Clue, une app allemande de suivi des règles, a déclaré que les données de ses utilisatrices américaines étaient protégées par le RGPD. Une affirmation qui cache des subtilités, et qui ne garantit pas la sécurité de ces données.

« Vos données de santé, particulièrement celles que vous gardez dans Clue à propos de votre grossesse, d’une fausse couche, ou d’un avortement, sont conservées de manière privée et sûre. » C’est ce qu’a publié sur Instagram Clue, l’une des apps de suivi des règles les plus populaires, le 24 juin 2022, peu de temps après avoir appris que la Cour suprême des États-Unis ne protégeait plus le droit à l’avortement au niveau fédéral.

Depuis cette terrible nouvelle, une dizaine d’États ont complètement interdit le droit à l’IVG, et d’autres pourraient bientôt suivre.

insta_clue
La publication Instagram de Clue, après l’annonce de la Cour suprême. // Source : Clue / Instagram

La déclaration de Clue n’a rien d’anodin. Dans certains États, comme au Texas, la loi encourage la délation des femmes qui auraient avorté illégalement, tout comme celle des « complices » qui les auraient aidées. Cette loi pourrait bientôt conduire à l’interdiction des sites parlant d’IVG, mais elle menace déjà les utilisateurs et utilisatrices des apps qui recueillent des données de santé, comme celles de suivi des règles. Les données pourraient être utilisées contre elles par les autorités, afin de prouver qu’elles auraient eu recours à un avortement.

La protection de ces données ultrasensibles est plus que jamais un enjeu d’une extrême importance pour les femmes américaines. Stardust, une app américaine concurrente de Clue, a rapidement déclaré qu’elle allait chiffrer les données des utilisateurs et utilisatrices afin de les protéger — une affirmation qui a depuis été mise en doute. Et Clue, qui a elle aussi juré qu’elle protégeait les données des femmes américaines, pourrait ne pas être aussi sûre qu’elle l’affirme.

Clue suit le RGPD, mais ce n’est pas une garantie suffisante

Dans son communiqué sur Instagram, Clue explique qu’en tant qu’entreprise européenne, basée en Allemagne, elle doit suivre les dispositions du RGPD — un texte qui réglemente l’utilisation que les entreprises peuvent faire des données collectées et qui impose aux entreprises de mettre en place un certain nombre de protections.

C’est vrai : le RGPD s’applique aux entreprises européennes, aux citoyens européens, et même aux ressortissants de pays hors UE qui se trouveraient sur le territoire de l’Union. Mais cela ne suffit cependant pas à garantir la sécurité des données récoltées par Clue. Entrent aussi en compte des questions de territorialité et la nationalité des entreprises qui travaillent avec Clue.

protection_donnees_app_regles
Clue n’est peut-être pas aussi sécurisée qu’elle le prétend // Source : Numerama

En 2018, les États-Unis ont voté le Cloud Act — une loi qui oblige toutes les entreprises américaines à fournir les données qu’elles stockent sur leurs serveurs, où qu’ils soient installés, aux autorités judiciaires américaines si elles en font la demande. Cette loi concerne donc une majorité des entreprises de la tech. De fait, Clue est une entreprise allemande — elle n’a donc pas à se soumettre au Cloud Act. Mais il n’en va peut-être pas de même pour les serveurs de Clue.

Clue ne précise pas qui gère ses serveurs

« L’accès aux données dépend donc également de l’entreprise qui fournit les services cloud de l’app », explique à Numerama Suzanne Vergnolle, docteure en droit spécialisée sur la protection des données personnelles en Europe et aux États-Unis. Si Clue utilise les services d’entreprises comme AWS ou Google (des entreprises américaines), le fait que les serveurs soient installés en Europe ne voudrait pas dire grand-chose. « Si Clue dit ‘On est européen, on applique le RGPD’, mais que l’app passe par AWS, même en Europe, alors les utilisatrices ne sont pas vraiment protégées », abonde Yosra Jarraya, spécialiste de la confidentialité des données et de la conformité RGPD.

Interrogée par Numerama, l’app Clue nous a confirmé que ses serveurs se situaient bien en Europe. Cependant, l’entreprise n’a pas répondu à nos questions concernant l’identité de l’entreprise hébergeant les serveurs et fournissant le service Cloud. Sans cette information, il est donc difficile d’affirmer que les données des utilisateurs et utilisatrices de Clue sont bien sécurisées.

clue4
Les serveurs de Clue sont en Europe — mais l’entreprise n’a pas précisé quelle entreprise les gère. // Source : Numerama

« Étant donné que nos serveurs sont installés en Europe, nous sommes dans l’obligation de protéger les données de santé sensibles de toutes les personnes qui utilisent Clue. Nous sommes absolument convaincues que cela inclut la protection des données contre le gouvernement des États-Unis s’il essayait d’obtenir ces données », nous a précisé Clue dans sa réponse.

Mais vouloir protéger les données ne signifie cependant pas que Clue pourra passer outre les obligations des serveurs, si ces derniers sont gérés par des entreprises américaines. « Clue pourrait se retrouver dans une situation où elle ne voudrait pas communiquer les données, mais où elle n’aurait pas nécessairement les instruments juridiques pour refuser les demandes d’accès par les autorités américaines », résume Suzanne Vergnolle.

Clue pourrait éventuellement contester devant les instances judiciaires américaines une décision de justice fondée sur le Cloud Act, mais rien ne dit qu’elle obtiendrait gain de cause. Ce serait la même chose pour l’entreprise qui héberge en Europe les données de Clue, si elle est américaine. Des recours pourraient néanmoins être tentés dans des juridictions supérieures.

Les données ne sont pas chiffrées

Ce n’est pas le seul point noir : comme Clue le reconnaît, elle fait appel à des « entreprises de traitement de données, des compagnies qui analysent les données pour nous, comme des sous-traitants, et certaines d’entre elles sont basées aux États-Unis ». Ces dernières n’auraient cependant pas accès aux données de santé, « seulement à des données marketing liées à l’utilisation de l’app ». « Nous avons choisi avec attention les entreprises, en les évaluant sur la sécurité des données », indique Clue, qui ajoute que ces entreprises ont été « à nouveau vérifiées » dès que les premières inquiétudes sur le droit à l’avortement sont apparues. Des « clauses contractuelles types » ont également été signées avec les sous-traitants, qui « permettent de garantir un niveau adéquat de protection des données », comme le signale Clue sur son site.

Cependant, comme le reconnaît d’ailleurs Clue, ces clauses « ne sauraient engager les instances gouvernementales du pays non-membre de l’Espace économique européen (EEE) dans lequel opère notre sous-traitant. Dans certains cas, les gouvernements peuvent avoir des pouvoirs de surveillance qui vont à l’encontre des règles européennes relatives à la protection des données. Par conséquent, l’environnement juridique de certains pays non-membres de l’EEE notamment les États-Unis, crée le risque qu’un sous-traitant soit contraint par la loi à agir contre les obligations […] et à transmettre des informations personnelles à des responsables politiques locaux ».

À cela s’ajoute une relative incertitude quant au cadre juridique supervisant le transfert des données personnelles entre les deux rives de l’Atlantique. Les dispositifs précédents, qu’il s’agisse du Safe Harbor comme du Privacy Shield, ont été annulés par la justice européenne. Un autre cadre est promis, mais dont l’avenir n’est pas garantiles Cnil ont ainsi exprimé leur perplexité.

Comme le rappelle la Cnil à la suite de l’invalidation du Privacy Shield, la poursuite des transferts de données personnelles vers les États-Unis sur la base de ces clauses contractuelles types dépend aussi des mesures supplémentaires qu’une société met en place. « Une analyse au cas par cas des circonstances entourant le transfert doit garantir que la législation américaine ne compromet pas le niveau de protection adéquat », pour les personnes, prévient l’autorité.

image_uterus3
Les données de Clue ne sont pas chiffrées de bout en bout. // Source : Numerama

En somme, bien qu’il y ait des contrats en place, cela ne garantit pas l’hermétisme des données. Même si ces données sont simplement des informations marketing, le simple fait que les autorités américaines puissent savoir que certaines femmes ont téléchargé Clue peut être délicat. « Il est peu probable que les informations que nous et nos sous-traitants conservons fassent l’objet d’une enquête de la part d’une autorité publique aux États-Unis », précise Clue, même si « le risque d’une telle divulgation ne peut toutefois pas être éliminé », conclut l’app.

À cela s’ajoute un autre problème : les données ne sont pas chiffrées de bout en bout. Comme l’explique le site de Clue, « vos données sont transmises entre votre appareil et les serveurs de Clue à l’aide du protocole HTTPS pour le cryptage (sic) ». Il s’agit bien d’un premier niveau de protection, mais celui-ci s’avère insuffisant : dans le cas où les serveurs transmettaient les données à des autorités, celles-ci seraient en clair. Clue ne précise pas s’il procède à un chiffrement « au repos » des données qu’il héberge.

Un chiffrement de bout en bout (à la condition que ni Clue, ni les serveurs ne gèrent les clés privées des utilisatrices et utilisateurs) permettrait d’avoir une protection supplémentaire.

Clue ne vend pas les données

Il faut cependant reconnaître que Clue fait un effort remarquable et appréciable pour expliquer comment sont utilisées et stockées les données des utilisatrices. Dans une longue publication, Ida Tin, la fondatrice de Clue, explique en détail que l’app ne vend pas les informations auxquelles elle a accès.

« Notre modèle économique n’est pas basé sur la vente des données personnelles », nous a de plus confirmé Clue par mail. « Nous ne partageons pas les données que nous récoltons avec des réseaux publicitaires, et nous ne vendons absolument pas ces données à des parties tierces ».

Le problème reste cependant entier pour les utilisatrices de Clue aux États-Unis. Comment faire pour s’assurer de la sécurité de leurs données ? Suzanne Vergnolle préconise l’usage des apps chiffrées, qui offrent une certaine protection. C’est notamment le cas de l’app « Santé », intégrée à l’iPhone, et « dans laquelle il est possible de saisir les données relatives aux cycles menstruels ». Quant à Yosra Jarraya, elle est catégorique : « moi, je repasserais plutôt à la méthode du carnet et du crayon. »