L’app de suivi menstruel Flo a bien été reconnue coupable d’avoir vendu des données d’utilisatrices à Meta

• Flo, qui traite des informations liées au suivi menstruel et à la grossesse, mettait en avant la protection de la vie privée, mais a finalement été reconnue responsable d’avoir partagé à des fins commerciales des données sur le cycle menstruel, l’ovulation et la grossesse avec Meta et d’autres tiers
• La fuite d’informations sensibles ne résultait pas d’une intrusion externe, mais de la conception interne du produit et de choix de confidentialité, et les transferts vers Meta entraient en contradiction avec les engagements publics de l’entreprise en matière de vie privée
• L’écran d’accueil et la structure des enregistrements ont évolué de façon à augmenter fortement la saisie de symptômes et l’exposition à des conseils, dans une forme qui semble plus favorable à la publicité et à la monétisation qu’au simple suivi du cycle
• Dans la structure des applications de bien-être hors du cadre HIPAA, les critères de consentement et de protection pouvaient facilement devenir flous, laissant aux éditeurs d’apps une grande marge pour élargir le partage et la vente des données
• Sur le marché des applications de santé reproductive utilisées par des millions de personnes, il est devenu important de pouvoir choisir des outils qui collectent moins de données, et une collecte privilégiant la vente publicitaire sans consentement peut aussi ébranler la fiabilité des informations dérivées

Partage des données et décision judiciaire

• Flo affirmait protéger la vie privée des utilisatrices, tout en étant reconnue responsable dans l’affaire de la vente à Meta de données de santé sensibles
• Le verdict du jury dans Frasco v. Flo précise que l’app Flo a partagé à des fins commerciales avec des tiers comme Meta, Google et Flurry des informations sur le cycle menstruel, l’ovulation et la grossesse
• Meta a été reconnue responsable d’avoir collecté des données sensibles de santé reproductive et de les avoir utilisées dans son propre intérêt
• La plainte regroupait 13 millions d’utilisatrices de Flo, et des procédures liées à cette affaire se poursuivent aux États-Unis et au Canada depuis 2021

Ce n’était pas un piratage, mais une conception produit

• Il ne s’agissait pas d’une intrusion de plateformes tierces dans l’app, mais d’une transmission directe d’informations sensibles via les choix internes de Flo en matière de confidentialité
• L’application contenait un outil discret d’"eavesdropping", et des informations comme le cycle menstruel, l’ovulation ou le fait d’essayer de tomber enceinte étaient transmises à Meta
• Ces transferts entraient en contradiction avec ce que la politique de confidentialité affirmait ne pas faire
• Le partage de données de type track-and-sell à des fins de monétisation correspondait davantage au fonctionnement réel

UX produit et orientation vers la monétisation

• Le design femtech pinkwashed peut servir à masquer des décisions produit non éthiques
• Au fil des mises à jour, l’écran d’accueil de Flo est devenu plus complexe et plus encombré, au point que l’enregistrement des symptômes et l’exposition à des conseils prennent presque le pas sur le suivi du cycle lui-même
• Les éléments liés aux symptômes ont été mis au premier plan, avec une configuration qui pousse à saisir davantage d’états corporels négatifs
• Dans le contexte du contentieux Flo-Meta, cette configuration se prêtait plus facilement à la publicité pour des produits de soulagement des symptômes, avec un potentiel de monétisation supérieur à celui d’un simple calendrier menstruel
• En lien avec un verdict récent sur des préjudices personnels visant la même plateforme, cette conception centrée sur la publicité apparaît d’autant plus dérangeante

La zone grise en dehors de HIPAA

• En raison de l’écart entre HIPAA et les applications de bien-être, le consentement et la protection de la vie privée deviennent très flous dans les logiciels de suivi de santé non cliniques
• Flo a modifié sa politique de confidentialité 13 fois entre 2016 et 2019, période visée par le litige, sans pour autant rendre le consentement des utilisatrices réellement clair
• Une grande partie des reproductive health tech actuelles n’est pas directement reliée à des services cliniques ou à la communication avec des professionnels de santé, et échappe donc facilement au champ d’application des lois actuelles sur la protection des données de santé
• Les éditeurs d’apps peuvent ainsi définir largement leurs politiques de partage de données, de vente et de signalement aux autorités publiques, et la conception du consentement au sein du produit dépend elle aussi fortement de décisions internes
• Dans un tel cadre, des produits traitant des données extrêmement sensibles peuvent continuer à être lancés avec des mécanismes de consentement laxistes

Responsabilités et problèmes organisationnels

• Cette affaire relève moins d’une attaque extérieure que d’une structure où les équipes juridiques, design, ingénierie et commerciales ont été liées dans un système sacrifiant les utilisatrices au profit
• Il est difficile d’identifier précisément les effectifs et les responsables directs chez Flo entre 2016 et 2019, mais l’entreprise de l’époque est décrite comme une organisation relativement petite
• Ce petit nombre de personnes décidait pourtant de la collecte, du stockage et du partage de données de santé sensibles de millions d’utilisatrices dans le monde, ainsi que de la façon dont ces politiques étaient communiquées

Choix des consommatrices et limites de la collecte de données de santé

• La régulation avance lentement face à la technologie, et ce décalage se fait d’autant plus sentir dans l’essor de la collecte de données sur la santé des femmes
• L’objectif de réduire le déficit de données sur la santé des femmes est légitime, mais la question demeure de savoir jusqu’à quel point on peut faire confiance à des entreprises privées hors de tout contrôle clinique
• Si l’on y ajoute des conseils de santé fondés sur l’IA générative, la qualité des données et la fiabilité des résultats générés peuvent elles aussi vaciller dans des structures d’apps qui contournent les obligations de protection des utilisatrices
• Si les données ont été collectées selon une logique privilégiant la vente publicitaire à des tiers sans consentement direct, il devient aussi difficile de faire confiance aux résultats dérivés
• Plus d’un tiers des femmes américaines utilisent une application de suivi menstruel, et un niveau d’usage similaire a été reported dans l’UE ; il existe désormais des centaines d’apps de suivi du cycle, ainsi que des options intégrées à d’autres apps santé et à des wearables

Vers des outils qui collectent moins

• Contrairement à Flo, autrefois l’une des rares options du marché, il est désormais plus facile de choisir des applications plus limitées en fonctionnalités et minimisant la collecte de données
• WildAI ne demande pas de détails comme la pratique de la masturbation, ce qui évite aussi que ce type d’information puisse être transmis à de grandes entreprises technologiques
• Le fait de conserver un journal très détaillé de sa vie sexuelle mérite d’être réévalué, surtout dans un contexte post-Dobbs et sous des normes de confidentialité numérique permissives, afin de juger si les bénéfices pour la santé compensent réellement les risques
• Avec en plus les inquiétudes sur les atteintes à la vie privée liées aux appareils pour adultes eux-mêmes, des outils plus simples et sans fonctions connectées peuvent parfois apparaître comme un meilleur choix