Aujourd'hui, noyb a déposé trois plaintes contre Fitbit en Autriche, aux Pays-Bas et en Italie. La célèbre société de santé et de fitness, rachetée par Google en 2021, oblige les nouveaux utilisateurs de son application à consentir à des transferts de données en dehors de l'UE. Contrairement aux exigences légales, les utilisateurs n'ont même pas la possibilité de retirer leur consentement. Au lieu de cela, ils doivent supprimer complètement leur compte pour mettre fin au traitement illégal.
- noyb plainte auprès de la DPA autrichienne (DE)
- noyb plainte auprès de la DPA néerlandaise (NL)
- Traduction automatique en anglais de la plainte auprès de l'autorité néerlandaise de protection des données (DPA)
- noyb plainte auprès de l'autorité italienne de protection des données (IT)
Impossible de contourner le transfert de données personnelles. Lorsqu'ils créent un compte chez Fitbit, les utilisateurs européens sont obligés d'"accepter le transfert de leurs données vers les États-Unis et d'autres pays dotés de lois différentes en matière de protection des données". Cela signifie que leurs données peuvent se retrouver dans n'importe quel pays du monde qui ne dispose pas des mêmes protections de la vie privée que l'UE. En d'autres termes : Fitbit oblige ses utilisateurs à consentir au partage de données sensibles sans leur fournir d'informations claires sur les implications possibles ou les pays spécifiques où leurs données sont envoyées. Il en résulte un consentement qui n'est ni libre, ni éclairé, ni spécifique - ce qui signifie que le consentement ne répond manifestement pas aux exigences du GDPR.
Données hautement personnelles. Selon la politique de confidentialité de Fitbit, les données partagées ne comprennent pas seulement des éléments tels que l'adresse électronique, la date de naissance et le sexe de l'utilisateur. L'entreprise peut également partager "des données telles que des journaux de nourriture, de poids, de sommeil, d'eau ou de suivi de la santé féminine ; une alarme ; et des messages sur des forums de discussion ou à vos amis sur les Services". Les données collectées peuvent même être partagées pour traitement avec des sociétés tierces dont nous ne connaissons pas la localisation. En outre, il est impossible pour les utilisateurs de savoir quelles données spécifiques sont concernées. Les trois plaignants ont exercé leur droit d'accès à l'information auprès du délégué à la protection des données de l'entreprise, mais n'ont jamais reçu de réponse.
Maartje de Graaf, avocate spécialisée dans la protection des données chez noyb: "Tout d'abord, vous achetez une montre Fitbit pour au moins 100 euros. Ensuite, vous souscrivez à un abonnement payant, pour découvrir que vous êtes obligé d'accepter "librement" le partage de vos données avec des destinataires du monde entier. Cinq ans après l'entrée en vigueur du GDPR, Fitbit tente toujours d'imposer une approche "à prendre ou à laisser"
À prendre ou à laisser. Pour s'assurer que les utilisateurs puissent changer d'avis, le GDPR donne également à chaque personne le droit de retirer son consentement. Du moins en théorie. La politique de confidentialité de Fitbit stipule que le seul moyen de retirer son consentement est de supprimer son compte. Pour les consommateurs, cela signifie qu'ils perdent toutes les données relatives à leurs entraînements et à leur santé qui ont été suivies précédemment. Cette règle s'applique même si vous souscrivez à un abonnement premium de 79,99 euros par an. Bien que ces fonctions soient la principale raison d'acheter un Fitbit, il n'existe aucun moyen réaliste de reprendre le contrôle de ses données sans rendre son produit inutile.
Bernardo Armentano, avocat spécialisé dans la protection des données chez noyb: "Fitbit veut que vous lui fassiez un chèque en blanc, lui permettant d'envoyer vos données n'importe où dans le monde. Étant donné que l'entreprise recueille les données de santé les plus sensibles, il est étonnant qu'elle n'essaie même pas d'expliquer l'utilisation qu'elle fait de ces données, comme l'exige la loi."
Lestransferts massifs de données ne sont pas autorisés. Même s'il existait un moyen de retirer son consentement, Fitbit ne respecterait toujours pas la législation européenne en matière de protection de la vie privée. Le GDPR stipule clairement que le consentement ne peut être utilisé que comme une exception à l'interdiction des transferts de données en dehors de l'UE - ce qui signifie que le consentement ne peut être une base juridique valide que pour des transferts de données occasionnels et non répétitifs. Fitbit, cependant, utilise le consentement pour partager toutes les données de santé de manière routinière.
Romain Robert, l'un des plaignants : "Fitbit est peut-être une application sympa pour suivre sa forme physique, mais dès que l'on veut en savoir plus sur le traitement de ses données, c'est le marathon."
Amende potentielle d'un milliard de dollars. noyb demande aux autorités autrichiennes, néerlandaises et italiennes de protection des données d'ordonner à Fitbit de partager toutes les informations obligatoires sur les transferts avec ses utilisateurs et de leur permettre d'utiliser son application sans avoir à consentir aux transferts de données. Sur la base du chiffre d'affaires d'Alphabet (la société mère de Google) de l'année dernière, les autorités compétentes pourraient également infliger une amende allant jusqu'à 11,28 milliards d'euros.