La CNIL va vérifier la conformité de l'app Elyze sur la protection des données

Par Gérard Haas et Magali Lorsin-Cadoret

Face à la forte abstention de la catégorie des 18-24 ans au second tour des élections présidentielles en 2017, Elyze, une nouvelle application mobile, a pour objectif de réconcilier les jeunes avec la politique.

Le fonctionnement de l’application est simple : des propositions correspondant aux programmes de 15 candidats à l’élection présidentielle sont affichées à l’écran et l’utilisateur doit indiquer s’il est pour ou contre la proposition ou s’il ne souhaite tout simplement pas se prononcer, sans savoir de quel candidat la proposition émane.

Au fur et à mesure des réponses, l’algorithme de l’application propose un classement des candidats en fonction du niveau de compatibilité de l’utilisateur avec chaque programme.

Cependant, malgré son succès avec un million de téléchargements annoncé il y a quelques jours par son CEO sur LinkedIn, des négligences dans la sécurité des données de l’application ont été relevées par les utilisateurs. Ceci a conduit la CNIL, le 17 janvier dernier, à annoncer qu’elle allait se pencher sur l’application pour vérifier sa conformité par rapport à la réglementation sur les données sensibles.

La protection des données politiques

La réglementation applicable aux données sensibles

En vertu de l’article 9 du RGPD, « le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. ».

Cependant, le RGPD prévoit au sein du même article des exceptions à cette interdiction de traitement :

• Si la personne concernée a donné son consentement explicite au traitement de ces données pour une finalité spécifique;
• Si le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
• Si ces données sont nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
• Si le traitement est effectué par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale ;
• Si les informations sont manifestement rendues publiques par la personne concernée ;
• Si le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice;
• Si le traitement est nécessaire pour des motifs d’intérêt public important ;
• Si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ;
• Si le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique;
• Si le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Ainsi, le traitement des données politiques est interdit, sauf dans le cas des exceptions énumérées ci-dessus, du fait du caractère sensible de ces données.

La procédure de contrôle de la CNIL

La CNIL a quatre missions :

1. Informer, protéger les droits ;
2. Accompagner la conformité / conseiller ;
3. Anticiper et Innover ; et
4. Contrôler et sanctionner.

Pourquoi et comment la CNIL effectue-t-elle des contrôles ?

La CNIL a le pouvoir de contrôler tout organisme qui traite des données à caractère personnel, à condition que l’organisme dispose d’un établissement en France ou concerne des personnes résidant en France.

L’objectif d’un contrôle va être de s’assurer que les traitements des données à caractère personnel réalisés par les organismes respectent bien la réglementation applicable en la matière.

Le contrôle peut prendre quatre formes différentes : un contrôle sur place, une audition sur convocation, un contrôle en ligne ou un contrôle sur pièces.

La décision de procéder à un contrôle appartient à Marie-Laure Denis, la Présidente de la CNIL, sur proposition des services de la CNIL.

Quelles sanctions peuvent être prises par la CNIL ?

La CNIL ne va pas forcément sanctionner un organisme qui contreviendrait à la loi Informatique et Libertés et au RGPD.

Sa réponse va être graduée :

• L’avertissement : la CNIL va informer un organisme que le traitement qu’il envisage, uniquement si ce dernier n’est pas encore mis en œuvre, n’est pas conforme à la loi Informatique et Libertés et/ou au RGPD ;
• La mise en demeure : la CNIL va mettre en demeure un organisme de se conformer dans un temps imparti à la réglementation en vigueur ;
• La sanction : la CNIL a également la possibilité de sanctionner un organisme qui ne respecterait pas les dispositions en la matière. Les sanctions possibles sont les suivantes :
  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ; et
  • Prononcer une amende administrative d’un montant maximal de 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial d’une entreprise.

L’organisme sanctionné dispose d’un délai de deux mois pour former un recours devant le Conseil d’état.

Ce que dit la CNIL de l’application Elyze

Dans les Conditions Générales d’Utilisation (CGU) et la Politique de confidentialité, il est indiqué que l’application collecte la date de naissance, le genre et le code postal de l’utilisateur avant l’utilisation des outils de l’application, ainsi que la réponse de l’utilisateur à une proposition au cours de l’utilisation des outils de l’application.

Du fait de la récolte des réponses des utilisateurs aux propositions, l’application Elyze traite bien des données politiques, soit des données sensibles, alors que la réglementation relative aux données sensibles interdit en principe le traitement de ces données, sauf exception. Le CEO de l’application indique que les données sauvegardées avaient pour vocation d’être utilisées pour des « recherches scientifiques » ou si l’application décidait de proposer de nouveaux contenus.

La CNIL a indiqué qu’elle allait vérifier si l’application est en conformité avec la réglementation sur ces données sensibles et se réserve le droit de faire usage de ses pouvoirs répressifs. En effet, depuis son lancement, l’application se voit reprocher de nombreux problèmes de sécurité (bug, piratage), et notamment le fait de ne pas assez protéger ces données, de se réserver le droit de revendre ces données en version anonymisée à des tiers et de faire héberger ces données chez AWS Amazon.

Le 20 janvier 2022, le fondateur d’Elyze a indiqué, via une interview sur LinkedIn, que l’application ne collectait plus de données, que les données déjà collectées avaient été supprimées et que l’application basculait en open source.

***

Le Cabinet HAAS Avocats accompagne depuis plus de 25 ans ses clients dans leur transition digitale ainsi que dans la mise en conformité de leurs traitements, le Cabinet a reçu de la CNIL trois labels : deux de formation et un en audit de traitement. Vous souhaitez en savoir plus sur nos prestations d’accompagnement en cette matière ? Contactez-nous en cliquant ici.