myENIGMA : le WhatsApp suisse et sécurisé
L’application MyEnigma s’arrête et ne sera plus mise à jour. (7.3.2016) _The reason for the discontinuation is a strategic business decision – Qnective will focus entirely on secure communication services for governments and companies in the future.
Après avoir mis en évidence quelques “incohérences” dans les conditions générales d’utilisation (CGU) de l’application iO de Swisscom, j’ai passé en revue celles de l’application myENIGMA. Si le résultat n’est pas parfait, il est néanmoins bien meilleur. Toutes les informations contenues ci-dessous sont issues de la lecture que j’ai faite des CGU et non d’une évaluation technique de l’application.
Fonctionnement général
L’application myENIGMA est disponible pour Android, Blackberry, iOS et a été conçue par Qnective SA, une société anonyme de droit suisse basée à Zürich, fondée en 2006 et employant une trentaine de personnes. La fiche du registre du commerce de Qnective est disponible ici.
myENIGMA permet d’échanger des messages textes et des contenus multimédias (photos, vidéos) de manière sécurisée et chiffrée via Internet. Pour résumer, c’est un équivalent à WhatsApp, mais qui offre des avantages conséquents en terme de sécurité et de protection des données, comme vous le verrez plus bas.
Les CGU du service myENIGMA sont disponibles ici (en anglais). Notez qu’il faut avoir 16 ans révolus pour pouvoir utiliser l’application.
À l’instar d’autres applications permettant d’échanger des messages avec d’autres personnes, myENIGMA aura besoin d’accéder à votre carnet d’adresses.
Une adresse e-mail sera nécessaire pour créer un compte afin de pouvoir utiliser le service. Cette adresse e-mail sera utilisée pour vérifier votre identité, vous envoyer et changer votre mot de passe, supprimer votre compte si vous ne souhaitez plus utiliser le service, etc.
Les données échangées au moyen de l’application entre votre smartphone et celui de vos contacts sont chiffrées. Qnective assure ne pas connaitre de moyen de déchiffrer les contenus et n’a pas inclus de moyens pour elle ou des tiers de déchiffrer les contenus, à l’exception évidemment des destinataires de ces contenus. Cependant, il y a toujours une chance pour que la sécurité soit mise à mal…
Les données échangées entre utilisateurs sont stockées sur les smartphones des utilisateurs et ne peuvent pas être modifiées ou effacées à distance par Qnective. Ces données sont également chiffrées, à l’exception des données multimédia. Seuls les messages textes sont chiffrés. Pour des raisons techniques évidentes, les données échangées sont temporairement stockées sur les serveurs de Qnective dans le but de les acheminer jusqu’au(x) destinataire(s).
Protection des données
Qnective collecte forcément des données : votre numéro de téléphone, ceux de vos contacts, votre adresse e-mail, l’identifiant unique de votre smartphone. Ces données sont considérées par les CGU comme vos données personnelles.
Concernant votre carnet d’adresses, l’application ne collectera que les numéros de téléphone de vos contacts, aucune autre information (photos, nom, prénom, adresse, e-mail, etc.) n’est collectée. Ces données sont transférées de manière sécurisée sur les serveurs de Qnective afin de créer la liste de contacts pour myENIGMA. Ces numéros de téléphone ne sont utilisés que dans ce but. myENIGMA n’as pas accès à d’autres données. Votre numéro de téléphone (correspondant à votre nom d’utilisateur) est partagé avec les autres utilisateurs qui ont votre numéro dans leur carnet d’adresses ou à qui vous avez envoyé un message.
D’autres données seront récoltées, comme l’adresse IP de votre smartphone, la date et l’heure, le fuseau horaire, des statistiques sur l’utilisation que vous faites de myENIGMA (nombre de messages envoyés et reçus, heure d’envoi et réception des messages, quantité de données transférées, temps de connexion au service, nombre de connexions, type de smartphone et version du système d’exploitation du smartphone). Ces données sont considérées par les CGU comme des données non personnelles. (A propos de l’adresse IP en tant que donnée personnelle, lire Communication de données personnelles par un FAI, notamment l’adresse IP).
Les données personnelles sont récoltées et traitées afin de vous authentifier auprès du service, de permettre à Qnective de vous contacter en cas de problème, de vérifier les allégations de tiers concernant la violation du droit d’auteur, assurer le fonctionnement normal du service. Vos données personnelles sont stockées et centralisées sur des serveurs basés en Suisse et soumis au droit suisse.
Les données non personnelles, définies par les CGU comme “anonymes et ne pouvant être associées à vous”, sont récoltées et traitées afin de régler d’éventuels problèmes rencontrés par le service, d’adapter les besoins du service, et de collecter anonymement des statistiques. Ces statistiques pourront être partagées avec des tiers afin de comprendre l’usage qui est fait du service, de réaliser des opérations commerciales (stratégies marketing, promotions, campagnes publicitaires). Elles pourront encore être utilisées à des fins éducatives.
Qnective assure ne pas vendre ou partager vos données personnelles avec des tiers, sauf dans les cas prévus par les CGU ou la loi. Pour le moment, les CGU ne contiennent aucune disposition concernant un éventuel partage de vos données personnelles.
Vos données non personnelles pourront être conservées pendant deux ans après la suppression du compte et pourront être utilisées conformément aux buts ci-dessus.
Conclusion
De mon point de vue, les CGU de myENIGMA ne contiennent pas de dispositions ambigües, comme c’est le cas pour iO de Swisscom, qui permettraient de transférer des données à des tiers à l’étranger. Les données collectées se limitent au strict minimum nécessaire, et sont stockées en Suisse. Je ne me prononcerai pas sur l’aspect technique, mais a priori, myENIGMA semble faire ce que ses CGU disent qu’elle fait, ni plus, ni moins. Au vu des dernières révélations sur la surveillance internationale, cette application offre une alternative suisse, sécurisée et très intéressante en comparaison des mastodontes américains du domaine.
Un détail me chiffonne un peu quand même. Les CGU prévoient (comme c’est le cas partout) qu’elles peuvent être modifiées en tout temps. Mais Qnective se limitera à afficher les CGU modifiées sur son site, estimant qu’il revient à l’utilisateur de venir vérifier régulièrement si elles ont changé. Comme Qnective a les adresses e-mail de ses utilisateurs, il aurait été aimable et honnête de les notifier d’un e-mail si les CGU changent, et quels sont les changements, surtout s’ils concernent la protection des données.