Peut-on faire confiance au compteur qui affiche près de 200 000 signatures ?

La plateforme de pétition mise en ligne par La France Insoumise présente plusieurs failles et semble prendre quelques libertés avec le règlement général sur la protection des données.

Pour La France Insoumise, Emmanuel Macron doit partir. Une procédure de destitution contre le président de la République et une pétition en faveur de cette démarche ont été lancées, samedi 31 août, par le parti de gauche. Ce dernier accuse le chef de l’Etat de « dérive autoritaire (…) sans précédent« , au motif qu’il a rejeté la candidature de Lucie Castets, candidate du Nouveau Front populaire à Matignon. Mardi, à 19 heures, le compteur sur le site de la pétition, baptisée « Macron, destitution ! », revendiquait près de 196 000 signataires.

« La pétition pour la destitution de Macron approche les 200 000 signatures« s’est réjoui le député insoumis Antoine Léaument, lundi, sur son compte X. Mais cet enthousiasme est remis en cause. « Le compteur de votes pour la pétition est faux »a accusé dimanche un internaute dans un tweet partagé près de 900 fois. Alors, que valent les signatures récoltées par la pétition LFI ? Franceinfo fait le point avec plusieurs experts.

Le compteur de votes est-il vraiment « peut » ? L’internaute qui prétend cela fait référence à un « Simple zone de texte saisie à la main ». D’autres soulignent que le compteur n’est pas mis à jour en temps réel. Interrogée, La France Insoumise a assuré à franceinfo que le décompte est « bien automatisé » et non mis à jour manuellement. « Le serveur calcule le nombre (signatures) et l’insère dans la page qu’il envoie au client (logiciel servant d’intermédiaire entre le serveur et l’utilisateur du site)« , assure la partie. Le total affiché est mis à jour « régulièrement »selon la même source.

Une explication jugée crédible par un autre ingénieur informatique, spécialisé dans le développement, interrogé par franceinfo : « Par exemple, chaque soir, le serveur peut compter le nombre de signataires et mettre à jour la page. Cependant, il est facile de falsifier ce nombre »a-t-il déclaré, s’exprimant sous couvert d’anonymat.

Afin de tester la fiabilité de ce compteur, franceinfo a tenté de signer la pétition à deux reprises avec deux adresses mail différentes. A chaque fois, un mail de confirmation du vote nous a été envoyé. Au moment de la signature, aucun code d’identification pour éviter les robots spammeurs n’a été demandé. L’absence de ce test de vérification, appelé « captcha », signifie que « n« N’importe qui peut automatiser le remplissage de ce formulaire, gonflant ainsi artificiellement le chiffre »estime le chercheur en cybersécurité Baptiste Robert, contacté par franceinfo.

Ce constat est partagé par Théophile Marchand-Arvier, développeur web dans une start-up. « Avec quelques lignes de code »il est possible de « générer deux millions de signatures en deux heures » sur ce site, assure-t-il à franceinfo. « Le système de pétition n’est pas stupide, mais il est à chaque fois mal exécuté. On peut donner des informations sur n’importe quoi. »il se lamente. Interrogée par franceinfo, La France Insoumise assure néanmoins « Compter chaque e-mail une seule fois » et bloquer  » Adresses IP (adresse unique identifiant un appareil sur Internet) qui essaient de remplir le formulaire plusieurs fois, pour éviter les signatures de robots ». « Je peux vous assurer qu’ils ne bloquent pas l’IP »conteste Théophile Marchand-Arvier.

De plus, pour confirmer la participation à la pétition, il n’est pas nécessaire de cliquer sur un lien reçu par courrier électronique. Cette pratique, qui limite justement le risque de signatures automatisées par des robots, est utilisée par exemple par le site de pétition en ligne Change.org, plateforme qui répond aux critères de neutralité, de protection des données et de diversité des points de vue définis par le Conseil économique, social et environnemental.

Lorsqu’une pétition est diffusée en ligne, le gestionnaire de la plateforme a l’obligation de s’assurer que la collecte des données fournies par les signataires est effectuée dans le respect du Règlement général sur la protection des données (RGPD). « L’utilisateur doit savoir ce qu’on fait de ses données. Nous lui devons la plus grande transparence »explique à franceinfo Joséphine Weil, avocate en droit de la propriété intellectuelle et des nouvelles technologies. Dans le cas contraire, le dirigeant risque d’être sanctionné par la Commission nationale de l’informatique et des libertés (CNIL).

La page hébergeant la pétition renvoie aux mentions légales du site La France Insoumise, qui précisent que les données personnelles collectées « sont exclusivement réservés à l’usage » de la fête et « qu’elles sont traitées à des fins d’opérations de communication politique et de collecte de fonds ».

« Cela aurait pu bénéficier de davantage de précision et de transparence, avec la rédaction d’une politique de confidentialité plus spécifique aux pétitions. »

Joséphine Weil, avocate en propriété intellectuelle

à franceinfo

Le RGPD impose également au gestionnaire de la plateforme de préciser combien de temps les données des signataires seront conservées ou, à défaut, les critères utilisés pour déterminer cette durée. « Il est interdit de conserver les données d’une personne physique pendant une durée indéterminée »rappelle Joséphine Weil. Pourtant, les mentions légales de LFI ne font aucune mention de cette durée. A titre de comparaison, la plateforme Change.org l’évoque de manière très détaillée sur son site.

« On voit que le site a été fait rapidement et qu’il n’est pas très bien fait »déplore le chercheur Baptiste Robert, fondateur de la société Predicta Lab.Son seul but est de surfer sur l’actualité afin de collecter des emails »il dit.