Il y a quelques semaines de cela, j’ai vu passer un article du magazine Numérama qui a attiré mon attention. On y parle d’une étude récente réalisée par la Fondation Mozilla sur 25 applications de suivi menstruel/de fertilité. On y fait état d’importantes failles de sécurité trouvées sur 18 d’entre elles. En somme, Mozilla ne recommande, au final, qu’une seule application qui semble fiable et satisfait les critères de sûreté. Ce qui est très peu et quand même inquiétant.
Étant donné le très grand nombre de gens qui utilisent ces applications (aux États-Unis, c’est une femme sur 3), faire une vidéo TikTok sur le sujet me semblait pertinent. Celle-ci a été vue près de 10 000 fois et plusieurs personnes m’ont écrit pour en parler, dont notre auditrice Amélie Grenier. Elle pose la question suivante :
Je suis abonnée depuis des années à l’application Clue.
Je trouve ça vraiment pratique d’avoir un suivi pour mes spm, des notifications pour dire que mon cycle va bientôt commencer ou qu’il a du retard. C’est utile pour plein d’affaires : acné, digestion, libido, durée du cycle, etc.
MAIS! Ma question est la suivante : ces applications de suivi menstruel sont-elles sécuritaires? Où vont et que fait-on de toutes mes données sur mes organes, ma sexualité? Et si j’utilise un diva cup ou des tampons?
Amélie Grenier
J’ai donc décidé de me pencher sur le sujet afin de trouver quelques éléments de réponse.
Une question de timing
Ça fait longtemps qu’on s’intéresse à ce que les différentes applications en santé récoltent sur nous. Mais certaines circonstances ont rendu la question plus urgente. On se rappelle que le 24 juin dernier, la Cour suprême des États-Unis a annulé l’arrêt Roe v. Wade qui garantissait le droit à l’avortement, malgré certaines limitations. Conséquemment, de nombreuses craintes ont émergé face à l’utilisation des applications de suivi menstruel/de fertilité. Particulièrement concernant les informations pouvant être transmises par celles-ci à de tiers partis.
The Guardian, qui s’est aussi penché sur l’étude de Mozilla, explique que ce rapport, intitulé Privacy Not Included, existe depuis bientôt 10 ans. ll couvre plusieurs autres produits et applications utilisés par le public. Cependant, le climat politique actuel a largement augmenté l’intérêt envers les résultats publiés à propos des applications de suivi menstruel et de fertilité. On s’inquiète, avec raison, des possibilités de partage des informations personnelles vers, par exemple, les autorités policières.
C’est que, en août dernier, une jeune Américaine de 17 ans du Nebraska et sa mère ont a été arrêtées. Des informations personnelles, dont des messages privés de la jeune femme, ont été remises aux autorités policières par Facebook. Ces éléments amenaient la preuve qu’elle a eu recours à un avortement illégal. Ainsi, de nombreuses personnes se demandent à quel point elles sont à l’abri de ce genre de situation. Surtout si elles alimentent des applications du genre avec leurs données personnelles.
Les failles en question
Les craintes de Mozilla envers ces applications sont nombreuses. On trouve :
- La quantité, la précision et la sensibilité des données colligées (ex.: courriel, poids, rendez-vous médicaux, fréquence des rapports sexuels, parcours scolaire, le travail, les activités, etc.)
- Numérama rapporte que, dans certains cas, des applications exigent certaines informations personnelles des utilisateurs.trices avant même d’avoir donné leur consentement;
- Des politiques de partages d’informations peu claires et parfois trompeuses;
- Un manque de clarté face aux conséquences dans le cas où les forces de l’ordre exigent d’avoir accès aux données;
- L’absence de consentement éclairé face aux données qui seront colligées;
- Le manque de sécurité pour sauvegarder les informations (ex.: mot de passe faible).
À LIRE ÉGALEMENT : Pourquoi y’a-t-il encore des tabous autour des menstruations?
L’exemple de Clue
Si l’on prend l’exemple de Clue, l’application dont nous parle notre auditrice, certains éléments analysés ont soulevé des inquiétudes. Mozilla explique que l’app va colliger énormément d’informations personnelles sur les utilisateurices. On parle du numéro d’identification du téléphone, l’adresse IP, l’emplacement (générique), la contraception, les humeurs, la température du corps, les fringales, etc. Ce sont des informations très sensibles à votre propos. Même si ce n’est pas sauvegardé avec les infos sur votre cycle, ça fait beaucoup de données qui peuvent se retrouver entre les mains de compagnies moins bienveillantes.
Mozilla spécifie toutefois que Clue est régulée par la GDPR (Règlement général sur la protection des données) qui est effective dans l’Union européenne et qui est régie par des lois plus strictes sur la confidentialité. Mais, petit bémol: Clue indique aussi que, par rapport aux États-Unis, « les informations que nous et nos sous-traitants conservons ne feront probablement pas l’objet d’une enquête par une autorité publique dans les États-Unis qui invoquent de telles lois qui pourraient obliger un sous-traitant à transmettre des informations personnelles. Le risque d’une telle divulgation, cependant, ne peut être éliminé. » Êtes-vous rassuré.e.s.? Moi, pas tant.
Des données… pas si anonymes
Il y a aussi Motherboard, qui a fait enquête sur Narrative, une compagnie qui vend des données à des entreprises de marketing. L’équipe de Motherboard a acheté pour 100$ de données en quelques minutes. Données parmi lesquelles on pouvait trouver celles que vend… la compagnie Clue. Par contre, les informations partagées ne sont pas directement liées aux informations colligées par Clue (ex.: cycle, poids, etc.). Ce sont plutôt des listes d’appareils ayant téléchargé l’application. Pour 100$, Motherboard a reçu environ 5500 numéros d’appareils (ou MAID pour Mobile Advertising Identifier Device) liés à des utilisateurices de Clue.
Ces numéros sont supposément anonymes. Par contre, le magazine a fait une autre enquête en 2021 qui dévoile l’existence d’une sous-industrie dont le travail est de retracer les vrais noms et adresses physiques liés à ces numéros. En résumé, c’est peu rassurant. Cela dit, suite à l’enquête de Motherboard, Narrative a retiré les applications de suivi menstruel et de fertilité de son site. L’entreprise explique qu’au regard des récentes décisions politiques qui touchent les droits reproductifs des femmes, elle souhaite «prévenir toute utilisation abusive potentielle des données ».
Les applications recommandées
Alors, sachant tout cela, on fait quoi? Eh bien, c’est sûr qu’aux États-Unis, de nombreuses personnes ont invité le public à désinstaller les applications visées. On recommande d’être de plus en plus vigilant.e face aux partages de données personnelles. Si l’on souhaite tout de même utiliser des applications pour gérer son cycle et sa fertilité, on a le droit. Il existe d’ailleurs des alternatives intéressantes.
La fondation Mozilla suggère l’application Euki. Créée par l’organisme à but non lucratif Women Help Women, elle sauvegarde les données sur le téléphone seulement. Elle offre aussi la possibilité d’activer un NIP. Elle a également une fonction permettant de montrer un écran de fausses données, au cas où une personne demande l’accès à votre application.
Vers l’open source
Consumer Reports a aussi fait une enquête en mai dernier sur quelques applications de suivi menstruel/de fertilité. On recommande également Euki, mais aussi Drip et Periodical.
Drip est une application recommandée par notre collègue Gabrielle Anctil qui en parle d’ailleurs dans sa plus récente chronique chez Québec Science. Point positif : l’’application est open source. C’est-à-dire que le code qui sert à la créer est ouvert à tous.tes, peut être réutilisé, modifié, amélioré, etc. Ce qui permet une plus grande transparence dans les processus. Cela permet aussi d‘attraper plus aisément les failles de sécurité et les bogues existants. L’application est aussi conçue pour être inclusive des diverses identités de genre.
Autre application open source : Periodical. Conçue par F-Droid, elle aussi stocke les informations seulement sur le téléphone et n’autorise pas de suivi par des tiers. Donc, pas de risques que les données soient envoyées/vendues à d’autres compagnies. Aussi, le fait que ce soit sur le téléphone rend plus difficile l’accès à vos informations aux autorités policières, puisque, selon Consumer Reports, il faut un mandat de perquisition pour fouiller un téléphone. Cela dit, on spécifie tout de même qu’aucune de ces trois applications n’a fait paraître ce qu’on appelle un « transparency report » ou un rapport de transparence à propos de leurs activités pour l’instant. Ce sera donc à surveiller.
Finalement, pour celles et ceux qui voudraient s’assurer à 100% d’éviter tout risque face à leurs données personnelles, la bonne vieille méthode du papier crayon fait encore ses preuves.
