Cuadernos Lacre est une publication périodique sur l'univers de la vie privée numérique : chiffrement, communications, protection des données, législation européenne et souveraineté numérique pour les professionnels et les entreprises.
Nous ne promouvons aucun produit. Nous analysons le secteur. Et nous le faisons à partir d'une position concrète : celle de ceux qui construisent Solo2, un outil de communication de point à point. Notre point de vue n'est pas neutre, mais il est déclaré.
Sans pop-ups. Sans publicités. Sans ressources tierces. Seulement un compteur de visites anonyme auto-hébergé sur nos serveurs européens, et le JavaScript indispensable —écrit ou supervisé par nous— pour que vous puissiez choisir la langue et un thème clair ou sombre. Votre préférence est enregistrée sur votre propre appareil ; elle ne nous parvient jamais.
-
Vous n'êtes pas anonyme
Vous n'êtes pas anonyme, et vous ne l'avez jamais tout à fait été. Mais la question qui compte n'est pas de savoir s'ils peuvent vous voir, mais à qui vous êtes obligé de faire confiance — et pourquoi le seul canal sans intermédiaire est de se parler en direct.
-
Ce qu'une signature ne peut pas réparer
« Qu'ils signent une autorisation et c'est réglé » est l'issue de confort lorsqu'un canal ne convient pas aux données sensibles. Mais une signature ne déplace pas les données, ne peut céder ce qui appartient à des tiers et, loin de corriger le manquement, en laisse une trace écrite. La seule chose qui résout le problème est que les données n'aillent pas là où elles ne doivent pas.
-
Confidentialité réelle vs apparente : les questions à se poser
Synthèse opérationnelle du cycle 2 : les questions distinguant un service avec confidentialité architecturale d'un avec confidentialité déclarative. Douze questions organisées en six couches pour le professionnel européen avant d'adopter tout outil numérique pour des données sensibles.
-
Self-hosting comme pratique professionnelle
Quand l'auto-hébergement est prudence professionnelle et quand il est excès. Le RGPD appliqué à son propre serveur, les trois figures intermédiaires entre le cloud transatlantique et le sous-sol, et la question du coût réel au-delà du matériel.
-
Les 24 mots : qu'est-ce qu'une identité cryptographique
Une identité cryptographique n'est pas un mot de passe : aucun serveur ne la garde et elle ne se récupère pas. Une explication didactique du mécanisme BIP39, pourquoi exactement vingt-quatre mots, et quel poids réel pèse sur celui qui les possède.
-
Le modèle économique comme signal de confiance
Comment un service est soutenu économiquement détermine ce que l'utilisateur représente pour ce service. Cartographie des modèles en circulation et la question opérationnelle à poser avant de confier des données de tiers à un outil numérique.
-
Chiffrement de bout en bout, enfin expliqué
Ce que les fournisseurs disent lorsqu'ils disent E2EE et ce qu'ils ne disent pas. De l'échange Diffie-Hellman au protocole Signal : une explication didactique du mécanisme et de ses limites, avec la question opérationnelle qui importe.
-
Kill switch et capture institutionnelle
Une promesse de protection retenant la possibilité de la retirer. Analyse d'un modèle de conception parcourant Tesla, John Deere, Adobe, Apple Pay ou les obligations européennes du DSA et de l'AI Act.
-
Ce qu'est réellement SHA-256
Une empreinte mathématique tenant en soixante-quatre caractères et changeant entièrement à la moindre modification du texte. Pourquoi nous l'appelons sceau de lacre numérique et où il apparaît dans votre quotidien.
-
Schrems II, cinq ans après
Cinq ans après l'arrêt C-311/18 de la CJUE (TJUE), le cadre juridique des transferts de données personnelles entre l'Europe et les États-Unis reste instable. Analyse pour les professionnels européens dépendant des services cloud américains.
-
Quand il n'y a personne au milieu
Chiffrer ce qui passe par un serveur protège le contenu. Ne pas avoir de serveur au milieu élimine la question. Un analyse architecturale sur la différence entre les deux modèles dans la communication professionnelle.
-
RGPD et messagerie professionnelle : pourquoi la majorité est en infraction sans le savoir
Presque tous les cabinets, cliniques ou bureaux de conseil envoient des documents contenant des données clients via des applications de messagerie dont le serveur se trouve hors de l'Espace Économique Européen. Ils le font de bonne foi. Le règlement européen a pourtant son mot à dire à ce sujet.
-
Le secret professionnel à l'ère numérique
Le secret professionnel n'est pas seulement une obligation légale. C'est le fondement de la confiance entre le professionnel et son client. Lorsque cette communication passe par un canal techniquement inapproprié, le secret n'est pas rompu le jour où quelqu'un divulgue quelque chose : il a été rompu bien plus tôt, au moment de choisir l'outil.
-
Chiffrer n'est pas être privé : ce que les métadonnées disent de vous
Ce n'est pas parce qu'un service de messagerie annonce un chiffrement de bout en bout que votre conversation est privée. Le contenu est chiffré, certes. Mais le schéma — avec qui vous parlez, à quelle heure, combien de fois — en dit presque autant que le message lui-même. Et bien souvent, il n'est pas chiffré du tout.
-
Une brève histoire du cachet de cire
Pendant quatre siècles, une goutte de cire rouge garantissait que personne n'avait lu une lettre. Nous l'avons perdue dans la transition numérique. Elle est récupérable. Une brève histoire du cachet de cire comme instrument d'intégrité par conception physique, et de son équivalent numérique : le sceau SHA-256 sur une architecture sans intermédiaires.