Vos données sont déjà publiques. Ce que ça change vraiment.

Le client signe le NDA, range le contrat dans son coffre, et sa boîte mail historique vient d’être dumpée dans un forum russe. Cette scène, je la vois tous les ans. Le NDA n’a jamais protégé ses données. Il protégeait juste le sentiment qu’elles étaient protégées.

Le piège habituel

• Le discours dominant : “protégez vos données”. Présuppose un état initial confidentiel.
• Cet état n’existe pas. N’a pas existé depuis 2013 au plus tard.
• La fiction du privacy first sert : régulateurs (qui produisent du droit), éditeurs SaaS (qui vendent du “compliance”), utilisateurs (qui ne veulent pas regarder).
• Conséquence : on durcit des coffres-forts pendant que la porte d’entrée est ouverte depuis dix ans.

Inventaire honnête de ce qui est déjà sorti

Les brokers de données

• Acxiom, Experian, LexisNexis, Equifax, Oracle Data Cloud, LiveRamp, Epsilon — taille de leurs bases, types de données collectées, modèle économique
• Données psychographiques : prédictions de comportement, scoring crédit shadow, scoring assurance shadow
• Acquisition : cartes fidélité, formulaires web, applis, opt-out par défaut, partenariats opaques entre éditeurs

Les leak databases

• HIBP : 13 milliards de comptes indexés, mais c’est la pointe de l’iceberg public
• DeHashed, Intelligence X, Snusbase, Constella Intelligence : ce qu’on y trouve réellement (mots de passe en clair, dumps anciens)
• RaidForums, Breached, leur arrivée et leur saisie — les dumps survivent
• Cas emblématiques : Collection #1 (773M emails, 2019), LinkedIn 2021 (700M profils), Facebook 2019 (533M), 23andMe 2023, OPM 2015

Les registres publics

• BODACC, RCS, INSEE, Companies House, OpenCorporates : votre vie professionnelle est cartographiée
• Pour les dirigeants : Pappers, Infogreffe, registres fonciers, déclarations CNIL historiques
• Annonces légales : mentions historiques jamais effacées

Les archives

• Wayback Machine : votre site perso de 2008, votre profil LinkedIn d’il y a 5 ans
• archive.today : capture à la demande, pas de droit à l’oubli
• Google Cache historique : encore accessible via certaines requêtes

Les réseaux sociaux indexés

• Posts publics, mais aussi métadonnées (likes, listes amis, géoloc EXIF)
• LinkedIn : votre CV complet, vos contacts, votre historique de mobilité
• Twitter/X : 16 ans de prises de position

Pourquoi vous ne pouvez pas reprendre le contrôle

• Architecture distribuée du leak : pas un endroit, mais une infinité de copies
• Droit à l’oubli RGPD : limité à l’EU, à des opérateurs identifiés, à des données “manifestement excessives”
• Streisand effect : demander la suppression amplifie souvent l’exposition
• Revente perpétuelle : un dump leaké en 2019 sera revendu en 2030
• Impossibilité d’audit : vous ne savez pas qui détient quoi, vous ne pouvez pas auditer

Le pivot stratégique

Compartmentation, pas confidentialité

• Au lieu de “tout protéger”, séparer les identités par usage
• Une fuite sur une identité ne contamine pas les autres
• Voir l’article Compartmentation d’identité

Rotation, pas permanence

• Mot de passe = secret périssable (3 mois)
• Adresse mail = identité périssable (2 ans)
• Numéro de téléphone = identité périssable (5 ans)
• Routine de rotation, pas attachement aux identifiants

Résilience, pas prévention absolue

• Vous serez compromis un jour. Préparer la réponse, pas la prévention.
• Plan d’incident personnel : qui appeler, comment couper, comment recouvrer
• Voir l’article Incident response sur le terrain

Threat modeling à partir d’un état de fuite

• Inventaire de votre exposition connue (voir Audit d’exposition)
• Pour chaque exposition, classer : critique / sensible / publique / bénigne
• Pour chaque critique, action : muter, retirer, accepter (et préparer la réponse)

Erreurs qu’on voit tout le temps

• “J’ai un VPN, donc je suis protégé” : confusion entre confidentialité de transit et confidentialité d’identité
• “Je n’ai rien à cacher” : confusion entre cacher et contrôler
• “J’ai changé mes mots de passe” : sans rotation des identités sous-jacentes
• “Je n’utilise pas Facebook” : sans considérer LinkedIn, l’employeur précédent, le syndic, le registre du commerce

Pour qui c’est important

• Tout le monde, mais avec des seuils de criticité différents
• Surtout : dirigeants, journalistes, avocats, dissidents, personnes à patrimoine, personnes à contentieux familial ou professionnel
• Cas critique : profils impliqués dans M&A, contentieux pénal, divorce conflictuel, exposition médiatique

Checklist actionnable

• N1 Faire l'audit d'exposition personnel (HIBP + DeHashed + Google dorks sur soi)
• N2 Lister les identifiants critiques (mail, téléphone) et planifier leur rotation
• N2 Cartographier ses identités par usage actuel (perso/pro/sensible)
• N2 Identifier les 3 expositions les plus critiques et décider : muter, retirer, accepter
• N3 Construire un plan d'incident personnel (1 page A4)