De nouvelles recherches ont révélé que les applications de santé conçues pour les femmes exposent les utilisateurs à des risques inutiles en matière de confidentialité et de sécurité.
Les équipes de l'University College London et du King's College London ont présenté l'évaluation la plus approfondie des pratiques de confidentialité des applications de santé féminine lors de la conférence ACM sur les facteurs humains dans les systèmes informatiques (CHI) 2024, le 14 mai.
Les applications de santé en question contiennent des informations sensibles sur des millions de données médicales et de fertilité de femmes, telles que des informations sur le cycle menstruel, et ces informations pourraient les mettre en danger.
Analyse des applications de santé féminine les plus populaires au Royaume-Uni et aux États-Unis
L'équipe a analysé les politiques de confidentialité et les étiquettes de sécurité des données de 20 des applications de santé féminine les plus populaires disponibles dans les magasins Google Play du Royaume-Uni et des États-Unis, utilisées par des millions de personnes. L'analyse a révélé que dans de nombreux cas, les données des utilisateurs pourraient être soumises à un accès des forces de l'ordre ou des autorités de sécurité.
Grâce à la recherche, une seule application examinée a explicitement abordé la sensibilité des données menstruelles concernant les forces de l'ordre dans ses politiques de confidentialité et s'est efforcée de protéger les utilisateurs contre les menaces juridiques.
Cependant, de nombreuses applications de suivi de grossesse obligeaient les utilisateurs à indiquer si elles avaient déjà fait une fausse couche ou si elles avaient déjà avorté, et certaines applications manquaient de fonctions de suppression de données ou rendaient difficile la suppression des données une fois saisies.
Les experts préviennent que ces mauvaises pratiques de gestion des données pourraient entraîner de graves risques pour la sécurité physique des utilisatrices dans les pays où l'avortement est un délit pénal.
Le Dr Ruba Abu-Salma, chercheur principal de l'étude du King's College de Londres, a déclaré : « Les applications de santé féminine collectent des données sensibles sur le cycle menstruel, la vie sexuelle et l'état de grossesse des utilisatrices, ainsi que des informations personnelles identifiables telles que les noms et adresses e-mail. .
« Exiger des utilisateurs qu'ils divulguent des informations sensibles ou potentiellement criminelles comme condition préalable à la suppression des données est une pratique extrêmement mauvaise en matière de confidentialité avec des implications désastreuses en matière de sécurité. Il supprime toute forme de consentement significatif offert aux utilisateurs.
« Les conséquences d'une fuite de données sensibles comme celle-ci pourraient entraîner une surveillance et une discrimination sur le lieu de travail, une discrimination en matière d'assurance maladie, des violences conjugales et un chantage criminel ; autant de risques qui se recoupent avec des formes d’oppression sexiste, en particulier dans des pays comme les États-Unis où l’avortement est illégal dans 14 États.
Le libellé de la politique de confidentialité est imparfait et ambigu
Des différences choquantes entre le libellé de la politique de confidentialité et les fonctionnalités de l'application ont été découvertes, ainsi que des mécanismes de consentement des utilisateurs défectueux et la collecte de données sensibles avec un partage fréquent avec des tiers.
Les principales conclusions comprenaient :
35 % des applications ont déclaré ne pas partager de données personnelles avec des tiers dans leurs sections sur la sécurité des données, mais cela a été contredit dans leurs politiques de confidentialité en décrivant un certain niveau de partage avec des tiers.
50 % ont fourni une assurance explicite que les données de santé des utilisateurs ne seraient pas partagées avec les annonceurs, mais se sont montrées ambiguës quant à savoir si cela incluait également les données collectées via l'utilisation de l'application.
45 % des politiques de confidentialité soulignent l’absence de responsabilité à l’égard des pratiques de tiers, même si elles prétendent également les examiner.
De nombreuses applications de santé étudiées associaient les données sexuelles et reproductives des utilisateurs à leurs recherches sur Google ou à leurs visites sur des sites Web, ce qui, selon les chercheurs, pourrait présenter un risque de désanonymisation pour l'utilisateur et conduire à des hypothèses sur son état de fertilité.
Lisa Malki, première auteure de l'article et ancienne assistante de recherche au King's College de Londres, qui est maintenant doctorante à l'UCL Computer Science, a déclaré : « Les développeurs d'applications ont tendance à traiter les données sur les règles et la fertilité comme « une autre donnée ». » par opposition aux données particulièrement sensibles qui ont le potentiel de stigmatiser ou de criminaliser les utilisateurs. Les climats politiques de plus en plus risqués justifient un plus grand degré de gestion de la sécurité des utilisateurs et une innovation sur la manière dont nous pourrions surmonter le modèle dominant de « notification et consentement » qui impose actuellement une charge disproportionnée en matière de confidentialité aux utilisateurs.
« Il est essentiel que les développeurs commencent à reconnaître les risques uniques en matière de confidentialité et de sécurité pour les utilisateurs et adoptent des pratiques qui favorisent une approche humaniste et soucieuse de la sécurité du développement de technologies de santé. »
