Utiliser une application d’analyse du sommeil n'est peut-être pas très prudent

Ce n'est qu'une question de temps avant que les données permettant de quantifier votre sommeil ne soient utilisées pour vérifier que vous ne trompez pas votre époux(se). Des compagnies d'assurances pourraient bien vous les mettre sous le nez en vous accusant de tomber régulièrement malade parce que vous ne dormez pas assez. De même, si votre patron venait à découvrir que vous ne vous couchez jamais avant trois heures du matin, il pourrait suspecter que vous ne faites pas tout ce qui est en votre pouvoir pour être productif au travail.

Avec la mode du quantified self et la multiplication des applications permettant de récupérer des données biométriques, une masse astronomique de données concernant le corps des propriétaires de smartphones et de bracelets connectés est généré et collecté chaque jour. Sans une réglementation adaptée, ces données pourraient terminer dans les mains des publicitaires qui s'enrichissent grâce à vos informations personnelles.

Nous savons déjà que les principaux data brokers, comme Acxiom ou Experian collectent des milliers d'informations sur les consommateurs afin de se représenter en détail leur personnalité, le genre de sites web qu'ils visitent et le genre de produits qu'ils consomment. Ces entreprises ont également en leur possession des informations sensibles sur nos préférences sexuelles ou nos problèmes de santé

Avec la prolifération des appareils portables (selon des estimations, on en vendra 240 millions par an d'ici à 2019), notre profil numérique risque de gagner en précision. Certains d'entre vous surveillent déjà l'évolution de leur taux de masse graisseuse grâce à des applications, enregistrent des données sur leurs rapports sexuels (dans Clue, par exemple) ou sur leur sommeil. Et la mode de la surveillance physiologique ne semble pas prête de retomber.

« Quand vous collectez des données quantitatives sur votre corps, il y a de grandes chances pour que ces données soit utilisées par un service qui tente de se représenter quel genre de consommateur vous êtes, » explique Michelle De Mooy, experte en santé humaine au Centre pour la Démocratie et la Technologie.

De nombreux experts de la sécurité et de la vie privée, de même que des politiciens et des gouvernements, commencent à s'inquiéter du devenir de ces informations ; elles pourraient être utilisées à des fins que nous n'aurions jamais suspectées.

"Les données biométriques constituent le chaînon manquant qui permettra de relier toutes vos données entre elles," explique Jeffrey Chester, Directeur of du Centre pour la démocratie numérique.

La prochaine aubaine financière pour l'industrie des données numériques naitra de la collecte de données par les wearables, les médicaments intelligents, l'Internet des objets," ajoute Chester. "Les firmes pharmaceutiques,, les hôpitaux et les annonceurs ont déjà anticipés les profits qu'ils pourraient en tirer".

Les données médicales, en particulier, ont énormément de valeur. Selon certaines études, elles vaudraient 10 fois plus que le numéro de votre carte bleue. Si les données récoltées par Fitbut, Jawbone, Apple (ou toute autre application biométrique de fitness) étaient récupérées par un tiers à cause d'une faille de sécurité, d'une politique de confidentialité un peu douteuse, d'un service publicitaire espion ou d'un utilisateur peu prudent, elles seraient vendues au plus offrant.

D'ailleurs, qui est le plus offrant ? Les publicitaires, toujours. Plus les données personnelles sont spécifiques, plus les publicités ciblées sont efficaces. Les capteurs des wearables orientés sport, les smartwatches et les smartphones peuvent mesurer votre rythme cardiaque, respiratoire, la quantité de mouvements que vous faites pendant la nuit, et déterminer la qualité de votre sommeil à partir de divers signaux physiologiques.

On imagine bien que ces renseignements permettront aux annonceurs de vous présenter des publicités pour des somnifères ou pour des matelas de qualité supérieure. « En observant votre niveau de stress, la qualité et la durée de votre sommeil ainsi que votre historique de navigation, des spécialistes marketing pourraient même en déduire comment se porte votre couple » affirment des experts.

Cette information intéresse également les compagnies d'assurances ; elles ont déjà commencé à tisser des partenariats avec des applications de fitness, afin de récompenser ceux qui, parmi leurs clients, « prennent soin de leur santé. » L'initiative a l'air sympathique à première vue, mais il y a un revers de médaille : les pratiques et les comportements considérés comme « nocifs », pourraient, quant à eux, pourraient faire monter les prix des primes d'assurance.

« On pourrait remarquer, par exemple, que je reste éveillé une partie de la nuit, et donc que je ne prends pas soin de moi » explique De Mooy.

Les entreprises commencent elles aussi à collaborer avec des compagnies d'assurance et à distribuer des appareils biométriques afin de promouvoir la santé au travail. En échange, les travailleurs doivent autoriser leur employeur à récupérer leurs données médicales ; s'ils n'y consentent pas, ils risquent d'être sanctionnés d'une manière ou d'une autre (Les employés de la chaine pharmaceutique CVS, aux Etats-Unis, doivent ainsi révéler l'évolution de leur poids, de leur indice de masse graisseuse, de leur cholestérol, de leur pression artérielle, de leur glycémie. Ceux qui refusent doivent payer 50€ de plus par mois pour leur prime d'assurance).

Ce n'est pas tout. Les données sur le sommeil pourraient permettre à des pirates informatiques (qui peuvent être des cambrioleurs ou des harceleurs) de savoir quand vous vous trouvez chez vous, dans votre lit, et quand vous n'y êtes pas. Enfin, ces informations pourraient également être retenues contre vous lors d'un procès : la compagnie qui assure votre voiture pourrait vous accuser de ne pas avoir suffisamment dormi la nuit précédent votre accident de la route.

Mesurer le sommeil (ou l'insomnie) pourrait même contribuer à révéler un cas d'infidélité. « Les bracelets qui enregistrent vos mouvements pendant la nuit pourraient révéler des événements un peu gênants » explique Andrew Boyd, professeur de sciences de l'information médicale, chez Network World. « Je me demande qui sera le premier avocat à révéler une infidélité au moyen de données sur le sommeil. »

« Ces scénarios semblent un peu tirés par les cheveux ; pourtant, ils sont tout à fait susceptibles de se réaliser » ajoute De Mooy. « Si les outils biométriques continuent de se multiplier, et s'ils commencent à échanger entre eux, les fuites de données sont inévitables. »

Pourtant, Fitbit et Apple Watch n'ont-ils pas promis de ne jamais vendre vos données personnelles, ou de les garder anonymes à défaut ? Oui, pour le moment. Mais les politiques en matière de vie privée changent très rapidement. Et bien souvent, les conditions d'utilisation que vous signez les yeux fermés sont formulées de façon suffisamment ambiguës pour les entreprises s'autorisent à faire ce qu'elles veulent de vos données sans crainte de conséquences juridiques.

Vos données peuvent s'échapper de plusieurs façons différentes, accidentelles ou non. Une fois qu'elles sont dans la nature, il n'est pas très difficile de vous retrouver, même si vous utilisez un logiciel destiné à conserver votre anonymat.

Si l'on y regarde de plus près, les conditions d'utilisation de Fitbit, Jawbone, et des principales smartwatches du marché (commercialisées par Apple, Google ou Microsoft) sont assez floues. Elles vous disent généralement : « Nous ne vendons pas vos données personnes à des tiers, sauf si elles sont désidentifiées. » Par « désidentifiés », on entend que votre nom, votre adresse, votre numéro de sécurité sociale, etc. sont masqués. Mais avec un peu de pratique, il est très facile de remonter à vous malgré tout, explique Timothy Libert, doctorant spécialisé dans les données biomédicales et la vie privée.

« En général, quand une entreprise emploie le mot 'anonyme', en réalité elle veut dire 'pseudonyme'. C'est très différent. Vos données sont associées à un identifiant aléatoire ('u91u232u390' par exemple) sur la base de données de l'entreprise. Cependant, celle-ci possède une seconde base de données où cette fois, l'identifiant aléatoire est associé à une personne spécifique (par exemple, 'u91u232u390: Meghan Neal'). Il est donc très facile de désidentifier et réidentifier une personne sur demande » explique Libert. « Un identifiant aléatoire peut être associé à une adresse personnelle, ou à des données de géolocalisation retraçant le parcours de votre jogging du matin. Ceci peut servir à vous retrouver facilement, même si les données sont prétendument 'anonymes'. »

Plus les données circulent entre des gadgets, des services et des personnes différents, plus il est facile de réidentifier les profils anonymes. Google, par exemple, possède assez de données dites 'anonymes' pour vous identifier en quelques secondes, explique De Mooy. « Il y a un moment où la désidentification n'a plus aucune valeur. » En outre, Facebook utilise le même procédé que Google en exploitant les données biométriques que l'utilisateur choisir de publier sur son profil.

Le Pew Research Center a découvert qu'au moins 34% des applications biométriques partageaient leurs données avec un tiers. « À chaque fois que l'on vous proposer la fonction 'partager', vous devriez vous méfier » dit Libert. « Une fois que les données ont été partagées, vous n'avez aucune idée de là où elles peuvent atterrir. »

« La dernière raison pour laquelle vos données peuvent vous échapper, c'est votre propre négligence » ajoute De Mooy. Les options de partage par défaut risquent de rendre les données de l'utilisateur publiques sans qu'il en ait conscience. Parfois, il y consent sans le savoir parce que les conditions d'utilisation sont trop longues et trop pénibles à lire. Il est déjà arrivé que l'activité sexuelle d'utilisateurs Fitbit soit publiée en ligne sans leur accord

Enfin, si une entreprise est achetée par une autre, ou si elle fait faillite, vos données sont susceptibles d'être vendues. Ces événements constituent une mine d'or pour les publicitaires. Prenons le cas de Radioshack, par exemple : après avoir fait faillite, elle a vendu sa base de données clients aux enchères.

Nous sommes incapables d'imaginer toutes les utilisations possibles des données biométriques que nous abandonnons à autrui sans y penser. D'autant plus que les réglementations sur les gadgets et les applications concernés sont encore embryonnaires. Contrairement aux informations que vous donnez à votre médecin, les données issues des wearables ne sont pas protégées. Les agences de santé ne se sont pas encore saisies du problème.

Même si le mouvement du

quantified self

pourrait avoir des effets positifs sur la santé publique, il ne faut pas rester aveugle aux risques encourus.

En général, en matière de vie privée, les experts ont tendance à attendre une catastrophe avant de sonner l'alarme. « Je n'ai pas envie de jouer le rôle du parano de service, mais il faut dire ce qui est : si vous surveillez votre activité physiologique grâce à un gadget quelconque, les données produites vous échapperont toujours à un moment ou à un autre. »