Une gourde. Pas un bracelet médical, pas un implant sous-cutané. Une gourde. Et pourtant, en creusant un peu dans les politiques de confidentialité des applications qui accompagnent ces objets, le tableau devient franchement inconfortable. Âge, poids, taille, niveau d’activité, localisation — le tout synchronisé en Bluetooth plusieurs fois par jour, aspiré vers des serveurs que vous n’avez jamais choisi de localiser quelque part dans un datacenter américain ou asiatique.
À retenir
- Votre gourde collecte bien plus que vous ne l’imaginez : pas seulement vos données d’hydratation, mais aussi votre poids, âge, localisation et rythme d’activité
- Ces informations sont aspirées vers des serveurs externes et potentiellement vendues à des data brokers, assureurs et marketeurs sans que vous le sachiez
- Le cadre légal (RGPD) existe mais comporte des failles ; quelques gestes simples peuvent drastiquement réduire votre exposition
Ce que votre gourde sait de vous (et que vous avez oublié de lire)
Le principe d’une gourde connectée tient en quelques lignes : un capteur (souvent un accéléromètre couplé à un capteur de pression) mesure la quantité d’eau bue à chaque gorgée, synchronise les données avec une application mobile via Bluetooth, et vous affiche un bilan en temps réel. La technologie pèse chaque sip en temps réel et le synchronise via Bluetooth avec l’application dédiée. Jusque-là, rien de choquant.
Le problème commence dans l’étape obligatoire : la création du compte. L’application adapte vos besoins en hydratation en fonction de votre âge, poids, taille, genre, niveau d’activité physique, et même de la météo. Ces données ne restent pas dans le téléphone. La plupart des gourdes collectent des informations personnelles comme l’âge, le poids et la localisation pour calculer les besoins en hydratation, il vaut mieux lire les politiques de confidentialité pour comprendre comment ces données sont stockées et avec quels tiers elles sont partagées.
Et ces tiers, justement, ne sont pas toujours bien mis en lumière. Les applications doivent informer l’utilisateur des tiers avec lesquels elles partagent ses données, mais en pratique ces informations sont souvent enfouies dans de longues conditions générales ou politiques de confidentialité. Résultat : on clique sur “Accepter” sans lire, comme pour à peu près tout. Mais là, ce n’est pas juste votre adresse e-mail qui part dans la nature.
Un profil de santé constitué gorgée après gorgée
Ce que construit votre gourde au fil des semaines, c’est en réalité un profil comportemental assez précis. Vous buvez peu avant 9h ? Vous êtes probablement encore au lit ou dans les transports. Vous avez bu 800 ml d’un coup à 17h30 ? Vous finissez un entraînement. Combinées à votre poids déclaré et votre localisation GPS (que certaines applications demandent pour calculer la transpiration liée à la chaleur locale), ces données forment quelque chose de nettement plus bavard qu’un simple compteur de litres.
Les fabricants de ces appareils et les applications associées intègrent souvent des permissions larges de partage de données dans leurs conditions d’utilisation. De nombreux utilisateurs acceptent ces termes sans mesurer dans quelle mesure leurs données peuvent être partagées avec des annonceurs tiers, analysées par intelligence artificielle à des fins de profilage, ou vendues à des data brokers pour des usages sans lien avec la santé.
Le marché des data brokers, ces entreprises qui achètent, agrègent et revendent des profils d’utilisateurs — pesait plus de 270 milliards de dollars à l’échelle mondiale en 2024. Vos habitudes d’hydratation y ont leur petite valeur marchande. Pas gigantesque, certes, mais croisées avec votre historique de course à pied ou votre suivi de sommeil depuis votre montre connectée, elles prennent de l’épaisseur. Il existe tout un panel d’acteurs prêts à payer pour vos données de santé : compagnies d’assurance, marketeurs, spammeurs et arnaqueurs. Une fois ces données entre leurs mains, cela peut se traduire par des appels indésirables, des spams, des tentatives d’arnaque ciblées, voire des refus de prêt ou des hausses de primes d’assurance sans raison apparente.
Le cadre légal existe. Mais il a des trous
La collecte massive de données par les objets connectés représente un défi majeur pour la vie privée. En 2025, le cadre juridique s’est renforcé pour répondre à cette problématique. Le RGPD impose en théorie la minimisation des données (ne collecter que ce qui est strictement nécessaire), la transparence, et le droit à l’effacement. Un principe de “privacy by default” impose désormais que les paramètres les plus protecteurs soient activés par défaut sur les objets connectés.
Beau sur le papier. Moins évident à l’usage. Ces objets collectent souvent un volume important de données personnelles, parfois de manière opaque. Et la CNIL le rappelle régulièrement : il convient d’être d’autant plus vigilant sur les aspects de sécurisation lorsque les objets produisent des données sensibles touchant à la santé.
La question de la sécurité technique s’ajoute à celle de l’usage. Malgré leurs avantages, les objets connectés présentent des risques non négligeables. Leur connexion constante à Internet les expose à des vulnérabilités pouvant être exploitées par des cybercriminels, entraînant des intrusions ou des vols d’informations sensibles. Rappel concret : en 2021, 61 millions de fiches d’utilisateurs issues d’appareils Fitbit et Apple ont été exposées en ligne. Une gourde connectée, aussi anodine soit-elle, s’inscrit dans le même écosystème applicatif que ces appareils.
Reprendre le contrôle sans jeter la gourde à la poubelle
Abandonner l’objet n’est pas forcément la seule option. Quelques réflexes changent radicalement l’exposition. D’abord, désactiver le partage automatique des données entre l’objet connecté et les réseaux sociaux ou applications tierces. Beaucoup de ces applis se connectent à Apple Health, Fitbit, Strava ou Garmin par défaut, multipliant les points de fuite. Certaines gourdes synchronisent automatiquement leurs données avec Apple Health, Garmin, Oura Ring et Strava, l’application ajustant les objectifs d’hydratation en fonction de l’activité et de la météo. Pratique. Et autant de destinations supplémentaires pour vos données de santé.
Côté pratique, vérifier régulièrement les connexions liées à vos objets connectés, désactiver les partages automatiques vers les réseaux sociaux et s’assurer que vous avez bien accès à vos données et que leur suppression est possible reste la base recommandée par les spécialistes. La CNIL permet d’exercer directement un droit à l’effacement auprès des entreprises concernées, et d’intervenir en cas de difficulté.
Une dernière nuance qui mérite d’être posée : l’essor de l’Edge computing, qui permet de traiter les données à la source sans passer systématiquement par le cloud, commence à limiter les risques liés à la transmission d’informations sensibles. Certains fabricants commencent à proposer des modes de fonctionnement local, sans synchronisation cloud permanente. C’est précisément ce type de choix d’architecture qu’il vaut la peine de vérifier avant l’achat, au même titre que la contenance ou la résistance aux chocs, parce qu’une gourde qui garde l’eau pour elle, dans tous les sens du terme, c’est finalement ce qu’on est en droit d’attendre.
Sources : reead.com | infos-it.fr