Elyze, téléchargé plus d’un million de fois, se présente comme le « Tinder » de la politique permettant aux jeunes électeurs perdus de se retrouver dans la jungle des propositions. De nombreuses critiques se sont élevées contre la récolte massive de données opérée par l’application.
Khedidja Zerouali
3 février 2022 à 12h28
Comme sur une application de rencontres, le pouce s’active à une vitesse infernale. Si sur Tinder défilent les possibles déceptions amoureuses, sur Elyze, ce sont les probables désillusions politiques, à l’horizon d’avril 2022.
Sur le téléphone s’affichent des propositions environnementales en vert, des propositions culturelles en violet ou des propositions sécuritaires en bleu : « Arrêter les installations d’éoliennes et geler les projets en cours » ; « Établir un impôt sur la fortune climatique » ; « Ne pas participer aux Jeux olympiques 2024 » ; « Exiger pour tout candidat à un mandat électif un casier judiciaire vierge »…
Le co-créateur de l’application, Grégoire Cazcarra, n’est pas novice en la matière. L’étudiant est aussi le fondateur du mouvement Les Engagés, qui souhaite devenir un « mouvement citoyen et apartisan qui parvienne à réconcilier les citoyens avec la politique et à influencer le débat ; ce défi fou, nous avons le pouvoir – et le devoir – de le relever ».
Pour Julien Boyadjian, maître de conférences à Sciences Po Lille, le principe même de l’application est à revoir : « L’idée selon laquelle les électeurs choisiraient leur bulletin de vote en fonction des propositions des candidats n’est pas vérifiée, au contraire. Toutes les enquêtes de sociologie politique démontrent le contraire. Le vote ne se réduit pas à l’expression d’une opinion. Souvent, on vote selon notre identité, nos valeurs, pour exprimer une appartenance à un tout social. Les Français qui étudieraient tous les programmes et voteraient pour le meilleur, c’est une fiction, ça n’existe pas. »
Peu importe, l’application séduit massivement les jeunes qui se déplacent peu aux urnes, moins d’un sur cinq lors des dernières élections de 2017.
Lancée début janvier 2022, l’application a connu un succès fulgurant et a déjà été téléchargée plus d’un million de fois. Fondée par deux étudiants en commerce, Grégoire Cazcarra, 22 ans, et François Mari, 19 ans, l’application n’aurait coûté que 2 000 euros à produire, selon les fondateurs qui précisent auprès de Mediapart que « l’application est financée sur fonds propres ».
Des bugs vite réparés
Rapidement, l’application a fait l’objet de vives critiques. Premièrement, plusieurs bugs ont été repérés, plaçant Emmanuel Macron en premier quand il y avait ex aequo, par exemple. « Ce bug ne résulte pas de choix politiques inconscients mais de l’ordre d’inscription des candidats sur JavaScript, notre langage de code, qui était complètement aléatoire », commentent les créateurs d’Elyze qui, alertés sur ces erreurs de programmation, ont vite rectifié le tir.
Le jeune homme avait aussi remarqué des failles du côté de la sécurité, lui permettant d’ajouter, pour la blague, une proposition au président-presque-candidat : « Virer Jean Castex et nommer Mathis Hammel à sa place. » « Mais les bugs et les failles dans la sécurité, ce ne sont pas les plus gros problèmes, reprend-il. Ce qui inquiète surtout, c’est la récolte massive des données. »
Les deux jeunes étudiants en commerce qui ont lancé l’application se sont positionnés sur ce marché du vote comme on se positionne sur n’importe quel marché, raflant par la même occasion les données précieuses de milliers d’électeurs et d’électrices, à la veille de l’élection présidentielle. Et Elyze de se défendre : « La participation politique des jeunes est un enjeu d’intérêt général, d’une importance majeure à nos yeux, et non un “marché”. »
« Ils ont eu quinze millions de données individuelles, ça fait de très gros volumes et des données de ce type, ça vaut très cher, reprend Mathis Hammel. D’un côté, les utilisateurs ne sont pas très éduqués sur la protection de leurs données et, de l’autre, c’est vrai que l’info n’était pas accessible directement. Il faut fouiller assez loin dans les conditions générales d’utilisation pour savoir exactement comment seront utilisées les données. À la base, ils affichaient clairement leur volonté de vendre ces données puis, quand il y a eu des critiques, ils se sont ravisés. »
Récolte massive de données sur les jeunes électeurs français
En effet, à l’origine, Elyze enregistrait nombre d’informations personnelles en plus des choix politiques… Puis, direction le serveur de l’application, chez Amazon Web Services et Facebook, selon les travaux d’Esther Onfroy.
L’experte en sécurité Android et en rétro-ingénierie s’est penchée sur le fonctionnement de l’application et a expliqué qu’étaient envoyés au réseau social un identifiant unique, le nom de l’opérateur téléphonique, diverses informations relatives au mobile, le nom de l’application lancée, pendant que le serveur Amazon recevait la date de naissance, le code postal et le genre. Elle rappelle aussi que « ces données sont collectées sans base légale » et conseillait alors aux deux jeunes entrepreneurs de « supprimer l’application du store jusqu’à sa mise en conformité » et de « supprimer l’intégralité des données collectées ».
De son côté, Elyze rassure : « Les données récoltées étaient la date de naissance, le genre, et le code postal (au moment de la configuration de l’application), ainsi que les choix des propositions. Sur le point soulevé par Esther Onfroy, nous ne récoltions aucune information sur le téléphone de l’utilisateur. Simplement, nous utilisons le logiciel “Expo” pour compiler Elyze. Or, celui-ci intègre automatiquement des “SDK” [kit de développement logiciel – ndlr] dans l’application, qui ne sont pas activés mais présents par défaut (et qui ne peuvent être retirés), fournissant des statistiques sur le nombre d’utilisateurs directement à Expo (de manière entièrement anonyme). » Un anonymat que l’experte en sécurité juge factice.
L’application se réservait, au départ, le droit de revendre ces précieuses données, « toujours anonymisées ». Or, les informations récoltées et recoupées auraient rapidement permis l’authentification des personnes. Sur la nature des clients potentiels, Elyze précise qu’au départ, ils n’envisageaient « des éventuels partenariats qu’avec des instituts de sondage, think tanks ou centres de recherche. À cet égard, la version initiale de nos conditions générales d’utilisation portait à confusion, nous l’avons donc corrigée ».
Et notre confrère d’« Arrêt sur images » de s’inquiéter : « En trois semaines, deux parfaits inconnus ont constitué une base de données qui regroupe les opinions politiques précises d’un million de gens, sans que personne – ou presque – ne moufte, pas même la Cnil [Commission nationale de l’informatique et des libertés – ndlr], alors que la conception d’une telle base de données est explicitement… interdite par l’article 9 du RGPD [le règlement général sur la protection des données]. »
Les acteurs qui se positionnent sur ce marché (…) ont tout intérêt à faire croire que l’élection se joue grâce au big data électoral.
Julien Boyadjian, maître de conférences à Sciences Po Lille
Anaïs Theviot, directrice du Centre de recherche Humanités et Sociétés à l’Université catholique de l’Ouest et auteure de Big data électoral, s’intéresse de près à la récolte de données personnelles dans le cadre politique. Selon elle, « la vente de données est une pratique courante dans le domaine marketing et ça s’étend aujourd’hui à la politique. Les applications ne sont pas censées récolter des données personnelles sans l’accord des usagers. Sauf que souvent, c’est légal puisqu’on donne son accord sans faire attention, en ne lisant pas la charte, on va juste cliquer sur “Je suis d’accord”, c’est une habitude bien ancrée ».
Rien de spécial à ajouter sur l’article à part que, tisane de tisane, je la connais cette journaliste de Mediapart! Elle était avec moi au lycée! Comme quoi, on en apprend tous les jours.
>Pour Julien Boyadjian, maître de conférences à Sciences Po Lille, le principe même de l’application est à revoir : « L’idée selon laquelle les électeurs choisiraient leur bulletin de vote en fonction des propositions des candidats n’est pas vérifiée, au contraire. Toutes les enquêtes de sociologie politique démontrent le contraire. Le vote ne se réduit pas à l’expression d’une opinion. Souvent, on vote selon notre identité, nos valeurs, pour exprimer une appartenance à un tout social. Les Français qui étudieraient tous les programmes et voteraient pour le meilleur, c’est une fiction, ça n’existe pas. »
Et du coup, essayer de le développer, c’est mal ?
>De son côté, Elyze rassure : « Les données récoltées étaient la date de naissance, le genre, et le code postal (au moment de la configuration de l’application), ainsi que les choix des propositions. Sur le point soulevé par Esther Onfroy, nous ne récoltions aucune information sur le téléphone de l’utilisateur. Simplement, nous utilisons le logiciel “Expo” pour compiler Elyze. Or, celui-ci intègre automatiquement des “SDK” [kit de développement logiciel – ndlr] dans l’application, qui ne sont pas activés mais présents par défaut (et qui ne peuvent être retirés), fournissant des statistiques sur le nombre d’utilisateurs directement à Expo (de manière entièrement anonyme). » Un anonymat que l’experte en sécurité juge factice.
>Et notre confrère d’« Arrêt sur images » de s’inquiéter : « En trois semaines, deux parfaits inconnus ont constitué une base de données qui regroupe les opinions politiques précises d’un million de gens, sans que personne – ou presque – ne moufte, pas même la Cnil [Commission nationale de l’informatique et des libertés – ndlr], alors que la conception d’une telle base de données est explicitement… interdite par l’article 9 du RGPD [le règlement général sur la protection des données]. »
Quand on connait la CNIL, c’est pas surprenant du tout. En trois semaines, ils peuvent rien faire, avec la latence qu’ils ont et les dossiers qu’ils ont à gérer… Une demande à la CNIL qui devrait prendre un mois (selon leur dire) par email, elle prend en général plus de trois mois…
J’ai écouté un podcast de MiCode où les invités étaient justement les créateurs de l’app.
En gros, c’est une toute petite équipe de jeunes qui ont fait l’app. Le dev. c’est son premier projet, tu sens que le gars c’est pas non plus un vieux de la vieille. A un moment on lui pose la question de savoir pourquoi le code était pas Open Source et il explique un peu candidement qu’il n’a pas fait d’études de dev., qu’il n’était pas accoutumé à GitHub, qu’il a appris sur le tas et qu’il a posté le code ensuite, qu’il se basait sur des librairies tierces pour faire des effets dans l’app, qu’ils n’avaient jamais prévu un tel succès, qu’AWS va leur facturer quelques milliers d’EUR etc…
Bref tout ça pour dire que t’as sans doute deux ou trois étudiants de 20~25 ans qui ont voulu faire un projet sympa et de suite t’as un chercheur, un maître de conférence de Sciences-Po, une experte en cybersécurité et un journaliste MediaPart qui leur tombent sur le coin de la gueule.
Ca me rend un peu triste pour ces jeunes.
Moi même je taffe sur un projet solo, je suis pas du tout dev., j’apprends tout seul de mon côté pendant mes week-end. Si je me trouvais dans la même situation, clairement j’enverrai tout ces putain de rabat-joie aller se faire foutre.
Il faut bien réaliser que c’est un problème à double sens :
– risque pour l’anonymat du vote (électeur -> système)
– présentation biaisée de candidats (système -> électeur)
5 comments
Elyze, téléchargé plus d’un million de fois, se présente comme le « Tinder » de la politique permettant aux jeunes électeurs perdus de se retrouver dans la jungle des propositions. De nombreuses critiques se sont élevées contre la récolte massive de données opérée par l’application.
Khedidja Zerouali
3 février 2022 à 12h28
Comme sur une application de rencontres, le pouce s’active à une vitesse infernale. Si sur Tinder défilent les possibles déceptions amoureuses, sur Elyze, ce sont les probables désillusions politiques, à l’horizon d’avril 2022.
Sur le téléphone s’affichent des propositions environnementales en vert, des propositions culturelles en violet ou des propositions sécuritaires en bleu : « Arrêter les installations d’éoliennes et geler les projets en cours » ; « Établir un impôt sur la fortune climatique » ; « Ne pas participer aux Jeux olympiques 2024 » ; « Exiger pour tout candidat à un mandat électif un casier judiciaire vierge »…
La personne qui a téléchargé Elyze est invitée à se prononcer et à swipper selon son humeur politique : elle peut aimer d’un cœur vert, s’opposer d’une croix rouge ou ne pas répondre, s’interrogeant encore sur la pertinence de la proposition, comme l’émoticône penseur sur lequel elle peut appuyer. Au bout de vingt-cinq réponses minimum, la personne peut consulter son podium personnel et savoir avec quel·le candidat·e elle a matché, celui ou celle dont elle est la plus proche politiquement. L’objectif ? « Tenter de réconcilier les jeunes avec la politique, en mettant en lumière les projets et programmes des candidats à la présidentielle, et ainsi lutter contre l’abstention. »
Près de 500 propositions sont répertoriées sur l’application. © Application Elyze
Le co-créateur de l’application, Grégoire Cazcarra, n’est pas novice en la matière. L’étudiant est aussi le fondateur du mouvement Les Engagés, qui souhaite devenir un « mouvement citoyen et apartisan qui parvienne à réconcilier les citoyens avec la politique et à influencer le débat ; ce défi fou, nous avons le pouvoir – et le devoir – de le relever ».
Pour Julien Boyadjian, maître de conférences à Sciences Po Lille, le principe même de l’application est à revoir : « L’idée selon laquelle les électeurs choisiraient leur bulletin de vote en fonction des propositions des candidats n’est pas vérifiée, au contraire. Toutes les enquêtes de sociologie politique démontrent le contraire. Le vote ne se réduit pas à l’expression d’une opinion. Souvent, on vote selon notre identité, nos valeurs, pour exprimer une appartenance à un tout social. Les Français qui étudieraient tous les programmes et voteraient pour le meilleur, c’est une fiction, ça n’existe pas. »
Peu importe, l’application séduit massivement les jeunes qui se déplacent peu aux urnes, moins d’un sur cinq lors des dernières élections de 2017.
Lancée début janvier 2022, l’application a connu un succès fulgurant et a déjà été téléchargée plus d’un million de fois. Fondée par deux étudiants en commerce, Grégoire Cazcarra, 22 ans, et François Mari, 19 ans, l’application n’aurait coûté que 2 000 euros à produire, selon les fondateurs qui précisent auprès de Mediapart que « l’application est financée sur fonds propres ».
Des bugs vite réparés
Rapidement, l’application a fait l’objet de vives critiques. Premièrement, plusieurs bugs ont été repérés, plaçant Emmanuel Macron en premier quand il y avait ex aequo, par exemple. « Ce bug ne résulte pas de choix politiques inconscients mais de l’ordre d’inscription des candidats sur JavaScript, notre langage de code, qui était complètement aléatoire », commentent les créateurs d’Elyze qui, alertés sur ces erreurs de programmation, ont vite rectifié le tir.
Mathis Hammel, expert technique pour CodinGame, est celui qui a tiré l’alarme le premier, usant des techniques de rétro-ingénierie pour entrer dans le code source qui n’était pas accessible à tout le monde au départ. « J’ai vite été persuadé que ces erreurs n’étaient pas volontaires, explique-t-il. D’ailleurs, j’ai été contacté rapidement par les fondateurs de l’application et ils ont réparé les bugs que je leur indiquais. » Depuis, le code a été mis en open source, permettant à tous d’aller voir comment fonctionne exactement l’application.
« J’ai découvert un problème de sécurité sur l’app Elyze (numéro 1 des stores en France cette semaine) qui m’a permis d’apparaître comme candidat à la présidentielle sur le téléphone de plusieurs centaines de milliers de français. » © Twitter @MathisHammel
Le jeune homme avait aussi remarqué des failles du côté de la sécurité, lui permettant d’ajouter, pour la blague, une proposition au président-presque-candidat : « Virer Jean Castex et nommer Mathis Hammel à sa place. » « Mais les bugs et les failles dans la sécurité, ce ne sont pas les plus gros problèmes, reprend-il. Ce qui inquiète surtout, c’est la récolte massive des données. »
Les deux jeunes étudiants en commerce qui ont lancé l’application se sont positionnés sur ce marché du vote comme on se positionne sur n’importe quel marché, raflant par la même occasion les données précieuses de milliers d’électeurs et d’électrices, à la veille de l’élection présidentielle. Et Elyze de se défendre : « La participation politique des jeunes est un enjeu d’intérêt général, d’une importance majeure à nos yeux, et non un “marché”. »
« Ils ont eu quinze millions de données individuelles, ça fait de très gros volumes et des données de ce type, ça vaut très cher, reprend Mathis Hammel. D’un côté, les utilisateurs ne sont pas très éduqués sur la protection de leurs données et, de l’autre, c’est vrai que l’info n’était pas accessible directement. Il faut fouiller assez loin dans les conditions générales d’utilisation pour savoir exactement comment seront utilisées les données. À la base, ils affichaient clairement leur volonté de vendre ces données puis, quand il y a eu des critiques, ils se sont ravisés. »
Récolte massive de données sur les jeunes électeurs français
En effet, à l’origine, Elyze enregistrait nombre d’informations personnelles en plus des choix politiques… Puis, direction le serveur de l’application, chez Amazon Web Services et Facebook, selon les travaux d’Esther Onfroy.
L’experte en sécurité Android et en rétro-ingénierie s’est penchée sur le fonctionnement de l’application et a expliqué qu’étaient envoyés au réseau social un identifiant unique, le nom de l’opérateur téléphonique, diverses informations relatives au mobile, le nom de l’application lancée, pendant que le serveur Amazon recevait la date de naissance, le code postal et le genre. Elle rappelle aussi que « ces données sont collectées sans base légale » et conseillait alors aux deux jeunes entrepreneurs de « supprimer l’application du store jusqu’à sa mise en conformité » et de « supprimer l’intégralité des données collectées ».
De son côté, Elyze rassure : « Les données récoltées étaient la date de naissance, le genre, et le code postal (au moment de la configuration de l’application), ainsi que les choix des propositions. Sur le point soulevé par Esther Onfroy, nous ne récoltions aucune information sur le téléphone de l’utilisateur. Simplement, nous utilisons le logiciel “Expo” pour compiler Elyze. Or, celui-ci intègre automatiquement des “SDK” [kit de développement logiciel – ndlr] dans l’application, qui ne sont pas activés mais présents par défaut (et qui ne peuvent être retirés), fournissant des statistiques sur le nombre d’utilisateurs directement à Expo (de manière entièrement anonyme). » Un anonymat que l’experte en sécurité juge factice.
L’application se réservait, au départ, le droit de revendre ces précieuses données, « toujours anonymisées ». Or, les informations récoltées et recoupées auraient rapidement permis l’authentification des personnes. Sur la nature des clients potentiels, Elyze précise qu’au départ, ils n’envisageaient « des éventuels partenariats qu’avec des instituts de sondage, think tanks ou centres de recherche. À cet égard, la version initiale de nos conditions générales d’utilisation portait à confusion, nous l’avons donc corrigée ».
Et notre confrère d’« Arrêt sur images » de s’inquiéter : « En trois semaines, deux parfaits inconnus ont constitué une base de données qui regroupe les opinions politiques précises d’un million de gens, sans que personne – ou presque – ne moufte, pas même la Cnil [Commission nationale de l’informatique et des libertés – ndlr], alors que la conception d’une telle base de données est explicitement… interdite par l’article 9 du RGPD [le règlement général sur la protection des données]. »
Les acteurs qui se positionnent sur ce marché (…) ont tout intérêt à faire croire que l’élection se joue grâce au big data électoral.
Julien Boyadjian, maître de conférences à Sciences Po Lille
Anaïs Theviot, directrice du Centre de recherche Humanités et Sociétés à l’Université catholique de l’Ouest et auteure de Big data électoral, s’intéresse de près à la récolte de données personnelles dans le cadre politique. Selon elle, « la vente de données est une pratique courante dans le domaine marketing et ça s’étend aujourd’hui à la politique. Les applications ne sont pas censées récolter des données personnelles sans l’accord des usagers. Sauf que souvent, c’est légal puisqu’on donne son accord sans faire attention, en ne lisant pas la charte, on va juste cliquer sur “Je suis d’accord”, c’est une habitude bien ancrée ».
Par ailleurs, la récolte des données en politique n’est pas nouvelle. À l’ancienne, des feuilles A4 cornées permettaient de rentrer au quartier général avec les adresses mail et les prénoms et noms des personnes venues au meeting, les militant·es revenaient des marchés ou des tractages, les carnets noircis de numéros de téléphone.
Émission animée par Hugo Décrypte sur Elyze, avec la présence de son cofondateur, Grégoire Cazcarra. © Mashup par HugoDécrypte
Rien de spécial à ajouter sur l’article à part que, tisane de tisane, je la connais cette journaliste de Mediapart! Elle était avec moi au lycée! Comme quoi, on en apprend tous les jours.
>Pour Julien Boyadjian, maître de conférences à Sciences Po Lille, le principe même de l’application est à revoir : « L’idée selon laquelle les électeurs choisiraient leur bulletin de vote en fonction des propositions des candidats n’est pas vérifiée, au contraire. Toutes les enquêtes de sociologie politique démontrent le contraire. Le vote ne se réduit pas à l’expression d’une opinion. Souvent, on vote selon notre identité, nos valeurs, pour exprimer une appartenance à un tout social. Les Français qui étudieraient tous les programmes et voteraient pour le meilleur, c’est une fiction, ça n’existe pas. »
Et du coup, essayer de le développer, c’est mal ?
>De son côté, Elyze rassure : « Les données récoltées étaient la date de naissance, le genre, et le code postal (au moment de la configuration de l’application), ainsi que les choix des propositions. Sur le point soulevé par Esther Onfroy, nous ne récoltions aucune information sur le téléphone de l’utilisateur. Simplement, nous utilisons le logiciel “Expo” pour compiler Elyze. Or, celui-ci intègre automatiquement des “SDK” [kit de développement logiciel – ndlr] dans l’application, qui ne sont pas activés mais présents par défaut (et qui ne peuvent être retirés), fournissant des statistiques sur le nombre d’utilisateurs directement à Expo (de manière entièrement anonyme). » Un anonymat que l’experte en sécurité juge factice.
Oui, les SDK c’est une plaie, par exemple l’appli mediapart contient des trackers de Google, de Microsoft, de Batch ( https://reports.exodus-privacy.eu.org/en/reports/com.mediapart.app/latest/ ), ce qui reste bien moins que Elyze : https://reports.exodus-privacy.eu.org/en/reports/com.lesengages.elyze/latest/ ( facebook, google, segment, amplitude ).
>Et notre confrère d’« Arrêt sur images » de s’inquiéter : « En trois semaines, deux parfaits inconnus ont constitué une base de données qui regroupe les opinions politiques précises d’un million de gens, sans que personne – ou presque – ne moufte, pas même la Cnil [Commission nationale de l’informatique et des libertés – ndlr], alors que la conception d’une telle base de données est explicitement… interdite par l’article 9 du RGPD [le règlement général sur la protection des données]. »
Quand on connait la CNIL, c’est pas surprenant du tout. En trois semaines, ils peuvent rien faire, avec la latence qu’ils ont et les dossiers qu’ils ont à gérer… Une demande à la CNIL qui devrait prendre un mois (selon leur dire) par email, elle prend en général plus de trois mois…
J’ai écouté un podcast de MiCode où les invités étaient justement les créateurs de l’app.
En gros, c’est une toute petite équipe de jeunes qui ont fait l’app. Le dev. c’est son premier projet, tu sens que le gars c’est pas non plus un vieux de la vieille. A un moment on lui pose la question de savoir pourquoi le code était pas Open Source et il explique un peu candidement qu’il n’a pas fait d’études de dev., qu’il n’était pas accoutumé à GitHub, qu’il a appris sur le tas et qu’il a posté le code ensuite, qu’il se basait sur des librairies tierces pour faire des effets dans l’app, qu’ils n’avaient jamais prévu un tel succès, qu’AWS va leur facturer quelques milliers d’EUR etc…
Bref tout ça pour dire que t’as sans doute deux ou trois étudiants de 20~25 ans qui ont voulu faire un projet sympa et de suite t’as un chercheur, un maître de conférence de Sciences-Po, une experte en cybersécurité et un journaliste MediaPart qui leur tombent sur le coin de la gueule.
Ca me rend un peu triste pour ces jeunes.
Moi même je taffe sur un projet solo, je suis pas du tout dev., j’apprends tout seul de mon côté pendant mes week-end. Si je me trouvais dans la même situation, clairement j’enverrai tout ces putain de rabat-joie aller se faire foutre.
Il faut bien réaliser que c’est un problème à double sens :
– risque pour l’anonymat du vote (électeur -> système)
– présentation biaisée de candidats (système -> électeur)