On estime que des millions de personnes aux États-Unis utilisent des applications de suivi des règles pour planifier leurs activités, savoir quand elles ovulent et surveiller d’autres effets sur la santé. Ces applications peuvent aider à signaler un retard de règles.
Après la publication par Politico, le 2 mai, d’un projet d’avis de la Cour suprême indiquant que Roe v. Wade, la décision historique qui garantit le droit constitutionnel à l’avortement, serait annulée, les gens se sont tournés vers les médias sociaux. Ils ont exprimé leurs inquiétudes quant à la confidentialité de ces informations – en particulier pour les personnes vivant dans des États où l’avortement est strictement limité – et à la manière dont elles pourraient être utilisées contre elles.
De nombreux utilisateurs ont recommandé de supprimer immédiatement toutes les données personnelles des applications de suivi des règles.
« Si vous utilisez un outil de suivi des règles en ligne ou si vous suivez vos cycles via votre téléphone, quittez-le et supprimez vos données », a déclaré la militante et avocate Elizabeth McLaughlin dans un tweet viral. « Maintenant. »
De même, Eva Galperin, experte en cybersécurité, a déclaré que les données pourraient « être utilisées pour vous poursuivre en justice si vous choisissez un jour d’avorter.
Cela nous a amené à nous demander – ces inquiétudes sont-elles justifiées, et les personnes qui utilisent des applications de suivi des règles devraient-elles supprimer les données ou l’application complètement de leurs téléphones ? Nous avons posé la question à des experts.
Les données de votre application de suivi des règles sont-elles partagées ?
Les politiques de confidentialité – à savoir si les applications vendent les informations à des courtiers en données, utilisent les données pour la publicité, les partagent pour la recherche ou les conservent uniquement dans l’application – varient considérablement d’une entreprise à l’autre.
« Est-ce qu’elle crypte ? Quel est son modèle économique ? », a déclaré Lucia Savage, responsable de la confidentialité et de la réglementation chez Omada Health, une entreprise de thérapeutique numérique. « Si vous ne trouvez pas de conditions de service ou de politique de confidentialité, n’utilisez pas cette application ».
Les applications de suivi des règles ne sont souvent pas couvertes par la loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act, ou HIPAA), mais si l’entreprise facture des services de soins de santé, elle peut l’être. Toutefois, l’HIPAA n’empêche pas l’entreprise de partager des données dépersonnalisées. Si l’application est gratuite – et que l’entreprise monétise les données – alors « vous êtes le produit » et l’HIPAA ne s’applique pas, a déclaré Savage.
Une étude de 2019 publiée dans le BMJ a révélé que 79 % des applis de santé disponibles sur le magasin Google Play partageaient régulièrement les données des utilisateurs et étaient « loin d’être transparentes. »
En matière de marketing, les données d’une personne enceinte ont notamment une grande valeur et peuvent être difficiles à cacher du barrage de cookies et de bots. Certaines applications de suivi des règles, qui demandent souvent des informations sur la santé en plus des détails du cycle menstruel, participent également à l’économie des données sur Internet au sens large.
« Les données peuvent être vendues à des tiers, comme de grandes entreprises technologiques, ou à des compagnies d’assurance, où elles peuvent être utilisées pour prendre des décisions de ciblage, par exemple pour vous vendre une police d’assurance-vie ou pour déterminer le montant de votre prime », explique Giulia De Togni, chercheuse en santé et en intelligence artificielle à l’université d’Édimbourg, en Écosse.
Flo Health, dont le siège est à Londres, a conclu un accord avec la Federal Trade Commission l’année dernière à la suite d’allégations selon lesquelles la société, après avoir promis le respect de la vie privée, a partagé les données de santé des utilisateurs de son application de suivi de la fertilité avec des sociétés d’analyse de données extérieures, notamment Facebook et Google.
En 2019, Ovia Health s’est attiré des critiques pour avoir partagé des données – bien que dépersonnalisées et agrégées – avec les employeurs, qui pouvaient acheter l’application de suivi des règles et de la grossesse comme un avantage de santé pour leurs travailleurs. Les personnes utilisant la version sponsorisée par l’employeur doivent actuellement accepter ce type de partage de données.
La politique de confidentialité d’Ovia, qui compte environ 10 000 mots, explique en détail comment l’entreprise peut partager ou vendre des données de santé dépersonnalisées et utilise des technologies de suivi pour les publicités et les analyses sur sa version gratuite, destinée directement aux consommateurs.
Pour les résidents européens, les entreprises doivent se conformer au règlement général sur la protection des données, plus strict, qui confère la propriété des données au consommateur et exige son consentement avant la collecte et le traitement des données personnelles. Les consommateurs ont également le droit de faire effacer leurs données en ligne.
Les entreprises ont la possibilité d’étendre ces droits aux personnes vivant aux États-Unis via leurs politiques de confidentialité et leurs conditions de service. Si elles le font, la FTC peut alors les tenir responsables de ces engagements, a déclaré Deven McGraw, responsable de la gestion des données chez Invita et ancien directeur adjoint pour la confidentialité des informations de santé au bureau des droits civils du ministère de la santé et des services sociaux.
L’application de suivi des règles Cycles, qui appartient à la société suédoise Perigee, entre dans cette catégorie. L’entreprise promet à ses utilisateurs qu’elle ne fait pas de publicité et ne vend pas de données à des tiers. Au lieu de cela, elle gagne de l’argent uniquement grâce aux abonnements, a déclaré sa porte-parole, Raneal Engineer
Les clients inquiets se sont tournés vers une autre application de santé, Clue, développée par une société basée à Berlin. « Nous comprenons parfaitement cette inquiétude et nous tenons à vous assurer que vos données de santé, en particulier celles que vous suivez dans Clue concernant les grossesses, les pertes de grossesse ou les avortements, restent privées et sûres », a déclaré Carrie Walter, co-PDG de Clue, dans un communiqué envoyé par courriel.
Certains États, comme la Californie et la Virginie, ont adopté des lois qui permettent aux utilisateurs de contrôler leurs informations et de décider si elles sont vendues à des tiers.
Les courtiers en données échangent d’autres types d’informations, telles que les données de localisation des personnes ayant visité Planned Parenthood, qui pourraient être achetées par les forces de l’ordre ou les représentants du gouvernement. Au début du mois, SafeGraph a cessé de vendre des données de suivi des téléphones portables qui cartographiaient les mouvements des personnes se rendant au Planned Parenthood, la durée de leur séjour et les endroits où elles étaient ensuite allées, après que Vice ait rapporté avoir acheté une semaine de données pour 160 dollars.
Le niveau de sécurité des données d’une entreprise et son degré de vulnérabilité à une violation sont également préoccupants. « Le piratage est criminel, cela ne fait aucun doute », a déclaré M. Savage. « Mais une fois que c’est piraté, les informations peuvent être divulguées ».