Questions à propos du contrat avec Kerlog et les soucis (sécurité, confidentialité) de l’application de RDV

Publié le par Nicolas Lœuillet

Suite à la mise en ligne du nouvel outil de prise de rendez-vous pour accéder à la déchèterie intercommunale de la Terre des 2 Caps, plusieurs questions se posent.

Ces questions seront posées lors de la prochaine conférence des maires et lors du prochain conseil communautaire, ce qui laisse le temps à vos services de préparer les réponses.

Puisque ce sujet concerne et intéresse l’ensemble des habitant/es de la Terre des 2 Caps (CCT2C), puisque près de 1.000 personnes ont signé la pétition en ligne (https://www.change.org/p/francis-bouclet-pour-le-maintien-des-cr%C3%A9neaux-%C3%A0-la-d%C3%A9ch%C3%A8terie-de-la-terre-des-2-caps), les questions et les réponses seront rendues publiques.

À propos du contrat entre la CCT2C et Kerlog

L’entreprise Kerlog, via sa suite Ecorec (https://www.kerlog.com/ecorec/), a été sélectionnée par la Communauté de communes de la Terre des 2 Caps.

  • Pour l’obtention de cette prestation, est-ce qu’il y a eu un appel d’offres ?
  • Qui a rédigé le cahier des charges ? Est-il possible de le consulter ?
  • Quels sont les prestataires qui ont répondu ? Est-ce possible de nous fournir les raisons qui ont fait qu’ils n’ont pas été sélectionnés ?
  • Qui a choisi le prestataire Kerlog ? Quelles ont été les raisons qui ont fait que cette entreprise a été sélectionnée ?
  • Sur le site de Kerlog, nous pouvons voir que Ecorec propose plusieurs modules : quels sont les modules auxquels la CCT2C a souscrit ?
  • Quel est le coût, pour l’année 2021, de cette prestation ? Pour les années suivantes, quel sera le coût de cette prestation ?

À propos de la solution technique

En tant que professionnel du web depuis plus de 15 ans, plusieurs choses m’interpellent quand on consulte le site internet de prise de rendez-vous (https://decheterie.terredes2caps.fr).

  • La solution mise en place n’est pas accessible. C’est une obligation : https://accessibilitenumerique.empreintedigitale.fr/accessibilite-numerique/que-dit-la-loi/. Tout comme nos bâtiments accueillant du public doivent être accessibles, les sites internet doivent répondre à des normes techniques qui les rendent accessibles à tous les publics.
  • En me connectant sur l’interface de prise de RDV, je me suis retrouvé avec un message d’un autre usager. Ce message était surement destiné à vos services. Ce qui pose un souci de confidentialité majeur : un message que j’envoie à vos services ne devrait pas se retrouver dans les mains d’un autre usager. J’ai à ma disposition le message concerné du compte j******.g*******@l*g*o*p*.com si vous le souhaitez.
  • Je ne trouve aucune information concernant les nombreuses données personnelles collectées. Aucune page de mentions légales, pourtant obligatoire https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd
  • Concernant ces données personnelles collectées, merci de nous donner l’ensemble des organismes qui y ont accès : Kerlog ? Adista (l’hébergeur de l’application) ? La CCT2C ?
  • Quelle est la liste exacte des données collectées pour un utilisateur ?
  • Comme le préconise la CNIL (https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires), « le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface depuis une URL temporaire dont la validité ne doit pas excéder 24 heures, lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement. ». Or, lors d’une demande de réinitialisation, nous recevons un mot de passe en clair dans le corps du mail.
  • Est-ce que la solution Ecorec stocke ces mots de passe en clair dans la base de données ou alors les mots de passe des utilisateurs sont-ils chiffrés (comme le recommande la CNIL https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000035142451) ? Si les mots de passe sont chiffrés, quelle est la méthode de chiffrement utilisée ?
  • Faille de sécurité : le mot de passe de chaque utilisateur est stocké en clair dans sa session. Ce qui veut dire qu’il est extrêmement facile, pour une personne malintentionnée, de le récupérer. Quand on sait que de nombreux internautes n’utilisent qu’un seul et même mot de passe … D’autres informations, comme une clé de chantier ou la clé client de la CCT2C circulent en clair.

Toutes ces remontées ne sont en aucun cas faites pour vous embêter, mais plutôt pour vous protéger et vous montrer que le choix du prestataire n’est peut-être pas le bon.
Ce prestataire ne respecte pas les bonnes pratiques du web et fait courir à la CCT2C de sérieux risques d’amendes et de sérieux risques de sécurité à l’ensemble des usagers.

Évidemment, en tant qu’élu, mais aussi en tant que professionnel du web, je suis disponible pour en discuter avec vous et étudier ensemble ce qui est possible de faire pour améliorer le quotidien des usagers de notre déchèterie.

Cordialement,

Nicolas Lœuillet
Maire de Rinxent
Conseiller communautaire de la Terre des 2 Caps

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *