Le dernier guide *Confidentialité non incluse de Mozilla a recensé 29 applications de santé mentale et de prière qui respectent mal la confidentialité. Depuis, six entreprises ont fait leur mea culpa et changé leurs pratiques. Mais l’industrie dans son ensemble reste indigne de confiance.


Mise à jour : Calm, l’une des applications de méditation les plus populaires, permet désormais à l’ensemble de ses utilisateurs d’accéder à leurs données et de les supprimer, à compter du 16 juin 2022.

Quel est le prix à payer pour utiliser des applications de santé mentale ou de prière ? Des données, des données et encore des données.

La dernière édition du guide d’achat grand public *Confidentialité non incluse de Mozilla a révélé à quel point les applications de santé mentale et de prière négligent de manière spectaculaire la vie privée des utilisateurs, collectent des données personnelles sensibles et en font un atout commercial.

Suite à la publication du rapport le 2 mai 2022, cinq des 28 applications qui ont reçu une icône d’avertissement de confidentialité, pour non-respect des critères élémentaires en matière de confidentialité et de sécurité de Mozilla, ont répondu en mettant à jour leurs politiques de confidentialité, en révisant les pratiques de partage de données avec des tiers et en apportant des modifications aux exigences et au filtrage des mot de passe. Certaines applications telles que Breathe, Think, Do by Sesame, n’avaient pas mis à jour publiquement leur politique de confidentialité depuis 2013 !

Les six applications implémentant ces modifications sont Recovery Record ; Hallow ; Breathe, Think, Do par Sesame ; Modern Health ; Woebot, et récemment Calm.

Nous félicitons les entreprises qui ont apporté des changements en réponse à notre guide d’achat *Confidentialité non incluse et nous espérons que d’autres suivront. Les applications de santé mentale fournissent un service vital à des millions de personnes, en particulier en cette période difficile. Malheureusement, les changements constatés montrent que ces applications ne protégeaient pas, et parfois ne protègent toujours pas, leurs utilisateurs. Proposer des services de santé mentale ne doit pas se faire au détriment des informations personnelles des utilisateurs. Nous sommes heureux que cette recherche essentielle suscite de l’intérêt et des changements immédiats.

Ashley Boyd, vice-présidente Militantisme et Engagement de Mozilla

Voici un résumé des changements notables :

Partage de données avec des tiers. Recovery Record indique désormais clairement ne pas vendre et ne pas partager de données avec des tiers à des fins de marketing direct. Cela fait suite à un examen de leur politique daté du 2 mai 2022 où l’entreprise a supprimé les vagues réserves de consentement, telles que : « sauf si nous avons votre permission » et « à quelque fin que ce soit » faisant référence à l’utilisation de données agrégées (données recueillies à partir de plusieurs sources).

Des mots de passe forts sont désormais exigés. Les applications Hallow et Recovery Record ont également changé leurs exigences en matière de mot de passe et demandent au moins huit caractères et signalent les mots de passe faibles, répétitifs/séquentiels. Précédemment, l’examen de Mozilla avait noté que huit applications n’exigeaient pas de mots de passe forts, allant de « 1 » à « 1111111 ». L’application Moodfit accepte toujours un mot de passe à un chiffre.

Surveillance et réponse aux problèmes de confidentialité : Suite à plusieurs échanges entre Mozilla et Calm, la société a mis à jour ses politiques de confidentialité et accorde désormais à tous ses utilisateurs le droit d’accéder à leurs données et de les supprimer, quelle que soit leur localisation. Les applications Modern Health et Breathe, Think, Do by Sesame ont reconnu qu’elles n’avaient pas porté attention aux questions relatives à la vie privée envoyées à leur ligne d’assistance par e-mail, mais ont commencé à le faire. Woebot a également fait référence aux conclusions de Mozilla et s’est efforcé de clarifier certaines des formulations ambiguës de sa politique de confidentialité. Elle indique désormais dans sa politique de confidentialité que tous les utilisateurs ont les mêmes droits d’accès et de suppression des données.