Des millions de personnes dorment, courent, travaillent avec une bague connectée au doigt, et une fraction infime d’entre elles a lu les conditions générales d’utilisation de l’application associée. Ce n’est pas un reproche : ces documents font parfois plus de 12 000 mots. La politique de confidentialité la plus longue analysée dans une étude récente sur les wearables atteignait 12 125 mots, la plus courte 4 408. Autant dire que personne ne les lit. Et c’est précisément là que commence le problème.
À retenir
- Les bagues connectées collectent bien plus que le pouls : jusqu’à 16 catégories de données incluant localisation et contenus utilisateurs
- Contrairement aux données médicales, vos biométriques wearables ne bénéficient pas des mêmes protections légales et peuvent être revendues anonymisées
- Les nouveaux modèles avec microphone repèsent sur la confiance envers le fabricant, sans audit de sécurité indépendant
Ce que la bague sait de vous, et que vous avez oublié de lui demander
Les bagues connectées représentent une façon innovante de surveiller santé et bien-être, mais parce qu’elles sont portées au contact direct du corps, elles peuvent collecter une quantité massive d’informations sensibles. Une fois associées à leur application compagnon, elles tracent les données en continu, 24h/24, 7j/7, tant qu’elles sont portées. La plupart des utilisateurs imaginent que leur bague mesure juste le pouls et les phases de sommeil. La réalité est plus large.
Une analyse portant sur sept applications compagnons de bagues connectées majeures (Oura, Ultrahuman, RingConn, Evie Ring, Luna Ring, Zepp et Circular Ring) a montré que ces apps peuvent collecter jusqu’à 16 types de données différents, soit presque la moitié des 35 catégories référencées sur l’App Store. Parmi elles : informations de contact, données de santé et fitness, localisation, contenus utilisateurs, mais aussi données audio. Données audio. Le terme mérite qu’on s’y arrête.
La grande majorité des bagues du marché n’embarquent pas de micro. L’Oura Ring, la Samsung Galaxy Ring ou l’Ultrahuman Ring Air se concentrent sur des capteurs biométriques classiques, fréquence cardiaque, température cutanée, accéléromètre. Sous la coque anodisée, on trouve un ensemble de LEDs de photopléthysmographie, des thermistors, des accéléromètres et parfois des électrodes de conductance cutanée, qui captent fréquence cardiaque, variabilité cardiaque, saturation en oxygène, température de peau et rythme respiratoire. Pas de micro donc — mais l’application, elle, en réclame parfois l’accès sur votre smartphone.
Le micro sur le doigt : une nouvelle catégorie déjà là
Le vrai tournant arrive avec une nouvelle génération de bagues qui, elles, intègrent explicitement un microphone. C’est le cas du Stream Ring de Sandbar, annoncé fin 2025, combinant enregistrement vocal, transcription par IA et contrôle musical dans un format conçu pour se fondre dans le quotidien, porté par une startup new-yorkaise fondée par d’anciens employés de Meta ayant travaillé sur les interfaces neurales. La promesse marketing : capturer vos pensées d’une simple pression. Le micro ne s’active que quand vous appuyez sur le pavé tactile, une conception “privacy-first” qui signifie que l’appareil n’écoute jamais de façon passive.
Mais cette garantie repose entièrement sur la confiance accordée au fabricant. Les affirmations sur la confidentialité dépendent de la confiance dans les pratiques de chiffrement et de gestion des données de Sandbar, alors que l’entreprise n’a pas encore publié d’informations détaillées sur les options d’export des données ni sur des audits de sécurité tiers. C’est la limite fondamentale du secteur : tout repose sur des engagements contractuels, pas sur une vérification indépendante.
Amazon avait tenté l’expérience avec l’Echo Loop, une bague connectée à Alexa. Le produit, désormais abandonné, proposait un contrôle vocal via Alexa. Son échec n’est pas anodin : les utilisateurs ont massivement rejeté l’idée d’un microphone en écoute permanente au doigt. La leçon a été retenue, au moins dans le discours.
Ce que font vraiment vos données biométriques
Contrairement aux données partagées avec un médecin, qui sont protégées par des lois strictes comme le RGPD en Europe, les données collectées par les wearables grand public ne bénéficient souvent pas de protection légale de même niveau. La plupart des fabricants d’applications santé ne sont pas considérés comme des entités soumises à ces mêmes obligations médicales. Ce vide juridique place l’utilisateur dans une position inconfortable : il doit faire confiance aux politiques de confidentialité du fabricant, sans filet de sécurité réglementaire robuste.
Si une entreprise le souhaitait, elle pourrait théoriquement vendre des données de santé dé-identifiées à des data brokers ou utiliser vos informations pour de la publicité ciblée, à moins qu’elle ne s’y soit explicitement engagée à ne pas le faire. La nuance “dé-identifiée” est trompeuse : des recherches répétées ont montré que des données anonymisées peuvent être ré-identifiées par recoupement, surtout quand elles sont aussi précises que des rythmes cardiaques nocturnes ou des cycles menstruels.
La plupart des marques partagent des données agrégées avec des partenaires académiques pour des études sur les rythmes circadiens et la prédiction de maladies. Les transferts directs à des assureurs ou des annonceurs sont généralement exclus, mais les conditions autorisent souvent des “prestataires de services”, comprendre des firmes d’analyse cloud — à traiter des logs dé-identifiés. Ce n’est pas rien. Ces prestataires ont un accès structurel à vos données, même si le contrat dit “anonymisées”.
Les leaders du marché font des efforts mesurables. Oura chiffre les données de bout en bout et a récemment déployé une “IA privée” déplaçant les calculs de forme et de phases de sommeil vers le moteur neuronal de votre smartphone. Seuls des agrégats anonymisés alimentent leurs collaborations de recherche. Une commande “Supprimer le compte” en un tap déclenche une purge sous 30 jours. Samsung, de son côté, utilise le Knox Vault pour le chiffrement au repos, et permet de désactiver l’IA cloud, bien que les sauvegardes vers Samsung Cloud restent actives sauf désactivation manuelle dans l’app Health.
La situation est plus tendue du côté de certains acteurs moins établis. RingConn héberge ses serveurs aux États-Unis et à Singapour. L’entreprise collecte moins de données personnellement identifiables que ses concurrents, mais le traitement sur l’appareil n’est prévu qu’à terme. La suppression des données nécessite d’envoyer un e-mail au support, qui promet d’effacer les logs sous 45 jours. Quarante-cinq jours pendant lesquels vos données biométriques restent quelque part sur des serveurs que vous ne contrôlez pas.
Ce que vous pouvez faire, concrètement
Explorer les pratiques de collecte de données des wearables révèle à quel point ces appareils pourraient facilement devenir des outils de surveillance. La situation se complique quand les utilisateurs portent plusieurs appareils simultanément, une bague Oura, une Apple Watch, des lunettes connectées. Avec la montée en puissance de l’IA dans ces dispositifs, le risque que des données biométriques immuables, comme l’empreinte cardiaque, échappent à notre contrôle grandit.
La parade n’est pas de renoncer à la bague, ses bénéfices sur le suivi du sommeil et de la récupération sont réels. Elle est de savoir précisément à quoi on signe. Il faut toujours lire les toggles d’opt-in lors de la connexion à Apple Health, Google Fit ou Strava, activer l’authentification à deux facteurs (désormais disponible chez les quatre grandes marques), activer l’IA sur l’appareil quand c’est possible et auditer régulièrement les exports vers des applications tierces.
Le marché des bagues connectées, évalué à 210 millions de dollars en 2023, pourrait dépasser le milliard d’ici 2032. Plus le parc installé grossit, plus les bases de données biométriques des fabricants s’enrichissent, et plus l’attractivité de ces données pour des tiers potentiels augmente. La prochaine étape probable, déjà évoquée dans les cercles réglementaires européens, est une labellisation obligatoire des wearables sur leurs pratiques de collecte, à l’image de ce qui commence à exister pour les appareils IoT domestiques. En attendant, la question à poser avant d’acheter n’est pas “combien de jours d’autonomie ?” mais “combien de jours mes données restent-elles sur leurs serveurs après suppression ?”
Sources : autosblog.fr | idealogeek.fr