Panodyssey - Pas de blabla, des résultats !

Pas de blabla, des résultats !

Voilà un moment que j’appréhende en silence l’évolution du débat à propos de Whatsapp, du groupe Panodyssey et de la polémique qui a suivi : cette antinomie de philosophie entre la plateforme et l’application appartenant au groupe Meta.

Je ne vous cache pas que j’ai quitté Whatsapp depuis plus de trois ans pour des raisons évidentes de manque de sécurité du logiciel, de collectes irrévérencieuses de données et du pseudo-cryptage des conversations. Je vous en ai déjà parlé, d’ici à fin juin, j’aurai également quitté toutes ces applications bruyantes et addictives que sont Facebook, Instagram et Threads.

L’excellent post de Daniel Muriot concernant Signal (à lire ici) m’a décidé à me pencher, à mon tour, sur le sujet.

Mes contraintes premières :

Pour commencer, un logiciel multiplateforme (Linux, Windows, Mac, Android et iOS)
Inclure ce qui est déjà installé chez moi : Signal, Telegram, Threema, Proton (Meet), sachant que Proton Meet n’est pas à proprement parler une messagerie, mais une application de visioconférence. J’utilise les services payants de la formule Proton Unlimited (Suisse) depuis plus de cinq ans, donc je l’inclus par la force des choses.

J’en arrive à la liste suivante :

J’ai donc demandé à l’IA un comparatif des CGU en excluant Wire qui n’entre pas totalement dans mes critères : la branche de développement Linux ne possède pas de suivi régulier.

Comparatif CGU & juridiction — Messageries sécurisées (mai 2026)

⚠️ Préambule : le problème structurel du CLOUD Act

Le CLOUD Act américain, adopté en mars 2018, accorde aux autorités américaines un pouvoir extraterritorial contraignant les entreprises technologiques américaines à produire des données quel que soit le lieu de leur stockage. Pour les organisations soumises au RGPD, cela crée un conflit direct entre les obligations légales américaines et la législation européenne sur la souveraineté des données. Kiteworks Kiteworks

En vertu de l'article 48 du RGPD, une demande formulée au titre du CLOUD Act ne constitue pas une base juridique valide pour un transfert de données. Cette règle a été explicitement codifiée dans les Lignes directrices CEPD 2/2024 (version 2.0). Y répondre directement constitue désormais une violation documentée du droit européen. Complyjet

1. 🇺🇸 Signal — Signal Messenger LLC, Mountain View, Californie

Juridiction : États-Unis (Five Eyes).

Ce que Signal collecte réellement : Signal est tenu de transmettre le numéro de téléphone associé à chaque appareil utilisé pour se connecter lorsqu'il y est légalement contraint par les autorités américaines. La portée de ce que peut apprendre un enquêteur reste limitée, mais cette obligation existe. Mozilla Foundation

CLOUD Act : Signal est soumis au droit américain. Ses serveurs utilisent Amazon Web Services. En tant qu'entité américaine, elle peut recevoir des National Security Letters (lettres de sécurité nationale) assorties d'une interdiction de divulgation (gag order), ce qui signifie qu'elle ne peut légalement pas informer l'utilisateur d'une demande de données.

RGPD : Signal affirme ne jamais collecter ni stocker d'informations sensibles, et soutient que les messages et appels ne peuvent être consultés par des tiers grâce au chiffrement de bout en bout. Cependant, Signal Messenger LLC est une entité américaine : elle n'a pas de représentant RGPD Article 27 nommément identifié dans ses CGU publiques — c'est le point que tu soulèves, vérifié. Signal

Faille cachée : Les CGU de Signal ne précisent pas si l'entreprise peut vendre des données personnelles à des tiers, afficher des publicités ciblées ou tracer les utilisateurs sur d'autres services. Common Sense

2. 🇦🇪 Telegram — Telegram FZ LLC, Dubaï (Émirats arabes unis)

Juridiction : Émirats arabes unis (siège légal). Infrastructure distribuée.

RGPD — ce qui est officiel : Telegram indique dans sa politique de confidentialité que si vous résidez dans l'EEE, il a désigné un tiers — l'European Data Protection Office (EDPO) — comme représentant conformément à l'article 27 du RGPD. Telegram a donc un représentant Art. 27, contrairement à Signal. Telegram

Faille structurelle : Le siège légal de Telegram est à Dubaï et son infrastructure n'est pas clairement localisée dans l'UE. L'absence d'accord de traitement des données (DPA) et les garanties RGPD limitées rendent Telegram non recommandable pour les communications professionnelles impliquant des données personnelles sous juridiction européenne. Simple Analytics

Chiffrement E2E : non activé par défaut. Les conversations cloud ordinaires sont chiffrées en transit mais stockées en clair sur les serveurs Telegram. Seuls les "Secret Chats" sont E2E.

Sanctions documentées : Le Bureau fédéral de la justice allemand (BfJ) a infligé à Telegram deux amendes totalisant 5,125 millions d'euros pour non-conformité à la loi NetzDG. Telegram a fait appel et refuse de coopérer aux enquêtes concernant des crimes graves. Medium

3. 🇨🇭 Threema — Threema GmbH, Pfäffikon SZ, Suisse

Juridiction : Suisse — hors UE, hors Five Eyes, hors CLOUD Act.

RGPD : Threema Work est pleinement conforme au RGPD. En tant qu'entreprise suisse, Threema est également soumise à la stricte loi fédérale sur la protection des données (LPD). Le transfert de données de l'UE vers la Suisse est légalement autorisé sans évaluation supplémentaire, sur la base de la décision d'adéquation de la Commission européenne, dont la dernière confirmation date du 15 janvier 2024. Threema

La politique de confidentialité de Threema indique explicitement que pour les personnes résidant dans l'UE ou l'EEE, le RGPD s'applique en plus du droit suisse. Threema

Faille à signaler : Threema n'est pas soumise au CLOUD Act, mais la Suisse dispose de ses propres mécanismes d'entraide judiciaire internationale (MLAT). Des données peuvent théoriquement être transmises à des États tiers via une procédure judiciaire formelle — mais ce processus est long, public et opposable.

Point négatif : application payante (~5 €) ; pas de synchronisation multi-appareils native dans la version personnelle.

4. 🇺🇸 Proton Meet — Proton AG, Genève, Suisse

Juridiction : Suisse — même cadre favorable que Threema.

Proton AG est soumise au droit suisse, pas au CLOUD Act. Ses serveurs sont localisés en Suisse. Aucune exposition aux Five Eyes directe. Le cadre juridique est robuste, mais Proton Meet reste un outil de visioconférence, pas une messagerie instantanée complète.

5. 🇬🇧 Element / Matrix — Element Matrix Services Ltd, Londres, Royaume-Uni (post-Brexit)

Juridiction : Royaume-Uni — hors UE, mais avec un UK GDPR calqué sur le RGPD européen.

RGPD / UK GDPR : Element propose le téléchargement de son application pour Web, Android, iOS, macOS, Windows et Linux, et se positionne comme une messagerie chiffrée de bout en bout. Element

Faille structurelle spécifique : L'architecture fédérée d'Element peut exposer des métadonnées et des flux de données transfrontaliers, rendant difficile la garantie d'une conformité complète au RGPD et à la directive NIS2. Des pilotes dans le secteur public en France et en Allemagne ont exprimé des préoccupations concernant la résidence des données et la cohérence de la protection de la vie privée entre serveurs fédérés. Wire

Point clé : si tu héberges ton propre serveur Matrix (Synapse), tu reprends le contrôle total. Si tu utilises matrix.org ou un serveur tiers, tu dépends de la politique de ce serveur.

6. 🇨🇭 Session — Session Technology Foundation, Zoug, Suisse

Juridiction : Suisse depuis novembre 2024 — changement délibéré.

Session a officiellement changé de juridiction pour la Suisse en novembre 2024, où il continue d'opérer aujourd'hui. CyberInsider

Les entreprises suisses ne sont pas autorisées à partager des informations avec les forces de l'ordre étrangères et ne peuvent pas être contraintes de procéder à une surveillance de masse. Session

Pourquoi ce déménagement : Le président de Session, Alex Linton, a confirmé que la décision était motivée par la nécessité d'opérer dans une juridiction plus favorable à la vie privée, citant les exigences de collecte de données imposées par le Commissaire australien à la sécurité en ligne, incompatibles avec l'éthique de Session. CyberInsider

Faille résiduelle : Session est encore un projet relativement jeune avec une base d'utilisateurs limitée. Le protocole onion routing est fonctionnel mais la décentralisation introduit des incertitudes sur la disponibilité du service.

Tableau de synthèse — Juridiction & RGPD

App	Siège	CLOUD Act	Art. 27 RGPD	E2E par défaut	Five Eyes
Signal	🇺🇸 USA	✅ Soumis	⚠️ Non identifié	✅	✅
Telegram	🇦🇪 Dubaï	❌ Non	✅ EDPO nommé	❌ Partiel	❌
Threema	🇨🇭 Suisse	❌ Non	✅ LPD + RGPD	✅	❌
Proton Meet	🇨🇭 Suisse	❌ Non	✅	✅	❌
Element	🇬🇧 UK	❌ Non	✅ UK GDPR	⚠️ Selon serveur	❌
Session	🇨🇭 Suisse	❌ Non	✅ LPD	✅	❌

Conclusion pratique

Pour un utilisateur européen soucieux de souveraineté des données, Threema et Session présentent le meilleur profil juridictionnel : Suisse, hors CLOUD Act, hors Five Eyes, avec une politique de confidentialité explicitement articulée autour du RGPD et de la LPD suisse. Signal reste techniquement supérieur en termes de protocole cryptographique, mais la juridiction américaine crée une vulnérabilité structurelle que le chiffrement seul ne peut pas résoudre.

Conclusion :

Il ressort donc bien que les services basés en Suisse sont bel et bien la solution quant à la sécurisation et la sauvegarde des données.
Les services Proton dans leur ensemble cochent bien toutes les cases, mais Meet n’est pas une messagerie. Je vais tout de même poser la question sur l’éventualité possible d’un service de messagerie à l’avenir.
Threema et Session restent actuellement les deux seules solutions valables pour une adéquation parfaite avec Panodyssey.

Copie d'écran de mon bureau : elles sont bien là !

Considération personnelle :

Je ne suis pas en possession des données suivantes à propos du groupe Whatsapp ouvert et actuellement actif :

Combien d’utilisateurs inscrits ?
Quelle est la fréquence d’utilisation (réunion à dates fixes ou libre utilisation n’importe quand) ?
Parmi les utilisateurs inscrits, combien sont effectivement actifs régulièrement ?

Avoir un groupe de discussion, c’est bien, que les personnes qui le fréquentent soient proactives, c’est mieux. Comme souvent, j’imagine que ce sont toujours les quelques mêmes personnes qui se retrouvent à utiliser le service et à discuter… quand elles en ont le temps. Pour le peu que je sois passé sur le Whaller de Gabriel Dax à l'époque, par exemple, on ne peut pas dire que l’activité y était importante.

Je rassure directement tout le monde, c’est pareil partout, toujours quelques utilisateurs actifs, beaucoup d’inscrits, certains, inactifs lisent tout de même les messages, mais ne réagissent pas, et puis une masse de fantômes.

Ce constat est valable pour Whatsapp, alors quel sera l’engouement des utilisateurs Panodyssey pour le téléchargement et l’utilisation d’un nouveau logiciel ? Oseront-ils une nouvelle application qu’ils ne connaissent pas et qu’ils devront appréhender, même si elle est totalement intuitive ?

Je pense que Daniel et moi effectuons une bataille d’arrière-garde pour une guerre perdue d’avance : la fainéantise de bouger les lignes, de poser l’acte nécessaire pour respecter les autres et se respecter soi-même. Les personnes n'ont plus envie, déjà abruties par le système en place.

Personnellement, j’ai des principes, et je me battrai toujours pour continuer à me regarder dans le miroir. Ce n’est pas pour rien que je fonctionne sous Linux depuis plus de vingt-cinq ans, même si j’ai dû me passer de fonctionnalités importantes parfois. Qu’importe, l’écart se réduit de jour en jour.

Êtes-vous au courant que Microsoft sort ce mois-ci sa propre distribution Linux et que leurs services de cloud tournent sous distributions Linux, plus sûres et plus solides que les serveurs Windows ?

Enfin, c’est un autre débat...