Mauvaise communication, cadre légal flou, rebranding express et toujours en top des téléchargements... Comme de nombreuses autres, Crush (rebaptisée Friendzy) a été lancée trop rapidement par un développeur maintenant empêtré dans les polémiques.
Un partenariat douteux avec une influenceuse, un âge d’inscription initialement illégal, un rebranding express, une structure juridique floue… Le lancement de Crush (rebaptisée Friendzy) n’est pas de tout repos. Cette application est pourtant la 4ème la plus populaire dans la catégorie “réseaux sociaux” de l’App Store en France, et dans le top 30 des applications gratuites. Son principe : répondre à des sondages sur ses camarades de classe et déclarer son “crush” (remplacé par “admiration” depuis quelques jours) à certains d’entre eux. L’appli reprend le principe de son équivalent américain Gas, très populaire à l’été et l’automne 2022, rachetée par Discord avant d’être fermée le 7 novembre dernier.
Retour sur un enchaînement de polémiques
Pour Crush, la polémique commence le 4 novembre lorsque l’influenceuse Ophenya présente l’application à ses 4,8 millions de followers sur TikTok aux côtés de son créateur. Un certain Marc Allain, développeur indépendant et visiblement amateur de posts pseudo-inspirants sur LinkedIn. Sur X, l’appli soulève quelques points d’inquiétude, relevés notamment par le développeur Julien Queffelec : la facilité d'inscription, l’utilisation d’un vocabulaire suggestif (“Découvre qui crush sur toi en secret”) alors que l’appli s’adresse à des enfants dès 10 ans. La tranche d’âge initiale de 10 à 21 ans (mélangeant adultes et enfants) fait craindre la présence de personnes mal intentionnées. Cerise sur le cadeau : la vidéo d’Ophenya ne mentionne pas la mention “collaboration commerciale” sur la vidéo.
Résultat : Crush fait l’objet de plusieurs articles de presse alarmants. Ophenya publie une nouvelle vidéo, de nouveau en compagnie de Marc Allain, mais cette fois en indiquant la collaboration commerciale et en évitant tout vocabulaire amoureux. Puis, l’appli change de nom en hâte et devient Friendzy. Elle passe du violet au jaune et opte pour une description bien plus sage “sondages entre amis”. La tranche d’âge est également modifiée et passe de 13 à 18 ans.
En revanche, il est toujours aussi simple de se créer un compte sur l’appli. Il suffit pour cela de renseigner son âge et son collège – l’appli ne vérifie aucune de ces informations, puis d’ajouter des amis pour participer à des sondages. Vous pouvez également désigner la personne que vous “admirez” en secret. Celle-ci l’apprendra si elle décide de payer 4 euros par mois. En revanche, aucune interaction par message n’est possible et n’a jamais été possible. Pour Marc Allain donc, sa création n’est en rien une appli de rencontre.
Monétiser les premiers émois
Mais elle monétise tout de même les premiers émois amicaux et amoureux des enfants. Le malaise aurait pu s’arrêter là. Mais sur X, Mathis Hammel, développeur spécialiste en cybersécurité, soulève le 8 novembre un autre objet d’inquiétude : aucune entité rattachée à Friendzy ne semble avoir d’existence juridique. « Crush est une application qui récolte le carnet de contacts, la localisation et le numéro de téléphone de milliers de mineur·es. On est donc en droit de se demander qui est l'entité juridique responsable du traitement/stockage de ces données critiques », explique-t-il. Il donne ensuite différentes preuves montrant que les noms cités sur les politiques de confidentialité de Friendzy, comme sur les autres pages du site d’Epic app (où sont publiées ces politiques de confidentialité) ne sont pas des entreprises enregistrées au registre du commerce. La société "Positive Tech SAS”, éditeur de Friendzy, est encore en cours d’immatriculation, lit-on dans les documents. L’organisation “MRA Tech” qui est indiquée comme détenant le copyright de l’app n’a pas d’existence juridique. Pas plus que "Likorn" qui apparaît dans le code de l’appli. Ni que “EPIC SAS”, également citée sur le site de Marc Allain, qui affiche le SIREN d’une tout autre société, sans aucun rapport et appartenant à quelqu’un d’autre. « Le RGPD dit explicitement qu’il faut qu’un délégué à la protection des données soit désigné, or, ce dernier n’est pas mentionné dans les documents concernant l’appli », ajoute Mathis Hammel contacté par téléphone.
Par ailleurs, nous constatons que la page “contact” du site Epic App renvoie vers une adresse aux États-Unis qui est utilisée par une foultitude d’autres entreprises en ligne, idem pour le numéro de téléphone (d’apparence haïtien) qui n’est pas attribué et l’adresse mail info@exemple.com, elle aussi sans issue.
Site vitrine et brouillon de CGU
Par mail, Marc Allain s’explique. Il répond qu’effectivement “Positive Tech SAS “ est encore en cours d’immatriculation. Quant aux autres entités, il reconnaît qu’il ne s’agit pas de sociétés. Ce ne sont « que des noms de collectifs que je souhaitais monter et ne m'en suis donc jamais servi comme nom juridique (...) Epic app n'est qu'un site vitrine pour mon activité de développeur, puisque je suis en microentreprise. Il me sert de tests pour plusieurs projets, d'où des brouillons de CGU et Politiques de confidentialités à plusieurs endroits du site, puisqu’en plus de Friendzy, le développeur conçoit des applications pour des tiers. »
Marc Allain se défend par ailleurs d’avoir mis au point une “application de rencontres” comme cela a été dit dans certains médias. Il dit subir depuis quelques jours une campagne de cyberharcèlement, incluant des centaines de menaces de mort reçues via X et des accusations de pédophilies.
Un amateurisme courant chez de nombreux développeurs d’apps
Cette organisation juridique floue ne signifie pas pour autant que l’appli fait une utilisation malveillante des données des utilisateurs, note Mathis Hammel, qui par ailleurs ne rapporte aucune faille de sécurité dans le code de l’appli. Elle est surtout représentative du fonctionnement de beaucoup d’applications qui sont lancées à la hâte, parfois sans prendre le temps de verrouiller les aspects juridiques et/ou cyber, note-t-il. Avant Friendzy, ce développeur avait déjà été épinglé pour l’application Elyze, ou encore Droite au cœur, site de rencontre des patriotes. Ces failles sont en particulier problématiques pour des applications qui deviennent, comme celles-ci, très populaires du jour au lendemain, estime-t-il.
Dans le cas où l’on s'adresse à des mineurs, les créateurs d’applis devraient pourtant redoubler d’attention, en particulier dans un contexte où les violences envers les plus jeunes augmentent sur le web, et où la loi (le Digital Services Act notamment) oblige à une plus grande transparence.
Participer à la conversation