Le site de pétition lancé par La France insoumise présente diverses vulnérabilités et semble négliger certains aspects du règlement général sur la protection des données.
Pour le mouvement La France insoumise, il est impératif qu’Emmanuel Macron quitte ses fonctions. Le parti de gauche a initié, le samedi 31 août, une procédure de destitution contre le président de la République et a également lancé une pétition pour soutenir cette action. La France insoumise accuse le chef de l’État de pratiques autoritaires sans précédent, et pointe du doigt sa décision d’écarter la candidature de Lucie Castets, candidate du Nouveau Front populaire pour Matignon. En à peine deux jours, la pétition « Macron, destitution ! » avait déjà recueilli près de 196 000 signatures, comme en témoignait le compteur à 19 heures le mardi.
« La pétition pour la destitution de Macron approche des 200 000 signatures », s’est félicité le député insoumis Antoine Léaument, ce lundi, sur son compte X . Cependant, cet enthousiasme suscite des doutes. « Le compteur de votes pour la pétition est bidon », a dénoncé un utilisateur sur Twitter, dimanche, dans un message partagé près de 900 fois. Mais qu’en est-il réellement ? Franceinfo a fait appel à plusieurs experts pour analyser l’authenticité des signatures de cette pétition.
Le compteur est-il réellement « faussé » ? L’internaute à l’origine de cette déclaration avance que la pétition utilise une « simple zone de texte remplie manuellement ». D’autres soutiennent que le compteur n’est pas mis à jour en temps réel. Du côté de La France insoumise, on affirme à franceinfo que le décompte des signatures est « entièrement automatisé ». « Le serveur calcule le nombre de signatures et l’affiche sur la page envoyée à l’utilisateur », explique le parti, garantissant que le nombre affiché est régulièrement actualisé.
Selon un autre ingénieur informaticien en développement contacté par franceinfo, cette explication tient la route : « Par exemple, chaque soir, le serveur peut recalculer le nombre de signatures et mettre à jour la page. Cependant, il est tout à fait possible de falsifier ce chiffre », précise-t-il sous couvert d’anonymat.
Le risque de signatures multiples
Pour évaluer la fiabilité du compteur, franceinfo a tenté de signer la pétition à deux reprises en utilisant différentes adresses mail. À chaque fois, un mail de confirmation de vote a été reçu. Aucun code captcha anti-robots spammeurs n’a été demandé à l’inscription. L’absence de ce mécanisme de vérification signifie que « n’importe qui peut automatiser le processus et gonfler les chiffres artificiellement », selon Baptiste Robert, expert en cybersécurité, contacté par franceinfo.
Théophile Marchand-Arvier, développeur web dans une start-up, partage cet avis. Selon lui, « avec quelques lignes de code », il serait possible de générer « deux millions de signatures en deux heures« . « Le système de pétitions n’est pas inepte, mais souvent mal implémenté. On peut y inscrire n’importe quoi », critique-t-il. Cependant, La France Insoumise maintient que chaque adresse mail est comptée une seule fois et que les adresses IP suspectes sont bloquées, notamment celles tentant de soumettre plusieurs fois le formulaire à partir du même appareil, pour éviter les signatures automatisées. « Je peux vous affirmer qu’ils ne bloquent pas les IP », objecte Théophile Marchand-Arvier.
De plus, il n’est pas nécessaire de cliquer sur un lien de confirmation par mail pour valider sa participation à la pétition, une pratique courante sur des plateformes comme Change.org, qui visent à éviter les signatures automatiques et sont conformes aux normes de neutralité et de protection des données du Conseil économique, social et environnemental.
Des lacunes par rapport au RGPD ?
Lorsqu’une pétition est mise en ligne, le responsable de la plateforme doit s’assurer que la collecte des données des signataires est conforme au règlement général sur la protection des données (RGPD). « L’utilisateur doit être informé de l’utilisation de ses données, en toute transparence », souligne Joséphine Weil, avocate spécialisée en droit de la propriété intellectuelle et des nouvelles technologies. Dans le cas contraire, le responsable de la plateforme risque des sanctions de la part de la Cnil.
Les mentions légales du site La France Insoumise précisent que les données personnelles collectées « sont exclusivement destinées à l’usage du parti » et « utilisées à des fins de communication politique et de collecte de fonds ».
« Cela aurait nécessité plus de précisions et de transparence, avec la rédaction d’une politique de confidentialité spécifique aux pétitions ».
Joséphine Weil, avocate en droit de la propriété intellectuelleà franceinfo
Le RGPD exige aussi que la durée de conservation des données ou les critères pour déterminer cette durée soient explicités. « La conservation des données personnelles pour une durée indéterminée est illégale », rappelle Joséphine Weil. Cependant, les mentions légales de LFI ne précisent rien à ce sujet, contrairement à Change.org, qui mentionne ces détails de manière très précise sur son site.
« Le site semble avoir été conçu rapidement et manque de finesse », déplore Baptiste Robert, fondateur de la société Predicta Lab. « Son objectif principal est de surfer sur l’actualité pour récolter des adresses mails », conclut-il.