Ben Mazue

Un « buffet de données » : l’examen par Mozilla des suivis de grossesse et de règles met en lumière les problèmes de confidentialité des données

Partager l'article

Au milieu des inquiétudes croissantes quant à la manière dont les données pourraient être utilisées pour poursuivre les femmes à la recherche de soins d’avortement à la suite de l’annulation par la Cour suprême de Roe v. Wade, un nouveau rapport de Mozilla montre à quel point les suivis de grossesse et de règles collectent et partagent des données liées à la publicité et d’autres informations qui pourraient également être partagées avec les forces de l’ordre.

Selon un examen de 25 applications et appareils de suivi des règles et de la grossesse mené par Mozilla, les chercheurs ont déterminé que 18 ne répondaient pas aux attentes en matière de normes de confidentialité et de sécurité. Au lieu de cela, ils ont trouvé un « buffet de données » de numéros de téléphone, d’adresses, d’identifiants d’appareils, d’adresses IP, d’identifiants publicitaires uniques – tels que l’IDFA d’Apple et l’identifiant publicitaire Google d’Android – ainsi que des informations sensibles sur les cycles menstruels, l’activité sexuelle, les rendez-vous chez le médecin et la grossesse. les symptômes. Le rapport, publié mercredi, décrit également comment les entreprises collectent et partagent des données pour personnaliser les publicités alors que la plupart des applications n’offrent pas de politiques claires sur le partage des données avec les forces de l’ordre.

« C’est la partie émergée de l’iceberg », a déclaré Jen Caltrider, chercheuse principale pour l’initiative Privacy Not Include de Mozilla. « Littéralement, tout peut être utilisé pour suivre quelqu’un qui cherche des soins de santé reproductive maintenant… Lorsque l’avortement était illégal il y a 50 ans, Internet n’existait pas. Désormais, littéralement, toute notre vie en ligne est suivie et existe dans le cloud. Oui, cela soulève des inquiétudes, mais tant de choses suscitent des inquiétudes en ce moment.

Les résultats font partie de l’initiative « Privacy Not Include » de Mozilla, qui vise à aider les consommateurs à prendre des décisions plus soucieuses des données lors du choix de divers produits et services en donnant des étiquettes d’avertissement aux applications qu’ils voudront peut-être réfléchir à deux fois avant d’utiliser. Pendant des années, la Fondation Mozilla s’est concentrée sur l’éducation des gens sur les problèmes de confidentialité tout en utilisant le sujet comme différenciateur pour son navigateur Firefox. Le nouveau rapport fournit également des explications détaillées sur les politiques et pratiques de chaque application tout en offrant des conseils sur la façon dont les utilisateurs peuvent mieux se protéger en modifiant diverses préférences.

Alors que Roe v. Wade était annulé, l’équipe de Mozilla a décidé qu’elle devrait également examiner les applications de suivi des règles et de la grossesse, en particulier dans un monde où l’avortement devient illégal dans certains États. Le rapport fait suite à un examen similaire des applications de santé mentale en mai pendant le mois de la santé mentale, qui, selon Caltrider, a également révélé des exemples «horribles» de collecte et de partage de données.

Bien que la loi fédérale réglemente les données de santé personnelles dans le contexte des prestataires de soins de santé, elle ne protège pas les données de santé dans le contexte des applications ; La Health Insurance Portability and Accountability Act a été promulguée en 1996, un peu plus d’une décennie avant la sortie du premier iPhone. Cependant, la prise de conscience et les inquiétudes croissantes quant à la manière dont les données sensibles pourraient être utilisées contre les femmes ont fait de l’adoption d’une loi fédérale sur la confidentialité des données une priorité encore plus élevée. Le sujet a également fait partie des discussions sur la loi américaine sur la confidentialité et la protection des données (ADPPA), qui a franchi le mois dernier une étape importante au Congrès en dépassant l’étape du comité.

« Je pense qu’il y a eu une prise de conscience tellement accrue des risques pour la vie privée associés au partage des données de santé depuis la décision Dobbs », a déclaré Caitlin Fennessy, vice-présidente et responsable des connaissances à l’International Association of Privacy Professionals. « Cela a donné un élan à l’ADPPA et nous avons mis l’accent sur la manière dont il traite les données sensibles et sur la mesure dans laquelle cela apporterait des protections aux individus. »

Les politiques de confidentialité de certaines applications ne sont pas courtes. Pour Ovia Health, qui affiche des publicités et du contenu sponsorisé dans la version gratuite, Mozilla souligne que la politique de confidentialité compte 34 pages et près de 12 000 mots, mais affirme que l’application n’utilisera un profil publicitaire que pour ceux qui s’inscriront. Cependant, Mozilla souligne qu’Ovia permet à Facebook de collecter des informations sur l’appareil, qui « peuvent utiliser ces données pour personnaliser la publicité » à la fois sur et hors Facebook, même si une personne n’est pas connectée au réseau social via Ovia.

Certaines applications, dont Clue, The Bump et WebMD Pregnancy, collectent ou partagent des données avec des tiers à des fins de publicité, de marketing et de recherche, tandis que d’autres, dont Baby Center, partagent également des informations avec des courtiers en données et des réseaux sociaux. Dans le cas de What To Expect, une application détenue par Everyday Health, qui possède également l’application Baby Center, Mozilla indique qu’elle collecte des informations auprès de fournisseurs, de tiers et de bases de données publiques et « peut vendre ou transférer » des données aux annonceurs pour diffuser des annonces pertinentes. . Les chercheurs ont également souligné que l’application My Calendar Period Tracker partage des informations avec Amazon ; ils n’ont même pas pu trouver de politique de confidentialité à consulter pour une autre application appelée Sprout.

Certaines applications ont déjà fait l’objet d’un examen juridique et réglementaire. L’année dernière, la Federal Trade Commission a réglé une affaire contre Flo Health après que l’application a partagé les données des utilisateurs avec des sociétés d’analyse marketing, notamment Facebook et Google, après avoir promis de garder les informations privées. Pendant ce temps, un recours collectif intenté l’année dernière alléguait que Flo avait secrètement collecté des données sur les tentatives de grossesse des utilisateurs qui ont ensuite été partagées avec des sociétés tierces. (Les mêmes avocats ont également déposé une plainte distincte contre Meta le mois dernier, alléguant que la plate-forme diffusait des publicités personnalisées basées sur des problèmes de santé existants.)

La plupart des applications signalées par Mozilla n’ont pas répondu à Digiday lorsqu’on leur a demandé une réponse sur les résultats. Cependant, un porte-parole de Flo a déclaré dans un e-mail que l’entreprise ne partageait pas les données de santé avec l’extérieur et que tirer des revenus des données des utilisateurs « irait à l’encontre de notre promesse fondamentale envers nos utilisateurs ». (Le porte-parole a également noté que Flo a réalisé un audit de confidentialité « externe et indépendant » en mars et a annoncé un nouveau « mode anonyme » fin juin qui permettra aux utilisateurs de supprimer les identifiants de leurs profils.)

Dans d’autres réponses par e-mail, un porte-parole de Clue a fourni des liens vers des articles de blog de mai et de juillet sur la confidentialité rédigés par les co-PDG de Clue, tandis qu’un porte-parole de Sprout a déclaré que Mozilla « avait déclaré à tort que l’application n’avait pas de politique de confidentialité » et qu’Apple et Google exigeaient toutes les applications. avoir une politique de confidentialité.

« Notre application Sprout Pregnancy a toujours été axée sur la confidentialité et est l’une des seules applications de grossesse sur le marché qui ne nécessite pas de compte pour utiliser l’application (pas de nom d’utilisateur ni de mot de passe) », a écrit le porte-parole de Sprout. « Et les données de l’application ne sont sauvegardées que sur le compte personnel iCloud ou Google Drive de l’utilisateur. »

Selon Mozilla, d’autres, tels que Period Tracker, ne permettent pas aux annonceurs d’accéder aux informations sur les règles ou à d’autres données que les utilisateurs mettent directement dans l’application, mais partagent toujours des données telles que des identifiants publicitaires uniques. Mozilla souligne également que les informations de Glow Nurture & Glow Baby dans la boutique Google Play affirment que la société ne partage pas de données avec des tiers, mais la politique de confidentialité actuelle indique qu’elle partage des données avec un certain nombre d’annonceurs tiers. Avec Wachanga, un suivi de grossesse, le site Web de l’entreprise indique qu’il travaille avec des sociétés de publicité tierces, qui « peuvent utiliser des informations générales sur vos visites sur le site Web, les applications et services Wachanga ainsi que d’autres sites Web afin de fournir des publicités sur des biens et services qui vous intéressent.

Dans le cas de Maya, le tracker de période affirme qu’il ne partagera pas d’informations identifiables mais partage des informations « anonymisées » avec les annonceurs. Mais Mozilla a également noté un rapport de Privacy International en 2019 qui a révélé que Maya partageait des informations sensibles avec Facebook, y compris l’humeur et l’activité sexuelle. Les capacités publicitaires des autres applications semblent plus limitées. Par exemple, avec l’application Pregnancy+ appartenant à Philips Digital, Mozilla a remarqué que l’application encourage les gens à choisir la version « Gold » pour des fonctionnalités personnalisées, y compris la publicité personnalisée.

Mozilla n’est pas la première organisation à revoir les politiques de confidentialité des applications de grossesse et de règles. Le mois dernier, l’Organisation pour l’examen des applications de soins et de santé (ORCHA), une organisation indépendante au Royaume-Uni qui examine les applications de soins de santé pour les agences gouvernementales, a constaté que 84 % des 25 trackers et 24 développeurs d’applications qu’elle a examinés partageaient des données avec des tiers. des soirées. Alors que 68 % ont partagé des données à des fins de marketing telles que des listes de contacts, seulement 40 % l’ont fait à des fins de recherche ou pour améliorer l’application.

Alessandro Acquisti, professeur de technologie de l’information et de politique publique à l’Université Carnegie Mellon, a décrit les découvertes de Mozilla comme « un exemple parfait de la façon dont les coûts de [losing] la vie privée peut être. En effet, les informations personnelles et la valeur des données changent en fonction du contexte.

« Perdre sa vie privée peut donc signifier aussi peu que recevoir des publicités en ligne que vous trouvez intrusives, ou autant que perdre vos droits reproductifs », a déclaré Acquisti par e-mail. « En fait, les coûts de la perte de confidentialité peuvent être si divers qu’ils sont difficiles à anticiper jusqu’à ce qu’ils se matérialisent. Il est donc difficile pour nous tous de réaliser pleinement la valeur de la vie privée ex ante.”

Les derniers articles