Actualités juridiques et digitales

Google acquiert Fitbit : devez-vous craindre pour vos données ?

Rédigé par Thomas LAJUDIE | Nov 8, 2019 10:31:14 AM

Par Thomas Lajudie

Le 1er novembre dernier, Google a annoncé avoir trouvé un accord pour l’acquisition de la société Fitbit pour un montant de 2.1 milliards de dollars, soit 7,35 dollars par part.

Le 25 octobre, soit juste avant que les premières rumeurs ne fassent monter le cours de l’action, Fitbit comportait une capitalisation de 1.11 milliard de dollars, soit 4,31 dollars par part.

Le montant de cette acquisition et l’identité de l’acquéreur entraînent l’inquiétude des utilisateurs. Que compte donc faire Google de ces données ? Notre analyse ci-après.

1. Qu’est-ce que Fitbit ?


Créée en 2007, Fitbit commercialise principalement des montres connectées permettant la collecte et l’analyse, via une application dédiée, de données sur l’activité des personnes qui les portent. Fitbit compte environ 28 millions d’utilisateurs actifs.

L’objectif annoncé par Fitbit est d’aider ses utilisateurs à « mener une vie plus saine et plus active». Concrètement, Fitbit collecte des données de santé et de bien-être sur ses utilisateurs afin de leur proposer un programme d’activité physique adapté, des encouragements et des conseils de forme.

Fitbit et ses concurrents constituent le marché de la smartwatch dont le chiffre d’affaires doublera d’ici 2023 pour atteindre 34 milliards de dollars.

2. Quelles données collecte Fitbit ?

Fitbit indique dans sa Politique de confidentialité collecter un nombre important d’informations via ses appareils et logiciels : nombre de pas, distance parcourue, calories brûlées, taille, poids, sexe, âge, fréquence cardiaque, phases de sommeil, minutes actives, géolocalisation, utilisation.

Ces données constituent une mine d’or pour toute société commercialisant des produits ou services en lien avec la santé ou le mode de vie. Des problèmes de sommeil ? Un laboratoire sera ravi de pouvoir vous proposer sa nouvelle gamme de produits à base de mélatonine. Une activité physique intense ? Ces vêtements spécialement conçus pour les sportifs aguerris sont faits pour vous.

3. Que compte faire Google de ces données ?

Rick Osterloh, vice-président produits et services de Google, a annoncé que « les données de santé et de bien-être Fitbit ne seront pas utilisées dans le cadre de Google ads. Et nous donnerons aux utilisateurs Fitbit le choix de consulter, déplacer ou supprimer leurs données ».

Cela laisse néanmoins la possibilité des données ne rentrant pas dans le cadre « santé et bien-être », telles que la géolocalisation, les informations du compte (photo, messages), les données de connexion à l’application, etc.

Par ailleurs, l’engagement d’un vice-président de Google sur un blog ne saurait être considéré comme perpétuel et pourra être infirmé.

En tout état de cause, la réputation du manque de transparence de Google dans le traitement qu’elle effectue des données de ses utilisateurs n’est plus à faire, notamment dans le cadre du service publicitaire Google Ads. Cela lui a valu en janvier une amende de 50 millions d’euros par la CNIL.

4. Quel cadre juridique Google devra respecter ?

Pour les utilisateurs résidant au sein de l’Union européenne, le traitement des données Fitbit est soumis au respect du Règlement général sur la protection des données (RGPD).

Actuellement, quatre traitements sont indiqués sur la Politique de confidentialité :

  • Pour soumettre des exercices quotidiens plus ciblés et des statistiques ;
  • Pour envoyer des notifications/informations et gérer ses amis ;
  • Pour s’authentifier et sécuriser l’application ;
  • Pour réaliser des études et améliorer le service.

L’utilisation des données dans le cadre de prospection commerciale ou de publicité ciblée n’est donc pas prévue.

Si Google souhaite mettre en œuvre une telle finalité, il lui faudra se conformer à la réglementation, et plus particulièrement à l’article 13.3. du RGPD qui dispose que lorsqu’un responsable de traitement souhaite effectuer un traitement ultérieur pour une finalité nouvelle qui n’était pas prévue lors de la collecte, il doit fournir à la personne concernée des informations sur ce traitement et ce préalablement à sa mise en œuvre.

Les utilisateurs Fitbit devront donc être informés avant toute utilisation de leurs données à des fins publicitaires. Cela pourra prendre la forme d’une communication par email de la nouvelle politique de conformité.

5. Le consentement sera-t-il nécessaire ?

Parmi les informations que Google devra transmettre aux utilisateurs, figure la base légale du traitement.

Concernant les données personnelles qui ne sont pas des données de santé, cette base légale pourra en toute logique être le consentement ou l’intérêt légitime de Google (Article 6 RGPD).

En effet, le considérant 47 du RGPD dispose que « Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime. »

Encore faudra-t-il que Google qualifie précisément la légitimité de cet intérêt, sachant que le traitement consisterait à permettre à des annonceurs tiers (sauf produits ou services Google) d’effectuer de la prospection commerciale ou d’adresser des publicités contextuelles à l’utilisateur Fitbit.

Concernant les données personnelles de santé, considérées comme des données sensibles dont le principe est l’interdiction du traitement, la seule base légale pertinente serait le consentement explicite de l’utilisateur (Article 9 RGPD).

6. Vais-je recevoir des publicités en rapport avec mon activité Fitbit dès demain ?

Non, l’acquisition de Fitbit n’est pas prévue immédiatement. Elle devra d’abord être approuvée par les actionnaires de Fitbit ainsi que les autorités de régulation américaines.

Il est évident qu’une attention particulière sera portée sur le traitement des données qu’envisage Google.

Pour rappel, faute de disposer d’un texte traitant spécifiquement cette question, la réglementation fédérale américaine concernant le traitement de données de santé est bien plus permissive que le RGPD. On peut donc s’attendre à ce que la validation de l’acquisition de Fitbit soit soumise à des engagements forts de Google quant à l’utilisation qu’il compte faire des données de ses utilisateurs.

 

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans de nombreux domaines, notamment le traitement de données à caractère personnel, la E-santé et les objets connectés.

Ainsi, si vous souhaitez avoir plus d’informations ou être accompagnés dans vos démarches Contactez-nous ici.