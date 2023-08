"Votre Fitbit ne sert à rien - à moins que vous ne consentiez à un partage illégal des données." C'est sur ces mots que s'ouvre le dernier communiqué du groupe d'activistes européens NOYB (pour "None Of Your Business"), lequel a annoncé le 31 août avoir déposé trois plaintes contre Fitbit au regard d'une violation du Règlement général sur la protection des données (RGPD). Acquise en 2021 par le géant Google, la société américaine Fibtit, qui commercialise des objets connectés traquant l'activité physique et d'autres comportements de ses clients, est en effet accusée de contraindre ces derniers à un transfert illicite de données vers les Etats-Unis.



"Contrairement aux exigences légales, les utilisateurs n'ont même pas la possibilité de retirer leur consentement, écrit la structure de Max Schrems. Au lieu de cela, ils doivent supprimer complètement leur compte pour mettre fin au traitement illégal." Une pratique qui, lorsqu'elle concerne des individus européens, est contraire à la loi européenne, laquelle oblige les entreprises qui collectent des données à offrir une alternative afin que leurs clients puissent continuer à utiliser leurs services. "Cinq ans après l'entrée en vigueur du RGPD, Fitbit tente toujours d'imposer une approche "à prendre ou à laisser"", a résumé Maartje de Graaf, avocate de NOYB.

Une politique opaque

NOYB a déposé trois plaintes contre Fitbit, l'une en Italie, une autre aux Pays-Bas et une dernière en Autriche, sur le fief de l'ONG. Les griefs décrits par les experts de la vie privée en ligne sont nombreux. Ils reprochent à Fitbit de collecter des données personnelles qui dépassent les habituelles informations sur le genre, l'adresse e-mail et la date de naissance, incluant des détails sur l'alimentation, le poids, le sommeil, le suivi de la santé féminine ainsi que le contenu de messages. Surtout, est reproché à l'entreprise le partage de toutes ces données avec des sociétés tierces "dont nous ne connaissons pas la localisation", relève NOYB.



Une politique de confidentialité particulièrement opaque inadaptée à la sensibilité des données personnelles que l'entreprise traite. Il a d'ailleurs été documenté de nombreuses fois que les applications de suivi du sport pouvaient en dire très long sur l'identité d'une personne physique et étaient régulièrement la cible de pirates informatiques. L'ONG a également constaté que le data protection officer (DPO) de Fitbit ne répondait pas aux demandes de droit à l'information des clients européens, ce qui est pourtant inscrit noir sur blanc dans le RGPD.

NOYB exige une amende

Il apparaît dans la plainte adressée aux autorités de protection des données des trois pays précédemment cités que le cœur du problème réside dans le transfert des données personnelles vers les Etats-Unis. Depuis l'invalidation du Privacy Shield en 2020, un processus initié au passage par l'activiste et cofondateur de NOYB, Max Schrems, les entreprises n'ont le droit d'envoyer des informations sur leurs utilisateurs européens vers leurs serveurs américains qu'à certaines conditions. "Le consentement ne peut être une base juridique valable que pour des transferts de données occasionnels et non répétitifs", note NOYB en précisant que ce n'est pas la pratique de Fitbit.



À ce titre, l'ONG exige des changements immédiats de la part de la filiale de Google. Elle demande surtout aux CNIL autrichienne, italienne et néerlandaise de remplir leur rôle de gendarmes de la vie privée en ligne en imposant à Fitbit des modifications de sa politique de confidentialité. D'après les calculs de NOYB en lien avec le chiffre d'affaires annuel d'Alphabet, ces autorités qui vont très probablement ouvrir des investigations et des procédures de sanction pourraient infliger à l'entreprise une amende de 11,28 milliards d'euros. De quoi potentiellement la faire réagir.