Voilà un détail très peu relevé depuis le lancement de ce Tinder des programmes politiques le 2 janvier 2022. La mention « revente des données d’utilisation, toujours anonymisées, à des tiers » figure dans la politique de confidentialité de l’application Elyze qui compte aujourd’hui plus d’un million de téléchargements.
Vous faites partie des un million de Français qui ont téléchargé l’application ELYZE ? Vos données sont potentiellement disponibles à la revente. Si vous avez utilisé l’application, vous avez accepté cette condition qui figure dans les conditions générales d’utilisation.
Les créateurs s’en défendent, leur intention n’est pas là. « Nous refuserons toute revente à des partis politiques ou autres acteurs du milieu » affirme Alexis Costa, un des responsables de la rédaction des propositions des candidats. Vous vous demandez pourquoi avoir mis cette mention si revendre les données d’utilisateurs n’est absolument pas envisagé ? La réponse du jeune homme est la suivante : « Nous sommes obligés d’un point de vue légal de la mettre dans notre politique de confidentialité pour lancer l’application ».
Nous avons posé la question à une juriste spécialisée dans le RGPD et la protection des données : “Ce qui est obligatoire aux yeux du RGPD c’est la mention d’information, pas le fait de revendre ou non”. La mention d’information ou mention légale c’est le fait de préciser quelles données sont recueillies et dans quel(s) but(s). Si la revente n’en fait pas partie, nulle obligation de le mentionner.
Dès lors que vous avez accepté les conditions générales d’utilisation de l’application, vos données peuvent donc être revendues. Vous ne pourrez plus ensuite, d’un point de vue contractuel contester cette revente. Vous pouvez néanmoins demander la suppression de vos données en envoyant un mail au responsable du traitement des données.
Une mine d’or pour les partis politiques
Les données collectées par l’application sont « anonymisées » du moins, c’est ce qu’affirme la politique de confidentialité. L’application recueille : date de naissance, genre, code postal et aussi et surtout les orientations politiques de chacun. Ces orientations politiques sont récupérées sous la forme suivante « pour, contre, ne se prononce pas » sur chaque proposition de candidats à l’élection présidentielle. Autre donnée qui n’est pas mentionnée : le vote de l’utilisateur en 2017 et les intentions de vote pour 2022. L’opinion politique constitue d’ailleurs, au sens du RGPD, une donnée à caractère personnel sensible. De plus, s’il est possible d’identifier un individu par le recoupement de plusieurs informations, alors celles-ci représentent elles aussi des données à caractère personnel même si, isolément elles ne permettent pas d’identifier quelqu’un.
“De ce que je vois, il n’y a pas une vraie demande de consentement conforme aux exigences RGPD. Ce n’est pas suffisant, les données sont trop sensibles pour se contenter de cette mention”
Juriste RGPD
Toutes ces informations ne sont certes pas obligatoirement renseignées mais, si elles le sont, elles représentent une mine d’or pour tout un tas d’acteurs politiques. Elles pourraient notamment permettre à des partis politiques de concentrer leurs campagnes sur certaines propositions qui d’après les données plaisent. Elles peuvent aussi permettre de cibler les destinataires de leurs actions.
Selon le RGPD le consentement aux conditions générales d’utilisation doit être libre, éclairé et univoque. Sur l’application, au moment de rentrer les informations personnelles que sont la date de naissance, le genre et le code postal, il y a une petite ligne en dessous « en continuant, tu acceptes nos conditions générales d’utilisation et notre politique de confidentialité ». « De ce que je vois, il n’y a pas une vraie demande de consentement conforme aux exigences RGPD » estime une des juristes. “Ce n’est pas suffisant, les données sont trop sensibles pour se contenter de cette mention » précise-t-elle. Conformément à la loi, les conditions générales d’utilisation prévoient tout de même la possibilité de demander la suppression de vos données en envoyant un mail au responsable du traitement des données.
D’autres articles sont à venir concernant l’application et les failles de sécurité qu’elle présente.