Quel grand philosophe du XXIe siècle considère que l'identité personnelle est le dernier rempart contre les algos ?
Hé oui, il s'agit bien de Luciano Floridi , qui défend depuis le milieu des années 2000 le concept de vie privée informationnelle. Pour lui, la vie privée n'est pas une question de secret, mais un droit fondamental à l'immunité personnelle contre les altérations non désirées de l'identité, qu'elles soient actives (vol, clonage, manipulation de données) ou passives (imposition d'informations que l'on n'a jamais choisies).
Autrement dit, notre identité n'est pas un stock de données exploitables, mais une entité informationnelle qui mérite une protection en tant que telle.
Et cette idée vient de trouver une incarnation très concrète à Hollywood.
Matthew McConaughey vient en effet de déposer plusieurs marques couvrant son image, sa voix et même son légendaire "Alright, alright, alright". L'objectif affiché c'est de créer un périmètre juridique pour empêcher l'utilisation de son identité par des systèmes d'IA sans son consentement.
Sur le papier, ça ressemble à un coup de maître mais dans les faits, c'est surtout le symptôme d'une industrie qui panique.
Car une marque ne protège pas une personne, elle protège un signe distinctif dans un cadre commercial. Autrement dit, elle fonctionne très bien pour attaquer des usages visibles, monétisés, centralisés, genre typiquement, des pubs, des vidéos sponsorisées ou des produits qui exploiteraient l'image ou la voix de McConaughey sans autorisation.
En revanche, les outils de face-swapping ou de synthèse vocale se foutent royalement des dépôts de marque. Un type qui fait tourner FaceFusion , Roop ou un modèle open source sur un serveur anonyme ne va pas vérifier si un sourire, une intonation ou une phrase d'accroche sont enregistrés à l'USPTO (C'est l'INPI des USA).
Alors oui, c'est vrai, cette stratégie peut permettre de nettoyer les grandes plateformes comme YouTube, Instagram ou TikTok à coups de demandes de retrait... Mais pour le reste du web, les barrières juridiques sont contournables en deux clics par des modèles décentralisés qui n'ont ni frontières ni service juridique.
Heureusement, pendant ce temps, le cadre légal évolue quand même un peu.
En Europe, l' AI Act impose des obligations de transparence pour les contenus générés ou manipulés par IA, notamment les deepfakes, en exigeant que leur nature artificielle soit clairement signalée dans de nombreux cas. Ce n'est donc pas une interdiction générale, puisqu'on passe du "on peut le faire" au "on doit le dire", mais c'est déjà pas mal.
Et en France, la loi SREN est également venue renforcer l'arsenal pénal, notamment contre les deepfakes non consensuels, en particulier lorsqu'ils portent atteinte à la dignité ou ont une dimension sexuelle.
Maintenant aux États-Unis, il y a le projet de loi NO FAKES Act proposé au Congrès qui vise à donner aux individus un droit fédéral clair pour contrôler l'utilisation de répliques numériques non autorisées de leur voix ou de leur image. Contrairement aux dépôts de marque, ce texte cherche donc à créer une base juridique uniforme pour réclamer la suppression ou l'interdiction d'un deepfake non consenti, avec heureusement, des exceptions pour les œuvres protégées comme les documentaires, les commentaires ou la satire.
Cependant, comme je le souligne dans mon article à ce sujet, le texte tel qu’il est rédigé pose des problèmes sérieux pour l’écosystème open source et pourrait imposer des mécanismes de "notice and stay down" (retrait permanent) sans protections claires contre les erreurs ou les abus, ce qui pourrait refroidir fortement l’innovation dans les outils d’IA générative.
Le problème reste donc identique... même avec des lois comme celle-ci ou la loi TAKE IT DOWN Act qui criminalise certaines formes de deepfakes non désirés, les cadres juridiques peinent à suivre la vitesse d’évolution des modèles et des usages. Et voilà comment on se retrouve avec un McConaughey qui tente de sécuriser son périmètre avec les outils qu'il a sous la main.
C'est plutôt rationnel comme approche, mais c'est surtout un aveu d'impuissance, car protéger une voix ou un visage aujourd'hui avec le droit des marques ou du rafistolage de petits bouts de lois, c'est comme essayer de vider l'océan avec une petite cuillère en argent gravée à son nom.
Du coup, quelle serait la vraie solution ?
Hé bien peut-être arrêter de croire que le droit d'auteur et les bricolages juridiques du XXe siècle peuvent faire le job au XXIe. Comme le défend Floridi, il faudrait un cadre global qui traite l'identité personnelle comme une donnée inaliénable, protégée par un véritable droit à la vie privée informationnelle, et non comme une marque de sac à main de luxe qu'on dépose à l'INPI ou à l'USPTO.
Bref, Matthew essaie de poser une clôture, mais l'IA a déjà sauté par-dessus.
A ce train là, je ne donne pas cher du futur de notre propre visage et de notre propre voix.
J'sais pas si vous l'avez senti mais Google est peut-être bien en train de gagner la course à l'IA non pas par son génie technique pur, mais par un bon gros hold-up sur nos infrastructures et nos vies privées.
C'est vrai que d'après pas mal de spécialistes IA, Gemini serait désormais le modèle le plus performant du marché. Super. Mais est ce que vous savez pourquoi il est en train de gagner ?
Hé bien parce que Google possède "tout le reste". Contrairement à OpenAI qui doit quémander pour choper des utilisateurs sur son application, l'IA de Mountain View s'installe de force partout où vous êtes déjà. Dans Android, dans Chrome, et même bientôt au cœur de votre iPhone via une intégration avec Siri. C'est la stratégie Internet Explorer des années 90, mais version 2026. Brrrr…
Alors oui c'est pratique d'avoir une IA qui connaît déjà vos mails et vos photos... Sauf que non. Car Gemini utilise nos données pour absolument tout... Sous couvert de "Personal Intelligence", l'outil se connecte à vos recherches, votre historique YouTube, vos documents et vos photos. Mais pas d'inquiétude, c'est pour votre bien, évidemment. Ahahaha !
Après si vous croyez que ce pouvoir ne sera pas utilisé pour verrouiller encore plus le marché, c'est que vous avez loupé quelques épisodes. J'en parlais déjà avec l'intégration forcée de l'IA dans vos apps Android , Google change les règles du jeu en plein milieu de la partie. On se retrouve donc face à un monopole full-stack, des puces TPU maison jusqu'à l'écran de votre smartphone.
Et pendant que la Chine sécurise sa propre souveraineté cyber en virant le matos occidental, nous, on continue d'ouvrir grand la porte.... Les amis, si demain Google décide de changer ses CGU (encore) ou de monétiser votre "intelligence personnelle", vous ferez quoi ?
Bref, le géant de la recherche avance ses pions et étouffe peu à peu la concurrence avant même qu'elle puisse respirer. Notez vous ça sur un post-it afin de le relire régulièrement : Plus une IA est "intégrée", plus elle est intrusive. Donc si vous voulez vraiment garder le contrôle, il va falloir commencer à regarder du côté des modèles locaux et des alternatives qui ne demandent pas les clés de votre maison pour fonctionner.
A bon entendeur...
La nouvelle est tombée hier soir et elle fait boum boum boum dans le monde feutré de la tech... En effet, Pékin a officiellement demandé aux entreprises chinoises de mettre à la porte les logiciels de cybersécurité américains et israéliens.
C'était prévisible et quand j'ai lu ça, je me suis dit, tant mieux pour eux !
Concrètement, cette annonce, ça veut dire que des géants comme Broadcom, VMware, Palo Alto Networks, Fortinet ou encore l'israélien Check Point sont désormais persona non grata dans les systèmes d'information de l'Empire du Milieu.
La raison officielle, c'est la sécurité nationale comme d'hab. Mais aussi parce que la Chine en a marre de dépendre de technologies qu'elle ne contrôle pas (et qui pourraient bien cacher deux-trois mouchards de la NSA, on ne sait jamais ^^).
Alors vous allez me dire "Oulala, les méchants chinois qui se ferment au monde". Sauf que non... en réalité, ils appliquent juste une stratégie de souveraineté technologique sans concession. Et en remplaçant le matos étranager par du matos local, ils commencent le grand ménage.
Et pendant ce temps là en Europe, on continue d'installer joyeusement des boîtes noires américaines au cœur de nos infrastructures critiques, en priant très fort pour que l'Oncle Sam soit gentil avec nous. Yoohoo !
J'en parlais déjà à l'époque de l'affaire Snowden ou plus récemment avec les backdoors découvertes un peu partout mais la dépendance technologique, c'est évidemment un risque de sécurité béant. Pire, si demain Washington décide de "couper le robinet" ou d'exploiter une porte dérobée, on est, passez-moi l'expression, dans la merde.
La Chine l'a compris et investit donc massivement dans ses propres solutions, comme avec l'architecture RISC-V pour s'affranchir d'Intel et AMD. C'est une démarche cohérente et c'est même assez fendard quand on connaît l'histoire des groupes comme APT1 qui ont pillé la propriété intellectuelle occidentale pendant des années.
Maintenant qu'ils ont un bon niveau, ils ferment la porte...
Du coup, sa fé réchéflir car est-ce qu'on ne devrait pas, nous aussi, arrêter de faire les vierges effarouchées et commencer à construire sérieusement notre autonomie ? Il parait que c'est en cours... moi j'attends de voir.
Bref, la Chine avance ses pions et sécurise son périmètre et nous, baaah, j'sais pas... On remue nos petits bras en l'air en disant des choses au pif.
Alors ça c'est la news du jour ! C'est pas trop tôt !
Bruxelles passe enfin à la vitesse supérieure et réalise que confier une partie critique de sa souveraineté numérique à des acteurs extérieurs n'était peut-être pas l'idée du siècle. Vieux motard que j'aimais comme disait ma grand-mère.
Le QG de ceux qui viennent de comprendre l'intérêt du libre
La Commission européenne vient de lancer ce qu'elle appelle un "Appel à contributions" (ou Call for Evidence en angliche) autour de l'Open Source. Et attention, l'idée c'est pas juste d'utiliser VLC ou LibreOffice sur les PC des fonctionnaires mais carrément de revoir la stratégie 2020-2023 pour faire de l'open source une véritable infrastructure essentielle pour l'Europe.
En gros, selon la Commission, 70 à 90 % du code de l'économie numérique repose sur des briques open source sauf que la valeur commerciale et stratégique de tout ça, file trop souvent hors de l'UE, chez nos amis les géants américains de la tech. Du coup, ça part vite en dépendance technologique, risques sur la supply chain, souveraineté en carton... la totale.
L'objectif est donc de préparer une stratégie sur les "Écosystèmes Numériques Ouverts Européens" qui est un joli nom pour dire qu'on veut arrêter d'être les dindons de la farce et qu'on veut réduire notre dépendance. Sécurité, résilience, indépendance... les mots-clés sont lâchés.
Maintenant si vous voulez mon avis, c'est une excellente nouvelle (même si j'aurais aimé lire ça il y a 10 ans) car l'Europe a un vivier de développeurs incroyable, mais on a trop souvent laissé nos pépites se faire racheter ou vampiriser. D'ailleurs, si le sujet de la souveraineté tech vous intéresse, jetez un oeil à mon article sur l'initiative Go European qui listait déjà des alternatives bien de chez nous.
La consultation court du 6 janvier au 3 février 2026 (jusqu'à minuit). C'est court, mais c'est le moment ou jamais de l'ouvrir si vous êtes développeur, entrepreneur ou juste un citoyen concerné par le fait que nos données ne soient pas totalement sous contrôle étranger.
Bref, à vous de jouer si vous voulez que ça bouge.
C'est par là si ça vous tente : La consultation officielle .
Aujourd’hui, je vous propose de découvrir Pimmich, un cadre photo connecté open source basé sur Raspberry Pi, pensé pour afficher vos souvenirs sans cloud ni abonnement, en restant 100% local. Avec les récents changements côté Google Photos, beaucoup d’entre vous ont dû revoir leurs habitudes… et Aurélien a eu le bon réflexe : s’appuyer sur […]
Cet article Pimmich – Un cadre photo connecté open source basé sur Raspberry Pi a été publié en premier sur Framboise 314, le Raspberry Pi à la sauce française.....
Au nom de la compétitivité, une « révolution en matière de simplification » se prépare.
Les institutions de l’UE l’avaient promis en novembre 2024, à l’issue du Sommet de la communauté politique européenne. Elles s’étaient engagées à « réduire drastiquement les charges administratives, réglementaires et de déclaration, en particulier pour les PME ».
La Commission européenne a repris ces éléments dans son programme de travail pour 2025. Annoncé le 11 février, il comporte des objectifs chiffrés : d’ici à la fin du mandat en 2029, réduire le « fardeau administratif » de 25 % (et de 35 % pour les PME).
Deux semaines plus tard étaient présentés deux trains de mesures, dits omnibus. L’un assouplit les exigences de reporting extra-financier, notamment en réduisant le champ d’application de la directive CSRD (informations en matière de durabilité) et en reportant l’entrée en application de certaines de ses dispositions. L’autre applique la même logique aux règlements InvestEU et EFSI, dans le but de stimuler les investissements stratégiques.
Depuis, 8 autres omnibus ont été proposés. Dont un sur le numérique, en novembre. Il doit encore être approuvé par les 27 et le Parlement.
L’omnibus numérique apporte des changements à l’AI Act. Il prévoit notamment de décaler l’entrée en application des règles relatives au système d’intelligence artificielle classés à haut risque. L’échéance, initialement fixée à août 2026, pourra être repoussée de 16 mois maximum, le temps de mettre des outils de soutien à disposition des entreprises.
L’AI Act serait aussi modifier pour étendre aux small caps certaines simplifications accordées aux PME qui développent ou utilisent des systèmes d’IA. Notamment en matière de documentation technique. Par small cap, il faut entendre les organisations comptant moins de 750 salariés et ne dépassant pas 150 M€ de CA annuel ou 129 M€ de total de bilan. Une catégorie créée à l’échelle de l’UE par un autre paquet omnibus.
Toujours au chapitre AI Act, l’accès aux bacs à sable réglementaires (environnements de tests contrôlés) est élargi. Davantage de tests en conditions réelles seront par ailleurs effectués, dans des secteurs comme l’automobile.
L’omnibus numérique abroge plusieurs textes dont il fusionne certaines dispositions au sein du Data Act :
Le « nouveau Data Act » apporte, entre autres, des facilités pour les PME qui fournissent des services de traitement de données. Plus précisément, un régime plus « léger » pour les services « personnalisés » (non commercialisés sur étagère et qui ne fonctionneraient pas sans une adaptation préalable aux besoins de l’utilisateur).
Des facilités sont également octroyées aux fournisseurs de services d’intermédiation de données. Ils n’ont pas l’obligation de notifier les autorités compétentes, ni d’opérer une séparation juridique vis-à-vis d’autres services (une séparation fonctionnelle suffit).
L’omnibus supprime aussi, dans le Data Act, les exigences pour les smart contracts qui exécutent des accords de partage de données (contrôle de l’accès, archivage, résilation en toute sécurité…). Il fournit par ailleurs un motif supplémentaire pour refuser de communiquer des données relatives à des produits connectés au nom du secret des affaires. En plus du risque de préjudice économique grave, il devient possible d’invoquer le risque élevé d’acquisition ou d’usage par des pays tiers qui ne garantissent pas un niveau de protection des données équivalent à celui de l’UE.
PME et small caps sont de plus exemptées des règles sur le changement de fournisseur cloud, excepté celles relatives à la fin des frais de sortie.
L’omnibus numérique apporte aussi des modifications au RGPD… qui change jusqu’à la définition des données personnelles.
Celles-ci ne le sont plus pour toute entité qui ne peut pas réidentifier la personne concernée à l’aide de moyens raisonnables. Cela reste vrai même si un destinataire ultérieur a les moyens de réaliser cette identification.
Le périmètre des « données de santé » se réduit aussi. Ne sont plus considérées comme telles que celles qui révèlent « directement » des infos sur l’état de santé d’une personne. De même, n’est plus interdit que le traitement de données personnelles révélant « directement » l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, etc.
L’omnibus numérique introduit une dérogation supplémentaire à l’interdiction de traiter des catégories particulières de données personnelles. Elle touche au développement et à l’exploitation de systèmes d’IA. Elle complète, entre autres, l’obtention d’un consentement explicite et la nécessité pour la sauvegarde des intérêts vitaux de la personne concernée.
Les règles relatives aux cookies sont modernisées. L’idée est que les utilisateurs puissent définir leurs préférences « en un clic » pour une durée de 6 mois ou via les paramètres de leur navigateur ou OS. En parallèle, certaines fonctions basiques des sites web, comme le comptage du nombre de visiteurs, ne nécessitent plus de consentement.
Autres exigences allégées : celles relatives à l’information des personnes concernées. Elles ne s’appliquent plus dès lors que les collectes sont effectuées dans le cadre d’une relation « claire et délimitée » par un responsable de traitement exerçant une activité « non intensive en données ». Ce sous réserve que la personne connaisse déjà les finalités et la base du traitement.
Quant à l’obligation de notifier l’autorité référente en cas de violation de données, elle devient limitée aux incidents qui engendrent un risque élevé pour les droits et libertés des personnes concernées. Le délai est porté de 72 à 96 heures.
Parallèlement à ces dispositifs, la Commission européenne a abandonné ses travaux sur certains textes. Parmi eux, une directive sur la responsabilité en matière d’IA. Motif : pas d’accord prévisible entre les colégislateurs de l’UE.
Il s’agissait de garantir aux victimes de dommages causés par l’IA une protection équivalente à celle des victimes de dommages causés par d’autres produits de manière générale.
En toile de fond, des règles nationales jugées non adaptées au traitement des actions en responsabilité pour de tels dommages. En particulier sur la charge de la preuve. Autre constat : les stratégies IA de plusieurs États membres montraient une volonté d’élaborer des mesures dans le domaine… au risque d’une fragmentation qui augmenterait les coûts pour les entreprises exerçant dans l’ensemble de l’Union.
La directive devait s’appliquer aux actions civiles fondées sur une faute extracontractuelle pour des dommages causés par un système d’IA classé « à haut risque ». Elle avait pour principaux effets d’habiliter les juridictions nationales à ordonner la divulgation d’éléments de preuve et d’établir une présomption de lien de causalité. L’approche d’harmonisation était dite minimale, de sorte qu’on pourrait toujours invoquer les règles plus favorables du droit national.
Un autre texte a été mis sur la touche : le règlement ePrivacy. Là aussi par manque de perspective d’accord entre législateurs. Mais également parce que son contenu apparaissait « obsolète au vu de la législation récente ».
Le règlement était resté à l’état de projet depuis 2017. L’objectif était initialement de le faire entrer en application parallèment au RGPD (soit le 25 mai 2018). Il aurait remplacé une directive de 2002, révisée pour la dernière fois en 2009, et également dite ePrivacy – ou « vie privée et communications électroniques ». D’un côté, pour encadrer plus strictement l’usage des métadonnées et des cookies. De l’autre, pour élargir son champ aux services de communication « par contournement » (OTT, over-the-top).
Le « nouvel ePrivacy » devait englober davantage de techniques de suivi du comportement en ligne. Et remédier à la « formulation confuse » de certaines dispositions de la directive. L’une touchait au consentement dans le cadre du suivi en ligne. Les modifications proposées avaient entraîné une levée de boucliers d’éditeurs de presse et de représentants du numérique et des télécoms.
Une disposition nouvelle aurait obligé les fournisseurs de logiciels et de matériels associés à des services de communication à proposer, dans les paramètres de configuration, la possibilité de refuser les cookies tiers. Une autre aurait imposé de présenter un code ou un indicatif spécifique montrant le caractère commercial d’appels téléphoniques.
Le RGPD est en application depuis le 25 mai 2018. Le Data Act, depuis le 12 septembre 2025. Concernant l’AI Act, une première salve de dispositions sont applicables depuis février. Une bonne partie ont pour effet d’exclure du champ du règlement certains systèmes et usage. Par exemple :
Parmi ces usages interdits, il y a la techniques subliminales ou délibérément trompeuses, la « notation sociale » et l’exploitation de vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique. Pour aider à leur interprétation, la Commission européenne a publié des lignes directrices.
Une deuxième série de mesures de l’AI Act est entrée en application au mois d’août. Parmi elles, les obligations faites aux fournisseurs de modèles d’IA à usage général – ChatGPT, Gemini, Claude, etc.
En amont, l’association EU AI Champions, qui regroupe une soixantaine d’entreprises européennes, avait demandé un moratoire de 2 ans sur l’application des principales obligations. Motif : la complexité du texte et l’absence de lignes directrices opérationnelles. Parmi les signataires, Arthur Mensch (Mistral AI), Éléonore Crespo (Pigment), Alexandre Bompard (Carrefour), Jean-Laurent Bonnafé (BNP Paribas), Bernard Charlès (Dassault Systèmes), Guillaume Faury (Airbus) et Patrick Pouyanné (TotalEnergies).
L’association professionnelle CCIA Europe, représentant de grandes entreprises technologiques internationales, avait également appelé à un report, soulignant le risque de freiner l’innovation et la compétitivité.
La France avait adopté une position intermédiaire. Clara Chappaz, ministre déléguée au numérique, avait souhaité que la mise en œuvre du règlement ne soit pas ralentie, mais qu’un délai de grâce soit accordé pour la mise en conformité.
La présidence polonaise du Conseil de l’UE, comme le Premier ministre suédois, avait porté une demande formelle de report.
Entre juillet et septembre 2025, la Commission européenne a organisé une consultation publique. Cela préfigure la première évaluation du DMA (une démarche à boucler au plus tard le 3 mai 2026 et qui pourrait mener à des modifications).
Le règlement s’applique actuellement à une vingtaine de « services de plate-forme essentiels » dont les exploitants sont nommés « contrôleurs d’accès » (gatekeepers). Il est censé garantir la contestabilité et l’équité des marchés dans le secteur numérique de l’UE, à travers des règles touchant notamment à l’exploitation de données, à l’interopérabilité et aux relations contractuelles avec les entreprises utilisatrices des services en question.
Dans le contexte de pression sur la Commission européenne, la Chambre de commerce de République tchèque s’est inscrite dans la lignée du rapport Draghi pour réclamer des allégements du DMA.
L’Open Cloud Coalition (alliance de fournisseurs essentiellement britanniques) a suivi. Elle estime que le DMA n’est pas adapté au cloud, mieux couvert par les règles antitrust standards ; en tout cas pour le IaaS et le PaaS, dont le fonctionnement n’implique pas réellement d’intermédiaires entre des utilisateurs et des fournisseurs de services.
Illustration générée par IA
The post Régulation du numérique en 2025 : quand l’UE lâche du lest appeared first on Silicon.fr.
Beaucoup de nos services numériques du quotidien sont propulsés en partie voire entièrement par les GAFAM. Les risques de cette dépendance s'illustrent de plus en plus fréquemment dans l'actualité : représailles envers l'ex-Commissaire européen Thierry Breton et des ONG luttant contre la désinformation en ligne, clôture de la boite de courriel du procureur de la Cour Pénale Internationale, …
Ces vulnérabilités mettent en danger le fonctionnement des démocraties européennes.
On peut être tenté d'attendre une nouvelle législation européenne, cependant le carburant de ces plateformes est en premier lieu nos données personnelles : quitter ces plateformes réduit à la fois notre exposition personnelle et notre contribution collective à ce système néfaste.
C'est le sens de l'appel lancé à Hambourg lors du 39ème CCC : le 4 janvier (puis chaque 1er dimanche du mois), faites migrer vos connaissances d'une des plateformes et faites le savoir en utilisant les mots clés #DiDay ou #iDidIt sur le Fediverse.
Cet appel est soutenu notamment par Wikimedia, Nextcloud et Mastodon, et l'information a été relayée par la 1ère chaîne de TV allemande. Espérons que des acteurs de l'espace francophone s'y joignent rapidement !
Linux est bien sûr une des alternatives, dont la progression est en bonne voie « grâce » à Microsoft (mouvement qui s'inscrit parfaitement dans les initiatives existantes Adieu Windows ou End Of 10). Mais l'initiative concernent tous les services dépendants de ces plateformes toxiques : messageries instantanées, stockage en ligne, librairies en lignes, … dont la gratuité ou les prix au rabais reposent sur l'exploitation de nos données personnelles.
Le succès dépend donc de vous qui lisez cet article, et des relais « physiques » qui pourront accompagner ces migrations : cafés réparation, GULLs, librairies physiques, bibliothèques, … mois après mois !
Commentaires : voir le flux Atom ouvrir dans le navigateur
Connexion