Que deviennent les données des applications pour le suivi des menstruations ?
Que deviennent les données des applications pour le suivi des menstruations ?
Par Mathilde Loire
De multiples applications permettent de suivre les cycles menstruels, les périodes de fertilité et les symptômes qui y sont liés. Mais l’utilisation qui est faite de ces données sensibles n’est pas toujours très claire.
L’écran de votre téléphone s’allume, et une notification colorée vous prévient : « Vos règles sont sur le point de commencer. » Cette scène est de plus en plus courante dans la vie des utilisatrices de smartphone. Suivi des règles, Clue, Flo, Glow, Maya, pTracker… Les applications de suivi des cycles menstruels ont envahi les catégories « Santé » des boutiques en ligne d’Apple et Google. Et ce sans compter celles qui peuvent être utilisées pour calculer les chances de tomber enceinte ou pour suivre la grossesse.
Ces applications brassent les données de millions de personnes réglées dans le monde entier. Or, la façon dont peuvent être utilisées ces données n’est pas toujours très claire. L’Electronic Frontier Foundation (EFF), une association américaine de défense des libertés numériques, a d’ailleurs publié, fin juillet, un rapport sur les applications liées à la « santé féminine », réalisé par le chercheur en sécurité Cooper Quintin, avec une journaliste de Gizmodo, Kashmir Hill. Ils pointent de nombreuses failles de sécurité dans l’utilisation et la protection de la masse de données récupérées par ces applications.
Poids, humeur et rapports sexuels
Car la plupart ne se contentent pas de calculer la date des prochaines règles en fonction des dernières. On peut aussi communiquer à son application des informations sur son humeur, sa forme physique et mentale, son poids, sa taille, ses derniers rapports sexuels, ses efforts physiques, la nature de ses pertes, voire sa température corporelle ou l’aspect de sa glaire cervicale – ces dernières informations sont surtout utilisées pour calculer les périodes de fertilité.
Des informations très larges, qui peuvent aider à mieux connaître les particularités de son cycle menstruel et ses effets sur le corps et le mental, mais surtout des informations sensibles que tout le monde n’a pas forcément envie de voir tomber entre de mauvaises mains ou dans les fichiers d’une entreprise commerciale. Le Monde s’est donc penché sur le fonctionnement et les politiques de protection de la vie privée de quatre applications qui apparaissent en haut des résultats de recherche : Suivi des règles, Maya, Flo et Clue.
Manque d’information sur l’utilisation des données
Aucune information sur l’utilisation des données n’est disponible dans l’application Suivi des règles et Ovulation. L’application ne nécessite pas de créer un compte, même si l’on peut la verrouiller à l’aide d’un mot de passe. Sa politique de protection de la vie privée est accessible depuis les boutiques d’applications et consiste en un simple paragraphe dans laquelle Simple Design Ltd assure ne récupérer aucune information personnelle et ne pas disposer de serveur pour stocker les données. Le texte précise également : « Nous n’utiliserons jamais vos informations personnelles dans un but publicitaire ou commercial. »
Problème : comme d’autres applications similaires, dont Maya, elle contient des publicités, que l’on retrouve à chaque étape de renseignement des données. Si Suivi des règles ne commercialise pas les données de ses utilisatrices, ces dernières peuvent tout de même être captées par des sociétés spécialisées dans le marketing. D’autant plus que, comme le souligne le rapport de l’EFF, les requêtes effectuées par l’application ne sont pas chiffrées – vraisemblablement pour permettre l’affichage de publicités ciblées.
Or, ces affichages publicitaires peuvent poser de nombreux problèmes : le New York Times racontait par exemple en 2016 le cas d’une femme qui avait fait une fausse couche, signalée à son application de suivi – ce qui ne l’avait pas empêchée de continuer à recevoir pendant des mois des publicités ciblées destinées aux femmes enceintes.
Des partenariats extérieurs
L’application indienne Maya, qui revendique 1,2 million d’utilisateurs actifs, oblige, elle, les utilisatrices à créer un compte. Une version premium est disponible et permet notamment d’éviter les publicités. L’application demande un certain nombre d’autorisations, notamment l’accès à l’appareil photo et à la localisation. Elle justifie l’utilité de se géolocaliser de cette façon : « Des fluctuations de température peuvent affecter votre cycle. Nous vous assurons que votre position restera confidentielle. » Le rapport de l’EFF reste toutefois méfiant sur ce point, et estime que cette fonction peut aussi être utilisée pour « activer des publicités géolocalisées ».
Une section « Conditions » dans l’application permet de lire les conditions d’utilisation et la politique en termes de vie privée, uniquement en anglais. L’entreprise assure qu’elle « identifiera [toujours] les raisons pour lesquelles [des informations personnelles] sont collectées ». La politique de vie privée reste toutefois assez vague.
Le site YourStory, spécialisé dans l’entreprenariat indien, affirme par ailleurs que le fondateur de Maya, John Paul, envisage d’utiliser la recommandation « des médecins » et de « produits et des services liés à la santé féminine pertinents ». Une page sur le site de Maya propose aux médecins d’établir un partenariat, et notamment « d’augmenter [leurs] revenus professionnels en réalisant des consultations en ligne ». Il n’est pas absurde d’envisager que les données renseignées par les utilisateurs puissent être utilisées dans le cadre de ces partenariats.
Ne pas vendre les données
Les deux dernières applications, Flo et Clue, insistent toutes deux sur le fait qu’elles ne vendront jamais les données qu’elles collectent. Toutes deux donnent aussi accès à leurs conditions d’utilisation et à leurs règles de confidentialité dans l’application, mais Clue est la seule à les avoir traduites en français.
Flo permet de renseigner de très nombreuses données en plus du flux menstruel. La création d’un compte n’est pas obligatoire, mais c’est le seul moyen de les sauvegarder. Celles-ci, assure Andrew Kovzel, directeur technique de l’entreprise, sont uniquement utilisées pour « des études internes pour améliorer les prédictions sur les cycles. Nous ne vendons ou partageons aucune donnée, et ne les utilisons pas dans un but commercial. »
Toutefois, la politique relative à la vie privée précise que certaines informations personnelles peuvent être partagées avec des hébergeurs, par exemple, et que des statistiques « qui ne peuvent être utilisées pour vous identifier » sont susceptibles d'être partagées dans des « articles, posts de blog ou publications scientifiques », notamment pour mieux comprendre comment fonctionnent les cycles. Flo prévient par ailleurs que, dans le cas où elle serait vendue à une autre entreprise, les informations qu’elle a récoltées pourraient l’être aussi. C’est un risque qui existe dans la plupart de ces applications récentes, dont rien ne garantit qu’elles vont tenir dans la durée.
Base de données pour la recherche
Clue, installée à Berlin et fondée par la danoise Ida Tin, est la plus transparente des quatre applications. L’application revendique plus de 2,5 millions d’utilisateurs actifs, dans 180 pays. Sur le blog de Clue, la présidente de l’entreprise, Ida Tin, précise comment sont utilisées les données récoltées. Clue a établi des partenariats avec les départements de recherches gynécologiques avec trois universités américaines, Stanford, Columbia et Washington, et une européenne, Oxford. Elle conduit aussi ses propres études en interne. « Notre base de données est cent fois plus large que celles dont disposent habituellement les chercheurs : c’est pour cela que notre travail les attire », explique Marija Vlajic Wheeler, data scientist à Clue.
Pour l’instant, l’application fonctionne grâce à de nombreux financements, mais doit prochainement intégrer des fonctions payantes. Créer un compte n’est pas obligatoire, mais recommandé pour les sauvegardes ; il est possible de s’enregistrer avec un compte Google ou Facebook, et de partager une partie des informations sur son cycle menstruel avec d’autres personnes.
Clue pourrait-elle envisager des partenariats avec des entreprises privées ? « Je ne veux pas dire jamais, répond Ida Tin. Cela pourrait être utile dans certains cas, par exemple pour créer une meilleure pilule. Mais si on nous fait une proposition je serai très prudente, ce n’est pas idéal en termes de protection des données. » En attendant, elle continue à prôner la transparence sur l’utilisation de celles-ci : « Nous voulons que les gens lisent et comprennent notre politique en termes de vie privée. Très souvent, ces documents sont faits pour décourager les lecteurs et cacher des informations, ce n’est pas une bonne chose. »
Données non récoltées
La revue de ces applications confirme qu’il n’est pas toujours évident de se renseigner sur l’utilisation qui est faite de nos données. Par ailleurs, toutes ces applications font appel à des services tiers, dont beaucoup sont liés à de grandes entreprises, comme Google ou Amazon, et ne sont pas toujours optimales concernant la sécurité. Protéger l’accès à l’application avec un bon mot de passe ou ne sauvegarder ses données que sur l’appareil ou une carte SD peuvent être de bons moyens de limiter la transmission de ces informations.
Enfin, on peut se tourner vers Periodical, une application open source créée par l’Allemand Arno Welzel, et traduite en six langues. La seule différence avec un simple calendrier, c’est qu’elle calcule le début du prochain cycle et les périodes de fertilité. « L’application ne nécessite pas d’être connectée à Internet, et permet de sauvegarder ses données en local, explique son créateur. Je voulais un programme simple et qui ne récolte pas mes données. »
