Introduction :
NOYB, l’organisation viennoise fondée par Max Schrems, militant pour la protection de la vie privée, a déposé trois plaintes contre Fitbit. Une entreprise de santé et de fitness populaire qui a été rachetée par Google en 2021. Ces trois plaintes ont été déposées dans trois pays différents, à savoir l’Autriche, les Pays-Bas et l’Italie. NOYB a déjà déposé des centaines de plaintes contre de grandes entreprises technologiques, allant de Google à Meta, pour violation de la vie privée. Il en résulte souvent de lourdes amendes.
Pourquoi NOYB a-t-il déposé une plainte contre Fitbit ?
NOYB a constaté que Fitbit demande aux utilisateurs européens de consentir au transfert de leurs données vers les États-Unis et de nombreux autres pays lors de la création d’un compte. Par conséquent, les personnes concernées qui utilisent un Fitbit n’ont aucune idée de l’endroit où leurs données personnelles aboutissent.
Fitbit oblige essentiellement ses utilisateurs à consentir au partage de données sensibles sans leur donner d’informations claires sur les implications potentielles ou les pays spécifiques auxquels leurs données sont destinées. Il n’est donc pas possible de savoir avec certitude si les données à caractère personnel sont traitées dans un pays où la protection des données est adéquate.
Consentement insuffisamment clair et honnête au partage des données
Les données collectées ont même été partagées avec des sociétés externes dont la localisation est inconnue de la personne concernée. De plus, il est impossible pour les utilisateurs d’identifier les données spécifiques concernées. Le DPD de Fitbit n’a pas non plus fourni de réponse claire aux personnes concernées.
Il en résulte un consentement qui n’est ni libre, ni éclairé, ni spécifique. Il est donc clair que ce consentement ne répond pas aux exigences du GDPR.
Une plongée en profondeur dans les préoccupations en matière de protection de la vie privée
En outre, il s’agit également d’informations très sensibles qui sont partagées. Selon la politique de confidentialité de Fitbit, les données partagées comprenaient non seulement des éléments tels que l’adresse électronique, la date de naissance et le sexe de l’utilisateur, mais aussi des données telles que les journaux de suivi de la consommation alimentaire, du poids, des habitudes de sommeil et de la consommation d’eau des personnes concernées, des messages postés par les personnes concernées sur des forums de discussion et même des messages privés adressés à des amis. Ce dernier point est possible parce qu’un appareil Fitbit peut recevoir des notifications des téléphones proches de l’utilisateur.
Une violation des règles du GDPR
Il y a aussi le fait que la seule façon pour les personnes concernées de retirer leur consentement est de supprimer leur compte. C’est ce que décrit la déclaration de confidentialité de Fitbit.
Pour les consommateurs, cela signifie qu’ils perdent toutes les données relatives à leurs entraînements et à leur santé qu’ils avaient précédemment suivies. Alors que ces données sont la raison pour laquelle beaucoup achètent un Fitbit, il n’y a pas de moyen réaliste de reprendre le contrôle de ses données sans rendre son produit inutilisable.
En d’autres termes, Fitbit ne donne pas aux personnes concernées la possibilité de retirer leur consentement d’une manière conforme aux dispositions du GDPR.
Ce faisant, les transferts de données aussi importants, qui sont actuellement effectués par Fitbit, ne sont pas autorisés. Cela signifie que même s’il existait un moyen de retirer son consentement, Fitbit ne serait toujours pas en conformité avec le GDPR.
En effet, le GDPR indique clairement que le consentement ne peut être utilisé que comme une exception à l’interdiction des transferts de données en dehors de l’UE. Par conséquent, le “consentement” ne peut être une base juridique valable que pour des transferts de données occasionnels et non répétitifs.
Cependant, Fitbit utilise ce consentement pour partager régulièrement toutes les données de santé des personnes concernées.
Quels sont les objectifs de NOYB ?
NOYB souhaite que Fitbit soit contrainte de partager toutes les informations obligatoires sur les transferts de données avec ses utilisateurs et qu’elle leur permette d’utiliser Fitbit sans avoir à consentir à ces transferts. Fitbit devra donc modifier sa politique de confidentialité afin que la suppression du compte ne soit plus le seul moyen pour les personnes concernées de retirer leur consentement.
Quelles conséquences ces accusations pourraient-elles avoir pour Fitbit ?
Si les plaintes de Noyb contre Fitbit déclenchent une enquête des autorités chargées de la protection des données et que les violations du GDPR sont confirmées par la suite, cela pourrait avoir des conséquences majeures pour Fitbit. Les amendes pour violation des règles du GDPR peuvent s’élever à 4 % du chiffre d’affaires annuel mondial d’une entreprise. En 2022, le chiffre d’affaires annuel de Google s’élevait à 280 milliards de dollars. Noyb suggère que Fitbit pourrait risquer des amendes allant jusqu’à 11,28 milliards d’euros si les violations sont confirmées.
Mettre de l’ordre dans le GDPR rapidement et à moindre coût ?
Cliquez ensuite sur Abonnements GDPR !