Les applications nutrition & santé ne respectent pas la vie privée
Test Achats a analysé 14 applications de santé et de nutrition (Yuka, Lifesum, Open Food Facts, etc.) pour vérifier si elles respectent la réglementation sur la protection de la vie privée (RGPD). À l’exception d’une seule (Apple Health), toutes envoient des données à des tiers. Dans presque tous les cas, il s’agit de données à caractère personnel mais parfois aussi de données médicales sensibles. Le plus souvent avec un manque total de transparence pour l’utilisateur qui, en outre, ne peut s’y opposer. Test Achats a déposé plainte auprès de l’Autorité de protection des données afin qu’elle se saisisse de ces violations flagrantes.
www.testachats.be/appsante
14 applications passées au crible
Manger de façon plus équilibrée, vivre plus sainement, décrypter les ingrédients pour savoir ce que l’on consomme réellement… De plus en plus de consommateurs téléchargent des applications mobiles de nutrition et de santé sur leurs smartphones et tablettes pour les y aider. Des applications qui, pour fonctionner, requièrent des données personnelles (âge, poids, style de vie).
Test Achats en a soumis 14 à une analyse complète de la vie privée : quelles données ces applis collectent-elles ? Avec qui les partagent-elles ? Leurs connexions sont-elles sécurisées ? Et leurs déclarations de confidentialité, sont-elles suffisamment transparentes pour que le consommateur soit correctement informé de ce qu’il advient de ses données ?
Seule Apple Health ne partage pas les données
Bonne nouvelle : dans la plupart des cas, la transmission de données est cryptée, les parties tierces malveillantes ne peuvent donc pas y accéder. Une seule application – « Apple Health », l’appli d’Apple dédiée à la santé – n’envoie aucune donnée vers des serveurs tiers. Toutes les autres le font. En outre, excepté Apple, Yazio, SmartWithFood (sous Android) et SkinVision (sous iOS), il n'y en a aucune dont la déclaration de confidentialité est entièrement conforme aux transmissions de données telles que l’organisation a pu les observer.
Les plus envahissantes ? Migraine Buddy et Sleep Cycle
Les applis « Sleep Cycle », pour mesurer la qualité de son sommeil, et « Migraine Buddy », pour tenir le journal de ses crises quand on est migraineux, sont les championnes de l’intrusion dans la vie privée de leurs utilisateurs : non seulement elles envoient des données personnelles comme l’adresse e-mail, le nom et le sexe vers des tiers, mais elles transfèrent également des informations de santé plus sensibles, en lien avec l'utilisation de l’appli, comme les moments où on rêve, ronfle, se réveille ou encore la durée de notre dernière migraine. Que les applis conservent elles-mêmes ces infos, c’est une chose. Mais non : Sleep Cycle ne les collecte même pas elle-même, elle les envoie directement à des tiers ! Et aucune de ces deux apps n’est transparente – où vont les données ? Elles ne demandent pas la permission de les partager et, pire, on ne peut même pas refuser… LifeSum envoie quant à elle l’âge, le sexe mais aussi la taille et le poids de l’utilisateur vers des tiers, sans demander aucun consentement à cette fin.
Quid si ces données finissaient un jour dans les mains d’un assureur qui refuserait de conclure un contrat avec un candidat assuré, ou lui imposerait une prime plus élevée, parce que ce dernier dort mal ou qu’il souffre de nombreuses migraines ?
Plainte devant l’Autorité de Protection des Données
Le Règlement Général sur la Protection des Données (RGPD), qui encadre le partage des données personnelles, est entré en vigueur en mai 2018. Or, le test réalisé par Test Achats montre que certaines applications l’enfreignent de manière flagrante. L’organisation de consommateurs a dès lors porté plainte auprès de l'Autorité de protection des données contre ces applications.
Accès presse