Vrai ou faux Pétition de LFI pour la destitution d'Emmanuel Macron : peut-on se fier au compteur qui affiche près de 200 000 signatures ?

Pour La France insoumise, Emmanuel Macron doit partir. Une procédure de destitution à l'encontre du président de la République et une pétition de soutien à cette démarche ont été lancées, samedi 31 août, par le parti de gauche. Ce dernier accuse le chef de l'Etat de "dérive autoritaire (...) sans précédent", au motif qu'il a écarté la candidature de Lucie Castets, candidate du Nouveau Front populaire pour Matignon. Mardi, à 19 heures, le compteur du site de la pétition, appelée "Macron, destitution !", revendiquait près de 196 000 signataires.

"La pétition pour la destitution de Macron approche des 200 000 signatures", s'est réjoui le député insoumis Antoine Léaument, lundi, sur son compte X. Mais cet engouement est remis en question. "Le compteur de votes pour la pétition est bidon", a accusé un internaute, dimanche, dans un tweet partagé près de 900 fois. Alors, que valent les signatures recueillies par la pétition de LFI ? Franceinfo fait le point avec plusieurs experts.

Le compteur des votes est-il vraiment "bidon" ? L'internaute qui l'affirme évoque une "simple zone de texte saisie à la main". D'autres font remarquer que le compteur n'est pas mis à jour en temps réel. Interrogée, La France Insoumise assure à franceinfo que le décompte est "bien automatisé" et non mis à jour manuellement. "Le serveur calcule le chiffre [des signatures] et l'insère dans la page qu'il envoie au client [logiciel servant d'intermédiaire entre le serveur et l'utilisateur du site]", assure le parti. Le total affiché est actualisé "régulièrement", selon cette même source.

Une explication jugée crédible par un autre ingénieur informaticien, spécialisé en développement, interrogé par franceinfo : "Par exemple, chaque soir, le serveur peut compter le nombre de signataires et mettre à jour la page. Cependant, il est facile de truquer ce chiffre", estime-t-il, sous couvert d'anonymat.

Un risque de signatures multiples

Afin de tester la fiabilité de ce compteur, franceinfo a essayé de signer la pétition à deux reprises avec deux adresses mail différentes. A chaque fois, un mail de confirmation du vote nous a été envoyé. Au moment de la signature, aucun code d'identification veillant à écarter les robots spammeurs ne nous a été demandé. L'absence de ce test de vérification, appelé "captcha", fait que "n'importe qui peut automatiser le remplissage de ce formulaire, gonflant ainsi le chiffre artificiellement", estime le chercheur en cybersécurité Baptiste Robert, joint par franceinfo.

Ce constat est partagé par Théophile Marchand-Arvier, développeur web dans une start-up. "Avec quelques lignes de code", il est possible de "générer deux millions de signatures en deux heures" sur ce site, assure-t-il à franceinfo. "Le système de pétitions n'est pas bête, mais, à chaque fois, c'est mal exécuté. On peut renseigner n'importe quoi", déplore-t-il. Interrogée par franceinfo, La France Insoumise assure pourtant "ne compter qu'une seule fois chaque mail" et bloquer "les adresses IP [adresse unique identifiant un appareil sur Internet] qui tentent de remplir le formulaire plusieurs fois, pour éviter les signatures par des bots". "On a déjà banni plusieurs centaines d’adresses IP", détaille LFI. "Bloquer l'IP est une première sécurité, mais il existe des services permettant de changer d'IP à chaque signature", estime pour sa part Théophile Marchand-Arvier.

Par ailleurs, pour confirmer une participation à la pétition, il n'est pas requis de cliquer sur un lien reçu par mail. Cette pratique, qui permet justement de limiter le risque de signatures automatisées par des robots, est par exemple utilisée par le site de pétitions en ligne Change.org, une plateforme qui répond aux critères de neutralité, de protection des données et de diversité des points de vue définis par le Conseil économique social et environnemental.

Des manquements au RGPD ?

Lorsqu'une pétition est diffusée en ligne, le gestionnaire de la plateforme a l'obligation de s'assurer que la collecte des données fournies par les signataires se fasse dans le respect du règlement général sur la protection des données (RGPD). "L'utilisateur doit savoir ce qui est fait avec ses données. On lui doit la plus grande transparence", explique à franceinfo Joséphine Weil, avocate en droit de la propriété intellectuelle et nouvelles technologies. Dans le cas contraire, le gestionnaire risque d'être sanctionné par la Commission nationale de l'informatique et des libertés (Cnil).

La page qui héberge la pétition renvoie aux mentions légales du site La France Insoumise, qui énonce que les données personnelles récoltées "sont exclusivement réservées à l'usage" du parti et "qu'elles sont traitées dans le but d'opérations de communication politique et de récolte de dons".

"Cela aurait pu mériter plus de précision et de transparence, avec la rédaction d'une politique de confidentialité plus spécifique aux pétitions".

Joséphine Weil, avocate en droit de la propriété intellectuelle

à franceinfo

Le RGPD oblige également le gestionnaire de la plateforme à préciser combien de temps seront conservées les données des signataires ou, à défaut, les critères utilisés pour déterminer cette durée. 'Il est interdit de conserver les données d'une personne physique pour une durée indéterminée", rappelle Joséphine Weil. Or, les mentions légales de LFI ne font aucune mention de cette durée. A titre de comparaison, la plateforme Change.org en fait mention de manière très détaillée sur son site.

"On voit que le site a été fait rapidement et qu'il n'est pas très travaillé", déplore le chercheur Baptiste Robert, fondateur de la société Predicta Lab. "Son seul but est de surfer sur l'actualité afin de récolter des e-mails", avance-t-il.