Cette page donne des informations très importantes sur la sécurité des données des utilisateurs de Théia.
En effet, les utilisateurs de Théia répondent à des questionnaires très personnels depuis leur téléphone mobile, aussi nous souhaitons montrer en toute transparence tous les efforts réalisés en matière de sécurité des données pour protéger nos utilisateurs.
Service totalement anonymisé
Théia reçoit les messages via WhatsApp (voir la documentation complète). Outre bien sûr le contenu lui-même (le texte que tu as écrit ou le bouton que tu as tapé) et quelques informations techniques sans donnée personnelle, chaque message contient 2 informations importantes :
- le numéro de téléphone envoyant le message (par exemple ‘33611223344’),
- le nom de ton profil tel que tu l’as renseigné dans ton application WhatsApp (par exemple ‘Vincent’).
Le plus important – et la seule donnée personnelle – est ton numéro de téléphone bien sûr.
Théia a été conçu avec beaucoup de rigueur, avec la sécurité intégrée dès sa conception (« security, by design« ). Ainsi, ton numéro de téléphone n’apparaît nulle part : ni dans ton rapport Théia, ni dans les bases de données qui stockent tes réponses et permettent de faire fonctionner Théia, ni dans les fichiers techniques utilisés pour superviser le service (les « traces » ou logs en anglais).
Tes données ne peuvent donc pas être volées et exploitées, ou partagées ou revendues ! Ça tombe bien, on n’en avait pas l’intention (cf page sur la gratuité du service).
Parenthèse technique
Pour aller un peu plus loin sur les aspects techniques de cette anonymisation – et rassurer les technophiles curieux, il faut comprendre le hashing :
Cela consiste à transformer le numéro de téléphone (+33 6 11 22 33 44 dans cet exemple) en un identifiant unique mais anonyme, au sens où cette fonction de hachage (permettant de passer du numéro de téléphone à l’identifiant unique) n’est pas réversible ! c’est-à-dire qu’il n’est pas possible de revenir au numéro de téléphone, même si la base de données était volée et que le pirate avait accès aux identifiants uniques.
Pour encore un peu plus de technique, la fonction utilisée ici est dite à « dérivation de clé« . C’est l’algorithme PKCS#5 (avec un hachage SHA-256) qui est utilisé avec un sel bien corsé et des milliers d’itérations, ce qui est conforme avec les recommandations de sécurité actuelles.
Les rappels
La politique WhatsApp interdit d’écrire à un utilisateur de Théia au delà des 24h qui suivent le dernier message reçu de l’utilisateur, ce qui nous paraît tout à fait raisonnable.
Avant la fin de ces 24h, nous envoyons un message aux utilisateurs pour prévenir de la fin de la « conversation » et de notre impossibilité de les recontacter ultérieurement. Pour ce faire, nous utilisons un petit outil (développé par nos soins) qui garde simplement en mémoire le numéro de téléphone de l’utilisateur et la date du dernier message. Ainsi, avant les 24h, nous envoyons un dernier message, puis supprimons le numéro de téléphone de notre mémoire.
Note : aucun lien ne peut être fait entre les numéros de téléphone de cet outil de rappel et les données des utilisateurs de Théia (comprenant toutes les réponses).
Service hébergé en France
Le service Théia tourne intégralement sur un hébergement en France. Les données (y compris les sauvegardes) sont localisées en France et ne quittent pas la France. L’ensemble des développeurs et prestataires aillant accès à la plateforme technique de Théia sont français.
Droit à l’oubli
Conformément avec les règlementations en vigueur, vous pouvez à tout moment nous contacter pour voir les données qui vous sont relatives, ou demander leur suppression. Vous pouvez également le faire automatiquement en tapant « Supprimer » dans le tchat WhatsApp de Théia.
Si tu avais encore des questions, n’hésite pas à me contacter !