La Primaire Populaire a réagi à la position de la CNIL. Voilà sa réponse intégrale :
« Nous avons bien eu des échanges avec la CNIL, ainsi qu'avec un expert CNIL indépendant qui nous accompagne depuis plusieurs mois sur la certification de la plateforme (obligatoire). Lors de ces échanges, il a été évoqué que : notre inscription étant gratuite (moins dissuasif contre la fraude), et ayant ouvert l'inscription à tous les numéros de portables (y compris étrangers), cela faisait bien porter un risque de fraude trop élevé, si nous nous contentions de la validation e-mail / SMS uniquement. Il est aisé d’imaginer des robots ou personnes malveillantes créer des milliers de fausses inscriptions avec des faux e-mails et des numéros achetés par lot (notamment étrangers).
Nous confirmons, comme toujours, que la CNIL n'impose pas la carte bancaire comme moyen de contrôle, mais qu’elle impose de mettre en place des solutions permettant de lutter efficacement contre la fraude, ce que nous avons fait. Suite à ces échanges, il apparait bien que e-mail / SMS uniquement ne sont pas suffisants et proportionnés et ne permettent pas d'atteindre cette obligation avec sérénité.
Ainsi, nous avons choisi le même niveau de sécurité que les autres primaires cette année, rien de plus ou de moins : email / sms / cb (qu'elle soit gratuite ou payante), dans le respect du principe de minimisation, de la communication d’informations transparentes sur la gestion des données, du RGPD, conformément à nos CGU.
Nous rencontrons souvent des craintes sur le fait que le processus ne serait pas assez sécurisé, pour la première fois, on nous fait part de craintes sur le fait qu’il le serait trop. N’hésitez pas à nous solliciter pour expliquer nos choix. »
Pour voter sur la Primaire Populaire, il est nécessaire de communiquer un numéro de carte bancaire, en plus de ses données nominatives. Une « exigence » de la CNIL, selon le site. Une exigence que conteste l’autorité, contactée par nos soins. L'actualité a été mise à jour avec les explications de la plateforme, après échange avec la CNIL.
La Primaire Populaire entend rassembler des internautes pour « désigner la candidature la plus apte à rassembler et faire gagner la justice sociale, l’écologie et la démocratie à l’élection présidentielle de 2022 ».
Les votes porteront sur les candidatures de sept personnalités: Anna Agueb-Porterie, Pierre Larrouturou, Christiane Taubira, Charlotte Marchandise, mais également Jean-Luc Mélenchon, Anne Hidalgo, Yannick Jadot, sachant que ces trois personnalités « n’ont pas donné leur accord pour être soumis au vote », prévient le site officiel (la page Wikipédia).
Plus de 326 000 personnes se sont inscrites à ce jour. Une inscription gratuite, certes, mais « à des fins de lutte anti-fraude », pour « garantir la sincérité du vote », il est demandé aux internautes-électeurs « de renseigner les informations de [leur] carte de paiement pour que [leur] identité soit vérifiée, conformément aux exigences de sécurisation de la CNIL ».
Toujours selon la foire aux questions, « ces informations obligatoires ne sont pas destinées à effectuer un paiement mais uniquement à des fins d'identification ».
Pas d’exigence d’un numéro de carte bancaire, bien au contraire
En pratique, détaille la plateforme, « la prise de l’empreinte de la carte de paiement n’est pas conservée de façon lisible et ne peut pas être (ré)utilisée pour émettre des paiements au profit de la Primaire Populaire ».
Elle prévient aussi que « seules les cartes bancaires françaises sont acceptées », sachant qu’ « une même carte de paiement ne peut servir que pour deux inscriptions au maximum (dans l'hypothèse où la carte serait utilisée pour procéder à l’inscription de deux personnes d'un même foyer) ».
L’exigence d’une carte bancaire pour participer à un tel vote nous a surpris. Contacté par nos soins, le gendarme des données à caractère personnel nous a apporté son éclairage : « la CNIL n’a jamais imposé ou recommandé de collecter le numéro de carte bancaire dans un tel contexte ».
Une finalité légitime, mais attention au principe de minimisation
« Si la collecte du numéro de carte bancaire a pu apparaître conforme à la législation sur la protection des données dans le cadre de précédentes primaires, c’est parce qu’il fallait verser une somme, souvent symbolique, pour participer aux primaires en question, ce qui n’est pas le cas en l’espèce », nous détaille Mathias Moulin, secrétaire général adjoint de l’autorité.
Le représentant de l’autorité administrative souligne sans difficulté que « la recherche d’une solution permettant de lutter contre la fraude (une même personne votant plusieurs fois) est en elle-même légitime ».
Néanmoins, la poursuite d’une telle finalité doit « se faire dans le respect de la protection des données, il est notamment nécessaire que les données collectées soient pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont utilisées ». Le fameux principe de minimisation, cher au règlement général sur la protection des données à caractère personnel.
Un numéro de téléphone et une adresse mail devraient suffire
Poursuivant son analyse, la CNIL « relève que le numéro de téléphone et l’adresse de courrier électronique des personnes souhaitant s’inscrire à la primaire sont déjà collectés et que leur utilisation pour limiter les risques de fraude apparaît suffisante et proportionnée ».
Le secrétaire général adjoint de l’autorité nous rappelle la recommandation du 25 avril 2019 relative à la sécurité des systèmes de vote par correspondance électronique où la CNIL « invite les organismes à prévoir des mesures de sécurité adaptées aux risques en prenant en compte notamment la nature du scrutin et ses enjeux »
À deux jours de la fin des inscriptions sur le site, « la CNIL va se rapprocher de l’association en charge de l’organisation de la primaire pour lui faire part de ces éléments ».
