Elyze, l’application à succès qui veut revendre vos préférences politiques

Elle se fait appeler « le Tinder de la présidentielle ». Lancée il y a deux semaines, l’application Elyze entend redonner aux jeunes le goût de la politique, en reprenant les codes d’un célèbre site de rencontres. Sur l’écran s’affiche une proposition de campagne. Exemple : « Établir un impôt sur la fortune climatique ? » Trois possibilités s’offrent alors à vous : « aimer » cette proposition, la refuser ou s’abstenir. Répétez l’opération pour les quelque cinq cents mesures suivantes et Elyze finit par vous révéler l’identité de votre heureux « match ». Soit le candidat à l’élection présidentielle avec qui vous partagez le plus de propositions. En d’autres termes, l’application vous indique qui de Jean-Luc Mélenchon, Yannick Jadot, Anne Hidalgo, Emmanuel Macron, Valérie Pécresse, Marine Le Pen ou Éric Zemmour est votre président de la République idéal.

« Le désamour des jeunes pour la politique s’est illustré lors des élections régionales et départementales de 2021, où 9 sur 10 ne se sont pas rendus aux urnes, se désole François Mari, étudiant à l’école de commerce HEC Montréal et cofondateur de l’application. On souhaite donc leur proposer un outil pédagogique, pour les convaincre de faire vivre la démocratie. » Quinze jours après sa mise en service, l’application figurait déjà en tête des classements [1], devant Tous anti-Covid. Elle a déjà été téléchargée plus de 1,1 million de fois. Un succès inattendu pour le jeune homme de 19 ans et son acolyte.

Rançon de la gloire, face à cette viralité se pose la question de la protection des données. Que devient cette multitude d’informations sur les orientations politiques de chacun ? Dissimulée au cœur des indigestes conditions générales d’utilisation (CGU), une clause précise que parmi les finalités du traitement des données à caractère personnel figure « la revente » de celles-ci « à des tiers ».

« On ne vendra pas les données brutes, mais des statistiques générales »

Après avoir assuré dans le média local Le 24 heures que cette clause était seulement une « obligation légale » [2], l’équipe a vite changé de discours. En effet, cette cause est bel et bien obligatoire… si l’on envisage effectivement une revente des données. À titre comparatif, cette clause ne figure pas dans les CGU de l’application de rencontre Tinder, sur laquelle s’est pourtant calquée Elyze.

« Nous avons mis cette clause au cas où nous voudrions construire un business modèle demain, confie François Mari à Reporterre. Pour l’heure, nous ne savons pas si on s’en servira. Une chose est sûre, on ne vendra pas les données brutes, mais des statistiques générales et surtout pas à des partis politiques. » Alors à qui ? « Peut-être à un think tank [un groupe de réflexion] ou à un institut de sondages. » Les CGU ne précisant pas tous ces détails pourtant obligatoires, il faudra le croire sur parole [3].

Une demande de consentement illégale

Retournons sur l’application. Tout juste téléchargée sur votre téléphone portable, vous vous empressez de partir à la quête de votre âme-sœur candidat. Le regard happé par l’imposant bouton rouge « Continuer », vous en oubliez la discrète ligne aux tous petits caractères qui vous chuchote discrètement : « En continuant, tu acceptes nos conditions générales et notre politique de confidentialité. » Et voilà, vous venez de donner votre consentement pour que toutes vos intentions politiques soient revendues. Est-ce légal ? « Absolument pas, affirme Arthur Messaud, de l’association Quadrature du net. C’est clairement illégal et la Cnil [Commission nationale de l’information et des libertés] a déjà sanctionné plein d’applications pour ça. »

En effet, une décision du Conseil d’État datant du 19 juin 2020 établit que « le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités du traitement des données ». En d’autres termes, lors de votre première connexion à Elyze, le détail du devenir de vos informations personnelles aurait dû vous être expliqué point par point, de manière dissociée des CGU.

Dans la clause de revente, les développeurs d’Elyze ont pris soin de préciser que toutes ces données étaient « anonymisées ». Peut-être cela suffira-t-il à vous rassurer. De toute façon, vous n’avez jamais entré votre nom et votre prénom dans l’application. Celle-ci ne vous demandait d’inscrire que votre code postal, votre sexe et votre date de naissance. Vous voilà donc protégé ? « Faux, met en garde Mathis Hammel, spécialiste en cybersécurité. Dans une étude de l’université Carnegie-Mellon, il a été démontré qu’à partir de ce trio d’informations, 87 % des Étasuniens sont identifiables de manière nominative. C’est donc insensé de dire que vous restez anonyme quand vous naviguez sur cette appli. »

La base de données dans les mains d’Amazon

Le 12 janvier, sur le réseau social Twitter, le candidat à l’élection présidentielle Jean-Luc Mélenchon faisait part de ses doutes concernant l’impartialité de l’application. Il s’étonnait notamment de voir Emmanuel Macron toujours placé sur la première marche du podium en cas d’égalité avec un autre candidat. De quoi pousser le spécialiste Mathis Hammel à pénétrer dans l’algorithme d’Elyze.

Encore un coup tordu l'appli #Elyze... À qui profite ce mauvais coup ? Devinez... https://t.co/QMvXaL2LTF

— Jean-Luc Mélenchon (@JLMelenchon) January 12, 2022

Il a commencé par décortiquer le code-machine, un fichier très volumineux illisible pour un humain. « Au bout de plusieurs heures de recherche, j’ai fini par trouver une faille, raconte-t-il à Reporterre. Un mauvais paramétrage me permettait de modifier la liste des propositions des candidats. Et c’est ce que j’ai fait ! » Pendant quelques instants, les utilisateurs connectés à Elyze ont donc pu lire parmi les promesses de campagne d’Emmanuel Macron : « Virer Jean Castex et nommer Mathis Hammel à sa place. » L’expert technique n’a pas répondu aux interrogations de Jean-Luc Mélenchon mais a gentiment averti les deux jeunes fondateurs du problème. Dépassés par le succès inespéré de leur création, ceux-ci disent faire leur possible pour régler ces failles de sécurité.

Hier soir, j'ai découvert un problème de sécurité sur l'app Elyze (numéro 1 des stores en France cette semaine) qui m'a permis d'apparaître comme candidat à la présidentielle sur le téléphone de plusieurs centaines de milliers de français.

Je vous explique ce qui s'est passé ⤵️ pic.twitter.com/0a4LqZUPjL

— Mathis Hammel (@MathisHammel) January 15, 2022

Le spécialiste en cybersécurité l’assure : pour l’heure, la base de données dans laquelle sont stockées toutes les réponses des utilisateurs ne présente pas de souci de sécurité. Autrement dit, un hacker malintentionné n’est pas en mesure d’accéder à vos avis sur « la création de 40 000 places de prison supplémentaires » ou encore « l’interdiction de la chasse à courre ». En revanche, une grande firme étasunienne peut les examiner sans problème. « La base de données est hébergée en clair chez Amazon, poursuit Mathis Hammel. Cela veut dire que si Amazon ou un quelconque gouvernement pour lequel Amazon travaille veut récupérer ces données, ils n’auront aucun mal à le faire. »

Lundi 17 janvier, dans la soirée, la Cnil a annoncé à l’AFP vouloir vérifier si l’application est en conformité avec la réglementation sur ces « données sensibles ». Elle se réserve la possibilité de « faire usage de ses pouvoirs répressifs » en cas de manquement au règlement général sur la protection des données (RGPD).