GuiGui's Show

La Quadrature du net s'exprime, sur Blast, sur les très nombreuses fuites massives de données à caractère personnel de ces deux dernières années (voir : 1, 2, 16 fuites/jour en 2024, 26/jour sur les neuf premiers mois de 2025), et donc, in fine, sur les manquements à la protection desdites données, qui ont permis ces fuites, commis par toutes les entités (sociétés commerciales, professions libérales, administrations, associations, etc.).

Je partage le constat : toujours plus de traitements de toujours plus de données personnelles et un régulateur, la CNIL, toujours aussi passif, donc ces violations de données étaient hautement prévisibles.

Néanmoins, je trouve que le terme « fichage » est inadapté. En effet, il est connoté fichiers de police et/ou courtiers en données et/ou publicité ciblée et/ou « quand c'est gratuit, c'est toi le produit ». Or, l'ampleur du problème, c'est l'intégralité des traitements de données personnelles, y compris ceux, légitimes, d'une société commerciale sur ses clients, d'une profession libérale sur ses clients, d'une fédération sportive sur ses licenciés, d'une administration sur ses administrés.

En effet, ce qui rend possible les fuites de données et qui en augmente l'impact, c'est l'absence de l'hygiène numérique minimale des entités qui opèrent ces traitements (que l'on nomme des responsables de traitement), c'est l'absence de moyens alloués à la protection des données, c'est l'insuffisante sécurisation des données, c'est la conservation indistinguée de toujours plus de données pour des durées déraisonnables toujours plus longues. Tous les acteurs pratiquent cela, tous.

Derrière toutes les récentes violations de données, on retrouve toujours des durées de conservation hallucinantes (exemple caricatural : Free), l'absence d'authentification multifacteurs (ex. caricatural : le ministère de l'Intérieur), l'absence de limitation du volume de données personnelles qu'un compte peut extraire sur une période donnée (ex. caricatural : Hellowork), l'absence de traçabilité des manipulations sur les données (ex. : Free), l'absence de défense en profondeur (idem), l'absence de formation des intervenants, etc. L'effort minimal n'est pas produit, sans raison valable. Sources : celles pointées au début.

Les guides et recommandations de l'ANSSI et de la CNIL préconisent toutes les bonnes pratiques en ces matières depuis des années. Les associations, sociétés, et administrations se torchent avec dans les grandes largeurs.

Dit autrement, le problème n'est pas uniquement les méchants GAFAM ou le méchant État et/ou le méchant pirate informatique, c'est l'ensemble des entités qui manipulent nos données à caractère personnel. La PME du coin ou l'association sympa font, elles aussi, en permanence, n'importe quoi avec nos données à caractère personnel.

Voilà l'ampleur du problème auquel nous sommes confrontés.

Cessons de nous focaliser sur les cyberattaques, sur les pirates : focalisons-nous sur l'ensemble des entités qui maltraitent nos données à caractère personnel.

Si t'as envie de contribuer à faire bouger les choses, l'association Pour un RGPD respecté t'attend.