L’appli Elyze, le “Tinder de la politique”, est-elle un danger pour nos données personnelles?

C’est un succès qui entraîne de nombreux questionnements. Disponible depuis le début du mois de janvier sur iOS et Android, l’application Elyze s’accompagne d’une promesse claire: aider l’internaute à “trouver son candidat” pour la présidentielle de 2022.

Pour cela, Elyze affiche tour à tour des dizaines de propositions émanant de tous les candidats actuels, pour calculer un score d’affinité. Mais la collecte de certaines données personnelles sensibles par cette application - qui dépasse le million d’utilisateurs - suscite la crainte sur les réseaux sociaux.

Lors de l’ouverture de l’application, les internautes sont invités à renseigner leur sexe, leur date de naissance, leur code postal, mais également le nom du candidat pour qui ils ont voté en 2017 et le nom de celui pour qui ils souhaitent voter en 2022. Autant d’informations qui restent malgré tout facultatives.

Ce 15 janvier, Mathis Hammel, expert technique chez CodinGame, une plateforme de familiarisation avec le codage, a partagé sur Twitter le résultat de ses explorations du code informatique d’Elyze. Relevant quelques problèmes d’affichage (Emmanuel Macron est placé en tête de liste lorsqu’il arrive à égalité avec un autre candidat), mais également de sécurité.

Le spécialiste a notamment pu modifier les propositions soumises à tous les utilisateurs, en raison d’un mauvais paramétrage de l’application. Des failles rapidement corrigées par l’équipe d’Elyze - avec son aide, a-t-il précisé.

Une base de données "qui vaut de l'or"

“D’après le code que j’ai pu étudier, l’application communique à ses serveurs les données à chaque “swipe”, donc à chaque fois que l’utilisateur indique apprécier ou non une proposition politique. Cet enregistrement est lié à un identifiant unique (une suite de chiffres, ndlr) pour chaque utilisateur, rattachant les informations qu’il a partagées” analyse Mathis Hammel, auprès de BFMTV.

Autrement dit, si un internaute a choisi de renseigner de telles informations, ses affinités avec chacune des propositions seront conservées dans une base de données et associées à son sexe, son code postal et ses éventuels choix de vote passés et futurs. Aucun nom et prénom n’est en revanche collecté par l’application.

Une base de données “qui vaut de l’or”, rappelle Mathis Hammel, en raison du succès de l’application, désormais téléchargée par 1,2 million de personnes. Auprès de BFMTV, il confirme avoir constaté une bonne protection de cette dernière et ne pas être parvenu à y accéder. Mais rappelle un autre enjeu: celui de l’utilisation ultérieure de ces données par les créateurs de l’application, permise par ses conditions générales d’utilisation qui évoquent une possible "revente de données anonymisées à des tiers"

“Je comprends que les conditions générales d’utilisation fassent débat. Mais pour le moment, nous ne gagnons pas un centime avec l’application, même si nous cherchons un business model par la suite. Nous n’excluons pas d’utiliser les données pour créer des rapports sur l’opinion politique de certaines catégories de population, que nous pourrions revendre à des groupes de réflexion ou instituts de sondages” précise François Mari, cofondateur de l’application, à BFMTV.

“Nous avons été dépassés”

François Mari assure toutefois que la base de données en tant que telle ne sera jamais revendue, et que les analyses ne seront jamais proposées à des partis politiques. Une promesse visant à rassurer ceux qui pourraient craindre une affaire Cambridge Analytica à la française. Il revient par ailleurs sur les failles de sécurité constatées par Mathis Hammel.

“Nous avons conçu cette application en imaginant qu’elle serait téléchargée par 20.000 personnes, pas 1,2 million. Nous avons été dépassés. Nous sommes mobilisés pour corriger tous les problèmes et comprenons parfaitement que notre projet puisse faire débat” estime-t-il auprès de BFMTV.

Car en raison de la soudaine popularité d’Elyze, ses développeurs pourraient faire face à un autre défi, cette fois d’ordre juridique. Selon l’article 9 du règlement européen sur les données personnelles (RGPD), le traitement de données personnelles à caractère politique est en principe interdit, sauf si le consentement explicite est récolté et lié à une finalité précise.

“Nous allons demander conseil à la Cnil. Nous sommes en train de consulter des avocats spécialisés pour voir comment on peut structurer le projet juridiquement, afin de traiter et conserver les données” explique François Mari, qui envisage par ailleurs de publier l’intégralité du code de l’application.

L'une des façons de contourner cette interdiction pourrait être de rendre anonymes les données. Ce qui pourrait ne pas être le cas, si un code postal et une date de naissance permettent d’identifier une personne avec certitude. Charge désormais à la Cnil d’étudier le dossier, et éventuellement d’imposer des modifications à l’application.