L’app de suivi menstruel Flo a bien été reconnue coupable d’avoir vendu des données d’utilisatrices à Meta

 (femtechdesigndesk.substack.com)
2 points par GN⁺ 2026-04-29 | 2 commentaires | Partager sur WhatsApp
  • Flo, qui traite des informations liées au suivi menstruel et à la grossesse, mettait en avant la protection de la vie privée, mais a finalement été reconnue responsable d’avoir partagé à des fins commerciales des données sur le cycle menstruel, l’ovulation et la grossesse avec Meta et d’autres tiers
  • La fuite d’informations sensibles ne résultait pas d’une intrusion externe, mais de la conception interne du produit et de choix de confidentialité, et les transferts vers Meta entraient en contradiction avec les engagements publics de l’entreprise en matière de vie privée
  • L’écran d’accueil et la structure des enregistrements ont évolué de façon à augmenter fortement la saisie de symptômes et l’exposition à des conseils, dans une forme qui semble plus favorable à la publicité et à la monétisation qu’au simple suivi du cycle
  • Dans la structure des applications de bien-être hors du cadre HIPAA, les critères de consentement et de protection pouvaient facilement devenir flous, laissant aux éditeurs d’apps une grande marge pour élargir le partage et la vente des données
  • Sur le marché des applications de santé reproductive utilisées par des millions de personnes, il est devenu important de pouvoir choisir des outils qui collectent moins de données, et une collecte privilégiant la vente publicitaire sans consentement peut aussi ébranler la fiabilité des informations dérivées

Partage des données et décision judiciaire

  • Flo affirmait protéger la vie privée des utilisatrices, tout en étant reconnue responsable dans l’affaire de la vente à Meta de données de santé sensibles
  • Le verdict du jury dans Frasco v. Flo précise que l’app Flo a partagé à des fins commerciales avec des tiers comme Meta, Google et Flurry des informations sur le cycle menstruel, l’ovulation et la grossesse
  • Meta a été reconnue responsable d’avoir collecté des données sensibles de santé reproductive et de les avoir utilisées dans son propre intérêt
  • La plainte regroupait 13 millions d’utilisatrices de Flo, et des procédures liées à cette affaire se poursuivent aux États-Unis et au Canada depuis 2021

Ce n’était pas un piratage, mais une conception produit

  • Il ne s’agissait pas d’une intrusion de plateformes tierces dans l’app, mais d’une transmission directe d’informations sensibles via les choix internes de Flo en matière de confidentialité
  • L’application contenait un outil discret d’"eavesdropping", et des informations comme le cycle menstruel, l’ovulation ou le fait d’essayer de tomber enceinte étaient transmises à Meta
  • Ces transferts entraient en contradiction avec ce que la politique de confidentialité affirmait ne pas faire
  • Le partage de données de type track-and-sell à des fins de monétisation correspondait davantage au fonctionnement réel

UX produit et orientation vers la monétisation

  • Le design femtech pinkwashed peut servir à masquer des décisions produit non éthiques
  • Au fil des mises à jour, l’écran d’accueil de Flo est devenu plus complexe et plus encombré, au point que l’enregistrement des symptômes et l’exposition à des conseils prennent presque le pas sur le suivi du cycle lui-même
  • Les éléments liés aux symptômes ont été mis au premier plan, avec une configuration qui pousse à saisir davantage d’états corporels négatifs
  • Dans le contexte du contentieux Flo-Meta, cette configuration se prêtait plus facilement à la publicité pour des produits de soulagement des symptômes, avec un potentiel de monétisation supérieur à celui d’un simple calendrier menstruel
  • En lien avec un verdict récent sur des préjudices personnels visant la même plateforme, cette conception centrée sur la publicité apparaît d’autant plus dérangeante

La zone grise en dehors de HIPAA

  • En raison de l’écart entre HIPAA et les applications de bien-être, le consentement et la protection de la vie privée deviennent très flous dans les logiciels de suivi de santé non cliniques
  • Flo a modifié sa politique de confidentialité 13 fois entre 2016 et 2019, période visée par le litige, sans pour autant rendre le consentement des utilisatrices réellement clair
  • Une grande partie des reproductive health tech actuelles n’est pas directement reliée à des services cliniques ou à la communication avec des professionnels de santé, et échappe donc facilement au champ d’application des lois actuelles sur la protection des données de santé
  • Les éditeurs d’apps peuvent ainsi définir largement leurs politiques de partage de données, de vente et de signalement aux autorités publiques, et la conception du consentement au sein du produit dépend elle aussi fortement de décisions internes
  • Dans un tel cadre, des produits traitant des données extrêmement sensibles peuvent continuer à être lancés avec des mécanismes de consentement laxistes

Responsabilités et problèmes organisationnels

  • Cette affaire relève moins d’une attaque extérieure que d’une structure où les équipes juridiques, design, ingénierie et commerciales ont été liées dans un système sacrifiant les utilisatrices au profit
  • Il est difficile d’identifier précisément les effectifs et les responsables directs chez Flo entre 2016 et 2019, mais l’entreprise de l’époque est décrite comme une organisation relativement petite
  • Ce petit nombre de personnes décidait pourtant de la collecte, du stockage et du partage de données de santé sensibles de millions d’utilisatrices dans le monde, ainsi que de la façon dont ces politiques étaient communiquées

Choix des consommatrices et limites de la collecte de données de santé

  • La régulation avance lentement face à la technologie, et ce décalage se fait d’autant plus sentir dans l’essor de la collecte de données sur la santé des femmes
  • L’objectif de réduire le déficit de données sur la santé des femmes est légitime, mais la question demeure de savoir jusqu’à quel point on peut faire confiance à des entreprises privées hors de tout contrôle clinique
  • Si l’on y ajoute des conseils de santé fondés sur l’IA générative, la qualité des données et la fiabilité des résultats générés peuvent elles aussi vaciller dans des structures d’apps qui contournent les obligations de protection des utilisatrices
  • Si les données ont été collectées selon une logique privilégiant la vente publicitaire à des tiers sans consentement direct, il devient aussi difficile de faire confiance aux résultats dérivés
  • Plus d’un tiers des femmes américaines utilisent une application de suivi menstruel, et un niveau d’usage similaire a été reported dans l’UE ; il existe désormais des centaines d’apps de suivi du cycle, ainsi que des options intégrées à d’autres apps santé et à des wearables

Vers des outils qui collectent moins

  • Contrairement à Flo, autrefois l’une des rares options du marché, il est désormais plus facile de choisir des applications plus limitées en fonctionnalités et minimisant la collecte de données
  • WildAI ne demande pas de détails comme la pratique de la masturbation, ce qui évite aussi que ce type d’information puisse être transmis à de grandes entreprises technologiques
  • Le fait de conserver un journal très détaillé de sa vie sexuelle mérite d’être réévalué, surtout dans un contexte post-Dobbs et sous des normes de confidentialité numérique permissives, afin de juger si les bénéfices pour la santé compensent réellement les risques
  • Avec en plus les inquiétudes sur les atteintes à la vie privée liées aux appareils pour adultes eux-mêmes, des outils plus simples et sans fonctions connectées peuvent parfois apparaître comme un meilleur choix

À lire aussi

2 commentaires

 
unsure4000 2026-04-30

Ces derniers temps, Meta commençait à paraître un peu moins répugnante, mais voilà de quoi refaire le plein de colère contre Meta.
C’est un peu un autre sujet, mais on disait aussi récemment que les verrouillages des OS avaient été poussés par le lobbying de Meta... Depuis l’histoire de la création de l’entreprise jusqu’à chacun de ses actes, on dirait vraiment qu’ils ont troqué toute conscience éthique contre rien du tout.
 
GN⁺ 2026-04-29
Réactions sur Hacker News

  • Si l’app pouvait vendre des données de localisation à une organisation de kidnappeurs pour gagner 5 centimes de plus, elle l’aurait probablement fait.
    À mon avis, il n’existe pratiquement aucune app qui se soucie sincèrement de la vie privée ou de l’intérêt des utilisateurs.

    • C’est exactement ce que j’essaie toujours d’expliquer en travaillant dans les privacy products.
      Si les données sont sur le serveur de quelqu’un d’autre, il faut partir du principe qu’elles seront forcément exploitées d’une manière ou d’une autre un jour.
      Du point de vue d’une entreprise, avoir dans une base sqlite une véritable mine d’or de données et dire « ne faisons pas cette requête » n’a aucun sens économiquement.
    • Il existe quand même des exceptions.
      Avec du FOSS, c’est possible.
    • Il me semble quand même qu’Apple a bien ajouté beaucoup de contrôles de confidentialité côté utilisateur.
      Donc au moins certaines apps donnent l’impression de faire un minimum attention.
    • Au final, ils ne s’arrêtent que lorsque le risque de se faire prendre et le niveau de sanction en cas d’exposition deviennent supérieurs au gain.
      Si les organismes chargés d’appliquer les lois de protection des données comme le RGPD faisaient réellement leur travail, les éditeurs d’apps feraient bien plus attention à ce qu’ils embarquent et à l’endroit où ils envoient les données.
      Mais comme ces organismes se montrent rarement vraiment utiles, c’est devenu une pratique tellement courante qu’on pourrait probablement coller 20 millions de dollars d’amende à la plupart des apps majeures.

  • Je n’ai pas de configuration matérielle qui me ferait utiliser ce genre d’app, mais je me demande pourquoi cela doit absolument être une app centrée sur un service.
    Je ne vois pas quelle fonctionnalité liée au suivi de santé exige forcément un serveur.

    • La partie qui a besoin d’un serveur, c’est la surveillance.
      Avec GrapheneOS, on peut activer ou couper l’accès à Internet app par app.
    • Je ne connais pas bien cette app en particulier, mais un modèle service peut offrir des fonctions plutôt intéressantes comme la synchronisation entre appareils ou le partage de données avec une personne de confiance.
    • C’est probablement surtout à cause d’un meilleur modèle économique.
      Envoyer les données vers un serveur, afficher de la publicité dans l’app et revendre des données démographiques rapporte bien plus que de ne facturer qu’un prix d’installation.
      Il existe presque certainement dans ce domaine des apps moins chères qui n’ont pas besoin de serveur et n’envoient pas de données à Meta comme on passerait un coup de fil, mais elles sont probablement moins fortes en marketing.
      Vu mon expérience dans les startups, je dirais que ce développeur cherchait sans doute à faire du suivi d’installations de campagnes marketing, ou a intégré une bibliothèque Meta parce qu’il lui fallait une fonctionnalité, sans connaître ou sans se soucier des effets secondaires.
    • Ma partenaire utilise Flo, l’app évoquée dans l’article, et j’ai créé un compte moi aussi pour qu’elle puisse partager ses données avec moi.
      Ils auraient pu faire ça avec de la synchronisation P2P accompagnée de chiffrement local, ou même via un serveur mais en E2E.
      Je suis encore un peu surpris qu’il n’y ait toujours pas d’E2E, mais à ce stade ce n’est même plus vraiment surprenant.
    • Sans cet écosystème d’OS mobiles complètement dysfonctionnel, on aurait probablement eu une app raisonnable.
      Pourtant, les gens invoquent sans cesse la sécurité « moderne » des systèmes d’exploitation.
      Alors qu’en réalité ce genre de fuite de données est presque un cas d’école du pire scénario en matière de sécurité.

  • J’ai l’impression qu’on savait déjà ça depuis des années.
    Les atteintes à la vie privée des apps de suivi des règles étaient déjà documentées en détail jusqu’en 2021, y compris du côté de Meta.
    Meta ‘eavesdropping’ on Flo exposes how period apps are a data… | TBIJ

  • Honnêtement, j’en suis presque au stade du plus rien à faire.
    À Toronto, il s’est avéré qu’on pouvait filmer 24h/24 l’intérieur du condo d’à côté et le diffuser en direct sur Internet, sans que les résidents s’en rendent compte, et qu’en pratique personne ne ferait appliquer quoi que ce soit.
    Du coup, je suis devenu un privacy nihilist, et je pars du principe que toute information sur n’importe qui sera toujours utilisée à mauvais escient.
    À mon avis, les autres devraient raisonner de la même manière.

    • Je ne connais pas bien le droit canadien, mais aux États-Unis c’est similaire.
      Si vous êtes dans un lieu public, ou visible depuis un lieu public, il n’y a pas d’attente raisonnable de vie privée.
      C’est comme ça que fonctionne toute la logique des paparazzis.
    • La résignation n’est pas une bonne réponse.
      Dire aux autres de devenir eux aussi insensibles à ça l’est encore moins.

  • drip source
    existe depuis 2019 et a été mis à jour pour la dernière fois il y a 2 mois.
    Compatible iOS et Android, développé en React Native.

    Mensinator source
    existe depuis 2024 et a été mis à jour pour la dernière fois il y a 2 semaines.
    Android, basé sur Kotlin.

    Menstrudel source
    existe depuis 2015 et a été mis à jour pour la dernière fois il y a 3 semaines.
    Compatible iOS et Android, basé sur Dart.

    Tyd source
    existe depuis 2023 et a été mis à jour pour la dernière fois il y a 2 ans.
    iOS, basé sur Swift.

    Et quelqu’un a aussi signalé une alternative propriétaire ayant obtenu ORCHA 92% : https://www.my28x.com/

    Ce que j’aimerais le plus voir, c’est un standard de format de données.
    Il faudrait pouvoir emporter facilement ses données vers une autre app, et rendre la transition simple même si une app est contraire à l’éthique ou si une app OSS qu’on aimait cesse d’être mise à jour.
    Plusieurs apps proposent déjà une fonction d’export, donc ce serait bien d’avoir un convertisseur reliant les apps propriétaires populaires à une structure de données commune.

    • Ah, je viens d’écrire une bêtise.
      Menstrude ne date pas de 2015 mais de 2025.

  • Comme Meta ne pense qu’aux revenus publicitaires, je me demande s’ils n’ont pas étudié, ou déjà trouvé, le lien entre le cycle menstruel des femmes et leurs habitudes d’achat.

    • Je n’accepte pas l’hypothèse selon laquelle Meta ne chercherait que les revenus publicitaires.
      J’ai plutôt l’impression qu’ils prendront n’importe quel revenu s’ils le peuvent.
      Ils pourraient tout aussi bien revendre les mêmes données à Palantir ou à un ministère de la Santé façon RFK Jr.
      On peut très bien imaginer un scénario où quelques règles manquées puis un retour soudain des menstruations suffisent à soupçonner un avortement illégal, jusqu’à déclencher une descente du SWAT.
    • Tu plaisantes, j’espère.
      Des corrélations, il y en a partout, même à un niveau trivial.
      L’exemple le plus évident, c’est que si les règles s’arrêtent, cela peut signifier une grossesse ou la ménopause, et dans ce cas les achats de certains produits d’hygiène féminine peuvent aussi s’arrêter.
    • C’est une histoire très ancienne.
      https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/

  • Privacyguides propose des recommandations d’apps santé respectueuses de la vie privée.
    https://www.privacyguides.org/en/health-and-wellness/#menstrual-cycle-tracking

  • C’est vraiment horrible de penser que des informations comme la date du dernier orgasme puissent finir dans les mains de l’équipe de Mark Zuckerberg.
    À ma lecture non experte, il semble qu’ils aient connecté l’app au pipeline de surveillance ad-tech standard, puis envoyé vers la plateforme de ciblage de Meta des notions comme les journaux de règles des utilisatrices ou l’entrée en mode grossesse afin d’augmenter les revenus publicitaires.

    Maintenant, j’ai envie de regarder jusqu’à qui dirigeait Flo, et de quels secteurs venaient les membres du conseil d’administration et les cadres C-level.
    Je sais bien que corrélation ne signifie pas causalité, mais j’aimerais comprendre quels profils mènent à ce type d’atteinte à la vie privée.

    D’après ma recherche assistée par IA, biaisée et limitée, ces violations ont duré de juin 2016 à février 2019, et l’entreprise semble avoir été conçue comme une activité proche de la santé, principalement une app grand public par abonnement, visant un marché non régulé hors HIPAA.

    Les investisseurs semblaient rechercher des consumer subscription apps dopées par des boucles de croissance publicitaires,
    le modèle économique consistait à faire grandir une app gratuite ou freemium via de l’acquisition payante sur les plateformes publicitaires de Meta, Google et TikTok,
    puis à renvoyer des événements de conversion vers ces mêmes plateformes pour optimiser les dépenses publicitaires,
    et ces SDK étaient fondamentalement conçus pour aspirer le plus de données possible.

    Il semble aussi qu’il n’y ait pas eu de responsable Privacy/Data Protection au niveau C-level pendant la période des violations.

  • Je ne comprends pas pourquoi on imagine qu’une app non conforme à HIPAA protégerait des données médicales au niveau attendu pour des données de santé.
    Flo a certes trahi la confiance de ses utilisateurs, mais cette confiance elle-même me semble avoir été mal placée dès le départ.

    • Les gens ont l’habitude de vivre dans des marchés fortement régulés.
      Quand on achète de la laitue au supermarché, on ne demande pas sous quel cadre réglementaire elle est vendue.
      On suppose simplement que si un aliment est vendu dans une épicerie, il respecte les normes sociales en vigueur.
      Même si on se fait livrer de la viande crue via Amazon, on part du principe que les standards sont respectés.
      Le problème, c’est que les apps de bien-être sont des produits conçus pour exister en dehors du cadre réglementaire auquel les gens les associent instinctivement.
    • Beaucoup de gens ne savent même pas ce qu’est HIPAA.
      À nos yeux de personnes à l’aise avec la tech, cela paraît naïf, mais si une app liée à la santé est présente dans un app store sélectionné, il est naturel de supposer que les informations médicales y sont aussi en sécurité.
    • Les gens veulent simplement tenir un journal, donc ils ne regardent ni les conditions d’utilisation ni la conformité HIPAA.
      Si ces apps se diffusent, c’est à cause de la visibilité en app store, des recommandations et du bouche-à-oreille, pas à cause de subtilités réglementaires.
    • Si Apple et Google disent que mes données sont en sécurité, alors l’app doit l’être aussi ; HIPAA, c’est quoi ? J’ai l’impression que plus de la moitié des gens raisonnent comme ça.

  • Je ne suis pas la personne la plus concernée puisque je n’ai pas mes règles, mais il semble vraiment nécessaire d’avoir une alternative FOSS solide à Flo.
    S’il y avait eu plus de femmes dans GNU, on en aurait peut-être déjà une.

    • Voici un petit récapitulatif des options FOSS existantes.
      https://news.ycombinator.com/item?id=47936103
    • Des apps FOSS comparables comme Drip existent depuis longtemps sur F-Droid.
    • https://www.my28x.com/
      J’ai récemment écouté une présentation de cette fondatrice ; c’est gratuit et centré sur le local, mais apparemment pas OSS.
      La note ORCHA est élevée, mais j’attends de voir si ce modèle économique tiendra dans la durée.
    • https://news.ycombinator.com/item?id=47934116
    • Combien de fois faudra-t-il encore voir la big tech piétiner la vie privée ?
      On en est presque à la farce.
      La big tech suit même les cycles menstruels des femmes ? Bien sûr qu’elle le fait.
      Si même ça ne suffit pas à provoquer un vrai dégoût et une recherche sérieuse d’alternatives, je ne sais pas ce qui le fera.