DERNIERE MINUTE

DERNIERE MINUTE

Les apps de suivi des règles : pas si intimes que ça

Vous lisez:

Les apps de suivi des règles : pas si intimes que ça

Les apps de suivi des règles : pas si intimes que ça
Taille du texte Aa Aa

Quelle femme n'a jamais suivi ses règles, la durée de son cycle ou sa température pour repérer sa période fertile dans un agenda ? Aujourd'hui des applications mobiles leur permettent de le faire avec la promesse de la simplicité. Mais en les utilisant, ces femmes risquent de voir des informations très intimes vendues à des sociétés tierces. C'est la conclusion à laquelle est arrivé Coding Rights, un think tank brésilien spécialisé dans la défense des droits de l'homme dans l'univers digital.

Aux Etats-Unis, les apps de suivi de règles sont en quatrième position des applications de santé les plus populaires chez les adultes et en seconde position chez les adolescents. Le nombre d'applications de ce type disponibles est difficile à évaluer. Des chercheurs de l'université de Columbia en ont compté 225, dont 108 gratuites et 17 avec un système d'abonnement payant. Google Play a indiqué à Euronews qu'ils ne possédaient pas d'information sur le nombre exact de ce type d'application disponibles sur la plateforme.

Une partie des applications de suivi de règles sur Google Play

Malgré leur popularité, ces applications ne sont pas toutes efficaces pour autant. Selon une étude du Medical College of New York, 81% des applications de suivi de règles étaient imprécises et seulement trois apps sur 33 prédisaient avec justesse le meilleur moment pour tomber enceinte.

Des conditions d'utilisations douteuses

Ces applications sont problématiques aussi car certaines d'entre elles enregistrent le nombre de fois où l'utilisatrice se connecte à Google, Amazon ou Facebook sur leur téléphone. "Chaque information que nous mettons sur internet devient un élément de valeur pour les entreprises ; nos activités en ligne devient un élément-clé de leur stratégie de survie économique" avance Chupadados, une initiative de Coding Rights qui vise à enregistrer les manières qu'ont les entreprises techologiques de vendre les données personnelles sans l'accord des utilisateurs.

"Lorsque nous nous en remettons, pour suivre nos cycles reproductifs, à des applications qui agissent ainsi, nous devons rester vigilantes quant à leurs conditions d'utilisations. [...] Lorsque nous leur fournissons des données, ces outils servent de laboratoire pour observer les schémas physiologiques et de comportements liés aux fréquences des règles, leurs symptômes et leurs liens avec les habitudes d'achat et de navigation des utilisatrices sur internet."

Une autre étude menée par la Fondation Electronic Frontier (EFF) est aussi arrivée à la conclusion que ces applications présentaient "de sérieux problèmes de confidentialité". La fondation invite les femmes à rester vigilantes sur le bon compromis à trouver concernant les règles de confidentalité lorsqu'elles utilisent ces applications.

Confidentalité et applications de suivi de règles

Les chercheurs ne nomment pas les applications dont ils avancent qu'elles vendent les données personnelles. Cependant, Chupadados et l'EFF soulignent un certain nombre d'éléments qu'ils jugent problématiques :

  • Les publicitiés envahissantes et non sollicitées envoyées par des sociétés tierces basées sur des données collectées par ces applications.

  • Les données non-effacées même après la suppression d'un compte. Les règles de confidentialité de Glow, par exemple, stipulent que l'app peut "conserver des copies de votre contenu indéfiniment même après avoir clôturé votre compte." Plus loin, les conditions d'utilisation indiquent : "vous autorisez Glow à utiliser ces données, y compris les données concernant le VIH et/ou autres maladies sexuellement transmissibles, vos conditions de santé et de comportement et leur traitement, l'abus de substances et son traitement, et toutes autres données sensibles, et ce même après que vous avez cessé d'utiliser le Service."

De même, OWHealth indique dans ces règles de confidentialité, que "si vous supprimez des données de votre compte, vous ne les verrez plus dans l'application mais certaines sauvegardes de vos données peuvent rester sur nos serveurs d'archives."

L'étude d'EFF montrait que l'app MyCalendar conservait un fichier log sous format texte de tous les éléments ajoutés dans l'app et enregistrait ce fichier log sur la carte SD du téléphone (photo ci-dessous). Le fait que ce fichier soit sauvegardé sur la carte SD signifie que toute personne ayant accès au téléphone de l'utilisateur peut lire le contenu de ce fichier.

Données conservées sur la carte SD par MyCalendar

  • Les données partagées avec des sociétés tierces. Certaines applications partagent les données collectées avec d'autres sociétés sans l'accord des utilisatrices ; d'autres demandent l'autorisation sans préciser quelles informations seront partagées. Flo Menstrual Calendar affiche un pop-up qui stipule "en poursuivant l'installation vous donnez votre accord" lorsque vous téléchargez l'application mais il n'y a aucun moyen de sélectionner quelles données sont partagées et lesquelles ne le sont pas.

  • Le partage de données avec des sponsors et des partenaires commerciaux. L'application Lovecycles partage des informations avec GoogleFit et Apple Health. Elle ne comporte pas de règles de confidentialité spécifiques mais suit celles de l'entreprise qui a développé l'application, Plackal, qui stipule que "des informations seront partagées avec des sponsors et des partenaires commerciaux".

  • Les failles vulnérables au piratage. Une enquête de l'ONG Consumer Report ("Rapport de consommateur") datant de 2016 a montré que l'application de suivi de règles Glow comportait de nombreuses failles de sécurité qui la rendait particulièrement facile à pirater. Ces failles ont été largement corrigées par les développeurs depuis.

"De sérieuses failles de sécurité découvertes dans Glow - Nous avons corrigé les problèmes potentiels et il n'y a aucune preuve qui montre que les données de Glow aient été corrompues"

"L'une des failles pouvait permettre à quelqu'un sans compétence particulière en piratage d'accèder à toutes les données personnelles d'une femme" indiquait ainsi le rapport.

  • L'enregistrement des appels. L'application The Bump prévenait dans ses conditions d'utilisation que les appels pouvaient être "enregistrés". Cet élément a été supprimé depuis.
  • L'illusion de la protection par code PIN. Certaines applications comme Clue, Fertility Friends, Maya ou d'autres, proposent un accès protégé par mot de passe. Même si cette solution est mieux qu'aucune protection, ces mots de passe ne sont souvent que des codes à quatre chiffres, avec un nombre illimité de tentatives possibles en cas d'oubli et donc facilement "craquables".

Préférer les applications sans compte obligatoire

Mirco Bettellini, créateur de l'application italienne de suivi de règles iGyno, a indiqué à Euronews qu'aucun enregistrement n'est nécessaire pour utiliser son application : "Les données restent en permanence sur le téléphone de l'utilisatrice, donc aucune donnée n'est disponible pour des parties tierces."

Pippo Fertitta, directeur du marketing pour iMamma OBScience, a expliqué que le modèle économique de l'application repose sur la vente d'espaces publicaitaires. Les données entrées dans l'application restent sur le téléphone ; les seules données que détient l'entreprise sont "les données entrées volontairement lors de l'inscription à la communauté iMamma" ajoute-t-il.

Selon des experts contactés par Euronews, il est plus prudent d'utiliser des applications qui ne nécessitent pas l'ouverture d'un compte et qui permettent l'accès aux différents services sans activer de profil personnel. Ils ajoutent que les utilisateurs devraient toujours être méfiants des entreprises qui recoivent des financements à partir de capital-risques mais qui ne précisent pas comment ils génèrent de bénéfices, car cela peut signifier qu'ils revendent les données personnelles.

"Les données de santé sont les données qui ont le plus de valeur"

Raffaele Barberio, président de Privacy Italy, a précisé à Euronews que les données collectées par ces applications sont très recherchées par les industries pharmaceutiques.

"Les données de santé sont les données qui ont le plus de valeur absolue", explique-t-il, "les profils que Cambridge Analytica a pris sur Facebook valaient entre $0,75 et $5 par personne : les chiffres sont vraiment précis car les données sont particulièrement fiables."

Raffaele Barberio espère que lorsque le réglement général européen sur la protection des données (RGPD) entrera définitement en vigeur au mois de mai 2018 la "banalisation du consentement" ne sera plus possible car les applications seront forcées d'effacer les données des utilisatrices qui cessent d'utiliser leurs services.

Cependant, Fabio Pietrosanti, fondateur et président d'Hermes, un centre militant pour la transparence dans le milieu des droits digitaux, considère que "cela demandera beaucoup d'efforts" aux sociétés pour appliquer les règles du RGPD : "les premiers 24-36 mois seront un test pour l'efficacité de la loi alors que les entreprises batailleront pour s'y ajuster".