#Le brief du 20 janvier 2026

Algorithme de la CAF : des organisations européennes rejoignent la Quadrature du Net

Dix nouvelles organisations se joignent à la requête déjà déposée devant le Conseil d’État pour contester l’usage que fait la Caisse nationale des affaires familiales (CNAF) et les CAF affiliées d’un algorithme de détection des paiements indus pour lutter contre de potentielles fraudes. 
Parmi elles, plusieurs acteurs européens de défense des droits humains ou des droits numériques.

En octobre 2024, emmenées par l’association de défense des droits numériques la Quadrature du Net, 15 associations, dont Changer de Cap, le Mouvement national des chômeurs et précaires (MNCP), la Ligue des droits de l’homme (LDH) ou encore le Syndicat des avocats de France, déposaient un recours sur le sujet devant le Conseil d’État.

Auprès de Next, la responsable numérique de Changer de Cap expliquait : « On attend l’interdiction de l’algorithme de la CAF, et par jurisprudence, l’interdiction des algorithmes similaires utilisés par France Travail, par l’assurance maladie, par l’assurance vieillesse, etc. ». Juriste auprès de la Quadrature, Bastien Le Querrec expliquait par ailleurs que le groupe d’associations demandait au Conseil d’État de se prononcer sur la légalité de l’outil au regard du Règlement général sur la protection des données (RGPD), ou de demander l’avis de la Cour européenne de justice (CJUE).

Le 15 janvier, la CNAF publiait une notice relative à son nouveau modèle de datamining, nommé DMDE 2026. Elle y signalait notamment que l’algorithme critiqué par les associations était un outil « de contrôle », autrement dit, « un appui, pas une " décision automatique " ».

algorithmes de la CAF

« Dans un contexte de forte attente de la société en matière de transparence sur ce sujet, cette refonte est la première mise en œuvre complète d’une démarche éthique dès la conception sur un algorithme de la Cnaf », indiquait l’entité.

De fait, elle a partagé le code de l’outil, une démarche dont la Quadrature du Net « salue la transparence » dans un communiqué, avant de souligner que « la transparence seule ne suffit pas ».

Ce 20 janvier, le groupe initial de 15 associations françaises est rejoint par dix nouvelles organisations non gouvernementales. Parmi elles : plusieurs syndicats français (Confédération Générale du Travail, Union Syndicale Solidaires, Fédération Syndicale Unitaire Travail Emploi Insertion Organismes Sociaux), le mouvement des mères isolées, Féministes contre le cyberharcèlement, ou encore l’association Data for Good, qui cherche à « mettre la technologie au service de l’intérêt général ». 
Le groupe est aussi rejoint par des acteurs européens : l’ONG allemande Algorithm Watch, la polonaise Panoptykon Foundation, European Digital Rights (EDRi) et European Newtork Against Racism.

Pour la Quadrature, la diversité des acteurs désormais mobilisés dans le recours déposé devant le Conseil d’État est un argument en faveur du renvoi de l’affaire « devant la Cour de justice de l’Union européenne ». Une telle logique permettrait à la décision finalement prise d’être « applicable à l’ensemble de l’Europe ».

Capgemini envisage jusqu’à 2 400 suppressions de postes en France

Capgemini, première entreprise de services numériques (ESN) en France en volume d’affaires, a annoncé mardi 20 janvier envisager « jusqu’à 2 400 suppressions de postes » via des reclassements ou des départs volontaires, dans un communiqué transmis à l’AFP et relayé par France Info.

« Dans un environnement économique marqué par une croissance modérée et des défis majeurs pour certaines industries (…) Capgemini en France doit se transformer pour répondre aux challenges et opportunités créés par l’accélération des mutations technologiques, notamment l’intelligence artificielle », écrit le groupe, qui compte 35 000 collaborateurs dans l’Hexagone, et environ 355 000 dans le monde.

Ce plan doit encore faire l’objet d’une présentation et de négociations avec les instances représentatives du personnel, indique Capgemini, qui réduirait donc de près de 7 % ses effectifs en France.

Aucune indication n’a été donnée quant à la localisation géographique ou à la nature des métiers concernés, le groupe se contentant simplement d’indiquer que les suppressions interviendraient dans les « filières fortement impactées par l’évolution de la demande client et les mutations technologiques ».

Capgemini, dont le cours a perdu près de 3 % mardi en début d’après-midi à la Bourse de Paris dans un contexte globalement baissier, doit présenter le 13 février prochain les résultats financiers de son exercice 2025. Pour son troisième trimestre 2025, il faisait état d’un chiffre d’affaires en légère croissance, et soulignait « la pertinence de [son] positionnement de partenaire commercial et technologique basé sur l’IA ».

Sans lien annoncé avec cette décision, Capgemini est présent cette semaine à Davos avec un discours axé sur les possibilités offertes par l’IA et la nécessité d’accompagner les dirigeants dans les évolutions à venir en matière de « gouvernance, de compétences, de responsabilité et d’ »alchimie Homme-IA » »

En juillet dernier, Capgemini a lancé le processus d’acquisition de son homologue et concurrent indien WNS, notamment pour nourrir ses offres en matière d’IA agentique.

Licences VMware : au tour de la CNAM de faire plier Broadcom

Après avoir racheté VMware pour 61 milliards de dollars en 2022, Broadcom s’est rapidement mis en tête de rentabiliser au maximum son emplette avec des modifications brutales des conditions de ventes, y compris sur d’anciens contrats.

Le ton est rapidement monté avec des attaques en justice de géants comme AT&T, Orange et Thales. Chez AT&T par exemple, il était question d’une hausse de… 1050 % sur la facture.

Comme le rapporte Silicon, un autre acteur est passé par la case justice pour faire valoir ses droits : la Caisse nationale d’assurance maladie (CNAM). Nos confrères expliquent que « la CNAM a obtenu de Broadcom la possibilité de convertir des jetons en licences perpétuelles. Une affaire passée par le juge des référés ».

Nos confrères ajoutent que « Broadcom a fini par accéder à la demande », la CNAM s’est ensuite désistée de sa requête le 23 décembre.

À CIO, l’avocat François-Pierre Lani explique que « le précédent Thales a tout de même fragilisé la position de Broadcom ». Durant l‘été 2024, un jugement avait en effet contraint VMware à laisser en place des contrats de licence. « Autrement dit, pour la justice, l’éditeur ne peut pas tirer un trait sur les droits acquis pendant l’exécution des contrats existants », ajoutaient nos confrères. L’avocat précise qu’il « faut mettre à chaque fois Broadcom au pied du mur » pour obtenir gain de cause.

Copyright : NVIDIA a contacté Anna’s Archive pour entrainer ses IA sur des millions de livres

NVIDIA serait entrée en contact avec les responsables de la « bibliothèque clandestine » Anna’s Archive selon des documents d’un procès en cours contre l’entreprise.

En mars 2024, NVIDIA a été attaquée par cinq auteurs de livres pour violation du copyright pour avoir entrainé ses modèles sur une compilation de livres dans laquelle apparaissent leurs textes.

Notamment, ces auteurs pointaient l’utilisation de « bibliothèques clandestines » comme Anna’s Archive.

Dans un texte ajouté au dossier, les avocats des auteurs citent plusieurs documents internes à NVIDIA montrant que l’entreprise a contacté le projet Anna’s Archive. « À la recherche désespérée de livres, NVIDIA a contacté Anna’s Archive, la plus grande et la plus effrontée des bibliothèques clandestines encore existantes, afin d’acquérir ses millions de documents piratés et "d’inclure Anna’s Archive dans les données de pré-entraînement de nos LLM" », rapporte TorrentFreak. L’entreprise a contacté les responsables de la bibliothèque clandestine pour obtenir un « accès à de grands volumes de jeux de données uniques et de haute qualité » en éclaircissant si besoin était leur demande avec la précision « c’est-à-dire des livres ».

livre dématérialisé

« Comme Anna’s Archive facturait des dizaines de milliers de dollars pour un « accès haut débit » à ses collections piratées voir https://annas-archive.org/llm, NVIDIA a cherché à savoir à quoi ressemblerait un « accès haut débit » à ces données », explique le document associé à la plainte [PDF].

Toujours selon les avocats des auteurs, l’équipe de management de NVIDIA aurait donné le feu vert à cette utilisation alors qu’Anna’s Archive avait bien précisé la nature illégale de ses collections.

GenAI : Daniel Stenberg (cURL) en a ras le bol des rapports de vulnérabilité bidons

Dans un message sur une liste de diffusion, Daniel Stenberg (ancien de Mozilla et créateur de cURL), a fait part de son agacement contre les signalements de failles générés par IA qui prennent de plus en plus de temps pour pas grand-chose :

« Nous avons commencé la semaine en recevant sept signalements sur HackerOne en seize heures. Certains n’étaient que des bugs et s’en occuper a pris un certain temps. Finalement, nous avons conclu qu’aucun d’eux n’avait identifié de vulnérabilité et nous comptons déjà vingt soumissions effectuées en 2026 ».

cURL est donc en train de sortir de tout programme du genre Hackerone pour essayer de limiter les « rapports de piètre qualité et mal documentés. Générés par IA ou non. Le flot actuel de soumissions met à rude épreuve la sécurité de cURL », ajoute-t-il.

flock

Daniel Stenberg garde espoir de continuer « à recevoir des signalements de failles de sécurité réelles, même sans compensation financière. L’avenir nous le dira ». Dans tous les cas, la suppression de « toute mention d’une prime et de HackerOne » devrait être une réalité dans cURL d’ici la fin du mois de janvier.

Dans son message, il revient aussi sur sa réaction sur les réseaux sociaux où il a « publiquement ridiculisé » (ce sont ses propres mots) une des personnes ayant soumis un rapport « absurde généré par IA ». Le pirate en herbe affirme que ce message aurait « ruiné sa carrière », tandis que Daniel Stenberg rappelle que tout ce qu’il a sur cette personne est « un pseudonyme de hacker utilisé une fois dans un rapport ».

« Il faut trouver un juste milieu, bien sûr, mais je reste convaincu que dénoncer, discuter et ridiculiser ceux qui nous font perdre notre temps est l’un des meilleurs moyens de faire passer le message : il ne faut JAMAIS signaler un bug ou une vulnérabilité sans le comprendre parfaitement ni le reproduire. Si vous le faites malgré tout, je pense avoir le droit de me moquer de la personne concernée et d’être en colère contre elle. Bien sûr, il faut aussi savoir se modérer », indique-t-il pour finir sur ce sujet.

Nouvelle fuite de données à l’Urssaf, 12 millions de victimes potentielles

L’Urssaf a publié lundi 19 janvier au soir une alerte relative à « un accès non autorisé à l’API (interface d’échanges) contenant certaines données de la déclaration préalable à l’embauche, réservée à ses partenaires institutionnels ».

Cette intrusion aurait permis la consultation ou l’extraction de données relatives à des salariés « ayant fait l’objet d’une nouvelle embauche depuis moins de 3 ans ». Les informations concernées sont « nom, prénom, date de naissance, Siret de l’employeur, date d’embauche », indique l’organisme.

L’accès aurait été réalisé via un compte partenaire, grâce à des identifiants dérobés lors d’une attaque survenue plus tôt et ayant visé ce partenaire. Les systèmes d’information de l’Urssaf n’auraient pas été compromis, et la continuité de service est assurée pour la déclaration préalable à l’embauche.

« Les employeurs peuvent continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement », promet l’Urssaf, qui indique avoir immédiatement pris les mesures nécessaires, mis fin aux accès du compte compromis et augmenté la « sécurisation des habilitations des partenaires pour limiter les risques ».

L’Urssaf ne précise pas nommément qui sont les victimes potentielles mais chiffre à 12 millions de salariés le périmètre de salariés concernés.

L’organisme en charge des cotisation sociales avait déjà été victime d’un incident de cybersécurité en novembre dernier. Il concernait alors le service Pajemploi (formalités entre parents employeurs et gardes d’enfants), et avait exposé « jusqu’à 1,2 million de salariés de particuliers employeurs ».