Un ingénieur français a révélé que l’application du Premier Ministre indien, utilisée par plus de 5 millions de personnes, avait transmis, sans leur consentement, les données de ses utilisateurs à une société américaine. Cette affaire soulève à nouveau la question de la protection des données personnelles et de leur utilisation.
La révélation vient d'un jeune ingénieur français, Baptiste Robert, qui, sous le pseudonyme Elliott Alderson, s'est fait une spécialité d'analyser et d'exposer sur Twitter les failles de sécurité de certains smartphones et applications mobiles. Il s’est intéressé à l'application, mise en place par le BJP (Bharatiya Janata Party), le parti au pouvoir en Inde. Connue sous le nom de NaMo, cette application permet notamment de poser des questions directement au Premier Ministre, Narendra Modi, ou de donner son avis sur des sujets d’actualité.
Or, elle aurait stocké et transmis les informations de millions d'Indiens à une société d'analyse de données américaine.
Fondée par trois Indiens et basée en Californie, la société en question, CleverTap, affirme que les données des utilisateurs sont stockées de manière sécurisée et qu'il n'y a donc pas de risque de récupération non-contrôlée de celles-ci. Mais le problème est que l'application, téléchargée par plus de 5 millions de personnes, a transmis les données à cette société, sans en demander l'autorisation à ses utilisateurs, comme l’exige pourtant la loi.
En réponse au scandale et à des attaques directes du président de l’opposition, Rahul Gandhi, le BJP a, dans un premier temps, nié la transmission de données à un tiers, puis a pointé du doigt le fait que l'application de l'opposition avait également envoyé les données de ses utilisateurs à une autre entreprise américaine.
En pleine affaire Cambridge Analytica, certains soupçonnent le BJP de vouloir utiliser celles-ci afin de mieux cibler son électorat et d'ajuster son discours en fonction du public ; ce qui, pour une application politique, serait on ne peut plus logique, pour être honnête.
De façon plus intéressante, l'affaire, qui, depuis quelques jours, prend des proportions très importantes en Inde, soulève à nouveau la question de la sécurité des données des utilisateurs, dans un pays qui a mis en place un système d'identification biométrique dématérialisé (Aadhar). Ce système sert de vérification d'identité à 99 % de la population indienne, soit plus d'1 milliard de personnes, et a connu une série de failles de sécurité, allant de la fraude pure et simple à la fuite de données personnelles et biométriques.
Contrairement à ce qu'affirme l'article du Figaro précédemment cité, l'Inde a bien mis en place, depuis 2000, une loi régulant et protégeant certaines données personnelles (dont les informations biométriques) et interdisant leur transfert à des tiers sans le consentement de la personne concernée. Cependant, force est de constater que celle-ci, l'Information Technology Act, est insuffisante en l’état. En Inde, comme dans le reste du monde, l'enjeu est donc double : encadrer la collecte et le traitement des données personnelles en assurant leur traçabilité, mais également mettre en place des mesures répressives efficaces en cas de non-respect de ce cadre, comme c'est visiblement le cas ici.
Florence Jourdain