Calendrier des règles Clue

Attention : *Confidentialité non incluse avec ce produit

Calendrier des règles Clue

BioWink
Wi-Fi

Passé en revue le : 9 août 2022

|
Mozilla a effectué 8 heures de recherches
|

L’avis de Mozilla :

|
Vote du public : Moyennement flippant

Clue est une application de suivi des menstruations et de la grossesse basée en Allemagne. Le fait qu’elle soit basée en Allemagne est vendeur, car cela signifie qu’elle est soumise aux lois européennes sur la vie privée, le RGPD, qui sont plus strictes. Ces lois protègent la vie privée des consommateurs mieux que n’importe quelle autre loi dans le monde. Clue déclare utiliser plus de 30 options de suivi différentes pour vous aider à comprendre comment votre cycle menstruel affecte certains aspects de votre vie, tels que l’humeur, la peau, les envies alimentaires, le niveau d’énergie, l’ovulation, le développement du fœtus, les symptômes de la grossesse et bien d’autres encore. Clue est disponible en téléchargement gratuit et offre un abonnement annuel pour 40 €. Qu’en est-il d’un point de vue confidentialité ? D’après nous, Clue n’est pas trop mal. Il y a cependant quelques points qui pourraient être améliorés.

Que pourrait-il se passer en cas de problème ?

Les créateurs de l’application Calendrier des règles Clue veulent vraiment que vous sachiez qu’ils prennent la vie privée et la sécurité au sérieux. Ils ont écrit beaucoup d’articles sur leur blog à ce sujet. Il y a celui-ci des directeurs de Clue sur la confidentialité des données des patients, celui-ci sur la réaction de Clue à l’annulation de l’arrêt Roe vs Wade aux États-Unis, celui-là sur le parcours d’un de vos points de données, ou encore celui-ci sur la façon dont Clue déclare gagner de l’argent ou bien celui-là sur la recherche scientifique chez Clue. Et, bien sûr, il y a leur politique de confidentialité, qui, il faut bien le dire, est l’une des politiques de confidentialité les plus faciles à lire que nous avons lues au cours de nos recherches.

C’est toujours agréable de voir une entreprise qui crée une application collectant des données de santé aussi sensibles écrire de façon simple, compréhensible par toutes et tous, qu’elle prend la vie privée et la sécurité au sérieux. Cela étant dit, nous avons quelques inquiétudes au sujet de la vie privée et de la sécurité de Clue. De notre point de vue, celle-ci est proche d’avoir une bonne politique de confidentialité. Malheureusement, il semble qu’il y ait quelques trous à certains endroits, ce qui nous amène à nous poser quelques questions.

D’abord, les bonnes nouvelles. Clue déclare qu’elle ne vend jamais vos données. Super ! Et puisque Clue est basée en Allemagne et régie par le règlement RGPD, les lois plus strictes de l’Europe en matière de confidentialité, et que la plupart des données des utilisatrices et utilisateurs y sont stockées, ils et elles bénéficient d’une plus forte protection quant à la façon dont leurs données peuvent être utilisées et le droit d’accéder à ces données et de les supprimer. Et Clue, comme on le voit dans leurs nombreux articles de blog ci-dessus, comprend que les Étasuniens sont préoccupés par la confidentialité de leurs données de santé reproductive suite à l’annulation de l’arrêt Roe vs Wade.

Mais il y a des inquiétudes. Tout d’abord, Clue recueille beaucoup d’informations, telles que le nom, l’âge, l’adresse e-mail (si vous créez un compte), les données d’utilisation de l’appareil et de l’application telles que l’identifiant de l’appareil, l’adresse IP, l’emplacement (mais pas l’emplacement précis), et les données de santé sensibles que vous avez choisi de suivre dans l’application telles que le poids, la température corporelle, la durée des menstruations, l’activité sexuelle, les méthodes de contraception, les envies, l’humeur, les niveaux d’énergie et plus encore. Clue déclare qu’elle stocke vos données personnelles de profil séparément de vos données de suivi de cycle, ce qui est bien. Pourtant, c’est beaucoup d’informations que l’application peut collecter sur vous et stocker. Clue déclare qu’elle stocke les informations en toute sécurité, mais nous devons rappeler à tous que rien de ce qui est stocké sur Internet n’est à 100 % sûr.

C’est génial que Clue déclare ne pas vendre vos informations. L’application partage cependant certaines données avec des tiers à des fins de publicité, de marketing et de recherche. Selon Clue, « nous partageons une quantité minimale de données sur nos utilisateurs avec des réseaux publicitaires (mais nous ne partageons jamais les données menstruelles ou d’autres données de santé de suivi dans l’application)… Si vous n’êtes pas à l’aise avec le partage de données pour l’optimisation des publicités, vous pouvez aller dans Paramètres et modifier vos préférences ». Vous devez donc refuser que vos données soient partagées à des fins publicitaires. Dommage que cela ne soit pas une option par défaut, nous aurions préféré cela. Et Clue est très claire sur le fait qu’elle « ne partage aucune des données de suivi avec des annonceurs ou d’autres tiers pour leur utilisation ». C’est une bonne chose.

En ce qui concerne le partage de données à des fins de recherche, Clue affirme que « nous partageons des données avec des chercheurs soigneusement sélectionnés pour faire progresser les études sur la santé des femmes. À cette fin, nous dépersonnalisons vos données personnelles en supprimant ou en modifiant les identifiants personnels afin que ni les chercheurs ni aucun tiers ne puisse les lier à vous ». Dans l’ensemble, c’est plutôt bon. Cependant, nous tenons à rappeler à tout le monde qu’il a été prouvé que ce n’était pas si difficile de ré-identifier de telles données, en particulier si les données de localisation sont incluses.

Ce qui nous dérange, c’est cette déclaration dans la politique de confidentialité de Clue : « En utilisant l’application, vous autorisez Clue à utiliser des cookies et des services tiers et à collecter vos données d’utilisation sous un identifiant unique et votre date de naissance à des fins de suivi, d’analyse et d’amélioration de notre site web et de notre application, mais aussi à des fins publicitaires pour afficher du contenu Clue pertinent ». Clue déclare utiliser un identifiant unique et votre date de naissance pour suivre vos activités à des fins publicitaires et de personnalisation. Il se pourrait qu’avec ces données, on puisse facilement remonter jusqu’à vous. C’est précisément ce qui nous inquiète. Et nous ne sommes pas les seuls à être inquiets. En 2020, l’association de défense de la vie privée Privacy International a également tiré la sonnette d’alarme au sujet de l’utilisation de la date de naissance comme traqueur et du partage potentiel de cette information avec des tiers.

Et récemment, Motherboard a affirmé avoir pu acheter des données à un courtier en données appelé Narrative. Ces données ont ensuite pu être utilisées pour identifier les utilisateurs et utilisatrices de l’application Clue. Selon l’article, « les données ne contiennent pas d’informations provenant directement de l’application Clue, mais plutôt une liste des appareils sur lesquels l’application est installée, ce qui permet par la suite d’identifier les utilisateurs ». Ce rapport a soulevé bien des inquiétudes et a même poussé le Congrès américain à enquêter sur les courtiers en données et les applications de suivi, dont Clue, pour essayer de déterminer plus précisément quelles données pouvaient être achetées et comment mieux protéger la vie privée des utilisateurs et utilisatrices dans ce domaine. Nous ne sommes pas convaincus que Clue soit à blâmer dans cette affaire. Le monde de l’économie et de suivi des données est un monde vaste et complexe. Cependant, nous pensons qu’il est important que les utilisateurs et utilisatrices de Clue connaissent ces faits. Nous avons contacté Narrative pour en savoir plus sur l’achat de ces données et voici ce qu’il a répondu : « Avant mai 2022, certains fournisseurs de données disposaient de produits de données concernant les applications de suivi des menstruations installées disponibles à la vente sur le Narrative Data Streams Martkeplace », suivi de « en prévision de l’attention accrue portée sur la santé et la vie privée des femmes suite à l’annulation de l’arrêt Roe vs Wade, nous avons mis à jour notre politique de confidentialité pour retirer du Marketplace toute donnée relative à l’installation d’applications qui collectent des informations sur la grossesse, les menstruations ou autres informations de santé reproductive pour éviter tout usage détourné de ces données ». Alors, en ce qui concerne l’achat de données à des courtiers en données, il ne nous reste plus qu’à croiser les doigts (mais nous vous conseillons quand même d’imaginer le pire).

Pour ce qui est du partage des données avec les forces de l’ordre, quelle est la position de Clue ? D’après ce que nous avons vu, c’est plutôt très bien. L’entreprise est basée en Allemagne et est régie par les lois sur la vie privée RGPD plus strictes. Clue met un point d’honneur à expliquer clairement comment elle protège les données qu’elle stocke contre toute demande potentielle de citation à comparaître ou de demande du gouvernement des États-Unis. Ça nous plaît beaucoup ! Dans un e-mail, Clue nous a dit : « La divulgation de données sensibles de santé reproductive dans le but de faire du tord à la personne concernée irait à l’encontre des principes européens sur les données de vie privée, qui cherchent au contraire à protéger les utilisateurs et utilisatrices de la surveillance du gouvernement. Si jamais dans un scénario fictif un tribunal allemand cherchait à appliquer une requête venue de l’étranger, nous nous y opposerons fermement avec tous les moyens nécessaires pour protéger la vie privée de nos utilisateurs et utilisatrices ». C’est bon à lire ! Nous devons cependant mentionner que cette politique de confidentialité contient un avertissement : « En ce qui concerne les États-Unis plus spécifiquement, il est fort peu probable que les informations que nous et nos sous-traitants conservons fassent l’objet d’une enquête menée par les autorités publiques étasuniennes qui contournerait ces lois et contraindrait un sous-traitant à délivrer des informations personnelles. Cependant, le risque d’une telle divulgation n’est pas à exclure ».

Notre plus grande préoccupation concernant Clue est la sécurité. Malheureusement, Clue ne répond pas à nos critères élémentaires de sécurité car l’application ne requiert pas un mot de passe fort. Nous avons pu nous y connecter avec un mot de passe aussi faible que « 1 ». Ce n’est pas bon. Lorsque nous avons contacté Clue pour lui poser des questions à ce sujet, on nous a répondu : « Clue nécessite une authentification qui peut être faite … en utilisant une combinaison e-mail / mot de passe. Dans notre prochaine mise à jour majeure prévue cet été, nous inciterons les utilisateurs et utilisatrices à choisir un mot de passe plus complexe ». Clue reconnaît au moins qu’il doit faire mieux et semble avoir prévu de mettre à jour ses exigences en matière de mots de passe. Nous mettrons à jour cette analyse lorsqu’un mot de passe plus complexe sera demandé par l’application.

Qu’est-ce qui pourrait arriver de pire avec Clue ? Rien, espérons-le. Mais, comme il le dit dans sa politique de confidentialité : « Généralement, la plus grande menace concernant la sécurité et la confidentialité de vos données vient d’une personne, probablement quelqu’un que vous connaissez, qui accède à votre appareil sans votre accord ». Imaginons le pire : une personne utilise l’application avec un mot de passe faible, puisque l’application le permet. Son ex-partenaire en colère accède à son téléphone et découvre une potentielle fausse couche, reporte ce fait aux forces de l’ordre qui décident alors d’enquêter sur cette personne. Celle-ci se retrouve alors harcelée par la police pour avoir potentiellement avorté dans un état où cela est illégal. Nous espérons que cela n’arrivera jamais, mais c’est un scénario que nous ne pouvons pas exclure aujourd’hui.

Conseils pour vous protéger

  • Utilisez l’application sans créer de profil : de cette façon, vos données seront traitées uniquement sur votre appareil et elles seront moins susceptibles de se retrouver entre les mains de courtiers de données.
  • Accédez aux paramètres et désactivez le partage de données à des fins publicitaires !
  • Activez un code PIN unique ou TouchID (iPhone 5S-8) pour l’application Clue.
  • Ne vous inscrivez pas avec des comptes tiers tels que Facebook ou Google ! Il est préférable de se connecter avec un e-mail et un mot de passe.
  • Choisissez un mot de passe compliqué ! Vous pouvez utiliser un gestionnaire de mots de passe comme 1Password, KeePass, etc.
  • Utilisez les contrôles de confidentialité de votre appareil pour limiter l’accès à vos informations personnelles via l’application (ne donnez pas accès à votre caméra, microphone, images et vidéos)
  • Mettez votre application à jour régulièrement
  • Limitez le suivi publicitaire via votre appareil (par ex., sur iPhone, accédez à Confidentialité -> Publicité -> Limiter le suivi publicitaire) et les plus grands réseaux publicitaires (pour Google, accédez à votre compte Google et désactivez la personnalisation des annonces)
  • Demandez la suppression de vos données quand vous arrêtez d’utiliser l’application. La suppression d’une application de votre appareil n’entraîne généralement pas automatiquement la suppression de vos données personnelles.
  • mobile

Ce produit peut-il m’espionner ? informations

Caméra

Appareil : Ne s’applique pas

Application : Non

Microphone

Appareil : Ne s’applique pas

Application : Non

Piste la géolocalisation

Appareil : Ne s’applique pas

Application : Non

Que peut-on utiliser pour s’inscrire ?

Inscription via un compte Facebook et Google disponible

Quelles données l’entreprise collecte-t-elle ?

Comment l’entreprise utilise-t-elle les données ?

Nous attribuons un avertissement à ce produit en raison du partage des données personnelles avec les annonceurs, paramètre par défaut avec possibilité de le désactiver (au lieu d’être désactivé par défaut), et de l’utilisation de la date de naissance comme identifiant publicitaire.

« En utilisant l’application et notre site web, vous autorisez (dans le cas du site web, via activation dans la bannière des cookies) Clue à utiliser des cookies et des services tiers et à collecter vos données de l’utilisateur sous un identifiant unique et votre date de naissance à des fins de suivi, d’analyse et d’amélioration de notre web site et de notre application, mais aussi à des fins publicitaires pour afficher du contenu Clue pertinent ».

« […] nous partageons un minimum de données concernant nos utilisateurs avec les réseaux publicitaires (mais nous ne partageons jamais les données de menstruation ou autres données de santé que vous suivez dans l’application). […] Si vous n’êtes pas à l’aise avec le partage de données pour l’optimisation des publicités, vous pouvez aller dans Paramètres et modifier vos préférences ».

« Nous ne vendons pas vos données personnelles de santé, nous les protégeons et nous ne les divulguerons jamais à quiconque pour qu’il les utilise contre vous ».

« Les données que vous suivez dans Clue concernant votre santé et vos activités sont considérées comme des données personnelles sensibles. Clue ne stocke pas de données personnelles sensibles sans votre autorisation explicite. Ce n’est que lorsque vous nous donnez votre consentement explicite en créant un compte Clue que nous commençons à stocker données de santé et sensibles que vous suivez sur nos serveurs sécurisés, ainsi que les données personnelles nécessaires à la création d’un compte ».

« Nous prenons la protection de vos données de santé sensibles très au sérieux. Nous ne partageons aucune donnée que vous suivez avec des annonceurs ou d’autres tiers pour leur utilisation. Ce n’est pas notre modèle d’entreprise. »

« Clue peut utiliser vos données de santé pour créer des ensembles de données anonymisés à des fins de recherche universitaire et clinique, que Clue peut transférer à ses collaborateurs pour faire avancer la recherche sur la santé des femmes ».

Que nous dit l’entreprise au sujet du partage des données avec les forces de l’ordre ?

« Nous sommes une société de droit allemand et n’avons pas de filiales ou de succursales en dehors de l’Allemagne. Le RGPD, le Règlement général européen sur la protection des données, nous oblige à préserver la sécurité et la confidentialité des données de santé sensibles de nos utilisateurs et nous honorons cette obligation.

Nous n’avons jamais reçu une telle demande de la part des forces de l’ordre allemandes, ou de toute autre autorité. En droit et procédure, nous ne pouvons envisager aucune circonstance dans laquelle un tribunal allemand autoriserait une telle demande de la part des forces de l’ordre locales ou serait forcée de se conformer à une demande d’une autorité étrangère d’appliquer leur loi. La divulgation de données sensibles de santé reproductive dans le but de faire du tord à la personne concernée irait à l’encontre des principes européens sur les données de vie privée, qui cherchent au contraire à protéger les utilisateurs et utilisatrices de la surveillance du gouvernement. Si jamais dans un scénario fictif un tribunal allemand cherchait à appliquer une requête venue de l’étranger, nous nous y opposerons fermement avec tous les moyens nécessaires pour protéger la vie privée de nos utilisateurs et utilisatrices ».

Comment pouvez-vous contrôler vos données ?

Tous nos utilisateurs et utilisatrices, quel que soit leur lieu de résidence, ont le droit de demander la suppression de leurs données.

Nous n’avons trouvé aucune option pour supprimer des données dans l’application. Clue déclare que la façon de supprimer ses données est de contacter l’application par e-mail.
« Demandez la suppression complète de vos données, y compris toutes les données antérieures envoyées à des services tiers utilisés pour le suivi et l’analyse, en contactant [email protected]. Vos données seront supprimées dans les 30 jours ».

« Nous ne conservons pas vos données dans un format identifiable plus longtemps que nécessaire à la réalisation de nos services ».

Quel est l’historique de l’entreprise en matière de protection des données des utilisateurs et utilisatrices ?

Moyen

En 2020, des chercheurs sur la protection de la vie privée ont tiré la sonnette d’alarme sur le fait qu’une date de naissance soit utilisé comme identificateur publicitaire. Cette pratique se poursuit encore aujourd’hui.

En mai 2022, des journalistes de Vice ont réussi à acheter une liste d’appareils utilisant Clue auprès du courtier de données Narrative pour 100 $. Selon le rapport, « les données ne contiennent pas d’informations provenant directement de l’application Clue, mais plutôt une liste des appareils sur lesquels l’application est installée, ce qui permet par la suite d’identifier les utilisateurs ». L’acquisition de ces données par les courtiers en données n’est probablement pas de la responsabilité de Clue. Cependant, ces données étaient disponibles à l’achat auprès d’au moins un courtier en données pas plus loin qu’en mai 2022, ce qui est préoccupant.

Informations liées à la vie privée des enfants

Clue ne recueille ni n’utilise sciemment des données personnelles des enfants de moins de 13 ans. En créant un compte Clue, vous devez confirmer que vous avez au moins 13 ans ou que vos parents ont accepté que vous puissiez utiliser l’application Clue.

Ce produit peut-il être utilisé hors connexion ?

Oui

Informations relatives à la vie privée accessibles et compréhensibles ?

Non

Liens vers les informations concernant la vie privée

Ce produit respecte-t-il nos critères élémentaires de sécurité ? informations

Non

Chiffrement

Oui

Mot de passe robuste

Non

Concernant le fait que nous avons pu nous inscrire avec le mot de passe « 1 », Clue nous a écrit que « Clue nécessite une authentification qui peut être faite … en utilisant une combinaison e-mail / mot de passe. Dans notre prochaine mise à jour majeure prévue cet été, nous inciterons les utilisateurs et utilisatrices à choisir un mot de passe plus complexe ». Nous mettrons à jour cette analyse lorsqu’un mot de passe plus complexe sera demandé sur l’application.

Mises à jour de sécurité

Oui

Gestion des vulnérabilités

Oui

Clue dispose d’une équipe de sécurité des informations qui gère les failles. Elles peuvent être signalées via le fichier security.text (qui décrit plus en profondeur la portée et les détails) ou en contactant l’équipe de support Clue via leur application ou leur site web.

Politique de confidentialité

Oui

Le produit utilise-t-il une IA ? informations

Non

Une application suit le cycle menstruel d’une femme grâce à l’apprentissage automatique. L’application déclare travailler en étroite collaboration avec les universités et les scientifiques pour améliorer la santé des femmes et trouver des idées qui profitent à nos utilisateurs et utilisatrices. L’application affirme également qu’il ne s’agit pas d’une IA : « Le produit utilise l’analyse de données et l’apprentissage automatique pour prédire les cycles personnalisés de l’utilisateur, mais ce n’est pas une IA. »

*Confidentialité non incluse

Pour aller plus loin

  • Congress to Investigate Data Brokers and Period Tracking Apps
    Vice Le lien s’ouvre dans un nouvel onglet
  • Data Marketplace Selling Info About Who Uses Period Tracking Apps
    Vice Le lien s’ouvre dans un nouvel onglet
  • Supreme Court overturns Roe v. Wade: Should you delete your period-tracking app?
    TechCrunch Le lien s’ouvre dans un nouvel onglet
  • Here’s What Period Tracking Apps Say They Do With Your Data
    Vice Le lien s’ouvre dans un nouvel onglet
  • We asked 12 period-tracking apps about their post-Roe privacy policies
    Input Le lien s’ouvre dans un nouvel onglet
  • Consumers swap period tracking apps in search of increased privacy following Roe v. Wade ruling
    TechCrunch Le lien s’ouvre dans un nouvel onglet
  • Forget Tracking Your Period—Your Period (App) Is Tracking You
    Marie Claire Le lien s’ouvre dans un nouvel onglet

Commentaires

Vous avez un commentaire ? Dites-nous tout.