Skip to content
This repository has been archived by the owner on Jan 29, 2023. It is now read-only.

Politique de confidentialité incomplète : envoi de données à des services non mentionnés #40

Open
moeenio opened this issue Jan 11, 2023 · 4 comments
Open

Politique de confidentialité incomplète : envoi de données à des services non mentionnés #40

moeenio opened this issue Jan 11, 2023 · 4 comments

Comments

@moeenio
Copy link

moeenio commented Jan 11, 2023

La politique de confidentialité possède une liste des serveurs auquels l'application envoie des données, mais celle-ci est incomplète. En regardant le code de l'application, on s'aperçoit que celle-ci communique certaines données avec des serveurs jamais mentionnées dans la politique de confidentialité.

Traitement en interne

Les données de connexion à Pronote sont envoyées à python.api.just-tryon.tech. On peut supposer que celui-ci traite ces données comme les serveurs mentionnés en 1, de la façon décrite en 2, mais il faut l'expliciter, surtout qu'il s'agit de données sensibles.

Services tiers

Également, le code postal saisi lors de la connexion est envoyé par l'intermédiaire d'un des serveurs mentionnés en 1 à positionstack.com. Les coordonnées obtenus depuis ce service sont ensuite envoyées à www.index-education.com. Ces services et ce mode de traitement ne sont jamais mentionnés.

Enfin, des ressources (scripts, polices, images...) sont récupérées depuis les services suivants :

  • cdn.jsdelivr.net
  • fonts.googleapis.com
  • avatars.githubusercontent.com

Les services tiers utilisés reçoivent ainsi les données utilisateur qui leur sont volontairement envoyées par l'application, ainsi que les données habituelles envoyées par un navigateur (user-agent, url de l'application), et les traitent selon leurs propres politiques, ce qui n'est jamais indiqué aux utilisateurs de Pronote+.

Conclusion

Si je ne doute aucunement de la bonne foi des auteurs de ce projet, sans me prétendre compétent en loi, il me semble que le fonctionnement actuel de l'application est ainsi illégal et pourrait fortement déplaire à Index Education ainsi qu'aux instances telle que la CNIL.

Veuillez considérer les problèmes que j'ai relevés dans la politique de confidentialité.

Merci d'avance et merci tout de même pour cette fantastique application.
@ecnivtwelve
Copy link
Contributor

je veux pas aller en prison donc je mentionnerai ça dans la prochaine politique de confidentialité
bisous

@moeenio
Copy link
Author

moeenio commented Jan 11, 2023

pour quand donc?

@ecnivtwelve
Copy link
Contributor

ecnivtwelve commented Jan 11, 2023 via email
edited
Loading

@PapillonApp PapillonApp locked as resolved and limited conversation to collaborators Jan 11, 2023
@Rexxt
Copy link
Contributor

Rexxt commented Jan 17, 2023

Réouverture jusqu'à la nouvelle politique car le problème n'est pas réellement résolu à l'état actuel

@Rexxt Rexxt reopened this Jan 17, 2023
Sign up for free to subscribe to this conversation on GitHub. Already have an account? Sign in.
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@ecnivtwelve @moeenio @Rexxt