TL;DR : Certaines données ne peuvent pas être changées — ton visage, ton ADN, tes empreintes digitales, ton numéro d’assurance sociale. Contrairement à un mot de passe compromis, ces données restent exploitables pour des décennies. Comprendre lesquelles sont dans cette catégorie et les protéger maintenant, avant qu’une fuite ne les expose, est la seule stratégie efficace.
En sécurité numérique, on parle souvent de mots de passe et de comptes compromis — des problèmes solubles. Change le mot de passe, active le 2FA, le problème est réglé.
Mais il existe une catégorie de données fondamentalement différente : celles qui ne peuvent pas être changées, et qui restent exploitables pour le reste de ta vie.
La phrase du général Michael Hayden, ancien directeur de la NSA : “We kill people based on metadata.” Le principe s’applique aussi aux données immuables — elles peuvent être croisées, agrégées, et utilisées des années après leur collecte initiale.
Les 5 catégories à risque long-terme
1. Données biométriques
Ce que ça inclut : visage, empreintes digitales, iris, voix, ADN, démarche
Durée d’exploitation : à vie
Pourquoi c’est différent : Un modèle facial extrait en 2024 identifiera ton visage en 2050. La précision des algorithmes de reconnaissance augmente — les données collectées aujourd’hui seront plus exploitables avec les outils de demain.
La base de données de Clearview AI contient plus de 30 milliards de photos scrapées depuis des sites publics. Le Canada a déclaré cette collecte illégale, mais les données existent toujours sur leurs serveurs.
Risques concrets :
- Identification par des gouvernements, assureurs, ou employeurs futurs
- Croisement avec des bases de données d’incidents policiers
- Deepfakes de plus en plus convaincants utilisant ton profil facial
→ Comment supprimer tes données de Clearview AI et protéger tes futures photos : Clearview AI et opt-out Canada
2. Numéro d’Assurance Sociale (NAS)
Ce que ça inclut : ton NAS, et dans le même registre aux USA le SSN (Social Security Number)
Durée d’exploitation : à vie
Pourquoi c’est différent : Le NAS est utilisé pour les déclarations fiscales (T4, T1), l’ouverture de comptes bancaires, les demandes de prêt, les vérifications d’emploi. Un attaquant qui obtient ton NAS peut ouvrir des lignes de crédit en ton nom — et le délai entre la fraude et la découverte est souvent de mois à années.
Service Canada permet le changement de NAS uniquement sur preuve documentée de fraude grave. En pratique, il est quasi-permanent.
Protections :
- Ne jamais communiquer ton NAS sans vérifier la nécessité légale
- Les employeurs peuvent le demander légalement (pour les T4) — les propriétaires de logement et la plupart des commerçants ne peuvent pas
- Vérifier ton dossier de crédit régulièrement (gratuit chez Equifax et TransUnion au Canada)
3. ADN et données génétiques
Ce que ça inclut : tests comme 23andMe, Ancestry, les tests médicaux génétiques
Durée d’exploitation : à vie et au-delà (informations sur la famille)
Pourquoi c’est différent : Ton ADN contient des informations sur toi et sur tes proches biologiques. Une fuite génétique n’est pas seulement ton problème — c’est celui de tes parents, frères, sœurs, enfants.
23andMe, qui possédait les profils génétiques de plus de 14 millions de personnes, a déclaré faillite en 2025. Le risque de vente des données génétiques à des tiers — assureurs, entreprises pharmaceutiques, gouvernements — est désormais réel.
Au Canada : la Loi canadienne sur la non-discrimination génétique (2017) interdit aux assureurs et employeurs d’exiger des tests génétiques. Mais elle ne protège pas contre des fuites dans des juridictions étrangères.
→ Guide complet sur les risques 23andMe et la gestion de tes données génétiques : 23andMe, faillite et ton ADN au Canada
4. Seed phrases et clés crypto
Ce que ça inclut : seed phrases BIP-39 (12-24 mots), clés privées de portefeuilles crypto
Durée d’exploitation : tant que les fonds existent
Pourquoi c’est différent : Contrairement à un mot de passe bancaire, une seed phrase donne un accès permanent et irrévocable à tous les fonds associés. Il n’y a pas de “réinitialisation par email”. Pas de service client. Pas de protection contre charge-back.
Un attaquant qui obtient ta seed phrase aujourd’hui peut attendre que tes fonds augmentent et vider le portefeuille en 2030.
Risques spécifiques long-terme :
- La seed écrite sur papier se dégrade (humidité, feu, insectes)
- La seed stockée numériquement (screenshot, note, email) est vulnérable à tous les appareils actuels et futurs
- L’informatique quantique pourrait compromettre les signatures ECDSA des transactions publiques (pas la seed elle-même, mais la dérivation des clés)
→ Comment stocker une seed phrase de manière sécurisée pour 20+ ans : Portefeuille crypto froid et seed phrase
5. Dossiers médicaux et de santé mentale
Ce que ça inclut : diagnostics, prescriptions, hospitalisations, DSQ, dossiers de santé mentale
Durée d’exploitation : 10-30 ans
Pourquoi c’est différent : Un diagnostic de dépression, de trouble bipolaire, de dépendance, ou une maladie chronique peut — si ces données fuient — affecter des demandes d’assurance-vie, des procédures de garde d’enfants, des vérifications d’habilitation sécuritaire.
Les hôpitaux québécois ont connu des incidents de sécurité. La base de données du DSQ (Dossier Santé Québec) centralise des informations sensibles auxquelles de nombreux professionnels de santé peuvent accéder.
→ Comprendre qui accède vraiment à ton dossier médical au Québec : DSQ, Carnet santé et vie privée au Québec
Ce que l’informatique quantique change
L’arrivée de l’informatique quantique (réaliste vers 2030-2035 pour les attaques cryptographiques) ajoute une dimension à ce problème.
Ce qui est vulnérable :
- Les communications chiffrées aujourd’hui avec RSA ou ECDH/X25519 — des acteurs étatiques les stockent dès maintenant pour les déchiffrer plus tard (stratégie “harvest now, decrypt later”)
- Les signatures de transactions crypto publiques (pas les seeds elles-mêmes)
Ce qui est résistant :
- AES-256 reste sécurisé (Grover’s algorithm réduit à ~128 bits — encore suffisant)
- Les seeds BIP-39 elles-mêmes sont résistantes si correctement stockées hors ligne
→ Pour comprendre la menace quantique sur le chiffrement : Harvest now, decrypt later : la menace quantique sur les VPN
Checklist de protection — données à valeur long-terme
| Donnée | Protection minimale | Protection renforcée |
|---|---|---|
| Biométrie | Limiter les photos publiques | Fawkes sur photos publiées + opt-out Clearview |
| NAS | Ne communiquer qu’au nécessaire légal | Geler ton dossier de crédit (Equifax/TransUnion) |
| ADN | Éviter les tests commerciaux | Demander suppression si déjà fait |
| Seed phrase | Papier dans coffre-fort | Acier gravé + copies géographiquement séparées |
| Dossiers médicaux | Connaître les droits d’accès DSQ | Demander journal d’accès annuellement |
Recommandations
Cette semaine :
- Vérifier si tu es dans la base Clearview AI (
privacy.clearview.ai) - Vérifier ton dossier de crédit (equifax.ca — gratuit)
- Identifier où ta seed phrase est stockée et évaluer sa sécurité physique
Ce mois :
- Activer Advanced Data Protection sur iCloud — tes sauvegardes sont sinon accessibles à Apple sur demande légale
- Si tu as fait un test ADN : demander la suppression ou vérifier les paramètres de partage de données de recherche
Long terme :
- Considérer un portefeuille froid (hardware wallet) pour les crypto significatifs
- Vérifier annuellement qui a accédé à ton DSQ (demandable via RAMQ)
