Attention : *Confidentialité non incluse avec ce produit
Le Charge 6 de Fitbit, une nouveauté de 2023, est doté de toutes les fonctions de suivi de la condition physique auxquelles vous êtes habitué : suivi GPS, contrôle de la fréquence cardiaque, analyse du sommeil, gestion du stress, marches montées, calories brûlées, fréquence respiratoire, taux d’oxygène dans le sang, variations de la température de la peau et bien plus encore. Mais aujourd’hui, Fitbit (propriété de Google) a ajouté de nombreux services Google tels que Google Maps, Google Wallet et YouTube Music, tous accessibles depuis votre poignet. Cela semble intéressant. En revanche, du point de vue de la protection de la vie privée, le nouveau Fitbit Charge 6 nécessite une inscription et une connexion à un compte Google.
Que pourrait-il se passer en cas de problème ?
Nous sommes en 2023 et cela signifie que le couple Fitbit et Google, qui a été formé en 2019, s’est encore rapproché. Qu’est-ce que cela signifie pour le nouveau Charge 6 de Fitbit ? Bien, vous devrez désormais vous inscrire et créer un compte Google pour utiliser votre nouveau Charge 6. Super. Et lorsque vous utilisez un compte Google pour vous connecter à l’application Fitbit, vous acceptez les règles de confidentialité de Google, et non celles de Fitbit.
Google a publié une FAQ concernant Fitbit afin de préciser comment sa politique de confidentialité s’applique aux données particulières collectées par l’appareil de mesure de la condition physique. Google précise qu’ils collectent également votre taille, votre poids et votre sexe, car ils ont besoin de ces informations pour calculer la longueur de vos foulées, la distance parcourue et d’autres statistiques relatives à votre condition physique. Google peut également collecter toutes les informations que vous saisissez vous-même, comme votre photo de profil, les informations relatives au suivi de vos menstruations et les données relatives à la détection des ronflements. Très tentant ! Google peut également collecter les données générées par votre Fitbit à votre sujet : vos pas, la distance que vous parcourez, les calories que vous brûlez, votre fréquence cardiaque, les étapes du sommeil, etc. Ils collectent également des « données relatives à l’appareil » qui indiquent à Google comment vous utilisez l’application et à quel moment vous la consultez, ainsi que votre position précise (si vous le leur permettez).
Et quoi d’autre ? Google peut collecter des informations à partir de nombreuses autres applications de sport et de santé que vous choisissez de connecter à Fitbit. Nous vous conseillons de ne pas le faire. D’un autre côté, si vous utilisez déjà Gmail, Google Drive et Google Calendar pour gérer vos activités, cela fait déjà pas mal d’œufs dans le même panier pour la collecte de données. Dans le cadre de Fitbit Care, Google pourrait s’associer à votre employeur ou à votre assureur, auquel cas ils obtiendront des informations personnelles vous concernant afin de vous inviter à participer au service. La FAQ de Fitbit Care ne précise pas quelles informations peuvent être partagées avec votre employeur ou votre compagnie d’assurance, mais je me poserais certainement des questions à ce sujet avant d’officialiser la relation entre mon employeur et les informations relatives à ma condition physique. Je n’aimerais pas avoir à justifier de mon nombre de pas lors d’un entretien annuel.
Et maintenant, la question à un million d’euros. Google utilisera-t-il vos données de santé privées pour vous vendre des produits ou les combiner avec les tonnes d’informations qu’ils détiennent déjà probablement à votre sujet ? Google déclare : « Les données Fitbit relatives à la santé et au bien-être ne seront pas utilisées pour les publicités Google et continueront d’être traitées séparément des données publicitaires de Google ». C’est également ce qu’ils ont promis lorsqu’ils ont acheté Fitbit, mais cela n’empêche pas les personnes soucieuses de la protection de la confidentialité de s’inquiéter de la manière dont ces informations seront utilisées par l’une des plus grandes sociétés de données au monde. Comme l’a souligné le groupe de défense de la confidentialité NOYB, Fitbit de Google semble déjà contourner la loi européenne sur la confidentialité des données, le RGPD, en obligeant les utilisateurs à consentir au transfert de leurs données en dehors de l’UE s’ils veulent utiliser l’application.
Pouvez-vous confier vos données de santé à Google ? Chez *Confidentialité non incluse, nous avons toujours eu un peu de mal à faire confiance à Google. Il ne fait aucun doute que Google est un mauvais élève en matière de protection de la vie privée. La société a en quelque sorte créé la norme en matière de collecte massive de données nous concernant et d’utilisation de ces données pour la publicité ciblée. Après des années de collecte de données et de publicité ciblée, Google est aujourd’hui une entreprise qui pèse des milliards de dollars et qui dispose d’un pouvoir considérable dans le monde entier. Aujourd’hui, nous sommes peut-être trop habitués à ce que nos données soient récupérées pour nous proposer des publicités basées sur notre localisation, nos centres d’intérêt et les conclusions qui peuvent être tirées à notre sujet à partir de ces milliers de points de données. Tout cela est réellement néfaste pour la vie privée.
Cela dit, Google a toujours réussi à éviter notre avertissement *Confidentialité non incluse, car la société prend aussi de bonnes initiatives : par exemple, donner à chacun la possibilité de supprimer ses données. Elle fait un assez bon travail concernant cet aspect et toutes les données collectées à notre sujet sont gardées en sécurité, et nous savons que la société ne vend pas vraiment ces données car quel en serait l’intérêt ? Elle veut garder ces données pour elle-même afin de gagner beaucoup d’argent.
Cette année, nous avons enfin décidé que Google méritait de recevoir notre avertissement *Confidentialité non incluse (oui, nous ne contestons pas que nous aurions dû le faire plus tôt, mais nous avons une méthodologie reposant sur de nombreux critères que nous devons respecter et Google a toujours flirté avec la limite à ne pas franchir, en ayant de mauvaises pratiques sans pour autant cocher assez de cases pour recevoir notre avertissement). Nous vous expliquons ci-dessous pourquoi nous avons décidé de le faire cette année.
Tout d’abord, nous savons déjà que Google collecte une TONNE d’informations personnelles à notre sujet, que ce soit via nos requêtes vocales à Google Assistant, le suivi de la localisation, les recherches, les cookies, les technologies de suivi des applications etc. Et bien que la société affirme qu’elle ne vend pas ces informations, elle donne accès à celles-ci à de très nombreux tiers à des fins publicitaires. Google va encore plus loin ces jours-ci en affirmant qu’elle permet à « des partenaires spécifiques de collecter des informations à partir de votre navigateur ou de votre appareil à des fins publicitaires et de mesure en utilisant leurs propres cookies ou des technologies similaires. » Cela signifie que vous n’êtes pas seulement suivi par Google lorsque vous utilisez des appareils, mais aussi par ces mystérieux « partenaires spécifiques » d’une manière que vous pourriez ignorer ou à laquelle vous n’avez pas eu la possibilité de consentir. Ce n’est pas bon.
Nous sommes à présent à l’ère de l’IA, ce qui fait que la situation empire. Nous sommes très préoccupés par le fait que la politique de confidentialité de Google indique désormais que la société peut « utiliser des informations accessibles au public pour entraîner les modèles d’IA de Google. ». Cela nous préoccupe, nous et d’autres, car nous ignorons ce que Google entend par « informations accessibles au public », et nous ne savons pas si les utilisateurs en sont informés ou ont la possibilité de consentir à ce que ces données soient utilisées pour entraîner les produits d’IA de Google.
La deuxième grande inquiétude que nous avons à propos de Google concerne ses antécédents en matière d’honnêteté et de respect de toutes les informations personnelles recueillies à notre sujet. Google a accumulé une longue liste d’amendes pour violation de la vie privée. En 2023, la société a mis fin à un procès avec l’État de Californie avant que le tribunal ne prenne une décision pour un montant de 93 millions de dollars pour avoir continué à collecter et à stocker des données de localisation même après que les utilisateurs ont désactivé le suivi de la localisation, selon les termes de l’action en justice. En 2022, elle fit de même avec un procès similaire impliquant 40 États pour 392 millions de dollars, car elle continuait à suivre la localisation des utilisateurs qui avaient choisi d’en désactiver le suivi. Toujours en 2023, un procès de 5 milliards de dollars a été autorisé à se poursuivre contre Google pour avoir surveillé secrètement l’utilisation d’Internet par les utilisateurs. La juge a alors déclaré « qu’elle ne pouvait pas conclure que les utilisateurs avaient consenti à laisser Google collecter des informations sur ce qu’ils consultaient en ligne parce que l’unité Alphabet (GOOGL.O) ne leur a jamais explicitement dit qu’elle le ferait. » Et en décembre 2022, l’autorité française de protection des données a condamné Google à une amende de 57 millions de dollars pour « ne pas avoir reconnu la façon dont les données de ses utilisateurs sont traitées. » Il ne s’agit là que des amendes et des poursuites judiciaires qui ont eu lieu depuis notre dernier examen de Google en 2022. Au cours des dernières années, il y en a eu encore plus. La Corée du Sud a récemment infligé une amende de plusieurs millions de dollars à Google (et Meta) pour des violations de la vie privée, tout comme la France et l’Espagne. Et aux États-Unis, Google a fait l’objet d’un grand nombre de poursuites judiciaires et d’accords de la part du Texas, de la Californie, de Washington, de l’Illinois, de l’Arizona, de la Federal Trade Commission, et plus encore. Il est donc difficile de se fier à ce qu’une société dit faire de l’énorme quantité d’informations personnelles qu’elle recueille à votre sujet.
Voici un aspect de Google que nous apprécions : le fait que la société communique correctement avec les utilisateurs sur le processus de collecte et d’utilisation des données dans son centre de sécurité. Google collecte effectivement une tonne de données sur vous et vos enfants, surtout si vous ne prenez pas le temps de régler vos paramètres de confidentialité pour limiter la quantité d’informations pouvant être collectée. Vous devez absolument prendre le temps de régler ces paramètres de confidentialité. Attention, vous recevrez des notifications indiquant que certaines fonctionnalités risquent de ne pas fonctionner correctement si vous modifiez les paramètres. C’est ennuyeux, mais c’est le prix à payer pour un peu plus de confidentialité.
Que peut-il arriver de pire ? Lorsque l’on communique un grand nombre d’informations personnelles, en particulier des informations sensibles telles que l’endroit où l’on se trouve, et que l’on associe ces informations à des données de santé telles que le rythme cardiaque, l’humeur ou le cycle menstruel, il faut faire preuve d’une grande confiance. Et la confiance que nous accordons à Google, propriétaire de Fitbit, est fragilisée.
Conseils pour vous protéger
- Suivez les conseils de Fitbit pour que vos statistiques restent privées.
- Faites très attention aux sociétés tierces avec lesquelles vous consentez à partager vos données de santé. Si vous décidez de partager vos données de santé avec une autre entreprise, lisez leur politique de confidentialité pour voir comment sont protégées, sécurisées, partagées ou vendues vos données.
- Désactivez le partage des listes d’amis : dans la section « Amis » de votre page de profil, sélectionnez Paramètres de confidentialité, puis Privé.
- Ne vous inscrivez pas avec un compte tiers. Il vaut mieux vous connecter avec un e-mail et un mot de passe compliqué.
- Choisissez un mot de passe compliqué. Vous pouvez utiliser un gestionnaire de mots de passe comme 1Password, KeePass, etc.
- Utilisez les paramètres de confidentialité de votre appareil pour limiter l’accès à vos informations personnelles via l’application (n’autorisez pas l’accès à votre caméra, votre micro, vos images et votre localisation, sauf si nécessaire).
- Mettez votre application à jour régulièrement
- Limitez le suivi publicitaire via votre appareil (par ex., sur iPhone, accédez à Confidentialité -> Publicité -> Limiter le suivi publicitaire) et les plus grands réseaux publicitaires (pour Google, accédez à votre compte Google et désactivez la personnalisation des annonces)
- Demandez la suppression de vos données quand vous arrêtez d’utiliser l’application. La suppression d’une application de votre appareil n’entraîne généralement pas automatiquement la suppression de vos données personnelles.
- Lorsque vous vous inscrivez, n’acceptez pas le suivi de vos données, dans la mesure du possible.
Ce produit peut-il m’espionner ?
Caméra
Appareil : Non
Application : Oui
Microphone
Appareil : Non
Application : Oui
Piste la géolocalisation
Appareil : Oui
Application : Oui
Que peut-on utiliser pour s’inscrire ?
Adresse e-mail
Oui
Téléphone
Non
Compte tiers
Non
Selon Google, un compte Google sera requis pour certaines utilisations de Fitbit à partir de 2023, tous les utilisateurs ayant probablement besoin de comptes Google pour utiliser Fitbit en 2025. « En 2023, nous prévoyons de déployer les comptes Google sur Fitbit, ce qui permettra d’utiliser Fitbit avec un compte Google. Passée cette date de lancement, certaines utilisations de Fitbit nécessiteront un compte Google. »
Quelles données l’entreprise collecte-t-elle ?
Personnelles
« Nom, adresse e-mail ou informations de facturation, ou toute autre donnée pouvant être facilement reliée à ces informations par Google, telles que les informations associées à votre compte Google ; données de géolocalisation précises, y compris les signaux GPS, les capteurs d’appareils, les points d’accès Wi-Fi et les identifiants d’antennes-relais Selon vos préférences : photo de profil, biographie, informations sur le pays et nom d’utilisateur au sein de la communauté ; données relatives à vos activités, telles que les termes recherchés, les vidéos regardées, les vues et interactions avec le contenu et les annonces, les informations vocales et audio, les activités d’achat, les personnes avec lesquelles vous communiquez ou partagez du contenu, les activités sur les sites et applications tiers qui utilisent nos services, l’historique de navigation Chrome que vous avez synchronisé avec votre compte Google ; votre adresse, votre code postal et l’endroit où se trouve l’appareil ; données des capteurs telles que les mouvements détectés, les mesures de la lumière ambiante, la température, l’humidité, le monoxyde de carbone et les niveaux de fumée, ainsi que les informations dérivées de ces données, telles que les informations concernant le sommeil ; (si vous passez des appels) numéro de téléphone, numéro de l’appelant, numéro du destinataire, numéros de renvoi, adresse e-mail de l’expéditeur et du destinataire, heure et date des appels et des messages, durée des appels, informations de routage, et types et volumes d’appels et de messages ; localisation GPS et d’autres données des capteurs de votre appareil.
Corporelles
Taille, poids ; selon vos préférences : suivi de l’alimentation, du poids, du sommeil, de l’eau ou de la condition de santé des femmes Voix (si vous utilisez Google Assistant).
Sociales
Contacts
Comment l’entreprise utilise-t-elle les données ?
Comment pouvez-vous contrôler vos données ?
Quel est l’historique de l’entreprise en matière de protection des données des utilisateurs et utilisatrices ?
Google :
En janvier 2023, Google a confirmé l’existence d’une violation des données chez son fournisseur de réseau cellulaire Google Fi. Cette violation est liée au récent piratage de T-Mobile. Google a immédiatement annoncé la violation. Google affirme que les pirates ont accédé à des informations limitées sur les clients, notamment des numéros de téléphone, l’état des comptes, les numéros de série des cartes SIM et des informations relatives aux plans de services mobiles des clients, par exemple s’ils ont choisi les SMS illimités ou l’itinérance internationale.
En septembre 2023, la société Google a été condamnée à payer 93 millions de dollars dans le cadre d’un arrangement à l’amiable concernant le suivi de localisation trompeur.
En décembre 2022, la société Google a été condamnée à payer une amende par l’autorité de surveillance de l’UE pour violation du RGPD.
En septembre 2022, Google a perdu le procès antitrust de l’UE qui lui infligeait une amende de plus de 4,34 milliards de dollars en raison de son monopole sur Android.
Google a reçu de nombreuses amendes de la part des autorités européennes, américaines et coréennes au cours des dernières années. La plus importante était l’amende de 170 millions de dollars infligée par le procureur général de New York pour avoir mal géré le consentement des enfants. Les autres affaires comprennent l’amende de 100 millions de dollars pour violation de la loi sur la confidentialité des informations biométriques dans l’Illinois, une amende de 71,8 millions de dollars pour mauvaise gestion du consentement en Corée du Sud, une amende de 57 millions de dollars pour violation du RGPD en France, ainsi que d’autres amendes des autorités locales de protection des données en Irlande, en Italie et en Espagne.
En août 2019, l’entreprise a admis que des partenaires travaillant à l’analyse d’extraits vocaux provenant de l’Assistant avaient fait fuiter les extraits vocaux d’utilisateurs et utilisatrices néerlandais·e·s. Plus de 1 000 conversations privées avaient été envoyées à un organe de presse belge, dont certaines révélaient apparemment des informations sensibles, comme des problèmes de santé et des adresses postales.
En décembre 2018, un bug a révélé les données de 52,5 millions d’utilisateurs de Google+.
Le Bulletin de sécurité Nest détaille les failles de sécurité ayant précédemment affecté les appareils Google Nest.
FitBit :
En août 2023, Fitbit a fait l’objet de trois plaintes en Europe portant sur le transfert de données, au motif que l’entreprise exporte illégalement des données d’utilisateurs en violation des règles de protection des données : « L’organisation à but non lucratif de défense du droit à la confidentialité NOYB a déposé une plainte auprès des autorités de protection des données en Autriche, aux Pays-Bas et en Italie, au nom de trois utilisateurs (anonymes) de Fitbit ». Au cours d’une déclaration, Maartje de Graaf, avocat spécialiste de la protection des données, a affirmé : « Premièrement, vous achetez une montre Fitbit valant au moins 100 euros, puis vous souscrivez à un abonnement payant pour découvrir que vous êtes forcé d’accepter « librement » le partage de vos données avec des utilisateurs du monde entier. Cinq ans après l’entrée en vigueur du RGPD, Fitbit continue à imposer une approche de type « c’est comme ça » ».
En 2021, les mesures de sécurité de Fitbit n’ont pas empêché la fuite de données majeure de 61 millions d’enregistrements de données de traqueur d’activité, parmi lesquelles les données utilisateur Fitbit, par le biais de la société tierce GetHealth. En septembre 2021, un groupe de chercheurs en sécurité a découvert que GetHealth disposait d’une base de données non sécurisée contenant plus de 61 millions d’enregistrements liés à des traqueurs d’activité et des services de fitness. GetHealth a accédé aux données de santé appartenant aux utilisateurs de traqueurs d’activité du monde entier et les a divulguées dans une base de données non chiffrée et non protégée par mot de passe. La liste contenait les noms, les dates de naissance, le poids, la taille, le genre et l’emplacement géographique, ainsi que d’autres données médicales, telles que la pression artérielle.
En 2020, il a été signalé que les adresses e-mail et les mots de passe de près de 2 millions d’utilisateurs de Fitbit ont été divulgués en ligne.
Informations liées à la vie privée des enfants
Ce produit peut-il être utilisé hors connexion ?
Informations relatives à la vie privée accessibles et compréhensibles ?
Les utilisateurs doivent examiner les politiques de confidentialité de Fitbit et de Google pour s’assurer qu’ils connaissent tous les aspects de la documentation relative à la confidentialité des produits Fitbit. Tout cela est compliqué, lourd et déroutant.
Liens vers les informations concernant la vie privée
Ce produit respecte-t-il nos critères élémentaires de sécurité ?
Chiffrement
Mot de passe robuste
Mises à jour de sécurité
Gestion des vulnérabilités
Politique de confidentialité
Les services FitBit Coach et FitBit Care reposeraient sur l’apprentissage automatique.
Google publie ses travaux de recherche en matière d’IA (https://ai.google/) et propose plusieurs outils open source. https://ai.google/tools
Cette IA est-elle non digne de confiance ?
Quel genre de décisions l’IA prend-elle à votre sujet ou pour vous ?
L’entreprise est-elle transparente sur le fonctionnement de l’IA ?
Les fonctionnalités de l’IA peuvent-elles être contrôlées par l’utilisateur ou l’utilisatrice ?
Pour aller plus loin
-
Your Fitbit is useless – unless you consent to unlawful data sharingnoyb
-
Fitbit targeted with trio of data transfer complaints in EuropeTechCrunch
-
Fitbit Setup RequirementsFitbit
-
Fitbit users will be forced to migrate to Google accounts by 2025The Verge
-
Fitbit Increases Security Requirements, Mandates Google Login From 2023Infosecurity
-
Google’s New Plan to Make Fitbit Data More Useful for HealthcareHealth Tech Insider
-
2 Million Fitbit Accounts Were Exposed by CybercriminalsHackerNoon
-
Standard Privacy Report for FitbitCommon Sense
-
Google Now Owns Fitbit: What It Means For Your Fitness Data PrivacyForbes
-
61M Fitbit, Apple Users Had Data Exposed in Wearable Device Data BreachHealth IT Security
-
Google closes $2.1B acquisition of Fitbit as Justice Department probe continuesFierce Healthcare
-
Here's what your Fitbit knows about youAvast
-
Fitbit Joins GoogleFitbit
Commentaires
Vous avez un commentaire ? Dites-nous tout.