Confidentialité à vendre : l’Union européenne resserre son emprise sur le Fitbit de Google

Ilustração queixas da União Europeia relacionadas com a privacidade dos dados da Fitbit, empresa da Google

Fitbit, propriété de Google, fait face à trois plaintes relatives à la vie privée dans l’Union européenne, alléguant que l’entreprise exporte illégalement des données d’utilisateurs en violation des règles européennes en matière de protection des données. L’entreprise a un autre relevé et le cuirassé pourrait entraîner une amende de plusieurs millions d’euros.

Illustration de plaintes de l'Union européenne liées à la confidentialité des données de Fitbit, une société de Google

L’Union européenne (UE) affirme que Fitbit, une société appartenant à Google, utilise et envoie des données utilisateur qui ne sont pas conformes aux règles européennes. Les plaintes visent l’affirmation de Fitbit selon laquelle les utilisateurs ont consenti aux transferts internationaux de leurs informations – vers les États-Unis et d’autres pays –, arguant que la société force le consentement des utilisateurs, ce qui ne répond pas aux normes juridiques requises.

Le Règlement général sur la protection des données (RGPD) de l’UE définit un ensemble de règles sur la manière dont les informations des utilisateurs locaux peuvent être utilisées. Il comprend l’exigence que les sous-traitants disposent d’une base juridique valable pour traiter les données des personnes et l’établissement de contrôles sur les exportations de données.

Les violations du régime peuvent entraîner des sanctions financières pouvant aller jusqu’à 4 % du chiffre d’affaires annuel global du contrevenant.

Image de montre intelligente FitBit qui détecte le COVID-19

Les utilisateurs peuvent être forcés : soit ils acceptent, soit… ils acceptent !

La base juridique invoquée par Fitbit pour exporter les données des utilisateurs depuis l’Union européenne – le consentement – ​​doit répondre à certaines normes pour être valide. En bref, l’utilisateur doit être informé et le consentement doit être spécifique et libre.

Cependant, les plaintes allèguent que Fitbit force illégalement le consentement, car les utilisateurs qui souhaitent utiliser les produits et services pour lesquels ils ont payé n’ont pas la possibilité de consentir à l’exportation de données pour que les produits fonctionnent.

L’organisation européenne à but non lucratif de défense de la vie privée noyb a déposé des plaintes auprès des autorités de protection des données en Autriche, aux Pays-Bas et en Italie au nom de trois utilisateurs Fitbit (non identifiés).

Maartje de Graaf, l’avocat de noyb en matière de protection des données, a commenté dans un communiqué :

Tout d’abord, vous achetez une montre Fitbit pour au moins 100 euros. Ensuite, vous souscrivez à un abonnement payant, pour constater que vous êtes obligé d’accepter « librement » que vos données soient partagées avec des destinataires du monde entier. Cinq ans après l’entrée en vigueur du RGPD, Fitbit continue de tenter d’imposer une approche « à prendre ou à laisser ».

noyb est à l’origine de dizaines de plaintes RGPD couronnées de succès ces dernières années, notamment une série d’attaques contre Meta (Facebook). Ses actions ont récemment conduit l’entreprise à annoncer qu’elle commencerait enfin à demander le consentement des utilisateurs locaux pour le suivi et le profilage qui alimentent son principal ciblage publicitaire comportemental. Par conséquent, il vaut toujours la peine de suivre le litige stratégique de Noyb.

Lors de la création d’un compte chez Fitbit, les utilisateurs européens doivent « accepter le transfert de leurs données vers les États-Unis et d’autres pays dotés de lois différentes sur la protection des données ». Cela indique que vos données pourraient se retrouver dans n’importe quel pays qui ne dispose pas des mêmes protections de la vie privée que l’UE.

En d’autres termes : Fitbit oblige ses utilisateurs à consentir au partage de données sensibles sans leur fournir d’informations claires sur les implications possibles ou sur les pays spécifiques où vont leurs données. Il en résulte un consentement qui n’est pas libre, éclairé ou spécifique, ce qui indique que le consentement ne répond pas clairement aux exigences du RGPD.

Selon la politique de confidentialité de Fitbit, les données partagées n’incluent pas seulement des informations telles que l’adresse e-mail, la date de naissance et le sexe de l’utilisateur. L’entreprise peut également partager des données telles que des enregistrements d’alimentation, de poids, de sommeil, d’eau ou la surveillance de la santé des femmes ; une alarme; et des messages dans les forums de discussion ou à vos amis sur les Services.

Les données collectées peuvent même être partagées pour traitement avec des sociétés tierces dont nous ne savons pas où elles se trouvent. De plus, il est impossible pour les utilisateurs de savoir quelles données spécifiques sont concernées. Les trois plaignants ont exercé leur droit d’accès aux informations auprès du délégué à la protection des données de l’entreprise, mais n’ont jamais reçu de réponse.

Noyb écrit dans un communiqué de presse annonçant les plaintes de Fitbit.

1693516805 913 Confidentialite a vendre lUnion europeenne resserre son emprise sur

Les plaintes remettent également en question la validité du fait que Fitbit s’appuie sur le consentement pour les transferts de routine de données sensibles en dehors de l’espace européen.

Le RGPD indique clairement que le consentement ne peut être utilisé qu’à titre d’exception à l’interdiction des transferts de données en dehors de l’UE, ce qui indique que le consentement ne peut constituer une base juridique valable que pour des transferts de données occasionnels et non répétitifs. Fitbit, cependant, utilise le consentement pour partager régulièrement toutes les données de santé.

Il fait référence à noyb, arguant que les transferts de Fitbit sont « clairement systématiques » et se demandant également s’ils peuvent « passer le test de stricte nécessité », compte tenu de la quantité de données personnelles (y compris certaines données sensibles) qui sont exportées de manière routinière.

Alors que l’organe exécutif de l’UE, la Commission européenne, a adopté le mois dernier un nouvel accord sur l’adéquation du transfert de données avec ses homologues nord-américains – un accord de haut niveau qui vise à réduire les risques juridiques liés aux flux de données transatlantiques – noyb note que Fitbit ne prétend pas s’appuyer sur sur ce que l’on appelle le cadre de confidentialité des données UE-États-Unis pour les exportations de données des utilisateurs de l’UE.

Fitbit ne précise pas dans sa politique de confidentialité ou ailleurs qu’il transfère des données dans le cadre du nouveau cadre, mais il indique qu’il utilise le consentement et le SCC. [cláusulas contratuais-tipo] comme des « mécanismes de transfert ».

Fitbit n’est pas non plus certifié selon le cadre de confidentialité des données.

De plus, ce n’est qu’une question de temps avant que noyb ne conteste la validité du nouveau cadre devant la CJUE. [Tribunal de Justiça da UE]. Les problèmes fondamentaux liés aux lois américaines sur la surveillance persistent

de Graaf a déclaré à TechCrunch.

noyb a confirmé qu’il s’attend à ce que les trois plaintes soient transmises au principal organisme de protection des données de Google dans l’Union européenne, la Commission irlandaise de protection des données (DPC), conformément au mécanisme de guichet unique du RGPD pour accélérer le traitement des plaintes transfrontalières.

Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :

YouTube video