Trois ans. Chaque nuit, portée au doigt, la bague mesurait tout : phases de sommeil, fréquence cardiaque au repos, température corporelle, variabilité du rythme. Des données précieuses pour comprendre sa propre biologie. Et puis, un soir, quelques paragraphes de politique de confidentialité relus attentivement ont suffi à tout changer. Ce que font réellement ces appareils de vos données de sommeil est bien plus complexe, et bien moins rassurant, que le beau tableau de bord de l’application.
À retenir
- Votre bague sait des choses sur votre santé que même votre médecin ignore encore
- Vos données de sommeil prennent des chemins que vous n’aviez jamais imaginés
- Les assureurs rêvent d’accéder aux données que votre bague collecte chaque nuit
Ce que votre bague sait de vous pendant que vous dormez
Les bagues connectées de type Oura Ring traquent le sommeil, le nombre de pas, les calories brûlées, la fréquence cardiaque, la fréquence respiratoire, la température corporelle, les périodes d’inactivité et même les siestes. En trois ans de port nocturne continu, c’est un portrait biométrique d’une précision redoutable qui se constitue. Pas de simples chiffres : certaines applications vont capter des données encore plus sensibles, comme la qualité du sommeil, l’état de santé mentale, constituant une sorte de dossier médical parallèle au dossier classique.
La dimension prédictive de ces données donne le vertige. Des études académiques ont montré que les données d’une bague connectée peuvent aider à prédire le début de symptômes liés au Covid, et potentiellement même une grossesse. Une bague qui sait que vous êtes malade avant vous. Un capteur qui détecte peut-être votre état de santé avant votre médecin. C’est fascinant. C’est aussi, selon le point de vue, profondément intrusif.
Les données de santé sont parmi les plus strictement encadrées par le RGPD (article 9). Leur violation peut avoir des conséquences graves : atteinte à la vie privée, discrimination, perte de confiance. Sur le papier. Car entre ce que dit le règlement et ce que font les plateformes, il existe une zone grise qui mérite d’être regardée en face.
Le chemin de vos données : de votre doigt à… où exactement ?
Une fois acquises, vos données de santé parcourent un chemin dont vous ne maîtrisez pas toujours la destination. La majorité des applications de santé gratuites tirent des revenus de la mise à disposition de vos données auprès de partenaires commerciaux. Les acteurs premium comme Oura ou Whoop affichent des engagements plus solides, mais le diable se niche dans les intégrations tierces. Oura traite notamment vos données personnelles pour permettre des intégrations tierces comme Google Health Connect et Apple HealthKit. Chaque interconnexion est une nouvelle surface d’exposition.
Le cas Whoop illustre bien la fragilité de ces promesses. Un recours collectif affirme que Whoop partage les données sensibles de ses utilisateurs sans leur consentement. Le fabricant de wearables essuie le feu des critiques pour une prétendue utilisation abusive des données et violation de la confidentialité. Parmi les données prétendument partagées figurent le rythme cardiaque, les niveaux d’oxygène dans le sang, la pression artérielle, les niveaux de stress et les habitudes de sommeil. Tout ce qu’un assureur, un employeur ou un courtier de données rêverait de consulter.
La plupart des politiques de confidentialité font état de pratiques de partage de données souvent rédigées avec des mentions juridiques si peu accessibles qu’elles semblent avoir pour but de préserver les entreprises plus que de protéger les utilisateurs. Et selon l’enquête CHOICE, seulement 20 % des personnes ayant téléchargé une application de santé déclarent consulter généralement la politique de confidentialité avant de le faire. Le contrat social du wearable repose donc sur une ignorance consentie.
Le spectre assuranciel : la donnée comme outil de tarification
C’est là que le sujet bascule du confort vers quelque chose de structurellement plus grave. Les compagnies d’assurance se sont lancées dans une course pour tenter de collecter le plus d’informations possibles sur votre mode de vie. Réseaux sociaux, objets connectés ou applications sur smartphones sont autant de sources de renseignements sur votre état de santé, une mine d’or pour évaluer les risques et fixer les primes. Ce qui était une hypothèse d’école devient une réalité commerciale : en 2026, l’intégration de wearables et de données IoT santé dans les contrats d’assurance est désormais une réalité commerciale.
Une application qui suit le rythme cardiaque peut détecter une arythmie et alerter l’utilisateur, mais ces informations pourraient également être utilisées par un assureur pour refuser une couverture. La bague connectée devient alors un délateur involontaire. Pas parce que vous l’avez voulu, mais parce que vous n’avez pas lu la case 47 des conditions générales, sous l’onglet “partage avec des tiers à des fins d’amélioration de service”.
Ces données de santé peuvent être communiquées à des tiers, notamment des assureurs. La CNIL le reconnaît dans ses propres publications. Les données traitées dans le cadre d’un contrat d’assurance doivent être pertinentes et nécessaires, mais les traitements de données de santé doivent faire l’objet d’une vigilance particulière. Vigilance du côté des assureurs, dont l’interprétation de “nécessaire” peut diverger sensiblement de la vôtre.
Reprendre le contrôle sans tout jeter
Retirer sa bague est une réaction légitime. Mais pas forcément la seule option. Le vrai problème n’est pas le capteur, c’est l’opacité du flux qui suit. Il est interdit de collecter des données à l’insu du consommateur et de les utiliser à d’autres fins que celles annoncées. Une fois l’objectif de la collecte réalisé, les données personnelles doivent être supprimées. La loi est claire. Son application, beaucoup moins.
Quelques réflexes changent radicalement l’équation. Dans les réglages de confidentialité, désactivez le partage de données avec des tiers quand c’est possible. Préférez les applications offrant un contrôle détaillé de vos données et une politique de confidentialité claire. Et pour le stockage : préférez les marques qui stockent en Europe, comme Withings à Issy-les-Moulineaux. La géographie des serveurs n’est pas un détail, c’est la différence entre le RGPD et le droit américain, infiniment moins protecteur.
Sur la question des droits individuels, la CNIL est votre meilleure alliée. Vous pouvez demander la suppression de vos informations auprès des entreprises concernées. Ce droit de suppression doit s’exercer directement auprès des acteurs impliqués ; en cas de difficulté, il est possible de s’adresser à la CNIL. Ce n’est pas abstrait : les grands acteurs du wearable ont des formulaires dédiés aux demandes de suppression de compte et de données associées.
Ce qui change la donne à plus grande échelle, c’est le mouvement réglementaire en cours. L’analyse d’impact (AIPD) devient obligatoire dès qu’un traitement présente un risque élevé, notamment en cas de traitement de données de santé à grande échelle. Les fabricants ne peuvent plus invoquer l’opacité comme confort juridique. Reste à savoir si les contrôles suivront la cadence d’un marché du wearable santé qui, lui, ne ralentit pas : selon les dernières estimations, ce marché atteindrait plus de 260 milliards de dollars à l’échelle mondiale. À cette vitesse, les données de vos nuits valent bien plus que le prix de la bague à votre doigt.
Sources : bitdefender.com | nextpit.fr