Méga-PixelsDes applications permettent de suivre les cycles menstruels, les périodes de fertilité et les manifestations qui leur sont liées. Mais l’utilisation de ces données sensibles n’est pas toujours très claire.

L’écran de votre téléphone s’allume, et une notification colorée vous prévient : « Vos règles sont sur le point de commencer. » Cette scène est de plus en plus courante dans la vie des femmes. Suivi des règles, Clue, Flo, Glow, Maya, pTracker…, les applications de suivi des cycles menstruels ont envahi les catégories « Santé » des boutiques en ligne d’Apple et de Google. Et ce sans compter celles qui peuvent être utilisées pour calculer les chances de tomber enceinte ou pour suivre la grossesse.

Ces applications brassent les données de millions de femmes réglées dans le monde entier. Or, la façon dont peuvent être utilisées ces données n’est pas toujours très claire.

L’Electronic Frontier Foundation (EFF), une association américaine de défense des libertés numériques, a d’ailleurs publié, fin juillet, un rapport sur les applications liées à la « santé féminine » rédigé par le chercheur en sécurité Cooper Quintin avec une journaliste de Gizmodo, Kashmir Hill. Ils y relèvent de nombreuses failles de sécurité dans l’utilisation et la protection de la masse de données récupérées par ces applications.

Poids, humeur et rapports sexuels

Car la plupart ne se contentent pas de calculer la date des prochaines règles en fonction des dernières. On peut aussi communiquer à son application des informations sur son humeur, sa forme physique et mentale, son poids, sa taille, ses derniers rapports sexuels, ses efforts physiques, la nature de ses pertes, voire sa température corporelle ou l’aspect de sa glaire cervicale — ces dernières informations sont surtout utilisées pour calculer les périodes de fertilité.

Des informations très larges, qui peuvent aider à mieux connaître les particularités de son cycle menstruel et ses effets sur le corps et le mental, mais surtout des informations sensibles que tout le monde n’a pas forcément envie de voir tomber entre de mauvaises mains ou dans les fichiers d’une entreprise commerciale.

Le Monde s’est donc penché sur le fonctionnement et les politiques de protection de la vie privée de quatre applications qui apparaissent en haut des résultats de recherche : Suivi des règles, Maya, Flo et Clue.

Mots de passe, mais requêtes non chiffrées

Aucune information sur l’utilisation des données n’est disponible dans l’application Suivi des règles et Ovulation. Elle ne nécessite pas de créer un compte, même si on peut verrouiller son accès à l’aide d’un mot de passe.

Sa politique de protection de la vie privée est consultable dans les boutiques d’applications et consiste en un seul paragraphe, dans lequel Simple Design Ltd assure ne récupérer aucune information personnelle et ne pas disposer de serveur pour stocker les données. Le texte précise également : « Nous n’utiliserons jamais vos informations personnelles dans un but publicitaire ou commercial. »

Problème, comme d’autres applications similaires, dont Maya, elle contient des publicités, que l’on retrouve à chaque étape de renseignement des données.

Si Suivi des règles ne commercialise pas les données de ses utilisatrices, ces dernières peuvent tout de même être captées par des sociétés spécialisées dans le marketing. D’autant plus que, comme le souligne le rapport de l’EFF, les requêtes effectuées par l’application ne sont pas chiffrées – vraisemblablement pour permettre l’affichage de publicités ciblées.

Or, ces affichages publicitaires peuvent poser de nombreux problèmes : le New York Times rapportait, par exemple, en 2016 le cas d’une femme qui avait fait une fausse couche, signalée à son application de suivi – ce qui ne l’avait pas empêchée de continuer à recevoir pendant des mois des publicités destinées aux femmes enceintes.

Accès à l’appareil photo et à la localisation

L’application indienne Maya, qui revendique 1,2 million d’utilisatrices actives, les oblige, elle, à créer un compte. Une version premium est disponible, qui permet notamment d’éviter les publicités. L’application demande un certain nombre d’autorisations, notamment l’accès à l’appareil photo et à la localisation.

Elle justifie l’utilité de se géolocaliser de cette façon : « Des fluctuations de température peuvent affecter votre cycle. Nous vous assurons que votre position restera confidentielle. » Le rapport de l’EFF reste toutefois méfiant sur ce point, et estime que cette fonction peut aussi être utilisée pour « activer des publicités géolocalisées ».

Une section « Conditions » dans l’application permet de lire les conditions d’utilisation et la politique en matière de vie privée, uniquement en anglais. L’entreprise assure qu’elle « identifiera [toujours] les raisons pour lesquelles [des informations personnelles] sont collectées ». La politique de vie privée reste toutefois assez vague.

Le site YourStory, spécialisé dans l’entreprenariat indien, affirme par ailleurs que le fondateur de Maya, John Paul, envisage d’utiliser la recommandation « de médecins » et de « produits et services liés à la santé féminine pertinents ». Une page sur le site de Maya propose aux médecins de nouer un partenariat, et notamment « d’augmenter [leurs] revenus professionnels en donnant des consultations en ligne ». Il n’est pas absurde d’envisager que les données renseignées par les utilisateurs puissent être utilisées dans le cadre de ces partenariats.

Informations personnelles partagées

Les deux dernières applications, Flo et Clue, insistent toutes deux sur le fait qu’elles ne vendront jamais les données qu’elles collectent. Toutes deux donnent aussi accès à leurs conditions d’utilisation et à leurs règles de confidentialité dans l’application, mais Clue est la seule à les avoir traduites en français.

Flo permet de renseigner de très nombreuses données en plus de la menstruation. La création d’un compte n’est pas obligatoire, mais c’est le seul moyen de les sauvegarder. Celles-ci, assure Andrew Kovzel, directeur technique de l’entreprise, sont uniquement utilisées à des fins d’« études internes pour améliorer les prédictions sur les cycles. Nous ne vendons ou partageons aucune donnée, et ne les utilisons pas dans un but commercial », dit-il.

Toutefois, la politique relative à la vie privée précise que certaines informations personnelles peuvent être partagées avec des hébergeurs, par exemple, et que des statistiques « qui ne peuvent être utilisées pour vous identifier » sont susceptibles d'être partagées dans des « articles, posts de blog ou publications scientifiques », notamment pour mieux comprendre comment fonctionnent les cycles.

Flo prévient par ailleurs que, dans le cas où elle serait vendue à une autre entreprise, les informations qu’elle a récoltées pourraient l’être aussi. C’est un risque qui existe pour la plupart de ces applications récentes, dont rien ne garantit qu’elles tiendront dans la durée.

Des études conduites en interne

Clue, établie à Berlin et fondée par la Danoise Ida Tin, est la plus transparente des quatre applications. Elle revendique plus de 2,5 millions d’utilisatrices actives, dans cent quatre-vingts pays.

Sur le blog de Clue, Ida Tin, précise comment sont utilisées les données récoltées. Clue a établi des partenariats avec les départements de recherches gynécologiques de trois universités nord-américaines, Stanford, Columbia et Washington, et une européenne, Oxford, au Royaume-Uni. Elle procède aussi à ses propres études en interne. « Notre base de données est cent fois plus importante que celles dont disposent habituellement les chercheurs : c’est pour cela que notre travail les attire », explique Marija Vlajic Wheeler, data scientist à Clue.

Pour l’instant, l’application fonctionne grâce à de nombreux financements, mais elle doit prochainement intégrer des fonctions payantes. Créer un compte n’est pas obligatoire, mais recommandé pour les sauvegardes ; il est possible de s’enregistrer avec un compte Google ou Facebook, et de partager une partie des informations sur son cycle menstruel avec d’autres personnes.

Clue pourrait-elle envisager des partenariats avec d’autres entreprises privées ? « Je ne veux pas dire jamais, répond Ida Tin. Cela pourrait être utile dans certains cas, par exemple pour créer une meilleure pilule. Mais si on nous fait une proposition, je serai très prudente, ce n’est pas idéal en matière de protection des données. »

En attendant, elle continue à prôner la transparence sur l’utilisation de celles-ci : « Nous voulons que les gens lisent et comprennent notre politique s’agissant de la vie privée. Très souvent, ces documents sont faits pour décourager les lecteurs et cacher des informations, ce n’est pas une bonne chose. »

Lien avec des services tiers

La revue de ces applications confirme qu’il n’est pas toujours évident de se renseigner sur l’utilisation qui est faite de nos données. Par ailleurs, toutes ces applications font appel à des services tiers, dont beaucoup sont liés à de grandes entreprises, comme Google ou Amazon, et ne sont pas toujours optimales concernant la sécurité.

Protéger l’accès à l’application avec un bon mot de passe ou ne sauvegarder ses données que sur l’appareil ou une carte SD peuvent être de bons moyens de limiter la transmission de ces informations.

Enfin, on peut se tourner vers Periodical, une application open source créée par l’Allemand Arno Welzel, et traduite en six langues. La seule différence avec un simple calendrier, c’est qu’elle calcule le début du prochain cycle et les périodes de fertilité. « L’application ne nécessite pas d’être connectée à Internet, et permet de sauvegarder ses données en local, explique son créateur. Je voulais un programme simple et qui ne récolte pas mes données. »