Les applications de suivi du cycle menstruel partagent des données de santé avec des entreprises partenaires

Privacy International parle des applications de suivi du cycle menstruel et des dangers de partager des secrets avec les applications.

Certaines applications pour smartphones rappellent aux utilisateurs de prendre leurs médicaments ; d’autres surveillent la qualité du sommeil, comptent les pas ou les calories, etc. Ce ne sont pas les applications qui manquent pour surveiller notre santé et notre bien-être ! Souvent, ces programmes exigent des utilisateurs qu’ils partagent des données très personnelles sur leurs sentiments, leurs humeurs, leurs diagnostics… Hélas, tous ne traitent pas ces informations privées avec le soin nécessaire.

Lors du 36c3, l’organisation de défense des droits de l’homme Privacy International a partagé les résultats de l’étude des applications intimes qui aident les femmes à prédire la date de leurs règles, à contrôler leur santé reproductive et planifier leurs grossesses. Il s’est avéré que certaines d’entre elles abusent de la confiance de leurs utilisatrices et vont jusqu’à partager des informations intimes avec Facebook et d’autres entités.

Qu’est-ce que Facebook peut voir exactement ?

Les chercheurs ont examiné deux applications pour leur étude : Maya et MIA (5 millions et 1 million de téléchargements sur Google Play, respectivement). L’étude était très simple : Privacy International a simplement examiné le trafic sortant des applications, qu’ils ont exécutées dans un bac à sable, et analysé les données que celles-ci transféraient et leur destination. Le moins qu’on puisse dire, c’est que les résultats se sont avérés intéressants.

Dès le premier lancement, avant même de faire connaître aux utilisatrices leur politique de confidentialité, les deux applications ont contacté Facebook et d’autres partenaires. Maya a envoyé des données à la plateforme d’analyse CleverTap, et MIA a fait de même avec AppsFlyer, qui fournit également des services d’analyse aux développeurs.

MIA a tout de suite voulu savoir si l’utilisatrice avait installé l’application pour préparer une grossesse ou simplement pour surveiller son cycle menstruel – et a rapidement informé ses partenaires des réponses. Elle a fait de même pour les détails comme le moment et la durée du cycle de la femme. Ensuite, le programme a essayé d’avoir le plus d’informations possible sur l’utilisatrice : ses émotions, sa contraception, ses habitudes en matière de caféine, d’alcool et de tabac. L’application a même tenté de collecter des informations sans rapport avec la santé des femmes, par exemple sur les coiffures et les manucures.

L’application propose des articles d’actualité sur la base des informations recueillies, ainsi que de ses propres conclusions sur la phase du cycle dans laquelle se trouve la femme. Cela semble inoffensif et même utile… à un détail près : la liste des articles qui permettait de comprendre clairement ce que l’utilisatrice avait indiqué à l’application a été envoyée à Facebook et AppsFlyer.

L’approche de Maya était un peu moins créative. L’application a transmis tout ce qu’elle a appris : des informations sur le bien-être, l’humeur, les contraceptifs, les produits d’hygiène personnelle, l’activité sexuelle, etc. Ce programme ne posait pas de questions sur les coiffures ou les manucures, mais il offrait une fonction de journal personnel et transmettait scrupuleusement son contenu à Facebook et à CleverTap.

En plus de toutes ces informations, les applications transmettent également toutes les données personnelles comme l’adresse e-mail ou l’identifiant d’appareil unique.. Pour les utilisatrices qui ont un compte Facebook, cette seule information pourrait suffire à les identifier, même si elles n’ont pas installé l’application Facebook sur leur téléphone. En d’autres termes, Facebook sait parfaitement à qui appartiennent les données qu’il reçoit.

Pourquoi les entreprises veulent autant de données personnelles

Armés d’informations sur la santé, l’humeur et la vie intime d’un utilisateur, les réseaux publicitaires, Facebook compris, peuvent vendre de manière plus rentable les biens et services des annonceurs. Les publicités ciblant spécifiquement les femmes enceintes coûtent par exemple dix fois plus cher que les publicités non ciblées parce qu’elles sont beaucoup plus susceptibles de mener à un achat. (Les besoins d’achat d’une femme enceinte sont prévisibles dans une certaine mesure et, de plus, il est possible qu’elle fasse certains achats pour la première fois et qu’elle connaisse peu les marques existantes ; les annonceurs qui la contactent en premier ont donc une grande chance d’influencer son choix).

Mais la publicité n’est pas le pire. Les informations intimes relatives à la santé qui tomberaient entre de mauvaises mains pourraient influer, par exemple, le coût de l’assurance maladie. Autre exemple encore : un employeur potentiel qui sait qu’une candidate à un emploi a l’intention de tomber enceinte pourrait donner la préférence à une autre personne. Une femme enceinte peut même ne pas être autorisée à prendre un vol international. Et vous n’avez sûrement pas envie que Facebook soit au courant de choses dont vous n’avez même pas parlé à votre meilleure amie.

Les développeurs de Maya affirment que toutes les demandes de l’application sont nécessaires pour son fonctionnement. C’est partiellement vrai. Les médicaments hormonaux, l’augmentation du stress et les habitudes telles que le tabagisme peuvent altérer le cycle menstruel, et les sautes d’humeur, les douleurs abdominales et d’autres symptômes peuvent indiquer que les règles arrivent. Cependant, une bonne quantité des informations requises n’ont pas d’incidence ou presque sur l’exactitude du diagnostic.

Les développeurs abandonnent Facebook Analytics

Il y a cependant de bonnes nouvelles : à ce jour, ni Maya ni MIA ne transmettent plus d’informations à Facebook. Les chercheurs ont contacté les développeurs des applications, qui ont rapidement supprimé l’outil Facebook Analytics responsable de l’envoi des données. Il est vrai que les deux applications utilisent toujours CleverTap et AppsFlyer.

Il s’est donc avéré qu’il n’était pas vraiment nécessaire de transférer les données à Facebook : les développeurs avaient simplement intégré un système d’analyse supplémentaire sans jamais se soucier de la destination des données.

Les créateurs de Maya affirment qu’aucune tierce partie n’a accès aux informations qui se trouvent sur les serveurs de CleverTap. Les développeurs de la plateforme affirment que la solution se trouve dans la conformité au Règlement Général de Protection des Données (RGPD), et que ses algorithmes analytiques traitent des pools de données anonymisées. Si c’est réellement le cas, la violation de la confidentialité de cette application peut maintenant être considérée minimale.

La situation de MIA, qui fournit des données d’analyse à AppsFlyer, est plus nuancée. En réponse aux demandes des chercheurs, la société a affirmé qu’elle interdisait à ses clients de stocker les données personnelles intimes des utilisateurs, y compris celles relatives à la santé. AppsFlyer prétend avoir contacté les développeurs de l’application MIA pour qu’ils revoient leur approche des outils d’analyse. Mais comme le font remarquer les chercheurs, AppsFlyer est plutôt vague sur les données qu’elle croit devoir recueillir à partir d’applications qui fonctionnent spécifiquement avec des informations sur la santé.

Comment prévenir l’abus des données personnelles

Lorsque vous communiquez des données, et en particulier des données intimes, à une application, quelle qu’elle soit, n’oubliez pas que celle-ci peut partager vos données avec une autre partie. Si vous ne pouvez pas vous passer d’un service particulier, tenez compte des recommandations suivantes :

  • Choisissez judicieusement les applications. Lisez les critiques sur Google Play et l’App Store, et vérifiez ce que les utilisateurs disent des développeurs en ligne. Il a peut-être été découvert que le programme qui vous intéresse envoyait des données à des destinataires peu pertinents. Il peut aussi avoir une réputation irréprochable. Cela peut arriver.
  • Si une application souhaite obtenir vos données sensibles, consultez sa politique de confidentialité. Elle peut indiquer ouvertement que vos données seront transmises à des sociétés tierces, ce qui est mauvais signe. Même en l’absence d’une clause spécifique, si la politique est formulée de manière vague ou incompréhensible, il se peut que les développeurs tentent de cacher quelque chose.
  • Si vous avez besoin d’une application de suivi du cycle menstruel, vous pouvez savoir au moins que deux d’entre elles, Maya et MIA, ont déjà cessé de collaborer avec Facebook. Le rapport de Privacy International mentionne également d’autres programmes pour lesquels ce genre de pratiques malfaisantes n’a pas été remarqué.
  • Ne donnez pas aux applications plus d’informations que nécessaire – réfléchissez bien à ce dont elles ont réellement besoin et à ce qui n’est pas indispensable pour leur fonctionnement. Cela ne signifie pas que vous devez revenir à l’âge du papier et du crayon, mais que vous devez être conscient que toute information que vous donnez aux applications a peu de chances de rester totalement confidentielle.
Conseils