Skip to main content
Welcome. This site supports keyboard navigation and screen readers. Press ? at any time for keyboard shortcuts. Press [ to focus the sidebar, ] to focus the content. High-contrast themes are available via the toolbar.
serard@dev00:~/cv

Analyse globale — Affaire Qwant: alerte 2016, plainte CNIL 2019, réécriture privacy 2020, licenciement et validation tardive

Date: 15 juin 2026

Objet

Ce document propose une lecture d'ensemble de l'affaire Erard c/ Qwant à partir du corpus local.

La question centrale n'est pas seulement de savoir si Qwant s'est trompée sur la qualification anonymisation / pseudonymisation. La question est plus large:

  • Stephane Erard a-t-il alerté avant l'intervention publique de la CNIL sur le point exact qui lui a ensuite été reproché ?
  • Qwant a-t-elle sanctionné cette alerte précisément parce qu'elle mettait en cause sa communication privacy ?
  • la séquence embauche 2.2 frontend -> affectation QA/CI -> audit Cardiweb/CDC 2016 -> flux Bing Ads -> alertes T1 / T2 / T3 -> plainte CNIL 2019 -> réécriture 2020 -> communication CNIL 2025 forme-t-elle une seule histoire cohérente ?
  • la formule CNIL d'erreur d'analyse initiale décrit-elle toute l'affaire, ou seulement la manière dont la CNIL a choisi de la cadrer administrativement ?

Tableau de faits de départ

Pour repartir de zéro, il faut d'abord remettre les séquences au bon endroit: l'audit décisif de 2016 est l'audit Cardiweb/CDC de juin 2016; le contrôle CNIL n'intervient qu'après la plainte du 15 mars 2019.

Repère Fait de départ Appui du corpus Statut
Mars 2015 L'embauche est négociée sur une base développeur web spécialisé frontend, classification Syntec 2.2, coefficient 130. 08_DESTRUCTION_XILOPIX.md ; corpus AttaQwant, MISE_EN_DEMEURE_CIVIL_V2.md (contrat + rappel de classification). Fait solidement étayé.
5 mars 2015 puis 2015-2016 Dès les premiers jours, l'affectation réelle bascule vers QA/CI, puis vers un périmètre beaucoup plus large de DEV/CI/QA/UAT/delivery. La formule la plus prudente n'est donc pas simple frontend, mais responsable de fait de la chaîne de delivery, compatible avec une lecture Syntec 3.3. Corpus AttaQwant, MISE_EN_DEMEURE_CIVIL_V2.md (Welcome on board : tu vas travailler sur le QA/CI chez Qwant) ; 08_DESTRUCTION_XILOPIX.md (48 projets GitLab, chaîne CI/QA, QWAPP). Fonctions réelles: solidement étayées ; qualification 3.3: lecture juridique forte.
2015-2016 Erard met en place une scalable software factory : QWAPP, outillage QWCI/QWDEPLOY, CI/CD, QA/UAT, coordination de l'équipe Corcode en Pologne, et pipeline de déploiement avec traçabilité SHA256. Corpus AttaQwant, MISE_EN_DEMEURE_CIVIL_V2.md (pièces P51-P52) ; DEMEURE_CHAT/MISE_EN_DEMEURE_V1_CHAT.md ; 08_DESTRUCTION_XILOPIX.md. Fait fortement cohérent ; à verrouiller par pièces natives si réemploi procédural.
17-29 juin 2016 Le bloc déterminant n'est pas un audit CNIL, mais l'audit Cardiweb/CDC de juin 2016. Chemin encadre le moment par une consigne de silence ; Vignaux demande de préparer l'API sur une branche à part ; Cassar écrit avoir retiré Bing et mis un call fake dans la branche demo. 04_AUDIT_CDC_2016.md ; 06_ACCUSATIONS_VS_REALITE.md ; 05_CNIL_VALIDATION.md. Fait solidement étayé.
juin-août 2016 Le corpus décrit une api.qwant.com sans rate limit, utilisable par des scrapers pour interroger Bing massivement via site:linkedin. L'analyse git retrouve ensuite 24 commits LinkedIn / anti-scrap déployés en production. Une estimation interne évoque 70 000 €/mois minimum sur la base d'une étude 3 IPs / 1 heure attribuée à Chemin. LANCEUR_ALERTE.md ; Analysis_Report.txt ; commits QWANT-294, API-580, API-585, API-587. Mécanisme de scraping: cohérent et documenté ; chiffrage exact: à manier prudemment.
juin 2016 Pendant cette même période, Vignaux implémente dans search_ads.php l'envoi à Bing Ads de IP/24 + User-Agent + requête. La fonction anonymizeIp() ne fait que tronquer le dernier octet ; en parallèle, search_web.php et webBrainLocales documentent un routage Web vers Bing, porté à 100% après le vidage du tableau le 29 juin 2016. 09_FORENSIQUE_GIT.md ; 05_CNIL_VALIDATION.md ; 04_AUDIT_CDC_2016.md. Fait solidement étayé.
juin-décembre 2016 Le dossier soutient que ce flux Bing Ads n'est ni expliqué loyalement aux auditeurs ni reflété au public dans la documentation privacy de l'époque. L'objection IP/24 n'est pas une anonymisation est ensuite formulée explicitement, au plus tard en décembre 2016, à Victoire Yau, avec ajout tardif de Bing dans la FAQ. LANCEUR_ALERTE.md ; 05_CNIL_VALIDATION.md ; Qwant_Analyse/ANALYSE_WAYBACK_PRIVACY_2017-2026.md. Non-divulgation et alerte interne: fortement étayées ; datation de chaque échange intermédiaire: à verrouiller.
fin juin 2016 Le corpus contient enfin une thèse de mise en scène de la démonstration: Pierre Vignaux aurait montré à Paris le chemin news, et non le vrai chemin web. Même sans sur-vendre ce point, la discordance entre branche demo et code réellement déployé suffit déjà à établir la dissimulation technique. LANCEUR_ALERTE.md ; 04_AUDIT_CDC_2016.md. Présentation 'news': à consolider par pièce native ; dissimulation technique générale: solidement étayée.

Pris dans cet ordre, le dossier ne commence donc pas avec la CNIL de 2019. Il commence par un écart entre base contractuelle et fonctions réelles, puis par une implication technique dans l'audit CDC/Cardiweb, le routage Bing et le flux Bing Ads, avant de déboucher sur les alertes d'août 2016 et de décembre 2016, la plainte CNIL du 15 mars 2019, la réécriture privacy de 2020 et la validation publique du 11 février 2025.

Méthode

Le document distingue trois niveaux:

  • faits solidement étayés par les pièces du workspace ;
  • inférences fortes, cohérentes avec le corpus, mais qui demandent encore des pièces natives pour être entièrement verrouillées ;
  • points de prudence, à ne pas sur-vendre si le document est réutilisé dans une procédure.

I. Ce qui est solidement étayé

1. En août 2016, l'alerte porte déjà sur le point exact que la CNIL retiendra plus tard

Dès le 25/08/2016, trois tweets distincts permettent déjà de séparer le noyau privacy du volet plus latéral Microsoft:

  • T1 du 25/08/2016 porte sur le risque de ré-identification à partir d'IPs pseudo-anonymisées ;
  • T2 critique explicitement l'idée selon laquelle enlever le dernier octet de l'IP suffirait à rendre la donnée anonyme ;
  • T3, adressé à @MicrosoftAds, relève surtout d'un prank ou d'une interpellation ironique autour du partenaire Microsoft Ads, même si Qwant s'en servira ensuite disciplinairement.

La capture cnil-qwant-v2/PJ1/T3.png confirme au minimum le contenu exact de ce troisième tweet: une demande de contact adressée à @MicrosoftAds pour publish some ads et generate some revenue.

Le point essentiel est que T1 et T2 ne sont pas des attaques générales contre Qwant: ils visent un problème technique précis, celui qui sera plus tard résumé par la CNIL en 2025 comme la différence entre données anonymes et données pseudonymisées.

T3, lui, a une fonction différente: moins probante sur le fond privacy, mais utile pour montrer comment un prank latéral sur l'écosystème Microsoft a été récupéré par Qwant pour construire le volet disciplinaire.

2. En décembre 2016, l'alerte devient interne et nominative

Au 19/12/2016, Erard échange avec Victoire Yau, présentée comme Legal Officer en charge de la conformité CNIL.

Le coeur de cet échange est déjà celui-ci:

  • au sens de la cnil, les infos pseudo anonymisees ne sont pas des infos anonymisees ;
  • ce n'est pas ce que j'ai vu en prod ;
  • ajout tardif de Bing dans la FAQ.

Autrement dit, dès 2016, le grief n'est pas seulement théorique. Il articule déjà:

  • la qualification juridique des données ;
  • la réalité technique observée en production ;
  • le décalage documentaire entre ce qui est fait et ce qui est dit au public.

3. Qwant sanctionne exactement cette mise en cause

L'avertissement puis le licenciement se rattachent au thème suivant:

  • mise en doute de la préservation de l'anonymité des recherches ;
  • critique de la politique de protection des données ;
  • référence à Microsoft.

Autrement dit, le sujet disciplinaire n'est pas extérieur à l'alerte. Le dossier montre au contraire que Qwant a compris que les tweets et signalements visaient sa ligne privacy.

4. La plainte CNIL du 15 mars 2019 ouvre une séquence administrative longue

Le point de départ administratif est clair:

  • plainte CNIL déposée le 15 mars 2019 ;
  • contrôles en 2019 ;
  • échanges prolongés avec Qwant ;
  • communication publique CNIL seulement le 11 février 2025.

La conséquence analytique majeure est simple:

la question soulevée par Erard n'a pas disparu après son licenciement ; elle est devenue l'objet d'un contrôle institutionnel durable.

5. En 2020, Qwant modifie sa politique de confidentialité dans le sens de l'alerte

La chronologie des versions Wayback de la politique de confidentialité fait apparaître notamment:

  • jusqu'au 1er janvier 2020, des formulations très fortes du type no personal information whatsoever is neither captured or transmitted to advertisers ;
  • au 17 avril 2020, une première divulgation explicite de Microsoft Ireland Operations Limited comme sous-traitant pour search results and ads ;
  • à l'automne 2020, une formulation plus explicite sur les trois premiers octets de l'adresse IP et sur les données pseudonymes.

Cette séquence confirme deux points:

  1. la documentation publique a bien bougé sous l'effet du dossier CNIL ;
  2. ce mouvement va vers les catégories que Erard soutenait déjà: pseudonymisation, transmission à Microsoft, insuffisance de la présentation antérieure.

6. En 2025, la CNIL valide publiquement le noyau du signalement

La communication CNIL du 11 février 2025, telle qu'elle ressort des pièces du dossier, retient les points suivants:

  • les données transmises à Microsoft n'étaient pas anonymes mais pseudonymisées ;
  • la politique de confidentialité était inexacte et incomplète au moment des contrôles ;
  • Qwant a modifié sa politique en 2020 pour mentionner:
    • la transmission de données pseudonymes ;
    • la base légale ;
    • la finalité publicitaire.

Le point décisif est le suivant:

la CNIL ne valide pas seulement un détail secondaire. Elle valide précisément le noeud de l'alerte 2016: pseudonymisation != anonymisation.

II. Ce que la formule "erreur d'analyse initiale" dit, et ce qu'elle ne dit pas

1. Ce que dit la CNIL

La communication CNIL retient une ligne administrative de proportionnalité:

  • Qwant aurait commis une erreur d'analyse initiale sur la qualification des données ;
  • la société aurait agi de bonne foi ;
  • elle aurait coopéré ;
  • la mesure adaptée serait un rappel aux obligations légales, non une sanction pécuniaire.

Dans un cadre purement administratif, cette présentation a une logique propre:

  • elle sert à justifier le choix de la mesure ;
  • elle décrit la manière dont la CNIL a choisi de clore le dossier ;
  • elle ne tranche pas, en elle-même, la question des représailles subies par le salarié ayant alerté.

2. Ce que cette formule ne suffit pas à décrire

La formule erreur d'analyse initiale devient insuffisante si on la transpose à l'affaire globale.

Pourquoi:

  • elle ne dit rien du fait qu'un salarié avait déjà alerté dès 2016 ;
  • elle ne dit rien de l'alerte interne à Victoire Yau ;
  • elle ne dit rien de l'usage disciplinaire et judiciaire fait contre lui du thème anonymisation / privacy ;
  • elle ne dit rien du délai entre les flux documentés, leur mise en mots publics, puis leur reconnaissance par la CNIL.

En d'autres termes:

erreur d'analyse initiale est une qualification de police administrative de la conformité ; ce n'est pas une reconstitution complète de l'histoire conflictuelle Qwant / Erard.

3. Pourquoi l'expression peut être contestée politiquement et probatoirement

Dans la logique d'Erard, l'objection est forte:

  • si l'entreprise a été alertée en 2016 ;
  • si la critique visait déjà le bon point ;
  • si cette critique a servi de support à des représailles ;
  • puis si la CNIL valide en 2025 le coeur de cette critique ;

alors la formule erreur d'analyse initiale tend à dépolitiser et déconflictualiser une séquence qui comporte aussi une dimension de silenciation du lanceur d'alerte.

Cette objection est sérieuse.

Mais elle doit être formulée avec précision:

il est plus solide d'écrire que la formule CNIL est incomplète ou réductrice pour décrire l'affaire dans son ensemble, plutôt que d'écrire de manière catégorique que la CNIL n'a pas voulu regarder.

III. La question CNIL: "elle n'a pas voulu regarder la privacy" ?

Réponse rigoureuse

Le corpus permet d'affirmer avec force:

  • la CNIL a effectivement regardé des questions de politique de confidentialité, puisqu'elle a fini par dire publiquement en 2025 que la policy était inexacte et incomplète ;
  • elle a aussi pris en compte le fait que Qwant l'avait modifiée en 2020.

En revanche, le corpus soutient aussi que:

  • la CNIL n'a rendu publiquement visible cette dimension qu'en 2025 ;
  • elle n'a pas exposé publiquement, avant cette date, la chronologie complète entre:
    • alertes 2016,
    • plainte 2019,
    • modifications documentaires 2020,
    • usage contentieux ultérieur de l'ancienne présentation contre Erard.

La formule la plus exacte me paraît donc être:

La CNIL n'a pas ignoré la privacy au fond, mais elle n'en a rendu publique qu'une version tardive, administrativement cadrée et dédramatisée, qui n'intègre pas la séquence complète des alertes et des représailles.

IV. Le vrai problème de fond: l'affaire n'est pas seulement technique, elle est aussi sociale et procédurale

1. Sur le plan social

Le dossier n'est pas seulement un litige de conformité RGPD.

C'est aussi un dossier où:

  • un salarié signale un problème de traitement de données ;
  • l'entreprise lit cette parole comme une attaque contre sa promesse privacy ;
  • la sanction disciplinaire puis le licenciement tombent sur ce terrain.

La logique du conflit n'est donc pas:

désaccord abstrait sur un concept

mais plutôt:

alerte sur un écart entre code, production, FAQ/CGU et discours public, puis rétorsion.

2. Sur le plan probatoire

La séquence 2016 -> 2019 -> 2020 -> 2025 change la lecture de T1 / T2 et éclaire aussi T3 comme prank ensuite requalifié dans le dossier disciplinaire.

Avant 2025, on pouvait dire:

  • Erard soupçonne ;
  • Qwant dément ;
  • le juge prud'homal estime qu'il ne démontre pas la dissimulation.

Après 2025, on peut dire:

  • le point technique central soulevé en 2016 a été confirmé ;
  • la documentation publique a été réécrite en 2020 ;
  • la policy antérieure était insuffisante.

Cela ne donne pas automatiquement une victoire procédurale sur tous les fronts, mais cela transforme profondément la lecture historique du dossier.

3. Sur le plan procédural

Une limite importante demeure cependant:

  • devant la CA Aix, le débat Bing / anonymisation / pseudonymisation était déjà connu ;
  • l'arrêt du 10 mars 2022 l'a jugé inopérant.

Conséquence:

la décision CNIL 2025, prise seule, ne suffit pas mécaniquement à rouvrir tout le contentieux.

En revanche, la pièce plus forte est la séquence 2020:

  • Qwant modifie sa policy ;
  • l'écrit à la CNIL ;
  • puis laisse le juge statuer sans mettre clairement cette réécriture au centre du débat.

V. Lecture synthétique de l'affaire

A. Ce que le dossier établit déjà très bien

  • Erard a alerté très tôt ;
  • il a alerté sur le bon objet ;
  • Qwant a compris qu'il visait sa promesse privacy ;
  • la CNIL a finalement validé l'essentiel du diagnostic technique ;
  • la policy Qwant a été réécrite après la plainte CNIL.

B. Ce que le dossier permet de soutenir avec force

  • le licenciement et les décisions prud'homales ont été rendus dans un état de preuve historiquement incomplet ;
  • la présentation publique Qwant a évolué dans un sens compatible avec l'alerte initiale ;
  • la communication CNIL 2025 ne peut pas être lue honnêtement comme si tout commençait en 2019.

C. Ce qu'il faut manier avec prudence

  • dire que la CNIL n'a pas voulu regarder ;
  • dire que la CNIL aurait elle-même couvert sciemment une fraude ;
  • dire que la seule communication 2025 prouve à elle seule la fraude procédurale de Qwant.

Ces formulations sont plus fragiles que les suivantes:

  • la communication 2025 est partielle ;
  • elle minimise la dimension d'alerte antérieure ;
  • elle neutralise la dimension sociale et contentieuse du dossier ;
  • elle ne décrit pas la façon dont l'alerte a été retournée contre son auteur.

VI. Conclusion

L'affaire Qwant ne se laisse pas réduire à une simple erreur d'analyse initiale.

Cette formule peut décrire la manière dont la CNIL a, en 2025, choisi de cadrer administrativement la qualification des données et la proportion de la mesure correctrice.

Mais à l'échelle de l'affaire entière, le dossier montre autre chose:

  • une alerte précoce dès 2016 ;
  • un signalement interne précis en décembre 2016 ;
  • une plainte CNIL en 2019 ;
  • une réécriture privacy en 2020 ;
  • puis une validation institutionnelle tardive en 2025 du coeur du grief initial ;
  • le tout sur fond de licenciement et de contentieux où ce même grief avait servi à discréditer l'auteur de l'alerte.

La formule la plus juste n'est donc pas:

Qwant s'est simplement trompée

mais plutôt:

Qwant a soutenu pendant des années une présentation privacy devenue intenable, alors même qu'un salarié en avait signalé très tôt le point de rupture, et ce salarié a été sanctionné sur ce terrain avant que l'autorité de contrôle ne confirme tardivement l'essentiel de son diagnostic.

Sources locales principales

  • 04_AUDIT_CDC_2016.md
  • 05_CNIL_VALIDATION.md
  • 08_DESTRUCTION_XILOPIX.md
  • 09_FORENSIQUE_GIT.md
  • LANCEUR_ALERTE.md
  • TABLEAU_TWEETS_T1_T2_T3_VICTOIRE_YAU_DROIT_2016.md
  • cnil-qwant-v2/PJ1/T3.png
  • _LA/LANCEUR_ALERTE.md
  • Qwant_Analyse/ANALYSE_WAYBACK_PRIVACY_2017-2026.md
  • MISE_EN_DEMEURE_CIVIL_CHEMIN_B/PIECES/CNIL_DEFEND_QWANT/ANALYSE_CNIL_DEFEND_QWANT.md
  • _LA/ANALYSE_REVISION_PDH_QWANT_2026.md
  • _LA/RECOURS_REVISION_CA_AIX_QWANT_FRAUDE_2026-06-15.md

Points de vigilance avant réemploi procédural

  • Verrouiller la divergence de date 16 octobre 2020 / 22 octobre 2020.
  • Distinguer systématiquement:
    • validation technique du grief,
    • qualification juridique CNIL,
    • preuve de représailles,
    • preuve d'une fraude procédurale.
  • Éviter de présenter comme certain ce qui relève encore d'une inférence forte, surtout sur l'intentionnalité des acteurs institutionnels externes.
⬇ Download