search

PapillonApp / papillon-v4

La nouvelle version de Pronote+ 👀✨🎉 (N'EST PLUS MAINTENUE : ATTENDEZ LA v5)
https://pronote.plus
MIT License
5 stars 0 forks source link

Politique de confidentialité incomplète : envoi de données à des services non mentionnés #40

Open locness3 opened 1 year ago

locness3 commented 1 year ago

La politique de confidentialité possède une liste des serveurs auquels l'application envoie des données, mais celle-ci est incomplète. En regardant le code de l'application, on s'aperçoit que celle-ci communique certaines données avec des serveurs jamais mentionnées dans la politique de confidentialité.

Traitement en interne

Les données de connexion à Pronote sont envoyées à python.api.just-tryon.tech. On peut supposer que celui-ci traite ces données comme les serveurs mentionnés en 1, de la façon décrite en 2, mais il faut l'expliciter, surtout qu'il s'agit de données sensibles.

Services tiers

Également, le code postal saisi lors de la connexion est envoyé par l'intermédiaire d'un des serveurs mentionnés en 1 à positionstack.com. Les coordonnées obtenus depuis ce service sont ensuite envoyées à www.index-education.com. Ces services et ce mode de traitement ne sont jamais mentionnés.

Enfin, des ressources (scripts, polices, images...) sont récupérées depuis les services suivants :

Les services tiers utilisés reçoivent ainsi les données utilisateur qui leur sont volontairement envoyées par l'application, ainsi que les données habituelles envoyées par un navigateur (user-agent, url de l'application), et les traitent selon leurs propres politiques, ce qui n'est jamais indiqué aux utilisateurs de Pronote+.

Conclusion

Si je ne doute aucunement de la bonne foi des auteurs de ce projet, sans me prétendre compétent en loi, il me semble que le fonctionnement actuel de l'application est ainsi illégal et pourrait fortement déplaire à Index Education ainsi qu'aux instances telle que la CNIL.

Veuillez considérer les problèmes que j'ai relevés dans la politique de confidentialité.

Merci d'avance et merci tout de même pour cette fantastique application.

ecnivtwelve commented 1 year ago

je veux pas aller en prison donc je mentionnerai ça dans la prochaine politique de confidentialité bisous

locness3 commented 1 year ago

pour quand donc?

ecnivtwelve commented 1 year ago

sortie prochaine de la v5 (~ 1/2sem) voire avant

Rexxt commented 1 year ago

Réouverture jusqu'à la nouvelle politique car le problème n'est pas réellement résolu à l'état actuel