Les Breachies 2025 : L'EFF révèle l'ampleur du désastre des fuites de données

The Breachies 2025: The Worst, Weirdest, Most Impactful Data Breaches of the Year

Another year has come and gone, and with it, thousands of data breaches that affect millions of people. The question these days is less, Is my information in a data breach this year? and more How many data breaches had my information in them this year?

Electronic Frontier FoundationThorin Klosowski, Bill Budington, Rindala Alajaji, Christian Romero, Lena Cohen, Hayley Tsukayama, and Cooper Quintin

Ce qui ressort de ce bilan annuel de l'EFF, c'est la banalisation dramatique des fuites de données. Quand l'organisation pose la question 'Combien de fuites ont touché mes données cette année ?' plutôt que 'Mes données ont-elles fuité ?', elle pointe une normalisation inquiétante.

Les cas analysés révèlent une logique systémique défaillante : les entreprises collectent massivement des données 'au cas où', les stockent indéfiniment, puis se retrouvent démunies face aux cyberattaques. Microsoft récidive avec des failles de sécurité récurrentes, PowerSchool expose des données d'étudiants, Blue Shield utilise des pixels de tracking qui finissent par fuiter, Gravy Analytics collecte des données de géolocalisation à l'insu des utilisateurs.

Dans chaque cas, la sur-collecte transforme des incidents techniques en catastrophes humaines. L'EFF souligne que la plupart de ces dégâts auraient pu être évités avec une approche 'privacy first' et la minimisation des données. Mais les incitations économiques poussent vers l'accumulation maximale, créant des bombes à retardement numériques.

Points de vigilance : Attention au techno-solutionnisme qui se concentrerait uniquement sur la 'meilleure sécurité' sans questionner la logique d'accumulation elle-même. Le vrai piège est de croire qu'on peut sécuriser parfaitement des systèmes qui collectent tout par défaut.

8/10 : Score sur l'échelle des "5 piliers de la liberté", inspiré de l'ouvrage de Timothy Snyder

Framework: Les 5 piliers de la Liberté

Certains articles publiés ici sont produits grâce à une grille d’analyse inspirée des 5 piliers de la Liberté, théorisés par l’historien Anthony Snyder dans son livre “De la Liberté” (2024). En croisant les piliers de Snyder et sa définition de la liberté positive/négative avec ceux de l’innovation dite “systémique”

Damien Van Achter - First Learn The Rules. Then Break ThemDamien Van Achter

Et maintenant ?

Face à ces enjeux, plusieurs pistes d'action systémique se dessinent.

🤘 On pourrait imaginer inverser la charge de la preuve en matière de collecte de données.

Plutôt que d'obliger les utilisateurs à prouver qu'une collecte est abusive, les entreprises devraient démontrer publiquement que chaque donnée collectée est strictement nécessaire à leur service. Une coalition entre régulateurs européens et américains pourrait établir un 'registre de justification des données' : toute entreprise collectant des informations personnelles devrait publier et tenir à jour un document expliquant pourquoi elle a besoin de chaque type de données, avec quelle finalité précise, et pour combien de temps.

Les entreprises qui ne peuvent pas justifier leurs pratiques se verraient interdire la collecte. Ce renversement créerait une pression économique positive : les entreprises les plus 'lean' en données deviendraient moins vulnérables et donc plus compétitives.

On saura que ça marche quand les entreprises tech commenceront à se vanter de collecter MOINS de données que leurs concurrents, et quand les investisseurs intégreront le 'risque de sur-collecte' dans leurs évaluations.

💪 Une alliance entre assureurs cyber-sécurité et organisations de consommateurs pourrait créer un 'label de sobriété numérique'.

Ce label certifierait les entreprises qui pratiquent la minimisation des données et offrirait des avantages concrets : primes d'assurance réduites, accès facilité à certains marchés publics, reconnaissance par les médias spécialisés. L'idée est de transformer la minimisation des données d'un coût réglementaire en avantage concurrentiel. Les assureurs y gagneraient des clients moins risqués, les entreprises labellisées attireraient les utilisateurs soucieux de privacy, et les consommateurs auraient enfin un signal de qualité fiable.

On saura que ça marche quand les premières entreprises commenceront à migrer leurs infrastructures pour obtenir le label, et quand les premiers appels d'offres publics intégreront ce critère.

✊ Les 'Breachies' de l'EFF montrent la puissance du naming and shaming créatif.

On pourrait systématiser cette approche en créant un 'observatoire citoyen des fuites évitables' qui analyserait chaque grande violation selon le principe : 'Cette fuite aurait-elle eu le même impact si l'entreprise avait pratiqué la minimisation des données ?'

Cet observatoire, porté par une coalition d'ONG tech et d'associations de consommateurs, publierait des 'post-mortem' accessibles au grand public, transformant chaque scandal en cas d'école. L'objectif : faire de la minimisation des données un réflexe culturel, comme le port de la ceinture en voiture.

On saura que ça marche quand les premiers journalistes mainstream commenceront à poser systématiquement la question 'Pourquoi aviez-vous besoin de toutes ces données ?' lors des conférences de presse post-incident.

Ces pistes ne sont pas des recettes toutes faites, mais des points d'entrée pour repenser nos systèmes numériques selon une logique de liberté positive : non pas limiter, mais augmenter nos capacités collectives d'action.

Si tu connais des exemples réels qui vont dans ce sens — ou des contre-exemples qui méritent d'être documentés — partage-les moi et documentons les ensemble !

Plus d'articles, par "pilier" de la Liberté, selon Snyder

Souveraineté

Imprévisibilité

Mobilité

Factualité

Solidarité