Lire le communiqué de Papillon concernant la sécurité des données

Un projet soutenu par

Papillon Papillon
← Retour au blog

Communiqué de la part de l’équipe de développement Papillon

10 juin 2025 - Équipe Papillon

Cela fait maintenant plusieurs mois que le projet Papillon ainsi que ses contributeurs sont la cible de nombreuses publications remettant en question la sécurité de notre projet, son fonctionnement, et à terme, nos intentions.

Pour rappel, Papillon existe depuis septembre 2021 et a été maintenu par des centaines de contributeurs depuis. Il a pour seul but de fournir une interface et une expérience scolaire améliorée pour l’ensemble des étudiants. Elle n’a jamais cherché à remplacer un autre service ni à se faire passer pour une autre solution.

L’application Papillon est open-source, c'est-à-dire que son code est consultable et modifiable par n’importe qui, sans conditions. Cependant, chaque modification apportée à Papillon nécessite l’approbation d’au moins 2 mainteneurs analysant minutieusement le code.

Papillon n’utilise pas de serveurs pour fonctionner. Bien qu’ils aient pu exister à cause de limitations techniques, ils ont été décommissionnés courant 2023. De plus, aucune donnée n’était stockée sur les serveurs, ceux-ci étaient utilisés comme passe-plat. Aujourd’hui, les données voyagent uniquement entre l’appareil de l’élève et son établissement (par ex. les serveurs de Pronote)

Papillon permet d’appliquer l’article 15-1 du RGPD selon lequel un utilisateur peut accéder librement à ses données, avec un service libre, entièrement légal et ouvert, conçu dans l’intention de fournir un service commun.

Concernant la transmission des identifiants, Papillon n’en conserve aucun et cela peut être vérifié à partir du code et de l’activité de l’application. D’autant plus que la grande majorité des élèves se connectent avec un ENT, qui permet une connexion plus stable et sécurisée, dans laquelle les identifiants ne sont pas indiqués dans l’interface de l’application.

À la place, la connexion s’effectue dans un navigateur web distinct, qui permet uniquement un accès individuel, limité et révocable aux données de l’élève par la suite via un jeton qui permet le rafraîchissement sans conserver de données d’identification.

Il est souvent mentionné que l’application mène à des questionnements éthiques, notamment face à la mise à disposition de données sensibles, alors que l’application n’accède à aucune donnée qui ne soit pas déjà accessible par les clients officiels des services scolaires : les informations supplémentaires sont seulement déduites et auraient pu déjà l’être par l’élève, nous simplifions juste leur accès afin de garantir un accès complet et transparent aux données de l’élève.

La récupération des données effectuée par l’application se fait uniquement par des accès ouverts et documentés par nos équipes, et non par des moyens détournés ou frauduleux comme il l’est parfois prétendu. Du point de vue de l’établissement ou du service, rien ne change. Papillon consomme moins de données que les services utilisés grâce à la mise en mémoire tampon des données pour une consultation hors connexion, et sinon, consomme 2 à 3 fois moins que les clients officiels.

Il est regrettable que très peu de personnes ayant des interrogations sur notre projet ne prennent pas contact avec nous afin d’éclaircir leurs questionnements. De plus, le code étant ouvert, à défaut d’avoir confiance en nous, vous pouvez vérifier l’ensemble de ce que nous avançons.

Nous espérons, dans le futur, pouvoir discuter avec différents acteurs du monde de l’éducation afin d’élargir notre vision et pouvoir avancer sur ces sujets majeurs pour les jeunes.

L’équipe Papillon 🦋

Ressources

Nous retrouver

Communauté

2025 Papillon et les contributeurs associés. Ce site web est open-source.