Quatre-vingt-neuf battements par minute à 3h du matin, deux épisodes de fréquence cardiaque élevée pendant le sommeil, une variabilité cardiaque dans le rouge trois semaines de suite. Ma montre enregistrait tout, consciencieusement, en boucle permanente. Jusqu’au jour où j’ai eu la curiosité d’aller voir, dans les paramètres de son application, à qui ces données étaient transmises. Ce que j’ai découvert m’a moins surpris que la liste, longue et discrète, d’applications tierces silencieusement autorisées à lire mon profil cardiaque complet.
À retenir
- Votre montre connectée partage vos données cardiaques avec une longue liste d’applications tierces dont vous ignoriez l’existence
- Le stockage géographique de vos données de santé détermine votre niveau de protection : Europe ou États-Unis, ce n’est pas la même chose
- Les politiques de confidentialité camouflent les autorisations réelles dans des documents de 40 pages que personne ne lit
Votre pouls au service de combien d’acteurs ?
Les montres connectées accumulent des données personnelles de nature très variée : données de santé, habitudes quotidiennes, déplacements, performances sportives. Ces données sont collectées par les montres et appareils eux-mêmes. De plus, par les applications mobiles associées. C’est là que le bât blesse. Entre l’écran de votre montre et votre poignet, il y a en réalité une chaîne d’intervenants que peu d’utilisateurs prennent le temps d’identifier.
Prenons un exemple concret. Fitbit, devenu Google Health, enregistre des données de santé et de bien-être telles que le nombre de pas, la distance parcourue, les calories brûlées, le poids, la fréquence cardiaque, les phases de sommeil, les minutes actives, ainsi que les saisies manuelles dans l’application ou celles issues d’autres services associés comme des applications tierces. Strava, MyFitnessPal, des applications de coaching nutritionnel… chaque connexion autorisée est une nouvelle porte ouverte. Si vous partagez vos données avec un tiers tel que MyFitnessPal ou Strava, toutes ces informations très personnelles se retrouvent alors sous la politique de confidentialité de ce tiers, qui peut s’avérer moins protectrice que celle du fabricant d’origine.
Ce que peu d’utilisateurs réalisent également : les types de données partagés via les API incluent la fréquence cardiaque, les pas, le sommeil, mais aussi des données de santé plus sensibles comme le cycle menstruel ou certains indicateurs liés aux dossiers médicaux. Des informations qui dessinent un portrait de santé bien plus précis qu’un simple compteur de pas.
Le flou géographique des données cardiaques
En 2025, ces dispositifs sont devenus des outils du quotidien, mais leur essor soulève un enjeu majeur : la protection des données personnelles. Le marché des wearables santé a atteint plus de 260 milliards de dollars cette même année. Une manne qui attire bien au-delà des fabricants de matériel.
La réalité géographique du stockage de ces données mérite un arrêt. Polar et Sigma apparaissent comme les acteurs les plus engagés dans la sécurisation des informations, grâce à un stockage principalement en Europe, une application stricte du RGPD et une limitation du partage avec des tiers, leur statut d’entreprises 100% européennes les aidant dans cette démarche. À l’opposé, Garmin et surtout Strava présentent des risques accrus en raison de leur soumission aux lois américaines, notamment le Cloud Act, qui pourrait permettre aux autorités américaines d’accéder aux données des utilisateurs.
Ce n’est pas anodin. Le Cloud Act américain autorise le gouvernement des États-Unis à réquisitionner des données hébergées par des entreprises américaines, quel que soit le pays où les serveurs sont physiquement situés. Votre fréquence cardiaque nocturne stockée chez une entreprise américaine n’est donc pas protégée par le seul RGPD. Si ces données sont stockées hors de l’UE, elles doivent faire l’objet d’une clause contractuelle qui encadre cette délocalisation. Une obligation légale que les utilisateurs ne vérifieront probablement jamais.
Ce que dit le droit, ce que fait la pratique
Toute collecte, traitement ou transfert de données de santé personnelles en Europe est soumise au RGPD. Sur le papier, le cadre est solide. Les données de santé bénéficient du niveau de protection le plus élevé sous le RGPD. L’article 9(1) en interdit par principe le traitement, sauf exceptions limitativement énumérées. Mais voilà où la nuance s’impose : les données brutes comme le nombre de pas ou le rythme cardiaque instantané ne sont pas systématiquement qualifiées de données de santé au sens strict. C’est une distinction que les fabricants utilisent habilement.
Le Comité Consultatif National d’Éthique l’a pourtant clairement identifié : toute donnée primaire issue d’une activité humaine, même sans lien apparent avec la santé, peut contribuer par son croisement avec d’autres données à la création d’une information nouvelle relative à la santé d’une personne. Votre rythme cardiaque seul ne dit pas grand chose. Croisé avec votre âge, votre localisation, vos habitudes de sommeil sur deux ans et vos niveaux de stress hebdomadaires, il permet de dresser un profil médical d’une précision troublante.
La CNIL a d’ailleurs sanctionné Doctissimo de 380 000 euros en 2023 pour des manquements au consentement et à la conservation des données de santé. Le RGPD a obligé les sociétés à informer de manière claire sur les données en question, leur stockage, leur traitement, le partage éventuel et leur utilisation. L’obligation existe. L’information, elle, se noie souvent dans des politiques de confidentialité de 40 pages que personne ne lit.
Reprendre le contrôle : ce que vous pouvez faire maintenant
La bonne nouvelle : les outils existent. Sur iPhone, vous contrôlez les données qui sont stockées dans l’app Santé, ainsi que les données qui sont partagées avec des apps tierces et des personnes de confiance. Sur Android, Santé Connect stocke de manière sécurisée vos données de santé et de remise en forme sur votre téléphone et vous permet de contrôler les applications autorisées à y accéder. Encore faut-il aller le vérifier, ce que moins d’un utilisateur sur dix fait spontanément.
La manipulation concrète prend moins de cinq minutes. Sur Android, ouvrez Santé Connect dans les paramètres, section “Autorisations des applications” : la liste de ce qui lit vos données cardiaques peut surprendre. Rendez-vous dans la page des applications connectées pour vérifier la liste des services tiers qui accèdent à vos données de santé, puis révoquez les autorisations des applications que vous n’utilisez plus.
Pour les utilisateurs qui basculent vers Google Health depuis Fitbit, une vigilance particulière s’impose. Les données partagées avec des développeurs tiers sont soumises aux règles de confidentialité et aux conditions d’utilisation de ces développeurs. L’application Google Health ne peut pas supprimer les informations qu’elle conserve une fois que vous l’avez autorisée à accéder à vos données. Un consentement accordé une fois peut donc difficilement être effacé rétroactivement.
Le marché évolue, et les attentes des utilisateurs avec lui. Cette révolution numérique ne pourra être durable que si elle s’accompagne d’une gouvernance éthique des données. L’innovation doit aller de pair avec la transparence et la protection de la vie privée. En attendant que les fabricants y soient contraints par la réglementation, l’audit de vos autorisations reste le geste le plus efficace, le plus rapide et le plus sous-estimé de l’hygiène numérique moderne. Moins glamour qu’un nouveau capteur ECG, mais infiniment plus utile.