Le consentement : les entreprises oublient de vous le demander, partent du principe qu’elles l’ont ou encore vous forcent à le donner, tout en prenant soin d’enfouir profondément les détails à ce sujet dans leur politique de confidentialité (qu’elles savent pertinemment que vous ne lirez jamais). C’est à la fois agaçant et effrayant. Et c’est pour cette raison que nous sommes là.

« On pourrait s’attendre à ce que des applications qui traitent des informations très sensibles, comme votre cycle menstruel ou vos difficultés à gérer votre anxiété, accordent une plus grande importance à votre consentement… Mais après avoir examiné les politiques de confidentialité de 65 applications liées à la santé mentale et reproductive, nous avons dû nous rendre à l’évidence : la plupart d’entre elles ne le font pas. »

Misha Rykov, chercheur @ *Confidentialité non incluse

Le fait que des applications qui ont entre les mains des informations liées à votre santé soient aussi négligentes en matière de consentement n’est pas seulement inquiétant. C’est carrément dangereux. Découvrez dans cet article quelques techniques utilisées pour vous tromper à ce sujet, mais aussi comment les repérer par vous-même, et enfin mieux comprendre ce que « donner son consentement » implique réellement.

Parfois, les applications ne vous demandent même pas votre consentement

À quoi cela ressemble ? À des questions personnelles qui vous sont posées avant même que vous ayez eu une chance de voir comment les informations contenues dans vos réponses seront protégées… ou pas.

Lorsque vous arrivez sur une page qui commence par quelques questions ou une conversation avec un chatbot, et que vous n’avez pas encore accepté ni même lu de politique de confidentialité, vous pouvez supposer que ces informations sont uniquement utilisées pour vous proposer un produit ou un service approprié. Il n’est jamais normal que vos réponses soient collectées sans que vous sachiez comment elles seront stockées et utilisées. Mais il est encore plus grave que ces informations soient partagées pour une raison que vous n’accepteriez sans doute pas si vous aviez le choix.

La politique de confidentialité de Talkspace précise : « Des déductions sur vos intérêts seront faites sur la base de vos réponses aux questions [comme celles ci-dessus] données avant que vous deveniez un·e abonné·e » et pourront être utilisées comme source d’information pour des publicités ciblées.

Ce n’est pas la seule application de santé mentale à imposer de répondre à des questions très personnelles avant de partager sa politique de confidentialité. Betterhelp, Happify et Youper le font également.

Il arrive aussi qu’elles ne demandent pas votre consentement, tout en donnant l’impression qu’elles le font

À quoi ça ressemble ? À des politiques de confidentialité de ce genre :

« Nous ne dévoilons généralement pas vos informations personnelles à des tiers sans votre consentement express, sauf dans les cas où cela est autorisé ou requis par la loi. »

« Nous pouvons recevoir des informations personnelles vous concernant de la part d’autres sources avec votre consentement ou dans la mesure où la réglementation en vigueur le permet. »

« Sauf » et « ou » sont deux mots que personne n’a envie de voir devant une promesse. En réalité, comme nous le verrons plus tard, la législation sur la protection des données ne traite généralement pas en détail de consentement et est le plus souvent assez permissive. Par conséquent, lorsque des applications déclarent qu’elles ne feront pas ceci ou cela sauf si c’est légal de le faire, cela ne signifie… pas grand-chose en réalité.

Même pour nous, la signification de cette phrase est difficile à établir. Mais vous savez ce qu’on dit : les doutes précèdent généralement les soucis et ces petites failles laissent la porte ouverte à ce que vos données personnelles puissent être, dans le cas de ces deux exemples précis, partagées avec des « sources tierces ».

Pourquoi c’est inquiétant ? Parce que lorsque vos données sont regroupées, partagées, achetées ou vendues, cela se fait rarement dans votre intérêt. Parfois, vos données peuvent être utilisées pour vous proposer des publicités (un peu trop) personnalisées. Mais il y a pire. En fonction de l’endroit où vous vivez, les conséquences de la divulgation de votre orientation sexuelle, de votre grossesse ou d’autres informations relatives à votre santé peuvent constituer une menace pour votre liberté, voire pour votre vie.

Bien souvent, les applications partent du principe qu’elles ont votre consentement

À quoi ça ressemble ? À des politiques de confidentialité de ce genre :

« En vous identifiant ou en utilisant l’Application, vous acceptez d’être lié·e par les conditions générales, la politique de confidentialité, ainsi que par toute directive complémentaire et/ou modification future. »

Ce modèle de consentement dit en substance que si vous utilisez l’application, c’est parce que vous en acceptez les règles, que vous en ayez conscience ou pas (arrêtez-nous si on se trompe, mais on pense que ce n’est sûrement pas le cas). Ce stratagème est plutôt difficile à repérer, car même lorsque les applications ne le disent pas clairement, comme Maya : Mon tracker de règles, beaucoup d’entre elles « supposent » que leurs utilisateurs ont lu et accepté leurs politiques de confidentialité, et considèrent cela comme un « consentement » à tout ce qui se trouve dedans.

WebMD Pregnancy « vous recommande de lire attentivement » sa politique de confidentialité avant d’installer ses applications ou d’utiliser ses services, ce qui inclut la simple consultation de son site Web. Sauf que pour lire sa politique de confidentialité, vous devez déjà être sur son site Web. Vous voyez le problème ? On pourrait dire que nous sommes un tantinet pointilleux. Mais nous pensons qu’il devrait être possible pour les consommateurs de savoir à quoi ils consentent avant que les entreprises ne puissent supposer qu’ils ont donné leur consentement. C’est une question de bon sens.

Toutefois ce qu’on appelle le « consentement implicite » peut être acceptable dans certains cas. Comme par exemple lorsque vous êtes bien informé·e ou que vous seriez d’accord de toute façon. Si vous entrez dans un magasin et qu’un panneau au-dessus de votre tête précise « Souriez, vous êtes filmé·e », vous avez implicitement consenti à être filmé·e en entrant. Être surveillé·e n’est jamais agréable, mais au moins vous en êtes conscient·e avant d’entrer.

On ne peut malheureusement pas transposer cette approche aux applications liées à la santé reproductive. En effet, il n’y a jamais de « panneau au-dessus de la porte » pour vous avertir avant de télécharger l’application. Ces informations se trouvent bien souvent dissimulées dans la politique de confidentialité. Et même si vous étiez d’avis que votre comportement dans un magasin public ne relève pas de l’ordre du privé, vous ne classeriez sans doute pas les données collectées par ces applications, comme votre date de naissance, des informations sur votre santé, votre poids ou encore les détails sur votre vie sexuelle, dans cette catégorie.

Pour autant, ces deux applications partent du principe qu’elles ont votre autorisation non seulement pour stocker, mais aussi pour partager certaines de vos informations personnelles avec des « partenaires commerciaux » ou à des fins publicitaires. On croirait rêver, mais c’est pourtant la (triste) réalité.

Presque toujours, elles s’arrangent pour que vous donniez votre « consentement » sans grande résistance

Dans ce cas précis, vous avez donc « techniquement » la possibilité de ne pas accepter, mais rien n’est moins fastidieux. Car avouons-le, même lorsqu’on ne souffre pas de problèmes de santé mentale, lire de petits caractères compliqués et faire soi-même le tri dans des paramètres difficiles à trouver s’avère une tâche compliquée. Les applications tirent parti de cette situation et utilisent le design pour vous pousser vers les choix qu’elles préfèrent que vous fassiez. Autrement dit : à « consentir » à ce que vous n’auriez pas accepté autrement.

Est-ce que c’est illégal ?

Généralement non, mais parfois oui. Tout dépend de l’endroit où vous vivez. Le Règlement Général sur la Protection des Données de l’Union européenne (le célèbre RGPD) a une position très ferme sur le consentement pour le traitement des données et ce que cela signifie spécifiquement. Celui-ci doit prendre la forme d’une « action affirmative », donnée « librement » et de façon « éclairée » entre autres exigences. Il s’agit tout simplement de la meilleure définition du consentement qui soit.

Mais les Européens ne sont pas pour autant à l’abri. Le « consentement » n’est qu’un des six motifs permettant le traitement des données prévus par le RGPD. Ainsi, les entreprises peuvent justifier l’utilisation de vos données en se basant sur une autre « raison légitime », en dehors du consentement. Meta, par exemple, a tenté de le faire en argumentant que les utilisateurs veulent que leurs données soient utilisées pour des publicités personnalisées, affirmant que cela fait partie de ce pour quoi les gens « signent » lorsqu’ils rejoignent Facebook, Instagram et WhatsApp. No comment, comme on dit au pays de l’Oncle Sam.

La plupart des autres pays, y compris les États-Unis, ne disposent pas de loi sur la protection des données personnelles, ou lorsqu’il y en a une, celle-ci se révèle ambiguë en ce qui concerne le consentement. Aux États-Unis, cela a notamment pour conséquence de laisser au Health Insurance Portability and Accountability Act (HIPAA) la tâche de protéger les informations liées à la santé, tandis que le reste des mesures de protection des données liées à la vie privée varient fortement d’un État à l’autre. Là encore, même les plus exigeantes d’entre elles, comme le California Consumer Privacy Act (CCPA), laissent place à des formes plus floues de consentement. Et malheureusement, il en va de même pour le Personal Information Protection and Electronic Documents Act (PIPEDA) au Canada, qui en est l’équivalent.

Enfin, lorsque le consentement est protégé par la loi, il reste facile pour les applications de passer entre les mailles du filet.

« On s’attendrait à ce que ce soit comme les mesures de sécurité portant sur les aliments par exemple, et qu’une fois qu’une application est sur le marché, elle respecte à minima certaines pratiques en vigueur concernant la protection des données. Ce n’est pourtant pas le cas. Les autorités de protection des données sont des entités bureaucratiques au fonctionnement plutôt lent, alors que le nombre d’applications et de sites croît chaque jour. Elles ne peuvent tout simplement pas suivre le rythme. »

Misha Rykov, chercheur @ *Confidentialité non incluse

Concrètement, cela signifie que la « protection » offerte par la loi intervient souvent trop tard, sous forme de pénalité ou d’amende bien après que vos informations privées ont été exposées. C’est exactement ce qui s’est passé plus tôt cette année :

  • L’application de santé mentale Cerebral a reconnu avoir enfreint le Health Insurance Portability and Accountability Act (HIPAA) en exposant les données confidentielles portant sur la santé de plus de 3,1 millions de patients sur des réseaux sociaux comme Facebook et TikTok.

  • Et BetterHelp a dû faire face à des problèmes avec la Federal Trade Commission (FTC) des États-Unis pour avoir partagé des données de santé que l’application avait promis de garder confidentielles, dont des informations sur les problèmes de santé mentale de ses utilisateurs communiquées à des entreprises comme Facebook et Snapchat. BetterHelp a déclaré que l’accord conclu (qui comprenait le paiement de 7,8 millions de dollars) n’était en aucun cas une reconnaissance de tort et que le comportement pour lequel elle a été sanctionnée était la norme dans ce secteur.

Que pouvez-vous faire ?

Personne ne devrait avoir à payer son bien-être avec sa vie privée. Et vous ne devriez pas avoir à défendre vos données face à des entreprises qui semblent avoir trouvé un sens totalement nouveau au mot « consentement ». Mais, en attendant que ces pratiques assez courantes soient abandonnées, vous pouvez prendre certaines mesures pour mieux vous protéger, vous et votre communauté.

Prenez des mesures pour protéger votre vie privée

Voici ce que vous pouvez faire pour mieux comprendre ce que vous acceptez (souvent involontairement) lorsque vous utilisez des applications qui collectent des informations sensibles.

Pour obtenir davantage de conseils, consultez nos avis détaillés sur la plupart des applications de santé mentale et de santé reproductive.

Soutenez notre travail

Nous sommes en mesure de réaliser et de publier ces recherches grâce (en grande partie) aux dons de personnes comme vous qui tiennent à la protection de leur vie privée. De nombreuses personnes font des dons entre 35 et 50 €. Pouvez-vous nous aider à mettre en lumière les pratiques flippantes des entreprises en matière de respect de la vie privée ?

Vous voulez faire encore plus la différence ? Faites un don mensuel pour aider à nous apporter un financement durable afin que nous puissions nous battre pour de meilleures technologies toute l’année !

Misha Rykov

Misha Rykov

Originaire de Kiev et aujourd’hui basé à Berlin, Misha a travaillé dans de grandes entreprises technologiques et de conseil en sécurité avant de rejoindre les équipes en charge des questions de confidentialité chez Mozilla. Il adore les enquêtes journalistiques et déteste par-dessus tout les politiques de confidentialité confuses. Misha prône un cadre réglementaire plus fort et plus intelligent en matière de confidentialité, ainsi qu’un Internet plus sûr.

Zoë MacDonald

Zoë MacDonald

Zoë est rédactrice et stratège spécialisée dans le numérique à Toronto, au Canada. Avant que sa passion pour les droits numériques ne la conduise chez Mozilla et plus particulièrement dans l’équipe de *Confidentialité non incluse, Zoë écrivait sur la cybersécurité et le commerce électronique. Lorsqu’elle n’est pas occupée à enquêter sur des sujets de confidentialité dans le cadre de son travail, elle surveille étroitement les appareils intelligents chez elle.

Jen Caltrider

Jen Caltrider

Lors d’une période de relative improvisation pendant laquelle elle travaillait sur son diplôme de Master en Intelligence Artificielle, Jen a découvert qu’elle était davantage douée pour raconter des histoires que pour écrire du code. Cette prise de conscience a par la suite donné lieu à une carrière intéressante en tant que journaliste spécialisée dans les questions technologiques chez CNN. Mais sa véritable passion dans la vie a toujours été de laisser le monde un peu meilleur qu’elle ne l’avait trouvé. C’est pourquoi elle a créé et dirige encore aujourd’hui l’initiative *Confidentialité non incluse de Mozilla, pour défendre le droit à la vie privée du plus grand nombre.

*Confidentialité non incluse