La justice juge que Meta a accédé aux données de santé féminine de l’application Flo sans consentement

 (malwarebytes.com)
1 points par GN⁺ 2025-08-15 | 1 commentaires | Partager sur WhatsApp
  • Un tribunal a jugé que Meta avait collecté, sans le consentement des utilisatrices, des données sensibles depuis Flo Health, une application de suivi de la santé menstruelle
  • Flo Health recueillait des données très personnelles, notamment le cycle menstruel, l’humeur et la vie sexuelle des utilisatrices, et les a partagées entre 2016 et 2019 avec plusieurs tiers, dont Facebook et Google
  • Flo Health promettait la protection de la vie privée et l’absence de partage des données, mais permettait en réalité à des tiers d’utiliser librement ces données à d’autres fins
  • En réponse, la Federal Trade Commission (FTC) des États-Unis a ordonné à Flo Health une enquête approfondie et des améliorations de ses politiques. Flo Health et Google ont déjà conclu un accord, mais Meta a refusé de transiger jusqu’au bout
  • Sur fond de débat récent autour du droit à l’avortement aux États-Unis, les risques pour la vie privée liés aux données de santé des femmes sont encore davantage mis en lumière

Aperçu de l’affaire de collecte non autorisée des données des utilisatrices de l’application Flo par Meta

  • Un jury américain a reconnu que Meta avait collecté sans consentement des informations sensibles sur la santé reproductive des utilisatrices via Flo Health, une application de suivi de la santé féminine
  • Fondée en Biélorussie en 2015, Flo Health est une application conçue pour suivre des données très détaillées et personnelles sur les règles et l’état de santé des femmes, et compte plus de 150 millions d’utilisatrices dans le monde

Méthode de collecte et de partage des données par Flo Health

  • Les utilisatrices de Flo Health répondaient régulièrement à des questions extrêmement intimes sur leurs dates de règles, leurs variations d’humeur, leurs méthodes de contraception, leur satisfaction sexuelle ou leurs projets de grossesse
  • L’application promettait explicitement de ne pas partager les données saisies par les utilisatrices à l’extérieur, et de ne transmettre certaines informations à des partenaires qu’en cas de nécessité pour fournir le service
  • Pourtant, entre 2016 et 2019, Flo Health a largement transmis ces données personnelles à Facebook (devenu Meta), Google, AppsFlyer, Flurry et d’autres
    • Chaque lancement de l’application laissait une trace d’accès, et toutes les actions effectuées dans l’application étaient enregistrées puis transmises à l’extérieur
    • Les tiers pouvaient utiliser ces informations à d’autres fins que la fourniture du service

Problèmes de politique interne et de confiance chez Flo Health

  • Flo Health promettait aux utilisatrices confiance et protection de la vie privée, mais il n’existait en réalité aucune restriction ni directive sur l’usage des données par des tiers
  • Selon les conditions d’utilisation de l’application, les partenaires externes étaient autorisés à exploiter librement une partie des données des utilisatrices de Flo Health
  • En 2020, Flo Health indiquait encore à ses 150 millions d’utilisatrices que la « protection des données personnelles » était sa priorité absolue, renforçant ainsi la relation de confiance

Responsabilité juridique et mesures de la FTC

  • Une utilisatrice, Erica Frasco, a intenté en 2021 une action collective contre Flo Health et les entreprises associées, en particulier Meta
    • Les principaux griefs portent sur l’atteinte à la vie privée, la rupture de contrat, l’enrichissement injustifié et la violation du droit relatif aux informations médicales
    • La plainte réclame une indemnisation des préjudices ainsi que la restitution des gains indûment perçus
  • Flo Health et Google ont déjà trouvé un accord avec la plaignante, mais Meta a poursuivi la bataille judiciaire jusqu’au bout
  • Le jury a reconnu que Meta avait intercepté ou enregistré des conversations au moyen d’un appareil électronique et agi sans le consentement des utilisatrices

Contexte social de l’affaire et enseignements à en tirer

  • La Federal Trade Commission (FTC) des États-Unis a imposé à Flo Health des mesures correctives, notamment un audit externe de ses politiques et l’interdiction de tout mésusage des données personnelles
  • Depuis que la Cour suprême des États-Unis a annulé le droit à l’avortement en 2022, la protection de la vie privée des données de santé des femmes est devenue un sujet encore plus crucial
  • Meta a aussi suscité une nouvelle controverse après avoir aidé une enquête de police en 2022 en fournissant des données de messages liés à un avortement échangés entre une femme et ses deux filles
  • Selon une enquête de Propublica, des pharmacies en ligne partagent également des informations sensibles avec Google et d’autres acteurs, avec le risque que ces données soient utilisées comme preuves judiciaires

Conclusion et vigilance en matière de sécurité

  • De nombreuses utilisatrices faisaient confiance à Flo Health, mais la révélation de ses véritables pratiques de traitement des données a accentué la perte de confiance
  • Cette affaire ne se limite pas à l’idée d’éviter certaines applications : elle remet en lumière les enjeux de vie privée des données de santé personnelles et de fiabilité des technologies dans leur ensemble
  • La technologie apporte de la commodité, mais l’usage abusif des données peut aussi créer des risques bien réels pour les utilisatrices

À lire aussi

1 commentaires

 
GN⁺ 2025-08-15
Commentaires sur Hacker News

  • Je n’aime pas particulièrement Facebook en tant qu’entreprise, mais je pense que ce jugement aboutit à une mauvaise conclusion. À lire la plainte, la partie disant qu’ils ont « écouté ou enregistré via un appareil électronique » signifiait en réalité que « Flo a transmis des événements personnalisés en utilisant le SDK Facebook ». Il faut reprocher à Flo d’avoir envoyé ce type d’informations à Facebook, mais conclure que Facebook a « volontairement espionné » n’a absolument aucun sens. À mes yeux, Flo a envoyé de son propre chef des données menstruelles à Facebook sans qu’on les lui demande, et Facebook avait même une politique interdisant la transmission d’informations sensibles via son SDK. Poursuivre Facebook, c’est comme poursuivre Google parce qu’un médecin aurait stocké des données de patients sur Google Drive

    • Document de procédure connexe

    • Document de politique du SDK Facebook page 6, ligne 1

    • Si l’on se base sur [1], il est normal qu’au départ il n’y ait pas eu d’allégations visant Facebook, puisque le seul défendeur initial était Flo. Mais la plainte modifiée (3) inclut de nouvelles allégations contre Facebook. Selon cette version, Facebook aurait continué ce comportement jusqu’en 2021 après sa révélation publique en 2019, et même après que la FTC a contraint Flo à y mettre fin et qu’une enquête du Congrès a commencé, Facebook n’aurait ni examiné ni détruit les données déjà collectées à tort. On peut aussi s’attendre à ce que la phase de communication des preuves ait fait émerger des éléments plus précis sur ce que Facebook savait et dans quelle mesure

    • Ce n’est qu’une partie de l’histoire. Si Facebook s’était contenté de conserver les données envoyées par Flo, ou de ne les utiliser que pour Flo, la situation aurait été différente. Le problème, c’est que Facebook a exploité ces données médicales à des fins publicitaires sans même vérifier lui-même s’il pouvait légalement les utiliser. Il avait l’obligation de procéder à cette vérification, et c’est précisément parce qu’il ne l’a pas fait qu’un jugement de culpabilité a été rendu

    • Il est clair que Flo a eu tort d’envoyer ces données à Facebook. C’est pourquoi Flo a fini par conclure un accord dans le procès. Mais après avoir reçu ces informations, Facebook ne s’est pas contenté de les empiler ou de les ignorer : il les a utilisées en les combinant avec ses autres signaux. C’est ce point qui figurait au cœur des accusations portées contre Facebook

    • Je pense qu’il y a une responsabilité de vérifier si les données sont licites. De la même manière qu’on n’achète pas des objets volés, Meta doit aussi veiller à ne pas nouer de partenariat avec des acteurs fautifs. Flo porte la plus grande part de responsabilité, mais Meta doit malgré tout montrer qu’il a exercé une vigilance suffisante. On ne peut pas se décharger de toute responsabilité via de simples conditions d’utilisation, et il est important de faire en sorte que les utilisateurs comprennent réellement ce qu’elles impliquent

    • Dans ce type d’affaire, une décision rendue par un juge est bien préférable à un procès devant jury. Les détails techniques comme les SDK, le partage de données ou les API sont difficiles à comprendre correctement pour un jury ordinaire. À l’inverse, dans les litiges technologiques de haut niveau, les juges apprennent souvent activement les aspects d’ingénierie et en débattent en profondeur

  • Chaque fois qu’on se retrouve face à Facebook devant un tribunal, l’image qui me vient est celle d’une minuscule souris qui attaque un ours polaire. Ou d’un gobelin face à un dragon, d’une mouche face à un éléphant. Ces grandes entreprises sont presque des monstres échappant à tout contrôle juridique. Les seuls moments où elles subissent réellement une pression, c’est lorsqu’elles risquent de perdre des parts de marché ou d’être bloquées dans une région donnée

    • Dit comme ça, on pourrait se méprendre, mais en réalité ces géants ne sont pas en dehors du droit : ils sont à l’intérieur. Parce qu’avec leurs moyens financiers et leur influence, ils peuvent ajuster à leur convenance les frontières mêmes du droit. On peut bien crier aussi fort qu’on veut sur la manière dont il devrait s’appliquer, tant qu’ils peuvent en assumer le coût, cela entre dans le périmètre du « légal »

    • Ce qui me déprime le plus, c’est que presque toutes les personnes que je connais s’inquiètent de ces problèmes de vie privée tout en conservant malgré tout leurs comptes Meta. Qu’on l’utilise parce qu’à ses propres yeux cela ne pose pas de problème, très bien. Que chacun fasse parfois preuve d’incohérence, c’est humain. Mais cette manière d’être rigide sur ses propres convictions tout en se montrant étrangement souple au moment d’évaluer celles des autres est vraiment bizarre. J’aime les gens, mais parfois ils sont très difficiles à comprendre

    • Au final, il suffirait d’infliger une amende à trois chiffres par victime pour exercer une pression énorme sur Facebook

    • Tout le monde ne blâme que Facebook, mais ni les législateurs ni les tribunaux ne semblent vraiment visés. En réalité, si ce genre d’affaire entraînait des amendes de plusieurs milliards, au point que l’État doive mettre aux enchères jusqu’aux serveurs, chaises et projecteurs des bureaux de Facebook pour tout liquider, les autres entreprises cesseraient très vite leurs pratiques illégales et changeraient de comportement

  • J’ai l’impression que peu de gens ont vraiment lu l’article. Celui qui a réellement fauté, c’est l’application Flo. Le problème, c’est que les développeurs de l’app ont envoyé sans restriction les informations des utilisateurs à Meta. Quoi que dise le jugement, la faute originelle revient à Flo

    • Flo a eu tort de téléverser des données sensibles dans une base de données en ligne. Meta a également eu tort en fournissant l’infrastructure de base de données de données personnelles qui a permis cela. Les deux ont eu un comportement moralement condamnable

    • Comme Meta a récupéré ces informations sans restriction, Meta y a naturellement eu accès. S’il n’avait pas le droit d’utiliser ces données, il aurait été normal d’exiger qu’il obtienne d’abord une autorisation explicite. Le vrai problème, c’est que Meta y accède sans consentement préalable

  • En enquêtant il y a cinq ans sur l’écosystème des apps iOS, j’ai essayé de comprendre les sources potentielles de revenus des applications gratuites. Un développeur avait lancé une app gratuite qui suivait des données de santé d’enfants, avec l’idée que la donnée elle-même constituait la valeur de l’app. Il était convaincu que sa rentabilité future viendrait au final de la vente de ces données. Depuis, j’en ai tiré une conviction très nette : je n’utiliserai jamais d’apps qui stockent mes données personnelles, surtout de santé, et je désactiverai toutes les autorisations d’app possibles

    • Je ne comprends vraiment pas pourquoi des gens confient leurs données personnelles ou médicales à ce genre d’entreprises psychopathes. Rien que l’idée d’utiliser des apps de suivi de santé ou des wearables me met mal à l’aise. Vu le passif de ces sociétés, il faut partir du principe qu’elles enregistreront chaque détail, le vendront éternellement et le conserveront indéfiniment

  • La conclusion, c’est qu’il vaut mieux ne pas utiliser ces apps. Dans 95 % des cas, cela ne vaut pas l’atteinte à la vie privée qu’elles exigent

    • Mozilla a publié un comparatif d’apps de suivi des règles. Certaines d’entre elles essaient de protéger la vie privée des utilisateurs

    • Si un logiciel a réellement besoin d’une connexion Internet, je pense que le développeur devrait d’abord devoir justifier pourquoi et démontrer que c’est fondé

    • Je ne maîtrise pas bien le sujet, mais je me demande si le simple fait de désactiver certaines autorisations comme la localisation ne pourrait pas suffire à éviter ce problème

    • Malheureusement, c’est la réalité

    • C’est tout à fait vrai. Les utilisateurs se laissent toujours séduire de la même manière par le marketing du type « nouvelle fonctionnalité gratuite ! ». Résultat : les modèles économiques intrusifs continuent de fonctionner encore et encore

  • Il y a Drip comme app à recommander aux femmes.

    • Site officiel de Drip

    • C’est celle qui semble la plus sûre

    • En fait, je pense que le mieux serait encore d’auto-héberger ce genre de chose et de le gérer soi-même. C’est un type de données que je n’ai envie de confier à personne. Pour référence, je n’ai pas de relations sexuelles avec des hommes, mais ça me préoccupe quand même

  • Ma femme utilise Flo. Chaque fois qu’elle ouvre l’app et saisit des informations, d’un point de vue technique j’ai le sentiment que c’est extrêmement risqué. Comme ce type d’app traite des informations vraiment sensibles, cela me rappelle à quel point il faut mieux sensibiliser le grand public non technicien à l’importance de la sécurité de l’information

  • C’est aussi pour ça que j’ai fini par adopter une politique consistant à n’installer presque aucune app sur mon téléphone, ou le strict minimum. Bien sûr, les sites web et web apps peuvent eux aussi partager des informations de manière similaire, mais réduire par défaut les autorisations d’accès au système m’apporte une certaine tranquillité d’esprit. Personnellement, vu tout ce que LinkedIn a montré au fil du temps, je trouve étonnant qu’ils soient encore présents sur l’App Store

  • Il est difficile de trouver une actualité sur la vie privée dans laquelle Meta n’est pas impliqué

    • Je pense que Google, Microsoft et Amazon s’en réjouissent tous

  • Au final, il faudra sans doute qu’un cadre de niveau vice-président finisse en prison pour que quelque chose change. Bien sûr, dans les faits, cela reste extrêmement improbable