La justice juge que Meta a accédé aux données de santé féminine de l’application Flo sans consentement

• Un tribunal a jugé que Meta avait collecté, sans le consentement des utilisatrices, des données sensibles depuis Flo Health, une application de suivi de la santé menstruelle
• Flo Health recueillait des données très personnelles, notamment le cycle menstruel, l’humeur et la vie sexuelle des utilisatrices, et les a partagées entre 2016 et 2019 avec plusieurs tiers, dont Facebook et Google
• Flo Health promettait la protection de la vie privée et l’absence de partage des données, mais permettait en réalité à des tiers d’utiliser librement ces données à d’autres fins
• En réponse, la Federal Trade Commission (FTC) des États-Unis a ordonné à Flo Health une enquête approfondie et des améliorations de ses politiques. Flo Health et Google ont déjà conclu un accord, mais Meta a refusé de transiger jusqu’au bout
• Sur fond de débat récent autour du droit à l’avortement aux États-Unis, les risques pour la vie privée liés aux données de santé des femmes sont encore davantage mis en lumière

Aperçu de l’affaire de collecte non autorisée des données des utilisatrices de l’application Flo par Meta

• Un jury américain a reconnu que Meta avait collecté sans consentement des informations sensibles sur la santé reproductive des utilisatrices via Flo Health, une application de suivi de la santé féminine
• Fondée en Biélorussie en 2015, Flo Health est une application conçue pour suivre des données très détaillées et personnelles sur les règles et l’état de santé des femmes, et compte plus de 150 millions d’utilisatrices dans le monde

Méthode de collecte et de partage des données par Flo Health

• Les utilisatrices de Flo Health répondaient régulièrement à des questions extrêmement intimes sur leurs dates de règles, leurs variations d’humeur, leurs méthodes de contraception, leur satisfaction sexuelle ou leurs projets de grossesse
• L’application promettait explicitement de ne pas partager les données saisies par les utilisatrices à l’extérieur, et de ne transmettre certaines informations à des partenaires qu’en cas de nécessité pour fournir le service
• Pourtant, entre 2016 et 2019, Flo Health a largement transmis ces données personnelles à Facebook (devenu Meta), Google, AppsFlyer, Flurry et d’autres
  • Chaque lancement de l’application laissait une trace d’accès, et toutes les actions effectuées dans l’application étaient enregistrées puis transmises à l’extérieur
  • Les tiers pouvaient utiliser ces informations à d’autres fins que la fourniture du service

Problèmes de politique interne et de confiance chez Flo Health

• Flo Health promettait aux utilisatrices confiance et protection de la vie privée, mais il n’existait en réalité aucune restriction ni directive sur l’usage des données par des tiers
• Selon les conditions d’utilisation de l’application, les partenaires externes étaient autorisés à exploiter librement une partie des données des utilisatrices de Flo Health
• En 2020, Flo Health indiquait encore à ses 150 millions d’utilisatrices que la « protection des données personnelles » était sa priorité absolue, renforçant ainsi la relation de confiance

Responsabilité juridique et mesures de la FTC

• Une utilisatrice, Erica Frasco, a intenté en 2021 une action collective contre Flo Health et les entreprises associées, en particulier Meta
  • Les principaux griefs portent sur l’atteinte à la vie privée, la rupture de contrat, l’enrichissement injustifié et la violation du droit relatif aux informations médicales
  • La plainte réclame une indemnisation des préjudices ainsi que la restitution des gains indûment perçus
• Flo Health et Google ont déjà trouvé un accord avec la plaignante, mais Meta a poursuivi la bataille judiciaire jusqu’au bout
• Le jury a reconnu que Meta avait intercepté ou enregistré des conversations au moyen d’un appareil électronique et agi sans le consentement des utilisatrices

Contexte social de l’affaire et enseignements à en tirer

• La Federal Trade Commission (FTC) des États-Unis a imposé à Flo Health des mesures correctives, notamment un audit externe de ses politiques et l’interdiction de tout mésusage des données personnelles
• Depuis que la Cour suprême des États-Unis a annulé le droit à l’avortement en 2022, la protection de la vie privée des données de santé des femmes est devenue un sujet encore plus crucial
• Meta a aussi suscité une nouvelle controverse après avoir aidé une enquête de police en 2022 en fournissant des données de messages liés à un avortement échangés entre une femme et ses deux filles
• Selon une enquête de Propublica, des pharmacies en ligne partagent également des informations sensibles avec Google et d’autres acteurs, avec le risque que ces données soient utilisées comme preuves judiciaires

Conclusion et vigilance en matière de sécurité

• De nombreuses utilisatrices faisaient confiance à Flo Health, mais la révélation de ses véritables pratiques de traitement des données a accentué la perte de confiance
• Cette affaire ne se limite pas à l’idée d’éviter certaines applications : elle remet en lumière les enjeux de vie privée des données de santé personnelles et de fiabilité des technologies dans leur ensemble
• La technologie apporte de la commodité, mais l’usage abusif des données peut aussi créer des risques bien réels pour les utilisatrices