Données personnelles: la Cnil se penche sur l'application Elyze, "Tinder" de la présidentielle

La Cnil, gendarme français des données personnelles, va vérifier si l'application Elyze, qui s'est hissée depuis janvier en tête des téléchargements sur la promesse d'aider à départager les candidats à la présidentielle, respecte bien la règlementation sur ces "données sensibles", a-t-elle annoncé à l'AFP.

Développée par deux étudiants, Elyze fait "matcher" l'utilisateur avec un candidat en fonction des propositions politiques qu'il approuve, à la manière du géant de la rencontre Tinder. La Cnil "ne peut se prononcer en l'état sur la conformité de cette application".

"Nous avons bien été alertés et (...) nous examinons son fonctionnement", a ajouté le régulateur, qui se réserve la possibilité de "faire usage de ses pouvoirs répressifs" en cas de manquement au Règlement général sur la protection des données (RGPD).

"De manière générale, ce type d’application doit prévoir des garanties fortes pour protéger les données de ses utilisateurs", explique la Cnil.

Données sensibles

"Le respect de ces obligations est particulièrement nécessaire lorsque des données sensibles (données qui révèlent les opinions politiques) sont traitées", ajoute le régulateur, précisant que "la collecte de ces données est par principe interdite, sauf exception, par exemple si le consentement explicite des personnes est recueilli".

Grégoire Cazcarra, un des co-fondateurs, avait expliqué à l'AFP que "le point de départ" du projet était "de combattre une abstention galopante qui augmente élection après élection".

L'application a remporté un certain succès, avec plusieurs centaines de milliers de téléchargements. Mais certains observateurs ont également relevé des négligences dans la sécurité des données. Un premier utilisateur a identifié une faille permettant de modifier les propositions des candidats, corrigée depuis.

D'autres s'interrogent sur la collecte des réponses des utilisateurs et le stockage de ces données sur un serveur de l'application, chez le leader du cloud AWS (Amazon Web Services).

Les conditions générales d'utilisation de l'application indiquent bien que celle-ci enregistre la date de naissance, le code postal et le genre de l'utilisateur s'il choisit de les communiquer, ainsi que ses réponses aux propositions politiques. L'application se réserve aussi le droit de revendre à des tiers ces données "toujours anonymisées".

"Aucune donnée n'est partagée avec Google et Facebook. Les données sont anonymes, l'application n'identifie individuellement aucun utilisateur", s'est défendu lundi Grégoire Cazcarra, contacté par l'AFP.

Selon lui, les données sauvegardées pourraient être utilisées pour des "recherches scientifiques" ou si l'application décide de proposer des nouveaux contenus, mais "elles n'ont pas vocation à être fournies à un parti ou à une équipe de campagne".