« Favoritisme, failles de sécurité, revente de données: que reproche-t-on à Elyze, le Tinder de la présidentielle ? » titre CheckNews : « Connaissant un fort succès depuis deux semaines et truffée de maladresses techniques, l’application créée par deux étudiants est sous le feu des projecteurs, et de la Cnil ».
L'application, créée par deux étudiants qui veulent réconcilier la jeune génération avec la politique pour lutter contre l’abstention, a fait l'objet de plusieurs threads critiquant ses dysfonctionnements et conditions générales d'utilisation sur Twitter.
Un bug met par exemple Emmanuel Macron en premier en cas d'égalité. Ensuite, certains candidats ayant pourtant reçu plus de likes, arrivaient plus bas dans le classement. D’autres soulignent que des candidats avaient plus de propositions que d’autres, ce qui biaisait tout le processus.
Résultat, si Elyze est toujours n°1 des téléchargements, les notes des utilisateurs dégringolent, affichant ce lundi deux étoiles sur cinq pour un total de 2 450 avis sur Google Play Store. Les commentaires se suivent et se ressemblent : « Le classement ne fonctionne tout simplement pas » ; « Ne tient aucun compte des réponses données » ; « Macron arrive toujours premier ».
« On a été dépassé par le succès de l’application, je suis le seul à coder dans l’équipe, j’essaye de prendre en compte tous les retours, qui sont normaux, mais la surcharge de travail est énorme », confie le développeur de l'application, peiné par les critiques parfois violentes sur Twitter.
Suite aux demandes répétées sur les réseaux sociaux, le code de l’application va être rendu public dans la semaine. « Ne serait-ce que pour être transparent sur l’algorithme, ce qui est assez logique », précise-t-il.
De nombreux Twittos déplorent que les CGU d’Elyze prévoient au surplus « la revente des données d’utilisation, toujours anonymisées, à des tiers ». Or, selon l’article 9 du règlement européen sur les données personnelles (RGPD), « le traitement des données à caractère personnel qui révèle les opinions politiques » est interdit, sauf si le consentement explicite est récolté et lié à une finalité précise.
La CNIL a annoncé à l’AFP qu’elle allait vérifier si l’application est en conformité avec la réglementation sur ces « données sensibles ».
Commentaires (58)
#1
Oh, p’tit chou. Il est triste le bonhomme
Son soft vend des données, Macron passe en premier tout le temps, mais il est triste qu’on lui dise. C’est beau.
#2
Enfin!
La force de cette app est un sondage ouvert pour qu’un candidat pas encore déclaré puisse créer le programme le plus démagogique.
#3
N’est pas Guillaume Rozier qui veut
#3.1
:)
#4
choisir_candidat() {
#5
Sauf qu’une donnée anonymisée (et non seulement pseudonymisée) n’est pas une donnée à caractère personnel. Donc non soumise au RGPD !
#5.1
Vu que le code n’est pas encore ouvert, on ne peut pas se prononcer sur cette anonymisation. Elle doit respecter des règles strictes pour être qualifiées comme telles. Donc on ne sait pas si ces données sont soumises au RGPD ou pas.
D’où la dernière phrase de l’actu.
#5.2
Je suis peut être trop chipoteur à force d’avoir lu le RGPD, mais non, des données anonymes ne sont pas des données à caractère personnelles. Des données pseudonymisées oui, des données anonymisées non.
Ce qui est beaucoup plus fréquent, c’est de faire des erreurs d’appréciation dans le processus d’anonymisation , et considérer donc faussement des données comme étant anonymisées alors qu’elles ne le sont pas.
Mais là, ce n’est plus un problème juridique de CGU, mais un problème de mise en oeuvre. Et c’est ici que pêche la dernière phrase de l’actu, en sous-entendant que le traitement de données à caractère personnel révélant des opinions politiques est interdit, y compris si elles sont anonymisées. Les données anonymisées, ils en font ce qu’ils veulent, puisque ce ne sont pas des données à caractères personnels ;)
#6
DevOps: le problème à toutes vos solutions.
#6.1
Ah mais tellement !
#6.2
Tu vas recruter toute une team pour publier une app que tu codes sur le côté toi ?
#7
Là, on parle de données “sensibles” (opinions politiques), et leur recueil, puis anonymisation doit être fait dans les règles de l’art, ce qui n’est visiblement pas le cas ici…
#7.1
L’application est faite pour ça. Dès lors, sa simple installation peut être considérée comme consentement valide :
Donc oui, collecter des informations sensibles, ils le peuvent.
Quand à la revente des données, comme je le disais, ce ne sont que des données anonymisées, donc non soumises au RGPD (qu’importe que les données soient à la base sensible ou non).
Très bien. Quelles sont les preuves ? Un dysfonctionnement n’est en rien une preuve d’un non respect des règles de l’art. Et une telle affirmation gratuite péremptoire pourrait être perçu comme diffamant.
On peut collecter des données tout en respectant le RGPD et se vautrer lamentablement lors de la réalisation de statistiques. Cela ne changera pas le fait que le RGPD est respecté.
#8
Ne diffamons pas STP.
Le mec est tout seul, même si c’était le cas, c’est pardonnable.
#9
J’ai rien compris.
#10
Vous êtes vachement dur contre un gars qui passe du temps bénévolement à développer tout seul une application. Ca vous semble pas normal de pouvoir passer à côté de ce genre de chose ?
Si ça cartonne autant, ça ne voudrait pas dire que ça comble un vide au niveau des services existants ?
Il a pas une team derrière lui pour tester tout ça et vous lui crachez juste à la gueule xD
Faites-le si c’est si simple.
Le dev ne semble pas du tout contre corriger les soucis remontés et il n’en fait pas de pub outrancière. C’est les médias qui ont poussé cette app en avant. Il est pas en train de vicieusement pousser une app qui va pousser Macron dans les sondages.
Vous allez cracher sur toutes les apps gratos fait vite par quelques bénévoles pour résoudre un besoin spécifique et qui contiennent forcément quelques bugs ?
Y a moyen de faire des remontées de bugs tout en restant correct et courtois.
#11
Si tu commence à développer une application sans penser au RGPD, alors que tu manipule des données sensible. C’est que l’école à oublié des gros pan de la formation.
On développe ça vite fait, et puis on pense a la légalité après…
“ah zut l’étude juridique derrière indique que l’appli est illégale, on a bossé pour rien” 
Comment en 2022 il est possible de ne pas connaitre l’existence du RGPD ? Même si tu sais pas les détails, tu sais que ça existe et donc tu te renseigne un peu.
Par contre, ils ont bien pensé a faire des CGU mentionnant la revente des données. C’est dingue un cerveau qui pense à un truc mais pas du tout aux conséquences de ce truc
#12
Non mais j’ironisais, hein…
#13
Personne n’a dit que c’était simple, et le problème est peut-être qu’il a cru que ça pouvait l’être.
Il aurait fallu réfléchir en amont.
C’est le défaut de la démarche DevOps, on corrigera quand on aura connaissance de nos conneries. Peu importent les conséquences, on avance.
#14
Pour moi ça ressemble à la recette pour créer les apps les plus intéressantes
#15
En collectant des données sensible, tu dois déclarer ton fichier à la CNIL, tu dois aussi appliquer une obligation de moyens en terme de sécurité (ce qui n’étais pas le cas où justement la base de données était accessible par tous en lecture/écriture) et le code faisant les ajouts dans la base de données ont montré qu’il publiait les données sous la forme (date de naissance, code postal, …). Sur ce dernier point je ne sais pas ce que ça vaut en terme d’anonymisation.
#16
Ces données étant indispensables pour faire des statistiques par région ou tranche d’âge, c’est un peu difficile de ne pas les inclure en clair, donc il est légitime de les stocker. Malheureusement, oui, ce sont des données à caractère personnel qui permettent en plus d’identifier assez précisément une personne en particulier (il n’y a pas beaucoup de personnes nées exactement le même jour que madame Michu à Brotigny-lez-Chanfourettes dans le Cantal)… Elles ne peuvent donc pas être divulguées telles qu’elles à des tiers.
#17
Je suis d’une époque où on recrute une team entre la phase de définition et la phase de publication.
J’ai du mal à imaginer comment garantir un haut niveau de qualité quand on publie d’abord et qu’on définit, conçoit et teste après.
#17.1
Tu ne réponds pas à la question.
Je suis d’accord avec toi pour un projet professionel.
On parle ici d’un petit projet personnel qu’une personne a bien voulu partager.
Et c’est facile d’exagérer, il a bien eu à définir et concevoir la solution avant le développement ;-)
#17.2
“un petit projet perso, que le mec sous les supplices des gens, a bien voulu partager”, tu recoltes les données, les “anonymises” et prévois de pouvoir les revendre?
Perso je n’appel plus ca “un peiti projet perso”
#18
Au-delà de lui cracher dessus (ce que je ferais pas, connaissant bien les problèmes qui vont avec ce style de dèv …), le seul reproche que j’aurai à lui faire, c’était de rendre l’app disponible pour la présidentielle à venir.
Pour un sujet si important mais aussi peu prévoir les risques … Il aurait été clairement plus prudent d’indiquer que c’était une version alpha/béta
Bref, ça semble être plus proche d’un développement étudiant dont l’app est une preuve conceptuelle. Regardez, ça marche (pas tout le temps), c’est simple (mais pas si sécurisé) et un seul code pour deux systèmes mobiles.
Par contre, on peut pas lui reprocher de vouloir simplifier la lecture et la comparaison des programmes politiques. Par contre on risque effectivement de voir arriver des programmes électoraux Taboola / Outbrain, pour qu’on vote pour tel ou tel candidat.
#19
Effectivement, on peut à priori identifier de nombreuses personnes avec le trio (code postal + genre + date de naissance).
Par contre, je n’ai vu personne le mentionner jusqu’ici dans les commentaires, c’est totalement optionnel dans l’application de saisir ces informations.
#20
Non. Ca, c’était avant le 25 mai 2018. Aujourd’hui, il n’y a plus de déclarations à la CNIL, que les données soient sensibles ou non. Seuls quelques traitements de données de santé nécessitent une autorisation (et non une déclaration).
Base accessible par tous en lecture / écriture ? Je n’ai rien vu à ce sujet. Source ?
Le code n’a pas été publié. Les seules choses que j’ai vu jusqu’à présent, ce sont des appels à des webservices.
L’anonymisation n’a pas a être générale. Dans les CGUs, il est précisé quelle concerne les données envoyées à des tiers.
Sinon, pour répondre à ta question, des études ont montrés que le triplet sexe/date de naissance/code postal peut permettre une réidentification (exacte ou partielle) dans un grand nombre de cas et est donc considéré comme une donnée personnelle.
#21
Je vais laisser la CNIL répondre, mais globalement non, car installer -par exemple- Facebook ne rend pas pour autant légitime le traitement des données personnelles (sensibles ou non…) faite par l’appli sans demande de consentement et encore moins la revente de celles-ci… (cf la volonté de fusion des données WhatsApp / Facebook / Instagram qui s’est mangée un mur en Europe)
Il va falloir arrêter de faire n’importe quoi… avant de faire la moindre appli, bénévole ou non, ce n’est pas le sujet, il FAUT obligatoirement faire des recherches de légalité des fonctions de l’appli, de marque…
#22
Je suis globalement d’accord, sauf que l’exemple de Facebook est mal choisi. Facebook est une application qui a de multiples finalités, et le RGPD est clair là-dessus, un consentement doit être spécifique. (Et facebook dispose de bien d’autres problèmes, comme la collecte d’info sur les utilisateurs non inscrits, une régie publicitaire, etc…).
Elyze n’a qu’une seule finalité : déterminer le candidat qui vous représente le mieux en fonction du programme de chacun d’entre eux. Le reste, ce ne sont que des stats (donc pas des données personnelles).
Jusqu’à preuve du contraire, Elyze ne vend pas les données personnelles. Il faut donc arrêter de crier au loup à chaque fois. Si le RGPD commence à dater maintenant, il est encore nouveau sur certains points comme celui qui nous concerne aujourd’hui. C’est une très bonne chose que la CNIL se saisisse du dossier afin de pouvoir établir des règles claires concernant la collecte d’opinions politiques. Sur les pratiques à suivre, les méthodes d’anonymisation invalides, etc…
#23
« Elize, Elize, Elize et moi »
#24
Une partie de la base de données était accessible en lecture/écriture
https://twitter.com/MathisHammel/status/1482393799456436228
#24.1
Merci pour l’info. Comme tu le précises, c’est une partie seulement de la base, et cela a été corrigé depuis.
Dans les commentaires en général, je trouve qu’il y a beaucoup de procès d’intention pour quelqu’un qui a juste été dépassé par les événements : une petite appli entre pote qui fait le buzz !
Ce que je constate, c’est qu’ils sont réactifs, tiennent comptes des remontées et des critiques, etc… A tout ceux qui s’insurgent, je n’aurais qu’une chose à dire : n’installer pas l’application et puis c’est tout.
A la place, on voit des théories du complot avec des bugs voulu pour favoriser un candidat. Ben non, les bugs, ça existe. Ils sont corrigés au fur et à mesure des remontées.
Oui, les données collectées sont sensibles. Mais faut remettre les choses à leur place : elles ne sont pas nominatives (elles sont pseudonymisées), jusqu’à preuve du contraire, elles n’ont pas été vendues. La CNIL est sur le coup pour étudier la question.
Aussi, j’ai envie de plagier le commissaire Biales : écoutez, laissez la CNIL faire son travail, quand nous auront de plus amples informations, croyez bien que vous en serez les premiers informés.
#25
Bien vu
#26
Si on veut permettre un minimum d’innovation et de créativité, il faut accepter un minimum de souplesse sur ce genre de chose, surtout pour de petits projets personnels comme celui là, pour lequel il n’y a manifestement pas d’intention sournoise.
#27
Hmm… D’abord regardons la description de l’appli sur PlayStore
Ok. Voyons les critiques:
WTF ? Mais comment un client (viewer) peut modifier les propositions stockées sur le serveur ?
Me dites pas que le client fait des requêtes SQL pour récupérer le contenu !?
Même pour un projet perso, on a inventé le static rendering !
WTF ? Déjà pourquoi un truc qui permet de “découvrir de façon ludique les propositions des candidats” collecte des réponses ? C’est un simulateur d’élection/sondage ?
Si c’est le cas, y a un truc qui s’appelle le RGPD. Et c’est applicable même pour les projets perso.
#27.1
Laisse, tu ne comprend juste pas le sens de mes propos. Je ne dis pas qu’aucune critique n’est permise, bien sûr qu’il faut qu’il corrige tout cela, qu’il y a de la négligence. C’est la forme des messages exprimés sur Twitter et certains ici également, je comprend que ça puisse l’affecter personnellement.
Les négligences de ce type ne sont pas étonnantes pour ce genre de projet. Le mec répond a un besoin personnel et de son entourage très certainement. Il a probablement pas pensé que des journaux allaient relayer l’information et que ça allait amener autant de visibilité à ça.
Si tu penses coder un truc pour des potes et connaissances, et que ça pourrait intéresser quelques pelos, ben tu distribues ça même si c’est pas tip top. Le gars, il a certainement pas envie d’y passer des mois dessus non plus pour un truc à portée très relative, il a sans doute d’autres choses sur lesquelles il aimerait bosser ou passer ses soirées.
Voilà, maintenant la situation est ce qu’elle est, il l’avait pas prévu, et tu sais quoi ? Ben il tente de corriger les soucis et il pense à ouvrir le code, peut-être pour permettre à une communauté de gérer le projet. Tu vois vraiment quelqu’un d’inconsidéré là derrière ? Moi je vois juste une personne normal qui a voulu pousser une petite app qui aurait pu intéresser quelques personnes. (Et les événements lui donnent raison).
Mais non, pour les gens c’est juste un gars qui a mal codé sa fonction de tri, le noob.
Vous êtes tristes.
#27.2
Si ça lui prend la tête, pas de problème : il retire son appli des stores et il publie confidentiellement pour ses potes.
Point barre.
On ne transige pas avec le RGPD surtout quand il s’agit d’opinions politiques.
Et je pense vraiment à lire les défauts de son appli que c’est ce qu’il a de mieux à faire.
#27.3
Ben oui, tu as totalement raison, s’il transige au RGPD, il doit s’y conformer, ou à défaut, ne plus distribuer son application, on est bien d’accord là-dessus.
Mais il me semble que la CNIL n’a pas encore tranché.
#28
“Bonjour, je n’ai pris aucune disposition pour vérifier la légalité de la collecte de données que j’opère. En cliquant sur OK, vous acceptez que malgré tout, j’ai le droit de les monétiser”.
#29
“Un bug met par exemple Emmanuel Macron en premier en cas d’égalité.”
ouais ouais un “bug”
le fait que les mecs soutiennent ce candidat, c’est un concours de circonstances?
Que les mecs expliquent qu’ils n’ont mis que les candidats déclarés, mais qu’on y trouve Macron, toujours non candidat, c’est un probleme de configuration de la BDD?
Le code sera rendu public,
laissez nous le temps de modifier l’algo favorisant notre candidat#30
hmm… C’est assez facile de coder un truc du genre
list.sort().getfirst();Naïvement, on pense que ca renvoie LE plus grand élément de la liste.
#31
C’est plutôt un modèle à la NoOps si y’a qu’un dev qui s’occupe de tout.
#32
Quand est biberonné à Facebook, TikTok et cie et que l’on a la l’habitude de vivre sur Internet, les termes RGPD, CNIL, données privées sont un concept abstrait et incompréhensible. 😁
#33
Mouais, une appli entre pote, tu ne la publie pas sur iOS et Android… d’autant plus que pour iOS il faut un compte payant (99€/an).
Il faudrait vraiment arrêter de trouver des excuses où ce n’est pas excusable !
#33.1
Je pense que tu n’as jamais fais de déploiement d’application non présente sur le store. C’est une plaie, et même très limité chez Apple (si cela n’a pas changé, on ne peut enregistrer que 100 périphériques de tests par compte développeur sans possibilité de retirer des périphériques) et nécessite un accès physique au périphérique.
Le passer sur un store, c’est quand même beaucoup plus simple.
Quant au compte développeur, rien n’indique qu’il l’ait pris pour l’occasion. Il pouvait très bien en avoir déjà un à disposition. C’est un compte développeur, pas un compte applicatif. Tu le prends donc 1 fois, et tu t’en fous du reste. Et quand on est utilisateur des produits d’Apple, c’est pas 99€/an qui gêne beaucoup (spoiler alert : non je ne suis pas un fanboy d’Apple).
Je trouve que c’est quand même fort de café de faire un procès d’intention alors qu’il est seul, dépassé par les événements, réactifs et a promis la publication du code source. Que faut-il de plus ?
#34
Comme c’est choupinoux cette vision de buddy-programming.
Sauf qu’en 2022, pour faire ce que tu décris, on poste son code sur github et on release un APK. Et seulement quand ca marche pas trop mal, qu’on a corrigé les bugs on poste sur un store.
Là c’est direct un truc closed-source qu’on diffuse via googleplay, en y incluant de la collecte d’opinions politiques qu’on s’autorise à revendre une fois les données anonymisée.
Faut pas me la faire a l’envers.
#35
Même en essayant de diaboliser le type au maximum pour l’argument, disons le, ça ne va pas bien loin…
Au mieux, il pourrait monétiser les données en tant que sondage d’opinion assez peu représentatif, sachant qu’on trouve facilement plus précis (et avec plus de critères socio-démographiques pour pondérer les résultats).
Au pire, il sera dégouté à vie par la meute Twitter pour avoir fait un petit projet sympa utile qui essaye d’améliorer la démocratie… Et par effet d’exemple ça en dégoutera beaucoup d’autres. Dommage.
https://cdn.theatlantic.com/thumbor/oK8eiL1e6lPCKjfeMBz-nn0LPoE=/0x0:2000x1125/1920x1080/media/img/2021/08/30/WEL_Applebaum_NewPuritansOpener/original.jpg
#36
Vous voulez dire que si ça matche, on peut envisager des plans cul avec des candidats (déclarés ou non) à la présidentielle? Je demande pour un ami…
#37
Wow ‘hachement restrictif ton algo : laisse peu de choix à l’utilisateur…
Respectons un peu plus ses affinités: en bash
case ${Sensibility} in
“Left”) chooseEmmanuelMacron;;
“Right”) chooseEmmanuelMacron;;
*) chooseEmmanuelMacron;;
esac
Vaaaaala ! Les apparences sont sauves !
#38
Pas forcément, car cela nécessite la validation par Apple, concernant Google c’est beaucoup plus léger, c’est sûr.
En tout cas, sur les 2 stores, Elize est la seule application en ligne pour le compte développeur.
Bref, on verra bien ce que ça donnera !
#39
Pas dommage. Tant mieux.
Si ca peut ramener à la réalité les étudiants passés par “Sciences Po + la Sorbonne + ENS” (dixit son linkedin), c’est toujours ça de gagné !
#39.1
Parce que la programmation est limitée à des personnes issues d’études spécifiques ? Si c’est le cas, beaucoup de projets n’auraient même pas vu le jour.
Donc, oui, ça reste dommage de dire aux jeunes de ne rien essayer de personnel parce qu’ils n’ont pas encore l’expérience.
Il a réussi à coder son application dans l’ensemble, il avait le kiff de la publier sur des stores alors il a juste pris la peine de la publier même si pour vous ça semble être compliqué. Vous cherchez juste à le descendre alors qu’au fond il a voulu proposer une application visant à aider les indécis et lutter contre l’abstention et il ne s’est pas arrêté au fait de pas forcément avoir une expérience dans le développement d’app mobile.
Non, pour vous, il aurait pas pu publier sur les deux stores parce que c’est beaucoup trop de démarches pour un simple projet perso (la vérité c’est que c’est faux, c’est facile comme tout, surtout en fait si ça te motive d’être distribué directement sur les stores) mais ça vous semble normal d’aller réunir une équipe de personnes avec beaucoup d’expériences bénévolement (parce que là, on parle pas de 10\( à vie pour le playstore et 99\)/an pour l’app store, on parle de salaires…). Cherchez l’incohérence.
#39.2
Sauf que l’app en question, c’est pas un p’tit jeu façon Candy Crush ou Snake …
Il y a un enjeu sérieux derrière, dont le choix sera définitif pendant 5 ans.
A partir de là, j’estime qu’un projet de ce type doit répondre à certaines obligations en matière de gestion.
Et s’il n’est pas développeur, bravo à lui d’avoir réussi à faire une app aussi conséquente (React est pas spécialement adapté pour les débutants …).
Néanmoins, il aurait pu se lancer sur quelque chose de plus à portée avant de passer sur le thème des présidentielles …
#40
En quoi collecter les intentions de vote aide les indécis ?
En quoi collecter les intentions de vote lutte contre l’abstention ?
Je le répète, la description de son appli c’est:
Le mec est passé par Sciences Po et ENS. Arrêtez de le prendre pour un kevin de 15ans qui fait cela pour le LOL.
#41
Je suis assez d’accord avec ton analyse. Par contre, il faut arrêter avec la discrimination sur les prénoms.
#41.1
D’accord… Kévin
#41.2
Et je ne m’appelle même pas Kévin, hein. Mes parents m’aiment, eux !
