.

[Benjamin] Vous pouvez retrouver ce podcast sur toutes les plateformes d'écoute et sur le Fediverse. N'oubliez pas que vous pouvez interagir en republiant, commentant ou likant cet épisode. On se retrouve la semaine prochaine.

[Benjamin] Bonne semaine !

[Gaël] Bonne semaine !