Donner ses données ? L’application star Elyze au centre d’une polémique

Quelques jours après son lancement, l’application Elyze, surnommée le « Tinder de la politique » s’est retrouvée sous le feu de diverses critiques. Entre initiative citoyenne, failles de sécurité et menace pour les données personnelles, quels risques existent réellement ?

Avec plus d’un million d’utilisateurs, et le haut du classement de l’App store et du Play store atteint en quelques jours, l’application Elyze connaît actuellement un succès fulgurant. Son concept ? Elle se présente comme un « Tinder de la politique », proposant aux utilisateurs d’approuver ou de rejeter les propositions électorales des différents candidats à l’élection présidentielle de 2022. À mesure de l’approbation ou de la désapprobation des différentes promesses, l’application alimente un classement des candidats, afin que l’utilisateur puisse voir avec quel programme il a le plus d’affinités. Ce type d’application fait partie des civic techs, ce terme englobant tous les outils numériques visant à accroître le pouvoir ou l’information du citoyen et à rendre la démocratie plus participative et ouverte. À l’origine de ce projet, quatre Français de 19 à 24 ans voulant éveiller la jeunesse aux enjeux des futures élections.

Cependant, malgré son succès, l’app Elyze n’est pas à l’abri des critiques. La semaine passée, plusieurs utilisateurs ont signalé que lorsque le président Emmanuel Macron était ex aequo avec un autre candidat, il apparaissait systématiquement en tête. Cela n’a pas manqué de susciter des réactions, notamment de la part du candidat Insoumis Jean-Luc Mélenchon.

 

Une vulnérabilité publiquement dévoilée

Dimanche 16 janvier au soir, Mathis Hammel, ingénieur informatique chez CodinGame, a révélé sur Twitter avoir découvert une vulnérabilité dans le code de l’application Elyze par rétro-conception (analyse d’un programme informatique afin d’en comprendre le fonctionnement). Il pointe notamment un choix de l’algorithme privilégiant en cas d’égalité le candidat en tête de la liste établie par les développeurs, basée sur les résultats de sondages dans lesquels le chef de l’État est actuellement en tête. Plus préoccupant, il évoque également la mauvaise gestion des permissions, permettant à n’importe quel individu de modifier tout ou partie des informations relatives aux candidats et à leurs propositions. Pour démontrer son propos, l’ingénieur a d’ailleurs ajouté une proposition factice « virer Jean Castex et nommer Mathis Hammel à sa place ».

De même, une potentielle non-conformité de l’application avec le RGPD a été soulevée, concernant le recueil de certaines données sans que le consentement de l’utilisateur n’ait été recueilli, justifiant une autosaisine de la CNIL dans la foulée. À la suite de cela, une mise à jour de sécurité est intervenue dans la nuit de dimanche à lundi afin de prévenir de nouveaux détournements, puis les développeurs ont finalement supprimé leur base de données et rendu public le code source de l’application. Toutefois, cet évènement, bien que d’ampleur mesurée, démontre l’importance de maîtriser les risques associés à l’app Elyze, et dans une perspective de plus grande ampleur, aux civic techs en général.

 

Les civic techs, du renforcement démocratique à la multiplication des risques

Plus largement, la place grandissante de la technologie dans nos sociétés s’étend aussi à la politique, conduisant à de nouvelles interrogations. En effet, le développement de la participation citoyenne et de l’information du public en matière démocratique, via les civic techs, n’est pas sans poser de questions quant aux usages qui en sont faits et aux risques qui y sont associés. Ainsi il convient de rappeler que tout programme informatique, et par extension toute application n’est que le produit du travail effectué par ses développeurs, dont les intentions ne sont pas toujours bienveillantes ou tout simplement inconnues. On observe également que les bonnes intentions n’excluent pas les failles de sécurité, qui peuvent être le résultat d’une simple méconnaissance de la cybersécurité. De fait, la masse de téléchargements de l’app Elyze atteste du fait que les utilisateurs ont en général davantage tendance à privilégier l’ergonomie ou la praticité d’un programme au détriment de leur propre sécurité, laquelle est parfois négligée, souvent ignorée.

 

Donner ses précieuses données ?

Dans le cas des civic techs, un des risques majeurs est celui de la perte de contrôle sur ses données personnelles, encore plus s’agissant d’informations relatives aux opinions politiques, philosophiques, religieuses ou syndicales, lesquelles font l’objet d’une réglementation particulière au vu de leur caractère sensible. Protégé par le RGPD, l’utilisateur doit consentir explicitement à leur traitement, c’est-à-dire à toute opération concernant une donnée personnelle, quel que soit le procédé utilisé. Pourtant, le règlement européen est appliqué de façon variable, ce qui expose l’utilisateur au risque de réutilisation de ses données à des fins pour lesquelles il n’a pas donné son consentement. Ou plus inquiétant encore, à des fins pour lesquelles il a donné son consentement sans se préoccuper de ce que cela impliquait. Selon la finalité de la réutilisation, le risque n’est pas le même dans le cas d’un usage commercial ou d’une utilisation politique des données. On peut par exemple alimenter des bases de données permettant un ciblage marketing avancé, ou encore affiner une stratégie électorale en visant spécifiquement certains individus à l’aide d’éléments de communication dédiés. De nombreuses structures, politiques ou non, sont évidemment intéressées par de larges bases de données leur permettant de concentrer leurs efforts sur des profils d’individus précis pour un rendement économique ou électoral maximal.

Au-delà de la question de la réutilisation des données, celle de leur anonymisation est également prégnante. Dans le cas d’Elyze, l’application ne demande pas d’informations nominatives à l’utilisateur mais recueille le code postal, le genre et la date de naissance, tout en garantissant l’anonymisation des données. Lesdites données pouvaient être revendues à des tiers, conformément aux conditions d’utilisation que l’utilisateur devait accepter afin d’utiliser l’application. Mais l’absence d’information nominative empêche-t-elle vraiment l’identification des individus ? Pas si sûr, diverses études démontrant que plus de 80 % des individus peuvent être identifiés… sur la base des trois informations demandées par Elyze – même si ses développeurs indiquaient, avant la suppression de leur base de données, ne vouloir transmettre que l’année de naissance et le département en cas de transmission de la base de données à des tiers, quels qu’ils soient.

Plus spécifiquement, les données d’Elyze étaient hébergées par le service AWS d’Amazon, et étaient donc susceptibles de tomber sous le coup de la loi américaine, et plus particulièrement du Cloud Act, lequel permet, via l’intervention d’un juge, de saisir des données hébergées par des entreprises américaines, y compris lorsque les serveurs concernés se trouvent hors des États-Unis.

 

Risque cyber, risque politique ?

Une telle actualité a donc fait débat à moins de 90 jours des présidentielles. Certains s’interrogeaient sur le fait de savoir si cette opération pouvait rentrer dans le cadre d’une campagne de communication et d’influence électorale. En effet, de nombreux utilisateurs d’Elyze ont été interpellés par la potentielle mise en avant de certains candidats, et ont réaffirmé l’importance de la neutralité de ce type de civic tech. Une application partisane pourrait effectivement servir des intérêts politiques à l’insu des utilisateurs, bien que les créateurs aient indiqué que l’application se voulait "neutre, apolitique et apartisane".

Par ailleurs, l’utilisation de l’influence dans le monde politique n’est pas récente et est devenue classique à l’approche d’enjeux stratégiques (élections, référendum, etc.). Ceci a notamment été illustré par l’affaire Cambridge Analytica, dans laquelle l’entreprise souhaitait révolutionner le jeu politique. Elle s’est retrouvée au cœur d’un scandale dans lequel les données de dizaines de millions d’utilisateurs ont été utilisées à leur insu, dans le cadre des élections américaines de 2016.

 

Civic techs : la potentialité d’une ingérence en toile de fond ?

Au-delà du seul cas d’Elyze, la question des ambitions des développeurs en termes de partage et d’analyse de données reste centrale dans le cas des civic techs. Volonté désintéressée de développer la participation et l’information démocratique ? Tentative de recueil massif de données à des fins électorales ou commerciales ? Les données peuvent en sus être stockées à l’étranger, ou sur des serveurs vulnérables à l’intervention étrangère, comme évoqué précédemment, prêtant ainsi le flanc aux manipulations à des fins électorales. Même si les tentatives de déstabilisation passées ne se sont pas manifestées par le biais de programmes tels qu’Elyze, rappelons que les précédentes élections présidentielles françaises et américaines ont été marquées par l’ingérence de puissances étrangères. La Russie avait notamment mené des campagnes de désinformation massive, à l’image des leaks du Parti démocrate américain, ou des MacronLeaks français. Ces éléments ont d’ailleurs amené le Parlement européen à se saisir de la question en adoptant une résolution en 2019. De même, la création en 2021 de l’agence Viginum au sein du Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) tend à montrer une réelle prise de conscience autour du sujet, l’agence étant chargée de lutter contre les ingérences numériques étrangères. L’interférence d’acteurs étatiques au sein du processus démocratique n’étant plus à prouver, la question de l’impact d’acteurs numériques infra-étatiques, ici matérialisée dans plusieurs de ses dimensions par le cas d’Elyze, est amenée à se poser avec d’autant plus d’acuité à l’avenir.

Si les développeurs d’Elyze, sous la double pression de la CNIL et des réactions, ont pu répondre aux critiques en supprimant “toutes les données” et en rendant public son code source, l’utilisation des données reste le nerf de la guerre s’agissant des civic techs. Une chose est sûre, l’influence du numérique sur le monde politique et ses échéances électorales n’a pas fini d’occuper les débats.

 

Guillaume Brechler et Alésia Humbert Barou, pour le club Cyber AEGE

 

Pour aller plus loin :