Les fabricants de trackers d'activité les plus célèbres ont récemment été critiqués par le Norwegian Consumer Council pour avoir des termes et des conditions obscurs et asymétriques qui affectent les consommateurs européens et leur droit à la vie privée.
Dans le cadre d'une analyse de la politique de la protection de la vie privée de quatre grands fabricants de wearables, dont FitBit, Garmin, Jawbone et Mio, le Norwegian Consumer Council (NCC) a estimé qu'il fallait être critique à l'égard des compromis que font les utilisateurs en utilisant ces services.
« Les bracelets sont des outils utiles pour surveiller et motiver les activités de remise en forme. Simultanément, nous renonçons à des informations personnelles sur notre santé, nos activités et notre emplacement sous des termes de contrat obscures et asymétriques » a déclaré Finn Myrstad, directeur des services numériques du Norwegian Consumer Council.
Il rajoute « Nous craignons que ces informations soient exploitées à des fins marketing directs et que les principes de base en matière de protection de la vie privée soient négligés ».
Une politique de confidentialité impénétrable
Le dernier rapport du NCC examine la politique de la protection de confidentialité des wearables Fitbit Charge HR, Garmin VivoSmart HR, Mio Fuse et Jawbone UP3 et souligne un panel d'échecs :
- Aucune des sociétés n'accordera un préavis adéquat concernant les changements dans les termes du contrat.
- Tous les bracelets recueillent plus de données que nécessaire pour fournir le service.
- Aucune société n'indique à qui elles peuvent partager ces données
- Aucune société n'indique combien de temps elles conserveront les données des utilisateurs.
- Les procédures de suppression des données sont insuffisamment expliquées et les accords d'utilisation des définitions « vagues et étroites » de ce qui constitue des données personnelles.
Le conseil indique qu'il a l'intention de déposer une plainte conjointe contre les quatre sociétés avec la DPA nationale et le Consumer Ombudsman pour violation de la European Data Protection Directive et du Unfair Contract Terms Directive.
« Il est important que nous n'abandonnions pas les droits fondamentaux afin d'utiliser les produits et les services du futur » ajoute Finn Myrstad. En effet, avec de plus en plus de capteurs collectant les données intégrés aux périphériques connectés, « les consommateurs n'ont pas d'informations sur l'endroit où leurs données personnelles sont envoyées, et comment elles sont utilisées ».
En somme, ce rapport critique la politique de confidentialité impénétrable des fabricants de wearables. Lorsque les termes du contrat sont trop longs et souvent trop compliquées pour quiconque voudrait les lire, il est pertinent de se demander si la marque s'intéresse réellement au consentement de l'utilisateur.
Des contrats vagues et des questions sur le partage des données
Selon le rapport, FitBit propose un document de 7500 mots (17 pages) et un document de 2000 mots (5 pages) détaillant sa politique de confidentialité sous le EU-US Privacy Shield. Selon le NCC, il est déraisonnable de s'attendre à ce que le consommateurs lise 22 pages avant de faire usage du produit, rendant ainsi le consentement éclairé du consommateur quasiment inexistant.
Le Conseil pointe également l'utilisation d'un langage vague et difficile à comprendre. De ce point de vue, Garmin et Jawbone sont les fabricants les plus évasifs, tandis que FitBit et Mio utilisent des termes pouvant être compréhensibles dans la mesure du possible.
De plus, seul Mio définit les données de manière satisfaisante d'un point de vue européen : « Les renseignements personnels sont tous ceux qui vous identifient personnellement, seuls ou en combinaison avec d'autres informations dont nous disposons ».
Au contraire, Garmin ne considère pas les données de localisation comme des données personnelles et Jawbone ne précise pas du tout ce qu'il entend par « données personnelles ». En pratique, cela veut dire que ces deux services peuvent traiter certaines données considérées comme « personnelles » par les normes européennes, sans considérer ou traiter cette information comme sensible.
Selon le NCC, Garmin redirige les utilisateurs vers les « documents publics de Garmin » sur le site de la U.S. Securities and Exchange Commission pour savoir à qui sont partagées leurs données. Une manière obscure et compliquée d'informer les consommateurs. Toutefois, la NCC n'a pas été en mesure de réellement discerner à qui Garmin partage les données.
Le NNC a également commissionné un test technique des applications des fabricants de wearables par un cabinet de conseil externe. Les résultats ont montré que certaines données allaient vers des tiers non mentionnés dans les termes.
Des données quasiment jamais supprimées
Concernant la suppression des données de l'utilisateur quand il supprime son compte, toutes les marques sont accusées de ne pas déclarer explicitement leurs méthodes. Une fois de plus, seul FitBit précise que les données pouvant identifier l'utilisateur seront supprimées des serveurs. Cependant, la marque ajoute que les données seront supprimées en fonction d'un calendrier automatisé. Les données incapables d'identifier un utilisateur seront cependant conservées. Selon le NCC, les fabricants de wearables ne suppriment pas les données des utilisateurs inactifs non plus.
Pour résumer, le NCC appelle à une refonte de la manière dont les trackers traitent les données des consommateurs. Il met également en garde contre l'impact imminent du nouveau General Data Protection Regulation (GDPR) qui entrera en vigueur dans l'Union Européenne en 2018.
Source : techcrunch.com
- Partager l'article :
