Terriennes

Femtechs : que deviennent nos données "intimes" ?

©www.wellandgood.com

Coupe menstruelle connectée, rééducateur pelvien connecté, bracelet de fertilité connecté : Sylvain Métille, avocat spécialisé en protection des données, se penche sur les pratiques de trois entreprises.

Application de suivi du cycle menstruel, soutien-gorge connecté pour détecter une potentielle tumeur, tire-lait intelligent, et bientôt "smart-tampon" qui analysera le sang menstruel en quête de maladies: bienvenue dans le monde des femtechs, terme qui regroupe toutes les technologies (logiciels, produits, services) dédiées à la santé des femmes. Ce marché a explosé et poursuit sa phénoménale croissance: sa valeur est estimée à 50 milliards de dollars d’ici à 2025.

Données, chères données

Si le succès des femtechs est sous-tendu par la demande des utilisatrices, il pose également des questions liées à la sécurité et à l’utilisation des données partagées par ces dernières: consigner ses données médicales et autres détails intimes dans une application mobile n’a rien d’anodin. Plusieurs scandales l'attestent: en avril, le Washington Post démontrait que l’application de suivi de grossesse Ovia Health commercialisait les données de ses utilisatrices à des assurances et à des entreprises qui pouvaient ainsi surveiller leurs employées et économiser un petit pactole en frais médicaux. Peu avant, en février, l’application de suivi du cycle Flo était épinglée pour avoir partagé des informations intimes (dates d’ovulation, intention d’avoir un enfant) avec Facebook.

«Le point le plus dérangeant, c’est que l’on partage des données médicales, particulièrement sensibles, non pas avec son médecin, mais avec des sociétés que l’on ne connaît pas vraiment. Ensuite, ces données sont en partie stockées sur un téléphone avec toutes les faiblesses liées à ce dispositif», indique Sylvain Métille, avocat spécialisé en protection des données et professeur de droit pénal informatique à l’Unil.

Avec lui, nous nous sommes penchés sur trois start-up commercialisant des objets connectés à une application mobile: Ava, basée à Zurich, et son bracelet qui mesure cinq indicateurs de fertilité durant le sommeil; la start-up britannique Elvie et son rééducateur pelvien qui, une fois placé dans le vagin, analyse en temps réel les mouvements du plancher pelvien; et enfin l’entreprise coréenne LoonLab et sa coupe menstruelle connectée – disponible en prévente pour l’instant – qui analyse le sang menstruel et alerte l’utilisatrice lorsque sa cup est pleine.

Traitre Bluetooth

On a tendance à l’oublier, pourtant il est utilisé sur ces trois gadgets afin de synchroniser leurs données avec un téléphone. Qui dit Bluetooth dit potentiellement décelable par d’autres appareils, et certaines applications comme Ava requièrent aussi d’activer le GPS au moment de la connexion au mobile. «Si vous avez quelqu’un dans votre entourage qui active son Bluetooth, il peut voir si vous êtes en train d’utiliser l’objet en question. Dans un entretien d’embauche, la personne va-t-elle être traitée de la même manière si on sait qu’elle utilise un outil de suivi de la fertilité et qu’elle dit ne pas vouloir d’enfants?», relève Sylvain Métille. Sans aller jusque-là – car le bracelet ne se porte en principe que la nuit – il faut garder à l’esprit que ces objets sont détectables.

Stockage sur des serveurs tiers

En parcourant les politiques de confidentialité des trois entreprises, il apparaît qu’elles stockent les données à la fois sur leurs serveurs et sur des «serveurs tiers» à l’étranger. Ava utilise, entre autres, les services d’Amazon Web et Elvie reste vague: «Vos informations peuvent être transférées et stockées dans des pays en dehors de votre juridiction […]» mais précise, une fois contactée, que les données intimes demeurent sur ses propres serveurs en Europe. Quant aux données de la LoonCup, elles sont transférées et traitées en Corée du Sud. Alors, problématique? Oui, et non.

«Il y a deux paquets de risques: d’abord, l’accès par des personnes qui n’y auraient pas droit. Mais probablement qu’une infrastructure comme Amazon est plus sérieuse qu’un hébergement interne. Ensuite, le risque d’accès par une autorité étrangère via le serveur», réagit Sylvain Métille. Selon l’expert, le droit qui s’applique généralement est celui du territoire de la collecte des données. Ava est soumise au droit suisse en la matière et suit le RGPD (règlement européen sur la protection des données) comme Elvie, tandis que LoonCup se contente à ce jour d’expliquer «que vos données peuvent être transférées et maintenues sur des serveurs hors de votre pays de juridiction où les lois de protection des données peuvent différer».

Informations anonymisées et publicité ciblée

Les trois entreprises indiquent fournir des informations personnelles anonymisées à des «prestataires de services tiers», ce sur quoi Sylvain Métille émet une réserve: «On peut enlever le nom, mais souvent on aura alors seulement une pseudonymisation et non pas une anonymisation. Si on recroise certaines données, le profil est unique et devient identifiable. Par exemple, si vous avez un élément de géolocalisation et que vous êtes la seule acheteuse dans un périmètre donné, etc.» A noter qu’Ava et Elvie recueillent la géolocalisation «approximative» de leurs utilisatrices et assurent que ces informations sont relatives aux comportements d’usage de l’application ou du site et non pas aux données médicales.

Parmi les services tiers, LoonCup fait appel à Google Analytics, et Elvie mentionne Google ainsi que Facebook. La start-up anglaise ne se cache pas, d’ailleurs, de participer à de la publicité ciblée. Ava, quant à elle, ne communique pas l’identité de ses prestataires mais souligne qu’ils se réfèrent à des accords légaux de traitement des données.

Conservation des données: le flou artistique

Pour les trois entreprises, la durée de conservation des données est inconnue, et résumée en ces termes: «Les données ne seront pas conservées plus longtemps que nécessaire.» Sylvain Métille précise: «C’est un principe de proportionnalité dans la loi sur la protection des données. Quand on ne sait pas, on met ce type de phrase. Si on voulait faire les choses bien, on dirait «un mois après la collecte ou six mois ou deux ans». Heureusement, selon le règlement européen sur la protection des données et de la vie privée, chaque utilisatrice est en droit de demander à l’entreprise quelles sont les informations qu’elle détient à son sujet.

Annexes: groupes de discussion Facebook

Dernier point, et pas des moindres, même s’il ne relève pas de la responsabilité directe des start-up femtech: sur Facebook, Ava et Elvie gèrent des groupes de discussion. La description du groupe des «ambassadrices d’Ava» – qui compte 13 250 personnes – suggère que ses membres peuvent partager les graphiques générés par l’application afin d’en discuter. A ce sujet, Naemi Benz, vice-présidente des opérations chez Ava répond: «L’appartenance aux groupes se fonde sur une base volontaire de nos utilisateurs. Ils sont hébergés par Facebook qui définit ses propres standards de sécurité. Nous travaillons à construire notre propre plateforme interne pour nos communautés.»

Soit. Au vu des scandales réguliers qui lient GAFAM et vie privée, mieux vaut garder à l’esprit qu’une fois partagées, ces informations ne sont plus vraiment les nôtres. Sans céder à la paranoïa, notons qu’ovaires, poitrines et vagins appartiennent désormais au monde digital.