Selon l’association de défense des droits numériques NOYB, Fitbit, l’entreprise de montres connectées, rachetée par Google en 2021, ne respecterait pas le RGPD, le règlement européen sur les données personnelles. La société enverrait les données recueillies dans d’autres pays – dont les États-Unis – en « forçant » le consentement des utilisateurs, sans leur donner des informations sur les pays de destination.
« Consentez ou partez » (« Agree or leave » en anglais), voilà comment est résumée selon l’ONG NOYB l’approche de Fitbit, le service d’objets connectés orientés santé et suivi de performances sportives de Google, à propos des données personnelles que l’entreprise recueille. Cette filiale de Google est l’objet de trois plaintes en Autriche, aux Pays-Bas et en Italie. À l’origine de ces trois actions en justice, NOYB, l’association cofondée par le juriste autrichien Max Schrems. L’ONG qui défend la vie privée numérique et qui est à l’origine de nombreuses actions en justice contre les géants du Web, estime que Fitbit ne respecte pas le RGPD, le Règlement européen sur les données personnelles. Celle qui est devenue une filiale de Google en 2021 « forcerait » ses utilisateurs à accepter le transfert des données en dehors de l’Union européenne, selon l’association.
L’entreprise vend notamment des appareils de suivi de fitness portables qui surveillent fréquence cardiaque et habitudes de sommeil, et qui comptabilisent le nombre de pas effectués. Les données recueillies sont ensuite synchronisées dans une application d’analyse et de suivi. Et ce sont justement ces data qui posent problème. Car outre les éléments classiques collectées par l’entreprise comme le sexe, la date de naissance ou l’adresse électronique, les bracelets recueillent aussi des informations particulièrement sensibles. Parmi elles, les données relatives « au nombre de pas que vous faites, à la distance que vous avez parcourue, au nombre de calories brûlées, à votre poids, votre rythme cardiaque, vos phases de sommeil, vos minutes d’activité et votre localisation » détaille la politique de confidentialité de l’entreprise. Le « suivi de la santé féminine » en fait aussi partie.
« Une approche à prendre ou à laisser, cinq ans après l’entrée en vigueur du RGPD »
Or, les données collectées peuvent être partagées « pour traitement avec des sociétés tierces dont nous ne connaissons pas la localisation », regrette l’association dans son communiqué. Elles seraient aussi envoyées aux États-Unis et dans d’autres pays hors de l’UE, où le RGPD – la loi européenne qui protège nos données personnelles – ne s’applique pas.
À lire aussi : Pourquoi le transfert de vos données personnelles aux États-Unis est un incroyable casse-tête
Pour éviter cela, il faudrait supprimer son compte – mais l’utilisateur perdrait d’un coup tout son historique d’utilisation – et donc toutes ses données. « Une approche à prendre ou à laisser, cinq ans après l’entrée en vigueur du RGPD », que déplore Maartje de Graaf, avocate de NOYB citée dans le communiqué de l’ONG. Le RGPD oblige normalement les entreprises à proposer une solution alternative, pour que les utilisateurs puissent continuer à utiliser les services.
L’association autrichienne demande donc à la Garante et aux CNILS autrichienne et néerlandaise de contraindre Fitbit à autoriser l’utilisation de ses produits sans avoir à transférer les données de santé.
Un consentement ni éclairé, ni donné librement, selon NOYB
Le mois dernier pourtant, un nouvel accord de transfert des données entre États-Unis et Union européenne a été conclu, mais selon NOYB, Fitbit ne s’appuie pas sur ce texte pour justifier les exportations de données des utilisateurs de l’Union européenne. L’entreprise indique en effet, dans sa politique relative à la confidentialité, utiliser le consentement et les CCS (les clauses contractuelles types) pour justifier ces transferts. Or pour utiliser ces deux bases juridiques – bien prévues par le RGPD pour justifier l’exportation de données outre Atlantique – l’entreprise doit respecter un certain nombre de conditions qui ne seraient pas remplies.
À commencer par le consentement qui ne peut pas être utilisé pour des transferts répétitifs et permanents de données vers les États-Unis – ce qui serait le cas de Fitbit, suggère NOYB. Et pour être valable, il doit surtout être éclairé, spécifique et donné librement. Ce dernier élément ferait défaut puisque les utilisateurs n’ont pas d’autre choix que de consentir au partage et au transfert de leurs données s’ils veulent continuer à utiliser les produits de Fitbit. Il ne serait pas non plus éclairé car l’entreprise ne précise ni les noms des entreprises partenaires ni les pays dans lesquels sont envoyées les data en question.
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
Si cette violation du RGPD se confirme, la société risquerait une amende très salée correspondant à 4% de son chiffre d’affaires mondial. Elle pourrait atteindre 11,28 milliards d’euros, estime NOYD, qui explique agir au nom de trois utilisateurs.
Source :
Communiqué de presse de NOYB