Libre à lire !

Le testament numérique : que faire de mes données après moi ? Pas Sage en Steïr

D’après un média publié le 2025-08-21 Source Avertissement

Personne·s Nathalie Rosenberg alias Natouille

Thèmes Vie privée - données personnelles Partage du savoir Réseaux sociaux

Type d’action Conférence

Type de publication Vidéo

Sommaire

On se pose souvent la question de savoir ce qu’on va laisser en héritage, mais qu’en est il de nos données sur Internet ?

Bonjour. Je suis Natouille, donc Nathalie.
Un sujet effectivement pas très joyeux après le repas, pour la digestion, ça ne va pas être simple : « Le testament numérique : que deviennent mes données après moi ? ». Il y a une dizaine d’années, c’est vrai que c’est quelque chose auquel, franchement, je ne pensais même pas, c’était complètement hors de ma tête, je n’avais pas idée qu’il fallait peut-être y réfléchir.

[Interruption du son durant deux minutes]

« Environ un tiers des comptes Facebook appartiennent déjà à des utilisateurs et ce nombre est en augmentation. Environ 10 000 utilisateurs de Facebook meurent chaque jour. »
Évidemment ça donne à réfléchir.
Nous avons été plusieurs, dans la salle, à dire « waouh, c’est vrai que c’est quelque chose à prendre en compte, en tout cas peut-être qu’il faudrait qu’on en discute ». Le lendemain il y avait la journée des ateliers et on a fait un atelier un peu sauvage sur la question. Nous nous sommes retrouvés à 40, quand même, à être intéressés, à discuter sur le sujet pendant deux heures. On n’a pas trouvé de solution concrète. Je vous le dis tout de suite, il n’y a pas vraiment de solution concrète. L’idée de cette conférence c’est de vous présenter le sujet, de vous présenter des éléments qui concernent le sujet et qu’après on puisse en discuter, échanger entre nous.

Préparer l’après

Préparer l’après, c’est se dire qu’on laisse tous et toutes des traces sur Internet. On s’est inscrit à des trucs, on a posté sur des trucs, on a des comptes à droite à gauche et, potentiellement, on en oublie plein. Les choses d’il y a 15/20 ans, je ne sais plus. Il y a des endroits où j’ai dû l’aller, j’ai créé des comptes pour tester et j’ai oublié, je ne sais pas si les boîtes existent encore ou pas, je ne sais pas ce qu’elles ont fait de mes données. C’est pour cela que le destin des données, leur exploitation, reste un peu flou, si on n’y prête pas attention et j’ai envie dire que même si on y prête attention, il y a des choses sur lesquelles on ne pourra pas faire grand-chose, mais l’idée c’est de commencer à y penser dès maintenant.

Destins possibles de mes données

Quel est le destin possible de toutes mes données ?

  • Elles peuvent être supprimées de mon fait. Ce matin, Brigitte parlait du réseau Mastodon qui est un petit peu comme Twitter [1]. Dans Mastodon [2], il y a une fonction qui dit « je veux que mes messages s’effacent au bout de… avec un choix que entre quinze jours et deux ans ». On peut choisir, on peut dire au bout de quinze jours, un mois, six mois. Moi j’ai choisi deux ans, donc au bout de deux ans ce que j’ai posté s’efface.
  • Ça peut disparaître sans mon intention. Je suis sur un service, j’ai des trucs en ligne, la boîte coule, ce n’est pas de ma faute, tout disparaît du jour au lendemain, surtout si c’est aux États-Unis ça peut couler en 24 heures, on n’a pas le temps de se retourner.
  • Ça peut être laissé en ligne volontairement. Je peux dire « j’ai un blog, je veux qu’il reste en ligne », etc.
  • Ça peut être laissé en ligne involontairement. Il y a un peu plus de dix ans, j’avais créé un compte sur Airbnb parce qu’il avait fallu louer un truc, ça a été la seule fois de ma vie, et je reçois toujours des messages pour me dire « mise à jour des conditions générales ». Il n’y a absolument pas moyen de supprimer son compte en ligne, je pense qu’il faut écrire, je n’ai pas trop cherché, mais voilà, ils ont toujours mes trucs, visiblement ils ne veulent pas supprimer. Il y a d’autres sites comme ça.
  • Elles peuvent être réappropriées. Si vous avez un compte sur Instagram, on vous a dit « les photos que vous postez chez nous nous appartiennent, c’est à nous, ce n’est plus à vous. » Ils vont donc en faire ce qu’ils veulent. C’est la même chose aujourd’hui avec l’IA. Plein de boîtes disent « on va servir de vos données, des trucs que vous avez postés chez nous, sur nos services dont vous vous servez, pour entraîner nos IA ». Il y a la possibilité de dire non, mais il faut aller trouver ça dans un sous-menu assez obscur.
  • Elles peuvent être usurpées, même de votre vivant et après votre décès. Il peut y avoir une récupération de vos données et de votre identité pour s’en servir de manière malveillante soit pour des raisons frauduleuses soit pour nuire, pourquoi pas, à votre image.

Cadre juridique

Petit point sur le cadre juridique. Je regarde [Nom d’une personne dans le public, NdT], c’est un spécialiste, je sens qu’il va bondir.
J’ai mis deux points intéressants :

  • la loi 2016-1321, de 2016, pour une République numérique [3], qui reconnaît à toute personne le droit de définir des directives relatives à la conservation, l’effacement et la communication de ses données après son décès. Il faut donc prendre des directives, si vous ne les prenez pas…
  • le RGPD [4], dont vous avez sans doute entendu parler, le Règlement général de protection des données à caractère personnel, au niveau européen, qui parle de l’effacement des données mais rien au niveau du décès à proprement parler. Il laisse les états-membres légiférer dessus.

Public : Je vais quand même dire que le RGPD règle problème en disant « si vous êtes décédé, vous n’êtes plus concerné par le RGPD ». Si vous êtes mort, on fait ce qu’on veut des données.

Natouille : Je savais bien qu’il était expert !

Inventorier et trier

Avec tout ça, l’idée c’est de dire « il est peut-être temps que je fasse un inventaire de mes données, que je fasse le tri dans ce que j’ai. »

Faire son inventaire

Point matériel.

  • Si vous avez un PC ou des PC ou des Mac qui traînent chez vous, des smartphones, des disques durs de sauvegarde, des vieux disques durs qui ne marchent peut-être plus, des clefs USB, des cédéroms ou des disquettes pour les plus anciens, pourquoi pas, des serveurs multimédias, c’est vous demander « qu’est-ce que j’en fais ? »
  • Vous avez tous les comptes sociaux donc Twitter, qui n’existe n’existe plus, Facebook, Instagram, TikTok, Mastodon, Linkedin, que sais-je.
  • Tout ce qui va être vos e-mails et vos drives que vous soyez sur Gmail, sur Outlook, sur des mails personels chez d’autres fournisseurs, Protonmail, Infomaniak, avec les drives qui vont avec.
  • Si vous avez des domaines, donc trucmuche.fr ou trucmuche.com, donc si vous avez acheté un nom de domaine, pareil, qu’est-ce qu’il va falloir en faire.
  • Si vous avez des abonnements à des services en ligne. J’ai des abonnements à des services en ligne pour mon métier, il y a aussi des abonnements à toutes les newsletters, plus tous les services non-numériques mais qui passent par le numérique.
  • Si vous avez ce qu’on va appeler des comptes créatifs, donc un blog, des photos postées, des choses comme ça.

Donc faites l’inventaire complet de ce que vous avez et qualifiez ces données.

Qualifier ses données

  • Est-ce qu’elles sont publiques : si vous avez un blog, c’est public.
  • Personnelles, non sensibles. Vous avez peut-être des photos, pas des photos intimes, des photos de vacances, etc., qui sont personnelles, non sensibles.
  • Tout ce qui va être personnel et sensible : vos données bancaires, vos données médicales.
  • Strictement confidentielles, par exemple des conversations privées.
  • Après il y a aussi tout ce qui va être données professionnelles ou associatives. Je suis trésorière de deux associations. Il y en a une où nous sommes deux trésorières, donc ça va. L’autre, c’est l’association dont parlait Brigitte ce matin, celle qui est morte, qui a fait un don à Pas Sage en Steïr, je suis toujours présidente et trésorière, c’est moi qui ai accès aux comptes, il n’y a plus que moi qui ai accès aux comptes. Si demain je passe sous un bus, plus personne n’a accès au compte, c’est qu’on appelle le bus factor.
  • Ça peut être la même chose au niveau professionnel. Si vous êtes salarié dans une grande boîte, à moins d’être dans un truc de niche et personne ne va savoir ce que vous faites, ça peut être problématique, mais si vous bossez dans une petite PME, si vous êtes en profession libérale ou si vous êtes indépendant, vous pouvez avoir des données professionnelles auxquelles plus personne, peut-être, n’aura accès si vous décédez manière prématurée.

Définir leur devenir

Une fois qu’on a fait l’inventaire et qu’on a qualifié ses données, on va essayer de définir leur devenir : qu’est-ce qu’on garde ? Qu’est-ce qu’on supprime ?
Pour mon PC professionnel, les clefs USB, dire « il faut contacter untel, lui dire il faut faire ci, il faut faire ça, ou lui dire de tout effacer et le donner à Emmaüs ou aux Abeilles ».
Si j’ai envie que mon blog survive à mon décès pendant x années, lui dire de payer l’hébergement, ce genre de choses.
Il faut y penser et définir un petit peu tout ce qu’on a chez soi.

Il existe des solutions en ligne

Faire son testament numérique, c’est évidemment un truc auquel des boîtes ont pensé, donc il existe des solutions en ligne.
Par exemple, il y a des plateformes qui offrent des solutions pour centraliser les directives.
Il y a aussi des sociétés qui proposent des gestionnaires de mots de passe et qui intègrent une fonctionnalité de succession. Par exemple, j’avais vu qu’un des gestionnaires les plus connus, qui s’appelle Dashlane [5], intègre cette fonction. Je suis allée chercher sur leur site et je n’ai rien trouvé, donc si elle existe, elle est bien planquée !
Le problème, j’ai mis un « oui mais », parce que dans un cas comme dans l’autre on est face à des sociétés privées qui peuvent faire plouf demain. Donc elles ont vos trucs sauf qu’elles coulent, elles meurent avant vous, c’est fou, donc finalement vos directives disparaissent. Elles sont peut-être rachetées par on ne sait qui, en tout cas il n’y a pas de pérennité garantie à ce niveau-là.
J’étais tombée sur un article super récent qui citait ces plateformes, je n’en ai trouvé aucune des trois, je ne les ai pas trouvées, donc je ne sais pas. Elles ont peut-être déjà coulé avant même que l’article sorte !

Les GAFAM ont prévu des trucs

Petit point sur les GAFAM, c’est un gros mot ici, mais eux ont effectivement prévu des trucs. Ils peuvent aussi couler, sans doute moins vite que la petite startup qui va vous proposer de faire le suivi de vos directives testamentaires.
Chez Google, il y a un « Gestionnaire de compte inactif » qui permet de partager des données avec des proches après une période d’inactivité.
Facebook a un truc qui s’appelle « Contact légataire », pour transformer un compte en compte de commémoration. C’est ce que je disais tout à l’heure. Il y a dix ans, lors de la conférence, la personne disait « Facebook va devenir un énorme cimetière ». Je ne sais pas s’ils avaient vu la conférence, en tout cas ils avaient commencé à prendre des directives là-dessus et à faire en sorte que les proches puissent les contacter pour dire « telle personne est morte », vous envoyez un certificat de décès et il y a moyen de transformer le compte, de faire en sorte qu’il soit fermé.
Apple, récemment, a fait le Digital Legacy qui permet de désigner des personnes comme contacts de récupération.
Cela c’est en ce moment, ils peuvent changer demain, etc., évidemment ça ne me concerne qu’eux, bien sûr. À côté de ça, je sais que Google, par exemple, respecte le RGPD en disant « désormais, on vire tous les comptes inactifs », je crois que c’est quasiment au bout de deux ans, même pas trois. Au moins, ils font le ménage.

Les notaires se forment

La dernière solution éventuelle ce sont les notaires. Je ne pense que les notaires ne sont pas près de couler.
Pendant le Covid, il y a eu des décès, il y a eu des successions et d’autres actes notariaux qui se sont faits à distance et on a vu que beaucoup de notaires étaient complètement aux fraises au niveau numérique, bien sûr. À priori, le Conseil supérieur du notariat a commencé à essayer de les mettre un petit peu au numérique de manière un peu plus soutenue et a notamment mis en place une formation dédiée aux enjeux concernant les actifs numériques. Je n’ai pas trop creusé pour savoir ce qu’il y a derrière, mais sachez-le. Si vous avez envie de prendre contact avec un notaire, vous pouvez voir avec lui, avec elle, en demandant « est-ce que vous faites ça ou est-ce que vous avez un collègue qui, potentiellement, le fait ? »

Gérer le présent

Personnellement, quand je me suis attachée à ça, quand j’ai commencé à creuser la question, je me suis dit que c’était aussi le moment de me questionner sur mon usage aujourd’hui.
Je suis quelqu’un qui aime bien faire du ménage un petit peu radical, parfois je jette tout, parfois je jette trop, donc j’ai jeté des trucs de mes anciennes boîtes, j’ai jeté des travaux et après, quand il a fallu que je fasse un portfolio pour présenter mes travaux, je n’avais plus rien !
Donc réfléchir à ses usages aujourd’hui sans attendre la fin. Se dire « j’ai un compte Instagram, est-ce que j’en ai vraiment l’usage ? J’ai un Facebook, mais est-ce que c’est vraiment utile ? J’ai un WhatsApp, à quoi ça me sert ? J’ai un blog, mais je ne l’ai pas tenu depuis cinq ans. J’ai des inscriptions à des newsletters à droite à gauche, est-ce qu’il faut vraiment que je les garde ? ». C’est aussi le moment de faire du ménage, ne pas attendre après et laisser un petit peu le bazar aux autres. C’est donc maintenant pour soi, préparer l’après pour les autres en commençant à réfléchir à ce qu’on veut garder et à ce qu’on veut supprimer.
J’ai des anecdotes de choses qui ont été mal préparées.
Un ami m’avait parlé de quelqu’un de son entourage dont le grand-père était mort, qui avait un PC et les gens n’arrivaient pas à se servir, à l’ouvrir. Il s’en est chargé. Il m’a dit « j’ai trouvé des photos très coquines du papy, il vaut peut-être mieux que ça ne soit pas la famille qui tombe dessus ! ». Ce genre de chose n’était pas prévu !
J’ai aussi un ami qui n’avait pas de nouvelles de quelqu’un qu’il connaissait. Il l’avait interpellé, je ne sais plus si c’est sur son blog ou sur un de ces profils, il lui avait dit « je n’ai plus de nouvelles de toi ! Tu es morte ou quoi ? ». Le truc c’est que oui, depuis deux ans, mais il n’avait pas eu l’info. Quand des stars meurent, souvent leurs enfants vont poster un truc sur Twitter en disant « mon père est décédé », on a vu le cas récemment avec le chanteur de Black Sabbath, c’est le dernier que j’ai en tête. Johnny Hallyday, certainement, je ne sais pas. Je me souviens que dans la conférence, il y a dix ans, elle nous avait présenté le cas de David Bowie qui était mort un petit peu avant. Elle avait dit que son fils avait posté un message disant Dad is gone, « Papa est parti », avec une photo de son père jeune et lui, petit, dans les bras de son père.
Quand ce sont des stars, les gens sont prévenus, mais c’est vrai qu’il y a ce côté de dire « finalement le jour où je décède, comment je préviens les autres ? ». Mon père a été longtemps responsable syndical, il vient juste de quitter ses fonctions, il m’a dit « dans Thunderbird il y a un message tout prêt, avec la liste des personnes auxquelles l’envoyer, donc tu enverras le message. » Il a prévu de prévenir les gens, pas en ligne mais via le mail, en tout cas il a déjà prévu ça.

À vous…

Finalement, qu’est-ce que vous inspire tout ça ? Est-ce que ce sont des choses auxquelles vous avez réfléchi ? Est-ce que vous êtes en mode « je m’en fous » ? Est-ce que vous avez commencé du ménage ou autre par rapport au testament ? La parole est à vous.

[Applaudissements]

Je ne sais pas si c’est plus joyeux après, les noms de domaine [6]. J’espère tu as prévu des trucs de nanar dans ta conférence, un truc moins morbide quoi ! Parce que c’est un fan de nanar.

Public : Je voulais juste revenir. Tu as cité Dashlane comme gestionnaire de mots de passe qui prévoyait un système de légation. Bitwarden [7], de son côté, en logiciel libre, a aussi un système de contacts d’urgence qui peuvent venir soit juste lire, soit prendre complètement le contrôle de ta base de mots de passe. Pour le coup, si c’est auto-hébergé, ce n’est pas dans les mains d’une grosse entreprise.

Natouille : Comment ça marche ? Comme je disais, j’ai cherché sur le site de Dashlane, j’ai trouvé un truc qui disait « soit la personne vous a filé le mot de passe, mais si vous n’avez pas le mot de passe, on ne peut rien faire pour vous. »

Public : Là, tu peux désigner à l’avance les personnes, les contacts d’urgence. Elles peuvent demander l’accès à ton compte et, ensuite, tu peux choisir à l’avance une durée pendant laquelle elles n’auront pas accès. Si je te donne l’accès à mon compte, je dis « quand tu le demanderas, il faudra que tu patientes 15 jours avant d’y avoir accès », ce qui me permet, si je ne suis pas mort, de te refuser l’accès si tu essayes d’accéder. C’est assez bien documenté sur le site de Bitwarden.

Natouille : C’est intéressant. C’est vrai que quand les choses sont planquées, comme je le disais pour Dashlane. Ça va être un défi : ce soir ou demain vous êtes priés de trouver la fonction chez Dashlane. Celui qui trouve gagne une crêpe, deux crêpes et un café.

Public : Tu montes jusqu’au kouign-amann ?
Est-ce que tu peux revenir sur ton slide 9, s’il te plaît, j’avais une question que j’ai complètement oubliée parce que j’écoutais la suite. Je n’ai plus ma question, de toute façon j’ai d’autres questions.
Il faut faire une confiance aveugle à ces plateformes qui ont des solutions pour centraliser des directives. Quand elle devient notaire, la personne a un engagement de faire ce qu’il faut, confidentialité, etc.
Tu as donné les exemples des GAFAM, c’est pareil. Ils te disent « on va supprimer », déjà ce n’est pas sûr, on n’en sait sais rien.
Ce n’était pas vraiment une question.

Natouille : C’est vrai qu’on n’est jamais sûr de rien. En tout cas, niveau GAFAM, c’est vrai que quand on supprime, on ne sait pas. Justement, l’association Sud-Web, qui a fait le don, avait un drive, j’avais fait le ménage dedans il n’y a pas longtemps, j’avais supprimé quasiment tout. Je suis revenue deux mois après et pourtant je voyais des trucs qui ressortaient, « des trucs suggérés pour vous ». Déjà je trouve que Google Drive c’est un enfer d’utilisation, mais il y avait des trucs qui revenaient. Je me suis dit « mais en fait j’ai supprimé, pourquoi c’est là ! ». Il n’y avait pas tout, mais des trucs revenaient, je trouve que ce n’est pas normal.
En France on a les notaires.
Des plateformes qui existent à l’international. Peut-être que, dans d’autres pays, il peut y avoir une confiance qui se crée avec ces boîtes.
Quand on avait fait l’atelier, on s’était souvenu d’un truc un peu glauque : pas mal d’Américains sont un petit peu fans de la cryogénisation en disant « on va revivre plus tard ». Ils ont donc confié leur corps à des boîtes, certaines ont coulé, les corps ont coulé aussi ! Il y a des gens qui ont fait confiance pour confier le corps de leurs proches à des trucs en se disant « ils vont rester dans leur caisson pendant 300 ans jusqu’à ce qu’on trouve le moyen de les ramener à la vie. » Avec un beau discours et sans vraiment de connaissances, on peut se dire « oui, peut-être que je peux faire confiance à ces boîtes pour peu qu’elles présentent bien, qu’elles n’ont pas l’air d’être issues de Corée du Nord ou du fin fond de la Russie. » On y croit.

Public : J’ai retrouvé ma question. Là ça parle de tout ce qui est données numériques. On a vu le cas de sociétés avec l’ADN. Certes, ça devait être des informations sous format numérique, mais, à priori, plein de gens ont vu leur ADN revendu à une autre société avant que celle-ci ne s’écroule.

Natouille : Ça reste tes données, que tu fournis, qui vont, de toute façon, être numérisées. Ce sont des fichiers, je ne pense pas qu’ils gardent les petites éprouvettes quand ils sont rachetés. Donc ça reste des données, mais c’est comme pour tout. Il y a ce qu’on appelle les data brokers qui vont peut-être arriver comme des charognards sur les boîtes qui coulent et récupérer tout un tas de choses.
De toute façon, on a des données partout, on ne sait même plus où. Je pense que pour passer inaperçu, ne pas être reconnu, en tout cas ne pas avoir la moindre donnée sur ces réseaux, à mon avis il faut être membre d’une société au fin fond de l’Amazonie, peut-être qu’eux n’ont rien, ou vaguement des photos prises par drone : « On a découvert une nouvelle société qui n’a jamais vu l’homme blanc », heureusement pour eux. Sinon, je pense que nous sommes tous multimédia-fichés, clonés de la tête aux pieds.

Public : J’en profite, j’ai le micro, on ne me l’arrache pas. Au niveau des noms de domaine, y a-t-il un système de succession possible ?

Natouille : L’expert va parler. Pour ceux qui ne savent pas c’est Stéphane Bortzmeyer, de l’Afnic [Association française pour le nommage Internet en coopération], qui notamment, quand vous achetez un bidule.fre, c’est lui qui gère avec ses petits doigts.

Public : Tu me fais une promotion si je te rends le micro ?

Public – Stéphane Bortzmeyer : Je vais aussi parler d’ADN, je suis un expert, parce que j’ai de l’ADN, donc je peux en parler sur BFM TV, je suis vraiment expert !
Pour les noms de domaine, la réponse courte c’est non, la réponse longue c’est ça dépend. Par exemple sur pas mal de bureaux d’enregistrement de noms de domaine, qui est l’intermédiaire que vous utilisez pour réserver un nom de domaine, vous pouvez séparer le compte et le login, avoir plusieurs logins pour un même compte. C’est très utilisé dans le monde professionnel, évidemment pour éviter le bus factor, mais ça peut être aussi utilisé pour des particuliers. Vous pouvez confier ça à quelqu’un d’autre. De même, d’ailleurs, pour tous les services où il y a deux adresses e-mails de récupération, ce qui est assez fréquent, vous pouvez confier la deuxième adresse e-mail de récupération à une autre personne qui pourra, à ce moment-là, mettre la main sur votre mot de passe. Il faut que ce soit une personne à laquelle vous faites confiance, mais il n’y a pas à tortiller. De toute façon, il faudra que ce soit quelqu’un à qui on fait confiance. Mais il n’y a pas de solution générique et générale pour tout. En suivant l’exposé de Natouille, je me dis que c’est vraiment un travail à temps plein de gérer sa mort !

Natouille : On va monter une startup !

Public – Stéphane Bortzmeyer : Quand c’est planifié ça va, mais j’ai eu à faire des trucs pour une collègue décédée subitement, par exemple supprimer son compte Linkedin, même pas supprimer, Linkedin n’a pas voulu supprimer son compte mais juste marquer in remembrance, et c’est le genre de truc qu’on a quand on interagit avec les GAFAM, que vous connaissez bien. J’envoie un certificat de décès et le support me répond « ce document ne prouve pas que la personne soit décédée », des trucs comme ça.

Natouille : C’est le seul truc qu’ils ne savent pas ! Ils savent beaucoup de choses sur nous, mais ça non ! C’est fou !

Public – Stéphane Bortzmeyer : C’est rassurant quelque part ou, au contraire, ils savent et ils ne veulent pas le dire.

Natouille : En tout cas, un de mes amis est décédé il y a quatre ans maintenant et son blog est toujours en ligne. Je ne sais pas s’il avait acheté son nom de domaine, son hébergement pendant longtemps ou si c’est sa sœur qui a repris les choses derrière, c’est vrai qu’elle avait fait beaucoup de trucs. Il y a toujours son compte GitHub. Il y a des gens qui passent dessus et qui ne savent pas qu’il est décédé, qui essayent d’interagir avec, effectivement ils n’auront rien. Voilà ! Son blog est toujours là.

Public : Tu parlais de faire l’inventaire. Personnellement, et je ne dois pas être le seul dans ce cas-là, je ne suis pas capable de le faire parce que j’ai des comptes un peu partout et je ne sais plus comment je peux retrouver ces comptes.

Natouille : Il faut faire jouer sa tête.

Public : Sinon demande à un data broker qui doit bien savoir !

Natouille : Parfois, des services nous récrivent ; on n’a pas de nouvelles depuis dix ans et d’un seul coup : « Bonjour, on a évolué, on a été racheté par Tartempion » et vous faites « c’est quoi, déjà, ces gens-là ! »
Sinon il y a ceux qu’on connaît. C’est tout l’avantage d’avoir un gestionnaire de mots de passe, c’est notre mémoire, ce qu’on garde en mémoire pour soi. On regarde, parfois on fait le ménage et on supprime peut-être des comptes quand c’est possible.
Sinon les trucs plus anciens, sur lesquels on était, à un moment donné c’est se dire à la limite pour qu’on m’oublie, je change de mail, je supprime le mail que j’ai, j’en crée un nouveau et je repars de zéro, parce que sinon, fondamentalement, il n’y a pas de solution. Je n’ai pas de solution.

Public : Demander à ChatGPT « où est-ce que j’ai des comptes ? »

Public : À l’époque où le RGPD a été promu, je ne me souviens pas de la date, beaucoup de services en ligne nous ont écrit un petit mail en disant « nous nous préoccupons vraiment beaucoup de vos données, donc nous changeons notre politique de confidentialité. » C’était un super moment pour se dire « j’avais complètement oublié ce compte, je peux le supprimer. » Peut-être que si vous avez gardé le même mail qu’à l’époque, vous pouvez chercher les mails qui sont apparus pendant les deux mois où le RGPD a été promu, voir tous les services en ligne qui vous ont écrit pour retrouver vos vieux comptes.

Natouille : Il y a peut-être aussi une autre astuce, c’est via le site Have I Been Pwned ? [8], le site où on peut aller voir si notre e-mail a été récupéré par des vilains malfaiteurs qui ont siphonné une base de données quelque part ou qui l’ont achetée sur le dark web. Si vous rentrez votre adresse, ça va vous dire « votre mail a fuité sur tel et tel service », et vous allez peut-être tomber sur des trucs dont vous avez oublié l’existence.

Public – Stéphane Bortzmeyer : J’ai posé la question à ChatGPT, il dit à peu près la même chose que toi. Ça veut dire qu’on peut arrêter d’avoir des intervenants humains à Pas Sage en Steïr et tout faire faire par ChatGPT. Je n’ai pas vérifié si tout ce qui est écrit est correct. Il donne des trucs sur les services inactifs account manager de Google.

Natouille : J’ai fait ma conférence sans lui ! Je déteste. Je me suis servi du truc deux/trois fois pour rigoler, mais à chaque fois je trouve qu’il répond n’importe quoi.

Public – Stéphane Bortzmeyer : Tu as mentionné que je travaille à l’Afnic, un truc qu’on a très souvent à l’Afnic, indépendamment même du décès, ce sont des cas où quelqu’un n’est plus joignable pour une raison ou pour une autre. Il est assez fréquent qu’on reçoive des messages, en général en mode panique, évidemment, du genre « je suis responsable de l’association machin. Le nom de domaine est lié au nom de telle personne de l’association, qui a enregistré le nom, qui est partie aux Bahamas depuis des années et dont on n’a pas de nouvelles ou avec qui on est fâché à mort donc on ne peut plus se parler, quelles sont les solutions ? ». En général, la réponse c’est « bien fait pour toi ! Tu n’avais qu’à suivre la conférence de Natouille et préparer un peu ton truc ».
Indépendamment du décès, c’est un problème assez fréquent dans la gestion des actifs numériques, notamment dans le monde associatif, qui, je pense, touche pas mal de gens ici. En général peu de gens bossent dans l’association, c’est en mode très volontaire, le type fait tout seul. Le problème est particulièrement fréquent et particulièrement grave. Donc, si vous êtes responsable d’une association qui a une présence en ligne, pensez à faire ce genre d’inventaire : qui a le contrôle du nom de domaine ; qui a le contrôle du compte WordPress, de l’hébergement, ce genre de truc. Ça évitera que vous embêtiez le support de l’Afnic avec vos questions idiotes du genre « comment je fais pour récupérer le site de l’association », sachant que le problème c’est qu’il y a aussi, en face, des malveillants qui vont prétendre qu’ils n’arrivent pas à joindre le président ou que le président de l’association est décédé, pour essayer de piquer un compte. L’Afnic reçoit des demandes, ça doit être pareil pour les GAFA, et ça explique un peu la réaction de Linkedin dont je me moquais tout à l’heure, mais il y a déjà des mauvais plaisants qui ont essayé de faire croire à Linkedin que telle personne était décédée pour supprimer son compte.
Les deux problèmes existent.

Natouille : Je te rassure, il y a pas que les associations. J’ai fait une mission chez Airbus, pas sur leurs noms de domaine, c’était sur les gestionnaires de leurs outils internes, ils ont des managers de leurs outils internes, j’avais bossé là-dessus. Une personne d’un service m’a dit « la base de données est nulle, sur tel outil, la manager déclarée est une collègue et ça fait six ans qu’elle est partie. »

Public – Stéphane Bortzmeyer : Ce n’est pas possible parce que les sociétés privées capitalistes sont efficaces et sérieuses ! Il n’y a que les associations qui sont bordéliques !

Natouille : Du coup, on arrive à être un peu drôles !

Public : Tout à l’heure, il y a eu une question sur les gens qui peuvent récupérer les comptes en cas d’urgence, etc. Typiquement Bitwarden, Dashlane et autres gestionnaires de mots de passe ont un mot de passe principal pour accéder à tout le contenu. Il existe des formules mathématiques très intelligentes qui permettent de créer un fichier clé qui est séparé en plusieurs morceaux, celle de Shamir. En fait, on va créer, par exemple, 12 clés et il en faudra par exemple au moins six ou uniquement six pour pouvoir déchiffrer le fichier final, par exemple son mot de passe, ce qui fait qu’on peut fournir ces différents bouts à 12 personnes différentes. C’est la même chose. OK, je mets deux personnes de contact au cas où, et qu’est-ce qui se passe si elles disparaissent avant moi ? Tu as parlé du mail de ton papa, qui est génial, pour les gens qu’il connaît et peut-être qu’il va se brouiller avec une personne et qu’il faut qu’il pense à mettre à jour sa liste ou qu’il y ait une autre personne qu’il va avoir envie de prévenir également, ça peut ça peut être un système intéressant.

Natouille : J’appelle ce système de plusieurs clefs Fort Boyard. J’avais vu ce système d’avoir plusieurs clefs et qu’au minimum x personnes se réunissent pour pouvoir la reconstituer et avoir accès. C’est un truc un peu de niche, peut-être que ça nécessiterait d’être un peu plus connu du grand public.

Public : Juste une observation pour revenir sur terre. Je trouve ça très compliqué, quasiment improbable, sauf utilisateurs très avertis. Je pense que tant qu’il n’y aura pas une loi qui décrive les durées de rétention des données, des choses comme ça, comme ça existe par exemple pour les données comptables ou les données de santé, il est peu probable que ce soit en application sur la myriade d’outils qui existent aujourd’hui.

Natouille : Oui et non.

Public Aeris : Une loi, le RGPD justement, ne les définit pas aussi explicitement que ça peut l’être dans le plan comptable, les durées de rétention, etc., mais, par exemple, les données de clientèle doivent être retenues entre deux et quatre ans, les données comptables vont être à dix ans avec les factures, tout ce qui est facture va être à dix ans, les données de vos employeurs c’est cinq ans. La CNIL a un registre qui liste toutes ces durées de rétention déjà aujourd’hui. Le problème, c’est surtout qu’elles ne sont pas actées par la loi aussi fortement que peuvent l’être justement les impôts ou autres. C’est donc un peu à chacun de décider pour lui-même des durées de rétention, mais ça existe déjà et vous pouvez aussi considérer que les délais sont abusifs, donc porter plainte pour demander à ce que les données soient supprimées. Vous passerez beaucoup de temps à vous battre avec la CNIL et vous serez certainement mort avant d’avoir une réponse, en tout cas, en théorie c’est possible.

Natouille : Ça me fait rire quand on sait qu’il porte plainte à la CNIL quasiment trois fois par jour ! Tu en es à combien de plaintes ? Pourquoi tu ne te convertis pas ? Devenir une startup, « je gère vos données ».

Public Aeris : Des startups se sont lancées là-dedans, promettent de supprimer vos données si vous allez chez elles moyennant finance, etc., ça a été prouvé comme étant moins efficace que de les supprimer soi-même à la main et en plus vous passez par un tiers pour gérer vos données. Il y a peut-être des services à faire autour de la survie numérique et de la transmission numérique. C’est effectivement une question de confiance qui sera toujours difficile à régler. Aujourd’hui rien n’existe là-dessus.

Public : Juste pour mettre mon petit grain de sel sur les noms de domaine, on achète un nom de domaine pour une durée limitée – un, deux, cinq, dix ans, ça dépend des bureaux d’enregistrement – et arrivera fatalement un moment où ça arrive à expiration et si ce n’est pas repris, au pire du pire, il va disparaître et redevenir disponible à l’achat. C’est donc aussi très important de penser quoi faire de son nom de domaine. Par exemple, je suis titulaire de mon patronyme.fr, le jour où je meurs, est-ce que les gens de ma famille veulent reprendre le nom ou des méchants vont-ils pouvoir l’acheter ? C’est une question à laquelle je dois répondre.

Natouille : Le mois prochain je donne une conférence sur les vieux sites web, ceux qui ont été créés il y a 30 ans, j’en avais plein en stock en marque-page. Quand je vais dessus, quand j’ai de la chance je tombe sur un site parking qui me dit « ce domaine est à vendre » ; quand je n’ai pas de chance, je tombe sur un porno chinois.

Public : Est-ce qu’il y aura des gifs animés ?

Natouille : Oui. La conférence s’appelle « Paillettes, Netscape et GIFs animés », donc il y aura des paillettes, il y aura du Netscape et des gifs animés. C’est à Paris Web. Conférence payante, par contre ça sera enregistré et diffusé après coup sur le sur le Net. Je vais vaguement évoquer Flash, on sort complètement de sujet, ça sera avant Flash en fait. Ce sont les sites faits sur Mygale ou GeoCities.

Public : Quand Flash est mort, il y a cinq ans, six ans, je ne sais plus, la question de la sauvegarde de tout ce qui avait été créé, notamment les jeux vidéo, et il y en a énormément et des jeux très influents, on peut penser à Yetisports qui existe encore, énormément de jeux ont été créés comme ça, donc la question s’est posée quand Flash est mort et il a fallu trouver des solutions pour pouvoir faire tourner du Flash encore aujourd’hui.

Natouille : Là, on est sur la mort numérique de certains sites, effectivement, notamment d’un pan d’Internet, les sites en Flash qui ont été, pendant longtemps, la plaie des utilisateurs, des navigateurs. C’est la nostalgie, tu étais petit, tu avais des pattes d’éléphant et tu trouvais ça moche, tu dis « finalement c’était trop bien », maintenant Lewis te fait des jeans à 250 euros en pattes d’éléphant et tu trouves ça cool !
Archive n’a pas les sites en Flash.

Public : Pour ceux qui ne connaissent pas, le site archive.org [9] est une véritable merveille, il archive tous les sites web, un maximum de ce qu’ils ont pu et qu’ils peuvent stocker, ils ont créé un émulateur Flash qui « marchouille » parfois plus ou moins. Ceux qui ont la nostalgie peuvent tester pour voir.

Natouille : À l’époque, quand c’est sorti, ça a donné beaucoup de créativité. Il y a des sites où on en trouve encore : Flashpoint avec l’archive de tous les jeux Flash, vous pouvez tester, tout en cherchant la fameuse fonctionnalité Dashlane.

Public – Stéphane Bortzmeyer : Comme l’a dit Natouille, il y a deux cas : il y a le cas où on veut préserver malgré sa mort et il y a le cas où on veut surtout que ça disparaisse et que ça ne soit pas récupéré par quelqu’un d’autre après sa mort.
Pour le premier cas, celui où on veut préserver, il y a effectivement la solution Linus Torvalds qui est « je ne fais pas de backups, je mets tout en ligne et c’est copié par les autres. »
Comme ce n’est pas systématiquement le cas et archive.org a malheureusement des trous, c’est souvent quand on en a besoin que paf, il y a le trou à ce moment-là. Si vous êtes programmeur ou programmeuse, puisque ce matin on a appris qu’il y avait des femmes qui programmaient [10], la solution c’est Software Heritage [11] évidemment, donc vous assurer que vos logiciels soient bien enregistrés dans Software Heritage, soient copiés. Il y a aussi le Arctic Vault de Microsoft sous les glaces du Pôle Nord, ça vous vaut un joli badge sur GitHub, c’est rigolo. C’est plus facile d’être dans Software Heritage, c’est l’équivalent de archive.org mais pour les logiciels, il y a énormément de trucs. S vous êtes programmeur ou programmeuse et que vous voulez que ça soit conservé, vérifiez que c’est bien sur Software Heritage, sinon demandez-leur gentiment, ça vaut vraiment la peine. Ça résout la moitié du problème qui est de vous assurer que votre œuvre vous survivra.
L’autre moitié c’est-à-dire vouloir que ça disparaisse, c’est plus dur. Il faut demander à la NSA de nettoyer ses backups ! En invoquant le RGPD, ça marchera mieux.

Natouille : Il va faire appel à la NSA !
Y a-t-il d’autres remarques ? Du coup ce soir, demain, est-ce que vous allez nettoyer vos disques durs, nettoyer vos comptes, chercher vos vieux logins ?
Je termine sur une petite anecdote. Il y a quelques semaines, j’ai reçu un mail de La Redoute qui me disait « ça fait deux ans que vous n’avez rien commandé chez nous, si vous ne vous manifestez pas, on va supprimer votre compte. », c’est bien de prévenir. Bizarrement depuis, dans la foulée, ils m’envoient régulièrement des mails, toutes les deux/trois semaines, en me disant « c’est bientôt votre anniversaire » ou « les nouveautés du mois. ». Finalement, si on ne se manifeste pas, ils essayent de continuer à relancer comme ça.

Public : Quand on supprime, est-ce que c’est vraiment supprimé ?

Natouille : Ça dépend des endroits. C’est typiquement ce qu’on disait tout à l’heure. Au niveau de ce qui va être Facebook et Google, on a l’impression qu’ils suppriment, mais ils ne suppriment pas vraiment, peut-être que les trucs en France. On ne sait pas. Tu sais ?

Public – Stéphane Bortzmeyer : En fait, un des gros intérêts du piratage c’est que ça révèle des trucs sur ce qui passe. Il y avait un site de rencontres en ligne, qui s’appelait Ashley Madison, où on pouvait supprimer son compte. Il fallait payer pour le supprimer, ce qui est déjà scandaleux. Mais le plus rigolo, quand le site a été piraté après et que la base de données a fuité, on a vu que pour les comptes supprimés, il y avait juste dans la base de données une colonne qui était rajoutée deleted true, mais toutes les données étaient toujours là. Je pense que cela est dû à plusieurs raisons, mais c’est en partie lié à un angle économique qui est que vu le prix des disques durs aujourd’hui, c’est moins cher de garder que de supprimer qui nécessite une action délibérée. C’est d’ailleurs pour cela que les conseils genre « pour sauver la planète, nettoyez votre boîte mail » sont absolument débiles, puisque l’action à la fois par l’humain et par l’ordinateur aura une empreinte environnementale plus grosse que la consommation de disques.
Vu ce cadre économique et le prix du stockage, personne ne supprime. En plus, il s’agit de sauvegarde qui sont hors ligne, non connectées à un ordinateur, ça nécessiterait de récupérer le média, de le monter. En fait, c’est bien plus coûteux de supprimer une donnée que ça n’a été de la récolter au début, donc on ne le fait pas.

Natouille : Voilà, encore le capitalisme !
Ça me fait penser au film avec Blanche Gardin, où elle va dans la Silicon Valley, dans un datacenter, parce qu’il y a des photos de cul d’elle, qu’elle veut rentrer pour les détruire, effacer les données.

Public – Stéphane Bortzmeyer : Le film est très drôle et très réussi, je vous le recommande. Son titre est Effacer l’historique. Elle a été effectivement victime d’une sextape faite à son insu. Il y a une erreur technique dans le film : la supposition que les données sont à un endroit physique particulier, c’est ce qu’elle pense et ce n’est pas vrai.

Public : Donc les données, supprimées ou pas, restent indélébiles.

Public – Stéphane Bortzmeyer : Sauf quand on en a besoin. En fait, elles sont dans des endroits qui ne sont pas forcément accessibles, mais oui, elles sont forcément quelque part.

Natouille : Internet n’oublie rien ! Internet n’a pas Alzheimer, sauf pour savoir si vous êtes mort.

Public : Après, on peut quand même se dire que si on a donné nos données à une association en laquelle on a confiance et que l’association dit qu’elle va les supprimer, elle va le faire. On ne peut pas avoir confiance dans des acteurs commerciaux pour qui on se dit que ça va être plus cher de supprimer que de garder. Mais il existe un petit bout de gens ou un petit bout de collectifs en qui on peut avoir plus confiance que dans le reste. Je pense que c’est plus ça.

Natouille : Ayons encore un peu foi en l’humanité.

Public : Juste en guise de plaisanterie, pour revenir aux légalistes et au RGPD, dans les 99 articles, le droit à l’oubli, c’est une coche « oublier ».

Natouille : Il est 25, je pense qu’on a fait un peu le tour. Ça va être le moment de la pause buvette.

[Applaudissements]