Comment évaluer le risque d'une partie prenante ?

Par Everteal - Dernière modification : 3/19/2026
Temps de lecture estimé : 9 minutes

Capture d’écran de Penguin Runner, listant plusieurs parties prenantes. Le logiciel est développé par
Tango Gameworks (une entreprise basée au Japon), qui appartient Krafton (une entreprise côtée en bourse basée
en Corée du sud. Il est publié par Bethesda Softworks (une entreprise non côtée basée aux États-Unis), qui
appartient à ZeniMax Media (une entreprise non côtée basée aux États-Unis), qui eux même appartiennent à
Microsoft Gaming, une division de Microsoft (une entreprise côtée en bourse aux États-Unis). Sont indiqués
en rouge (risque haut) les formes juridiques d’entreprises côtées en bourse, et les indicateurs de pays
pour les entreprises basées aux États-Unis. — Les parties prenantes du jeu-vidéo Hi-Fi Rush.

Si vous vous êtes rendu sur la page d'un logiciel sur Penguin Runner, vous pourrez observer que ses « parties prenantes » (développeurs, éditeurs, constructeurs…) sont listées directement. Pour avoir plus d'information sur les informations affichées, je vous recommande d'aller lire la section sur les parties pérennantes dans l'article d'aide sur Penguin Runner.

Elle liste notamment les critères utilisés pour noter les formes juridiques et juridictions en question. Cet article traite de comment lire ces informations, et de quoi en déduire.

Forme juridique

La forme juridique d'une partie prenante va affecter, entre autres, deux types de risque liés à l'utilisation d'un logiciel.

Le risque de « merdification » (en anglais enshitification) —
qui correspond à une dégradation progressive du logiciel/service afin d'essayer de rentabiliser un investissement de la partie prenante dans le logiciel.
Ce risque est proportionnel à la recherche de profit d'une partie prenante.
Le risque d'espionnage industriel par les agences de renseignement —
à l'instar du programme PRISM, qui pourraient offrir des financements contre un accès automatisé à vos informations.
Ce risque est proportionnel à la recherche de profit, aux obligations légales, et à la non-transparence dans le processus de dévelopment et décisionel d'une partie prenante.

Parmi les différentes formes juridiques possibles pour une partie prenante, les enterprises — et tout particulièrement celles côtées en bourse — sont les plus susceptibles d'être aguichées par l'appât du gain et du profit. C'est notamment sur ces dernières que se sont concentrées les agences de renseignement pour obtenir des informations sensibles, la merdification n'étant qu'une conséquence de leur business model.

Mais ce ne sont pas les seuls. Les agences gouvernementales (notamment en France, les EPICs, qui ne reçoivent pas ou peu de financements de l'État) ainsi que les créateurs individuels peuvent être, eux aussi, sensibles à l'arrivée d'une mânne d'argent potentielle. Toutefois, le processus de merdification a moins été observé chez ces parties prenantes que pour les entreprises.

Juridiction et législation

Organisations d'espionnage supra-constitutionnelles

Les organisations comme les Five Eyes, ses succursales comme les Quatorzes Yeux, ou ses concurrents comme l'Organisation de Coopération de Shanghai, originellement créées dans le but de partager des informations de renseignement entre différents pays alliés, servent surtout aujourd'hui à contourner les obligations constitutionnelles des États, notamment sur l'obligation de non-espionnage de ses citoyens.

Comment ça marche ? Rien de plus simple.

Les services secrets France veut des informations sur un citoyen Français. Il peut s'agir d'un trafficant de drogue, d'un simple activiste écologiste, ou même juste de quelqu'un qui est passé pas loin d'un lieu d'une manifestation. Toutefois, dans la constitution française, il est écrit que l'État ne peut pas espionner un individu de manière invasive (par exemple, lire ses correspondances, peu importe leur forme) sans mandat d'un juge.

Cette protection permet notamment d'assurer que les communications entre un individu et son avocat restent secrètes.

Toutefois, comme pour tous les pays ayant des lois de ce genre, ces restrictions ne s'appliquent qu'aux personnes détenant la nationalité du pays. Par exemple, une agence de renseignement américaine n'est pas soumise à de telles restrictions pour un citoyen français. Le principe de ces organisations, c'est que les pays espionnent les citoyens des autres pays, puis se partagent les informations entre eux, permettant aux agences de renseignement d'obtenir des informations sur des personnes qu'elles n'auraient pas été autorisées d'espionner, sans violer leur constitution.

Astucieux, et complètement éhonté.

Mais peut-être plus dangereux que cela, c'est le fait que l'existence d'une telle infrastructure permettent que vos informations circulent très vite entre plusieurs États, dont certains qui n'auraient probablement pas vos meilleurs intérêts à cœur. Un logiciel chinois — dont les services de renseignement ont accès aux données — pourrait faire que vos informations soient transmises au FSB. Avec la guerre en Ukraine et les sanctions, c'est un petit peu gênant.

Pays autoritaires et surveillances de masse

Dans les pays autoritaires (mais pas que), il est fréquent que les gouvernements pratiquent la censure, et par conséquent la surveillance des journalistes. Cela est communément associée à une surveillance accrue des populations, notamment militaire.

J'enfonce peut-être des portes ouvertes ici, mais il est important d'être conscient qu'utiliser un service en provenance d'un pays qui réprime sa population peut vous mettre à risque d'être surveillé par ce même régime — les liens entre ces derniers peuvent être très étroits.

Bon historique de vie privée et RGPD

Certains pays, comme la Suisse et l'Islande, bénéficient depuis longtemps d'une bonne réputation en termes de protection de la vie privée et de vos données (cela va main dans la main), notamment grâce à des protections constitutionnelles importantes, et un historique de refus de transmission de données lorsque mis sous pression externe.

En 2018, le parlement Européen a décidé d'harmoniser et de renforcer les différentes législations pro-vie privée qui ont existées en Europe en un nouveau cadre législatif, le Règlement Général sur la Protection des Données (ou RGPD).

Exit ici les attaques en justices contre des entreprises du numérique à la taille démesurée, entre le signalement aux « autorités de contrôle indépendantes » (en France la CNIL) qui vont prendre en charge l'attaque en justice contre ces mastodondes. Et les amendes font peur ; elles vont jusqu'à deux pourcents du chiffre d'affaires annuel de l'entreprise. Ici, pas d'échapatoire via les méthodes d'évasion fiscale classiques. Evidement, à l'époque, les grandes entreprises du numérique ont crié au scandale, et feront tout pour que ça capote. Mais cela échouera, et le RGPD deviendra le joyeau de ce qui est aujourd'hui appelé l'effet Bruxelles.

Dans les faits, si vous êtes citoyen d'un pays qui a implémenté le RGPD dans son apparatus juridique (UE, EEA, Royaume-Uni, Serbie, Kosovo…), et qu'une organisation possède des données à votre sujet, peu importe son emplacement et forme juridique, elle doit être en mesure de répondre à vos demandes concernant vos droits sur vos données, comme par exemple :

le droit d'accès: L'organisation doit être en mesure de pouvoir vous donner TOUTES les informations qu'elle a collecté à votre sujet.
le droit à l'effacement (anciennement appelé droit à l'oubli): L'organisation a pour obligation de supprimer les informations qu'elle possède sur vous.
le droit à la portabilité des données: Une des révolutions du RGPD — l'organisation doit pouvoir vous fournir une version lisible par machine de vos données. Cela vous permet notamment d'aller transférer vos données chez un concurrent facilement.
le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé: L'organisation est obligée de faire revoir une de leurs décisions réalisées automatiquement à votre sujet (si elle est significative) par un être humain sur votre demande.

Je réitère : le RGPD s'applique à TOUTE organisation qui a des clients qui ont la nationalité d'un pays qui l'a implémenté. Une entreprise aux États-Unis doit appliquer le RGPD, à minima pour leurs clients Européens.

Mais vous pourriez vous demander, si cette loi n'a pas de lien avec la législation du pays d'une partie prenante, alors pourquoi est-ce que je la mentionne ici ?

La raison est assez simple. Je pars du principe qu'une organisation B2C, créant des logiciels pour des utilisateurs finaux et non pas d'autres entreprises, a plus de chance d'avoir grande partie d'utilisateurs au sein de son pays d'origine. Par conséquent, elle a plus de chance d'avoir intégré les processus de demande du RGPD directement dans leur service ou logiciel.

À titre individuel, cela améliore la protection de vos données, et de partir chez la concurrence très rapidement au premier problème de gouvernance.

Qu'est-ce qui est le plus important ?

La législation d’un pays importe moins dans le risque que la forme juridique et la licence du logiciel édité.

Par exemple, Signal est basée aux États-Unis, mais l’organisation qui la développe est une Fondation, et le logiciel est libre. À l’inverse, Olvid, même s’il est basé en France, est développé par une entreprise, et n’est que partiellement libre (l’application l’est, mais pas le logiciel serveur).

Les deux utilisent les Services Webs d'Amazon. Aucun ne peut donc être considéré comme souverain. Toutefois, vu que le code serveur de Signal est ouvert, on peut vérifier s'ils ne conservent vraiment rien d'autre que la date de création des comptes et de dernière connexion. En plus de cela, le fait que le logiciel serveur est libre permet à quiconque aurait quelques connaissances techniques de pouvoir l'auto-héberger, à moindre coût.

Comprenez ceci : pour 10 euros par mois, il est possible d'héberger son propre Signal, où on le souhaite. Impossible de faire la même chose pour Olvid. Cette entreprise française exige que vos messages passent par Amazon, et en gise de preuves de la protection de vos données, n'offre que des promesses. Même s’ils ont reçu l’aval de l’ANSSI, ils n’ont pas la plus haute certification SecNumCloud.

De plus, étant une entreprise, Olvid possède des actionnaires. Notamment un ancien de chez Lehman Brothers, basé au Luxembourg qui possède 16 % du capital. Ce dernier pourrait choisir de vendre ses actions à un fond d'investissement américain qui offrirait de les racheter à prix d’or, et s'ils venaient à obtenir une majorité au capital, rendre l'application susceptible au CLOUD Act.

Il en existe dont c'est la spécialité.

À l’inverse, si Signal est partiellement développé par une entreprise, cette dernière appartient à la Fondation Signal. Ils n’ont pas d’actionnaires qui peuvent leur forcer la main pour coopérer avec les agences de renseignement.

C’est pour cela que — pour le grand public — Signal est considéré comme plus fiable, malgré le fait qu’ils soient basés aux États-Unis et demandent un numéro de téléphone pour s'enregistrer.

Propriétaires et maisons mères

Il existe plusieurs états ayant des lois à portée extraterritoriale, comme les États-Unis, ou anti-chiffrement comme en Australie, en Chine, ou en Inde. Si une entreprise est basée dans un de ces pays, il est important de considérer la possibilité qu’ils leur imposent de l’appliquer à leurs filiales, même si elles sont basées dans des pays où la législation de telles pratiques sont interdites.

De même, si une entreprise appartient à une autre côtée en bourse, elle est plus à risque de « merdification », alors qu’une entreprise possédée par une ONG va à l’inverse en être mieux protégée.

Toutes ces informations ne sont que des indicateurs

Avoir des parties prenantes ayant des critères à haut risque ne veut pas forcément dire qu’un logiciel est compromis. De même, un logiciel dont les parties prenantes ont un risque faible ou négatif ne veut pas dire qu’il applique une politique véritablement pro-vie privée, ou qu’ils ont pris les bonnes mesures pour la sécurisation de vos données.

Il est important de pousser la recherche plus loin pour obtenir une idée précise du risque associé à son utilisation.