Mon Calendrier Cycle Menstruel

Attention : *confidentialité non incluse avec ce produit

Mon Calendrier Cycle Menstruel

Passé en revue le : 9 août 2022

|
Mozilla a effectué 8 heures de recherches
|

L’avis de Mozilla :

|
Vote du public : Pas flippant

Voilà une application de suivi des menstruations avec plus de 10 millions de téléchargements sur le Google Play Store qui nous paraît un peu douteuse. Créée par le développeur d’applications AppManage Group #1, LLC sous le pseudonyme Simple Innovation, nous avons essayé d’en savoir plus sur cette entreprise, mais nous nous sommes retrouvés avec plus de questions que de réponses. Le site web de Simple Innovation est, comme dire, plutôt simple. Il semble que l’entreprise propose quatre applications en tout, ce qu’elle appelle les « plaisirs simples » (simple delights) : cette application de suivi des menstruations, une application de suivi du poids, un minuteur pour les œufs et un autre pour les steaks. On a l’embarras du choix ! Il est écrit que l’application de suivi des menstruations est une application « extrêmement élégante et très facile d’utilisation qui aide les femmes à suivre leurs menstruations, leurs cycles, leur ovulation et les jours de fécondité ».

Bonne chance cependant pour trouver une politique de confidentialité sur le site web de Simple Innovation. Nous n’avons trouvé aucun lien, ce qui est plutôt regrettable. Nous avons bien trouvé une page de sécurité qui nous a dit comment signaler les failles de sécurité, ce qui est bien, car cela est toujours rassurant, mais quand il s’agit de la seule information fournie sur le site, nous sommes un peu inquiets. Nous avons bien déniché deux liens distincts vers les politiques de confidentialité sur les pages de l’application du Google Play Store et de l’Apple Store. La politique de confidentialité de l’application « Calendrier des règles – Suivi » liée à Google Play a été mise à jour pour la dernière fois en mars 2021 et la politique de confidentialité de « Mon Calendrier Cycle Menstruel » sur l’App Store a été mise à jour pour la dernière fois en décembre 2019. Tout cela n’augure rien de bon pour la confidentialité de cette application de suivi des menstruations. En fait, on dirait que la protection de la vie privée est plutôt discutable et, malheureusement, la sécurité semble toute aussi mauvaise.

Que pourrait-il se passer en cas de problème ?

Se dire qu’une application de suivi des menstruations a le même niveau de protection de la vie privée qu’un minuteur pour les œufs est à la fois un peu amusant et pas du tout amusant. Après tout, les deux concernent des œufs, non ? De la première, des informations pourraient fuiter ou être partagées, menant à votre harcèlement ou à votre arrestation dans les états où l’avortement est devenu illégal. De la deuxième, l’information que vous vous faites des œufs durs 5 fois par semaine pourrait fuiter. Vous voyez ? Amusant et pas amusant du tout.

Une chose que vos sympathiques chercheurs en protection de la vie privée à *Confidentialité non incluse détestent vraiment beaucoup sont les politiques de confidentialité vagues. La politique de confidentialité de Mon Calendrier Cycle Menstruel est assez vague. On y trouve des choses comme « Les informations sont collectées automatiquement lorsque vous utilisez notre Application. Les informations collectées pourraient inclure des détails d’utilisation, des métadonnées et des informations en temps réel sur l’emplacement de votre appareil. Nous ne collections ou ne stockons pas généralement d’informations à partir desquelles nous, personnellement, pouvons vous identifier… ». Ce « pourraient » et ce « généralement » laissent une marge de manœuvre avec laquelle nous ne sommes pas à l’aise lorsque qu’il s’agit de données personnelles collectées, tout particulièrement les données personnelles identifiables et les données d’emplacement en temps réel.

Ce que nos sympathiques chercheurs en protection de la vie privée détestent également est tout ce qui n’a pas de sens. Pour nous, ça n’a aucun sens de dire dans une politique de confidentialité que l’application ne collecte pas de données qui puissent vous identifier tout en déclarant dans la section de la sécurité des données de la page de l’application de l’App Store d’Apple qu’elle peut utiliser des « marqueurs » (identifiers) pour vous suivre (cela peut inclure des informations comme la publicité ou l’identifiant de l’appareil, ce qui, c’est vrai, n’est pas vraiment votre nom ou votre adresse e-mail, mais qui peut toujours mener jusqu’à vous) et que ces informations sensibles et les informations de contacts peuvent être liées à vous. Et sur sa page Google Play Store, l’application déclare dans la section de la sécurité des données que les données collectées peuvent inclure le nom, l’e-mail et l’identifiant de l’utilisateur ou utilisatrice. Dans cette même section sur la page de l’application, l’entreprise déclare qu’aucune donnée n’est partagée avec des parties tierces. Et pourtant, la politique de confidentialité a une longue liste d’annonceurs tiers tels que Google, Facebook et Amazon avec qui elle partage des données. Cela nous laisse perplexes. On peut noter également que les règles de Google concernant la façon dont ces informations sont déclarées par les entreprises sur ces pages de sécurité des données nous paraissent parfois plutôt déconcertantes et déroutantes.

L’application Mon Calendrier Cycle Menstruel déclare qu’elle peut partager certaines données utilisateur avec des tiers pour des services de publicité et de personnalisation. Et elle déclare qu’elle « peut utiliser et divulguer des informations agrégées, ou autrement anonymisées, qui ne se rapportent pas à une personne physique identifiable sans restriction ». C’est le bon moment pour vous rappeler qu’il s’est avéré assez facile de désanonymiser ces données, surtout si des données d’emplacement sont incluses.

Donc, l’application Mon Calendrier Cycle Menstruel collecte des données qui pourraient ou pas être personnellement identifiables (les données d’emplacement précis sont en général facilement identifiables). Elle déclare ensuite : « Quand vous utilisez l’Application sur un mobile Apple ou Android, certains tiers peuvent utiliser automatiquement des technologies de collecte d’information automatique pour collecter des informations sur vous ou votre appareil. Ces tiers peuvent être des annonceurs, des réseaux publicitaires, des serveurs publicitaires et des entreprises d’analyse ». Ainsi donc, ces tiers collectent des informations sur vous pendant que vous utilisez cette app, comme Facebook, Amazon et d’autres réseaux publicitaires. Mon Calendrier Cycle Menstruel déclare également qu’elle peut utiliser des informations anonymisées sans restriction, même si ces données peuvent parfois être ré-identifiées.

Ensuite, il y a la façon dont l’application Mon Calendrier Cycle Menstruel déclare qu’elle peut partager des informations avec les forces de l’ordre. Ici, elle est très vague. Tout ce que nous avons trouvé dans leur politique de confidentialité est cette déclaration, qui ne nous ne rassure pas quant à la divulgation volontaire des données de ses utilisateurs et utilisatrices : « Nous utilisons les informations collectées via l’application pour […] se conformer à toute ordonnance judiciaire, loi ou procédure judiciaire ».

Rien dans tout ça ne nous inspire vraiment confiance concernant les pratiques de confidentialité de l’application Mon Calendrier Cycle Menstruel. Il est bon à savoir également que Consumer Reports a partagé ses inquiétudes concernant cette application quand il l’a évaluée en 2020.

Mais alors que la confidentialité est un problème avec cette application, nous nous sommes rendu compte que la sécurité était un sujet d’inquiétude encore plus important. Nous avons pu nous connecter dans l’application avec un mot de passe incroyablement faible : « 1 ». Oui, vous avez bien lu. L’application qui suit vos menstruations a accepté « 1 » comme mot de passe. C’est assez terrible. Dans l’ensemble, nous ne pouvons faire confiance à la sécurité de cette application, même si elle a le mérite de proposer un moyen de signaler les failles de sécurité sur un site web qui contient très peu d’informations supplémentaires, ce qui est un bon point. Cela soulève tout de même quelques questions : pourquoi l’entreprise ne nous donne-t-elle pas plus d’informations sur son site web la concernant elle et ses politiques de confidentialité ? S’attend-elle à subir ou a-t-elle déjà subi beaucoup de failles de sécurité ? Nous n’en avons aucune idée.

Qu’est-ce qui pourrait arriver de pire avec cette application de suivi des menstruations ? Par pitié, ne la téléchargez pas pour le découvrir. Ses pratiques en matière de protection de la vie privée sont, au mieux, discutables. Ses pratiques de sécurité sont, au mieux, faibles. Il reste trop de questions en suspens concernant l’application Mon Calendrier Cycle Menstruel. Nous ne savons même pas si nous aurions le courage de télécharger le minuteur pour œufs de cette entreprise. Les chances que cette application soit livrée avec une *Confidentialité non incluse sont très élevées.

Conseils pour vous protéger

  • Ajoutez un code PIN à votre calendrier si quelqu’un d’autre utilise votre téléphone ou un autre appareil
  • Lorsque vous n’utilisez plus l’application, accédez à « Supprimer toutes les données et réinitialiser » dans le menu de l’application
  • Choisissez un mot de passe compliqué. Vous pouvez utiliser un gestionnaire de mots de passe comme 1Password, KeePass, etc.
  • Utilisez les contrôles de confidentialité de votre appareil pour limiter l’accès à vos informations personnelles via l’application (ne donnez pas accès à votre caméra, microphone, images et vidéos)
  • Mettez votre application à jour régulièrement
  • Limitez le suivi publicitaire via votre appareil (par ex., sur iPhone, accédez à Confidentialité -> Publicité -> Limiter le suivi publicitaire) et les plus grands réseaux publicitaires (pour Google, accédez à votre compte Google et désactivez la personnalisation des annonces)
mobile Confidentialité avertissement Sécurité avertissement IA

Ce produit peut-il m’espionner ? informations

Caméra

Appareil : Ne s’applique pas

Application : Non

Microphone

Appareil : Ne s’applique pas

Application : Non

Piste la géolocalisation

Appareil : Ne s’applique pas

Application : Oui

Que peut-on utiliser pour s’inscrire ?

Quelles données l’entreprise collecte-t-elle ?

Comment l’entreprise utilise-t-elle les données ?

Nous attribuons un avertissement à ce produit en raison de son partage des données d’emplacement en temps réel pour la publicité et pour son utilisation de certaines données collectées sans restriction.

« La Société peut utiliser et divulguer des informations agrégées, ou autrement anonymisées, qui ne se rapportent pas à une personne physique identifiable sans restriction ». Traduction : les données peuvent être vendues. Étant donné que cette entreprise collecte des métadonnées et des données d’emplacement en temps réel, cela soulève des inquiétudes concernant la confidentialité.

« La Société partage l’identifiant publicitaire généré par le mobile Apple ou Android (qui n’est pas un identifiant permanent de votre appareil, vous pouvez le réinitialiser à tout moment) et peut également partager des données de localisation en temps réel, des données d’utilisation ou d’autres informations liées à votre utilisation de l’Application et d’autres services via votre appareil mobile (mais ne donnera pas votre nom ou votre adresse e-mail), à ces serveurs publicitaires tiers ou réseaux publicitaires (« Annonceurs »). Les Annonceurs peuvent également utiliser des technologies de suivi pour collecter des informations vous concernant lorsque vous utilisez l’Application. Les Annonceurs peuvent collecter des informations sur les activités en ligne au fil du temps et sur différents sites web, applications et autres sites de services en ligne sous un identifiant publicitaire spécifique. Les Annonceurs peuvent utiliser ces informations (y compris les informations que nous leur fournissons) pour offrir de la publicité (comportementale) ciblée ou tout autre contenu ciblé sur votre appareil mobile. »

La politique de confidentialité mentionne des annonceurs tels que Facebook, Google, Amazon, etc.

« Les informations sont collectées automatiquement lorsque vous utilisez notre Application. Les informations collectées pourraient inclure les détails d’utilisation, les métadonnées et des informations en temps réel sur l’emplacement de votre appareil. Nous ne collections ou ne stockons pas généralement d’informations à partir desquelles nous, personnellement, pouvons vous identifier (’Information Personnellement Identifiable’) via l’Application ».

« Nous pouvons également utiliser des informations que nous ne pouvons pas utiliser pour vous identifier personnellement afin d’optimiser et d’améliorer nos services ; pour fournir un contenu personnalisé dans l’application ; pour afficher des publicités ciblées ; à toute autre fin divulguée par nous lorsque vous fournissez des informations ou pour protéger les droits, la propriété ou la sécurité de la Société, de nos clients ou d’autres personnes. »

Voilà ce que déclare l’entreprise concernant le partage des données avec les forces de l’ordre :
« Nous utilisons les informations collectées via l’Application pour […] nous conformer à toute décision de justice, de loi ou procédure judiciaire ».

Comment pouvez-vous contrôler vos données ?

Nous attribuons un avertissement à cette application, car aucun détail clair sur la conservation des données n’est mentionné et il n’est pas dit explicitement que chaque utilisatrice ou utilisateur de l’application dispose du même droit d’accès et de suppression de ses données collectées par cette application.

Si, pour une raison quelconque, vous souhaitez que vos données utilisateur soient supprimées des systèmes de l’application, vous pouvez envoyer un e-mail à [[email protected]] avec en objet : « Demande de suppression des données ». Veuillez noter que nous avons tenté de joindre trois fois cette adresse électronique pour répondre à nos questions sur la protection de la vie privée et que nous n’avons jamais reçu de réponse.

Aucun détail de conservation n’est mentionné.

La politique de confidentialité de l’application déclare : « Si vous ne souhaitez pas que vos informations soient collectées ou utilisées comme décrit dans cette politique, vous pouvez désinstaller l’application du ou des appareils sur lesquels vous l’avez téléchargée. » ET « Vous pouvez arrêter toute collecte d’informations par l’application en désinstallant l’application »

Quel est l’historique de l’entreprise en matière de protection des données des utilisateurs et utilisatrices ?

Moyen

Aucun incident connu relatif à la confidentialité ou à la sécurité n’a été rapporté au cours des trois dernières années.

Ce produit peut-il être utilisé hors connexion ?

Oui

Informations relatives à la vie privée accessibles et compréhensibles ?

Non

L’application avait différentes politiques de confidentialité, l’une liée au Google Store et l’autre à l’Apple Store. Il n’y en avait aucune disponible sur son site web.

Liens vers les informations concernant la vie privée

Ce produit respecte-t-il nos critères élémentaires de sécurité ? informations

Non

Chiffrement

Oui

Mot de passe robuste

Non

Nous avons réussi à nous connecter avec le mot de passe « 1 »

Mises à jour de sécurité

Oui

Gestion des vulnérabilités

Oui

Si vous pensez avoir trouvé une faille de sécurité dans le logiciel, veuillez le notifier par e-mail à [email protected]

Politique de confidentialité

Oui

Le produit utilise-t-il une IA ? informations

Impossible à déterminer

Cette IA est-elle non digne de confiance ?

Impossible à déterminer

Quel genre de décisions l’IA prend-elle à votre sujet ou pour vous ?

L’entreprise est-elle transparente sur le fonctionnement de l’IA ?

Impossible à déterminer

Les fonctionnalités de l’IA peuvent-elles être contrôlées par l’utilisateur ou l’utilisatrice ?

Impossible à déterminer


Actualités

The data flows: How private are popular period tracker apps?
Surfshark
Nobody really wants to keep track of their periods in their minds or a wall calendar, which makes period trackers really popular. But are they tracking more than menstrual cycles? To find that out, we took a look at 20 period tracking apps popular in the US and compared their data collection practices.
Forget Tracking Your Period—Your Period (App) Is Tracking You
Marie Claire
Many may assume that since these [period-tracking] apps handle sensitive medical information, their intel is safeguarded. Untrue. Only info shared with a health-care provider or a health plan is protected by the Health Insurance Portability and Accountability Act (HIPAA). “Everything I put into my period-tracking app is fair game to be sold,” says Michelle Richardson, director of the Privacy & Data Project at the Center for Democracy & Technology. And marketers and insurance companies are paying big money to use it.
Supreme Court overturns Roe v. Wade: Should you delete your period-tracking app?
TechCrunch
Though popular, and undoubtedly a useful tool for those who want to plan and avoid pregnancy and track signs of menopause, it’s no secret that the objective of many of these apps — of which there are more than a thousand in the app stores alone — go far beyond that of tracking periods. Monitoring menstrual cycles has proven to be a lucrative business for developers, many of which share users’ personal information and activity on the apps with third-party marketers and advertisers.

Commentaires

Vous avez un commentaire ? Dites-nous tout.