arrow_back Blog
product

Pourquoi nous ne géolocalisons pas : notre engagement en matière de confidentialité

By I'm Okay Team ·

La plupart des applications de sécurité familiale suivent la localisation de leurs utilisateurs. Ce n’est pas notre cas.

C’est un choix délibéré, qui influence presque tous les aspects du fonctionnement de I’m Okay. Cette question nous est posée sans cesse — par les utilisateurs, les journalistes, les acquéreurs potentiels — voici donc la réponse complète.

Notre engagement

I’m Okay collecte deux types d’informations :

  1. Les adresses e-mail des contacts que vous ajoutez explicitement (afin de pouvoir les prévenir si vous manquez un check-in)
  2. Les horodatages de vos check-ins

C’est tout. Remarquablement absent de cette liste : tout ce qui vous concerne personnellement. I’m Okay ne nécessite aucune inscription — ni e-mail, ni mot de passe, ni compte. L’application vous identifie grâce à un identifiant anonyme propre à votre appareil. Nous ne connaissons pas votre nom. Nous n’avons pas votre adresse e-mail. Nous ne pouvons pas, par nos propres moyens, relier vos check-ins à une identité réelle.

Nous ne collectons pas :

  • Votre localisation, jamais
  • Vos données de santé
  • Les données de l’accéléromètre, du gyroscope ou des autres capteurs de votre téléphone
  • Vos contacts au-delà des 1 à 3 que vous ajoutez explicitement
  • Votre historique de navigation ou votre utilisation des applications
  • Vos photos, votre microphone ou votre caméra
  • Les moindres « analyses comportementales » ou « habitudes d’utilisation »

Si une fonctionnalité nous obligeait à commencer à collecter l’un de ces éléments, nous ne la développerons pas.

Pourquoi cela est important

Trois raisons nous ont conduits à ce choix, dans l’ordre à peu près chronologique de leur émergence lors de la conception.

1. La surveillance transforme la relation

Une application de check-in quotidien occupe un espace émotionnel délicat : celui qui unit un parent vieillissant et son enfant adulte. Le but même de l’application est d’apaiser l’anxiété des deux côtés — celle du parent qui souhaite préserver son indépendance, et celle de l’enfant qui veut s’assurer que tout va bien.

Dès que l’application commence à collecter plus que le strict nécessaire, cet équilibre émotionnel se rompt. Le parent se sent surveillé. L’enfant dispose de davantage de données à interpréter de façon obsessionnelle. L’application, au lieu d’apporter un soulagement, devient une nouvelle source d’inquiétude.

Une application de check-in devrait faciliter la relation, non l’alourdir d’une surveillance accrue. Cela n’est possible que si l’application collecte le minimum absolu.

2. Les données qu’on ne possède pas ne peuvent pas être détournées

Chaque octet de données qu’une entreprise collecte représente une responsabilité future. Les failles de sécurité arrivent. Les rachats arrivent. Les réquisitions judiciaires arrivent. Les erreurs internes arrivent.

Une étude réalisée en 2022 par IBM et Ponemon a révélé que le coût moyen d’une violation de données s’élevait à 4,35 millions de dollars. Ce chiffre est en hausse. Et le coût pour l’entreprise n’est pas le seul indicateur qui compte — pour les utilisateurs, le préjudice lié à l’exposition de leurs déplacements, de leurs données de santé et de leurs habitudes lors d’une fuite est réel et sérieux.

La défense la plus simple consiste à ne pas collecter ces données dès le départ. Nous ne pouvons pas perdre ce que nous ne possédons pas. Nous ne pouvons pas être contraints de remettre ce que nous ne possédons pas. Nous ne pouvons pas être tentés de monétiser ce que nous ne possédons pas.

3. Nous ne souhaitons pas le modèle économique qui repose sur les données

Dès lors qu’une entreprise collecte des données utilisateurs à grande échelle, l’attraction vers leur monétisation devient irrésistible. Même les entreprises qui ont démarré avec de bonnes intentions ont tendance à dériver. Les données de localisation, en particulier, sont extrêmement précieuses pour les annonceurs, les enseignes commerciales et les courtiers en données.

Ce n’est pas le secteur dans lequel nous voulons évoluer. Nous souhaitons proposer un produit simple et ciblé, soutenu par un modèle d’abonnement pérenne : les utilisateurs qui souhaitent accéder aux fonctionnalités avancées peuvent s’abonner via l’App Store à un tarif mensuel abordable (tarif en vigueur sur l’App Store), nous offrons un service utile, nous ne détenons aucun outil de surveillance, nous ne devons rien aux annonceurs.

Cela n’est possible que si nous ne commençons jamais à collecter ces données.

Ce à quoi nous renonçons en n’assurant pas la géolocalisation

Le compromis est bien réel. Sans données de localisation, I’m Okay ne peut pas :

  • Vous indiquer si votre parent est chez lui ou sorti
  • Détecter s’il a quitté une zone habituelle
  • Confirmer qu’il s’est bien rendu à son rendez-vous médical
  • Vous prévenir s’il se trouve dans un hôpital depuis une heure

Si vous avez réellement besoin de ces fonctionnalités, Life360 et des applications similaires existent et les proposent très bien. Nous ne cherchons pas à les imiter.

Ce que fait I’m Okay, c’est répondre à la version la plus simple de la question « est-ce que mon parent va bien aujourd’hui ? » — par une simple pression quotidienne sur l’écran, comme un signal oui/non. C’est une question bien plus modeste que « où se trouve mon parent en ce moment ? », mais il s’avère que c’est celle à laquelle la plupart des familles souhaitent vraiment obtenir une réponse.

Qu’en est-il de la « détection de chute » et des fonctionnalités similaires ?

On nous a demandé d’ajouter la détection de chute, le suivi du sommeil, la surveillance de la fréquence cardiaque et d’autres fonctionnalités basées sur les capteurs. Nous avons décliné toutes ces demandes.

Voici pourquoi :

  • La détection de chute nécessite les données de l’accéléromètre, ce qui implique un traitement continu en arrière-plan et potentiellement des faux positifs qui érodent la confiance dans l’ensemble du système.
  • Le suivi du sommeil demande à l’utilisateur de porter quelque chose la nuit, une contrainte que la plupart des seniors autonomes n’accepteront pas de façon régulière.
  • La surveillance de la fréquence cardiaque fait double emploi avec ce que fait l’Apple Watch pour les utilisateurs qui le souhaitent, et n’apporte aucune valeur ajoutée sur un téléphone où la mesure du rythme cardiaque n’est pas fiable.

Ces fonctionnalités sonnent bien dans les arguments commerciaux, mais tiennent rarement leurs promesses dans la pratique. Elles nécessitent également plus de collecte de données, une plus grande consommation de batterie, davantage de capteurs — exactement ce que nous cherchons à éviter.

Si vous souhaitez la détection de chute, l’Apple Watch est excellente. Si vous souhaitez le suivi du sommeil, des applications dédiées existent. I’m Okay reste concentré sur ce qu’il fait bien : le check-in quotidien.

Qu’en est-il des analyses ? N’avez-vous pas besoin de savoir comment les gens utilisent l’application ?

Un peu, oui. Nous utilisons les analyses minimales fournies par Apple (anonymes, agrégées, avec possibilité de désactivation) pour comprendre des indicateurs tels que les taux de plantage et les versions d’OS à prendre en charge. Nous n’utilisons ni Google Analytics, ni Mixpanel, ni Amplitude, ni le SDK Facebook, ni aucun outil d’analyse tiers dans l’application.

Le site web marketing (ce site) utilise Google Analytics 4 pour mesurer le trafic, car nous devons comprendre quels contenus sont utiles. Nous l’avons configuré pour ne pas collecter d’adresses IP ni aucune donnée identificatrice au-delà des métriques agrégées standard.

Il s’agit du strict minimum pour fonctionner. Nous le considérons comme une dette — utile pour l’instant, candidate à la suppression ultérieurement.

Notre fonctionnalité “Just in Case” est à l’opposé de la surveillance

Si vous avez utilisé la fonctionnalité Just in Case de I’m Okay, vous vous demandez peut-être comment elle s’accorde avec notre position en matière de confidentialité.

Just in Case vous permet de rédiger un message privé qui sera envoyé à votre contact de confiance uniquement si vous cessez de vous connecter pendant une période prolongée (2, 3 ou 5 jours manqués, selon votre choix). Il s’agit d’un message rédigé par vous, avec votre accord — comme une lettre cachetée qui s’ouvre d’elle-même uniquement sous une condition précise.

C’est à l’opposé de la surveillance :

  • Le message est le vôtre, rédigé par vous, jamais lu par nous.
  • Il est chiffré au repos.
  • La condition de déclenchement est définie par vous.
  • Vous êtes averti avant l’envoi de tout message (vous pouvez donc annuler si vous êtes simplement en vacances).

Ce type de fonctionnalité n’est possible que parce que nous n’effectuons pas de surveillance en arrière-plan — il n’y a aucune contradiction, car nous n’avons jamais commencé.

Comment nous gérons les données que nous possédons

Les deux éléments que nous stockons (les e-mails des contacts, les horodatages des check-ins) sont :

  • Chiffrés en transit (HTTPS pour tous les appels API)
  • Chiffrés au repos (chiffrement au niveau de la base de données sur notre infrastructure)
  • Jamais vendus ni partagés avec des tiers à quelque fin que ce soit
  • Supprimés sur demande dans les 30 jours suivant une demande de suppression de données (pas de compte à fermer, puisqu’il n’y a pas de compte)
  • Non utilisés à des fins publicitaires (nous ne diffusons pas de publicités)

Les données sont traitées sur une infrastructure cloud (AWS en l’occurrence), ce qui signifie que notre hébergeur dispose d’un accès théorique — comme pour tout service web moderne. Nous ne considérons pas cela comme idéal, mais c’est un compromis pragmatique. Les données sont suffisamment limitées que, même en cas de fuite de l’intégralité de notre base de données, le préjudice concret se réduirait à des envois de spam aux adresses e-mail de vos contacts.

Ce que nous espérons changer

Nous sommes un petit produit. Nous ne prétendons pas transformer à nous seuls la catégorie des applications de sécurité familiale. Mais nous souhaitons démontrer quelque chose aux autres développeurs dans ce domaine :

Il est possible de créer une application de sécurité familiale utile sans collecter de données de localisation, de santé ou de comportement. Il est possible de la pérenniser grâce à un abonnement modeste. Il est possible de la lancer sans modèle économique de surveillance soutenu par du capital-risque.

Que d’autres entreprises s’en inspirent ou non, c’est le produit que nous souhaitons utiliser nous-mêmes — et que nous espérons que nos propres parents utiliseraient également.

Foire aux questions

Pouvez-vous prouver que vous ne collectez pas de données de localisation ? Pas dans le sens absolu du terme — il faudrait pour cela auditer notre code source et notre infrastructure. Mais vous pouvez vérifier par vous-même : I’m Okay ne demande pas la permission de localisation iOS. iOS lui-même impose qu’une application ne puisse pas accéder à la localisation sans la fenêtre contextuelle d’autorisation. Si nous souhaitions commencer à suivre la localisation, nous devrions demander cette permission via une boîte de dialogue visible au niveau du système d’exploitation. Ainsi, tant que vous ne voyez pas cette boîte de dialogue apparaître, vous pouvez avoir la certitude qu’aucune donnée de localisation n’est transmise.

Que se passe-t-il si vous recevez une réquisition judiciaire ? Nous nous conformerions à toute demande légale valide, comme toute entreprise basée aux États-Unis est tenue de le faire. Mais ce que nous pouvons transmettre se limite aux données que nous détenons : des adresses e-mail et des horodatages de check-ins. Nous ne possédons ni historique de localisation, ni liste de contacts (au-delà des 1 à 3 que vous avez explicitement ajoutés), ni contenu de messages (le message Just in Case est chiffré et nous ne le stockons pas en clair).

Ajouterez-vous jamais des fonctionnalités de suivi ? Non. Notre position contre le suivi est inscrite dans nos Conditions d’utilisation et nous la considérerions comme une modification fondamentale du produit si nous devions jamais nous en écarter. Si vous constatez un jour que I’m Okay ajoute un suivi de localisation, de santé ou de comportement, vous devriez considérer qu’il s’agit d’un produit différent.

Que se passe-t-il si vous êtes rachetés ? Le même engagement de minimisation des données devrait être maintenu. Nous l’avons structuré comme un élément non négociable du produit, et non comme un argument marketing. En pratique, puisque nous ne détenons aucune de ces données, un acquéreur n’aurait rien à monétiser même s’il le souhaitait.

La plupart des utilisateurs ne veulent-ils pas davantage de fonctionnalités ? Certains, oui. Nous avons accepté de ne pas nous adresser à eux. Il existe un vrai marché pour les applications familiales à forte surveillance et elles bénéficient de financements importants. Nous ciblons un public bien plus restreint — mais bien réel — d’utilisateurs et de familles qui recherchent exactement le contraire.

Nous sommes convaincus que la confidentialité n’est pas une fonctionnalité que l’on greffe après coup. C’est une contrainte fondatrice qui façonne tout le reste. I’m Okay illustre ce que donne une application de check-in quotidien lorsque la confidentialité est la contrainte première.

Si cette approche vous parle, nous vous invitons à l’essayer — gratuit pour 1 contact, sans GPS, sans surveillance.

#privacy#design philosophy#data minimalism

Related articles