Recevez chaque jour toute l'actualité du numérique

x

Face aux accusations, l'application Elyze supprime les données personnelles de ses utilisateurs

Vu ailleurs Depuis son lancement début janvier 2022, l'application Elyze – qui propose de trouver son "candidat idéal" pour la future élection présidentielle – est critiquée pour son manque de sécurisation des données personnelles. La Cnil, alertée par plusieurs personnes, se penche sur cette question et se réserve le droit d'infliger une sanction à l'application si des violations sont avérées. En réaction, les fondateurs de l'application ont décidé de supprimer les données personnelles déjà collectées et de ne plus en récolter. De plus, le code source de l'application est désormais disponible en open source. 
mis à jour le 20 janvier 2022 à 12H10
Twitter Facebook Linkedin Flipboard Email
×

Face aux accusations, l'application Elyze supprime les données personnelles de ses utilisateurs
Face aux accusations, l'application Elyze supprime les données personnelles de ses utilisateurs © Alice Vitard

Mise à jour (20/01/2022) : Le 19 janvier, Grégoire Cazcarra, l'un des fondateurs d'Elyze, a annoncé au micro du youtubeur HugoDécrypte que les données personnelles des utilisateurs ont été effacées. L'application ne collectera plus les informations à l'avenir, a-t-il ajouté. De plus, le code source de l'application est désormais disponible en open source. En revanche, le logiciel ayant servi à effacer les informations n'a pas été mentionné. A ce sujet, la Cnil recommande fortement d'utiliser des solutions certifiées par l'Agence nationale de la sécurité des systèmes d'information (Anssi) pour s'assurer de l'effectivité de la suppression. Pour améliorer leur application, les fondateurs appellent d'autres développeurs à "prendre part à l'aventure". 

Article original : La Commission nationale de l'informatique et des libertés (Cnil) se penche sur l'application Elyze, qui répertorie les propositions des candidats à l'élection présidentielle de 2022, révèle Le Monde le 17 janvier 2022. L'autorité souhaite vérifier si elle est en conformité avec la règlementation sur les "données sensibles".

Ce contrôle semble particulièrement important puisque l'application traite des données qui relèvent les opinions politiques des utilisateurs ainsi que leur identité. Il n'est absolument pas anodin de compiler ces informations tant du point de vue de la sécurité informatique ainsi que du respect à la vie privée des personnes concernées.

Une éventuelle sanction
La Cnil raconte avoir été alertée par plusieurs personnes soulevant certains problèmes liés à la sécurisation des informations des utilisateurs de l'application. "Nous examinons son fonctionnement", a-t-elle expliqué. Comme pour chaque vérification, elle se réserve la possibilité de "faire usage de ses pouvoirs répressifs" en cas de manquement au règlement général sur la protection des données (RGPD).

Pour rappel, le montant de la sanction pécuniaire peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial de l'entreprise. La Commission peut également prononcer un rappel à l'ordre, enjoindre de mettre le traitement en conformité (y compris sous astreinte), limiter temporairement ou définitivement un traitement, suspendre le flux de données et ordonner de satisfaire aux demandes d'exercice des droits des personnes.

Elyze a été créé par Grégoire Cazcarra et François Mari. Le premier est co-fondateur de l'ONG "A Voté" qui s'engage dans "la défense des droits civiques et le progrès démocratique pour lever les freins de l'inscription électorale et la participation du vote". Le second est responsable partenariats du club des entrepreneurs, une association étudiante du Québec. Les deux font partie des "Engagés", une association souhaitant "promouvoir le débat d'idées par-delà les clivages partisans et réconcilier les jeunes avec la politique".

Un million de téléchargements
L'application Elyze propose un système de "swipe" permettant de voter pour ou contre les différentes propositions des candidats ou futurs candidats (Emmanuel Macron est présent dans l'application alors qu'il ne s'est pas officiellement déclaré candidat). A chaque swipe, l'utilisateur peut également décider de ne pas se prononcer. En fonction des choix, un "algorithme" détecte un "niveau de comptabilité" avec chaque candidat et génère un "classement en continu". Lancée début janvier 2022, Elyze comptabilise aujourd'hui un million de téléchargements.

L'application récolte et traite plusieurs catégories de données personnelles. Avant l'utilisation de l'application, elle collecte la date de naissance de l'utilisateur, son genre (homme, femme, non identifié) et son code postal. Au cours de l'utilisation, elle collecte la réponse de l'utilisateur à une proposition. Elle récolte également des informations sur les intentions de vote de l'utilisateur. "Toute donnée est anonymisée, les seules informations relatives à l'identité de l'utilisateur sont celles précédemment citées", peut-on lire dans la politique de confidentialité de l'application. Les données sont conservées durant une année et peuvent être transmises à "des tiers".

L'application dit se reposer sur deux bases juridiques pour justifier le traitement des données : le consentement de l'utilisateur qui, rappelons-le, doit être "libre, spécifique, éclairé et univoque" et "les obligations légales auxquelles est soumise l'application (comme les demandes légitimes des autorités compétentes)".

Un choix biaisé ?
Plusieurs problèmes sont remontés depuis le lancement de l'application, dont une grande partie a été révélée par Mathis Hammel qui travaille au sein de CodinGame, un site consacré à la programmation informatique "ludique" et ancien head of cybersecurity au sein de Capgemini. Il révélait qu'en cas d'ex aequo entre plusieurs candidats, l'application favorisait Emmanuel Macron et que parfois, l'ordre affiché ne correspondait pas aux pourcentages. De plus, le code source de l'application n'est pas open source.

Pixel de Tracking, un "ancien de l'adtech" d'après sa description sur Twitter, relève le nombre potentiellement très élevé de "tiers" à qui les données peuvent être transmises. "Une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable de traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable de traitement, sont autorisées à traiter les données à caractère personnel", est-il écrit dans la politique de confidentialité.

AWS stocke les données personnelles
Concernant les données personnelles, l'application utilise un serveur Amazon Web Services (AWS), la filiale cloud d'Amazon, pour stocker les informations des utilisateurs. Ce qui signifie que les autorités américaines peuvent accéder à ces données en vertu notamment du Cloud Act. Le choix d'un fournisseur américain est d'autant plus problématique que l'application ne précise pas les garanties supplémentaires adoptées pour pallier ce risque. Se tourner vers une entreprise française ou européenne aurait été un choix nettement plus judicieux étant donné la nature des données traitées et la situation juridique actuelle (invalidation du Privacy Shield). 

L'Usine Digitale a sollicité les fondateurs afin d'avoir des précisions sur d'éventuelles mises à jour visant à combler les failles détectées. Ils n'ont pas encore répondu. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.