Quelle marque de montres cardio GPS fait le plus attention à vos données?
Depuis plusieurs années, le sujet des données personnelles a fait l’objet de beaucoup d’attention et de réglementation. Depuis les révélations de Edward Snowden sur la collecte massive d’informations personnelles par le gouvernement des Etats-Unis, de nombreux changements dans le cadre légal ont vus le jour. Plus récemment, l’attrait des modèles d’apprentissages des IA pour des données toujours plus qualitatives rend de plus en plus précieuses nos données personnelles. Et les données d’entrainement sportif, de santé, de déplacement et autres mesurées par nos montres et nos gadgets sportifs n’échappent pas à la règle. La course à l’intelligence artificielle mondiale et les enjeux géo-stratégiques ont un impact fort sur l’attrait de nos données, y compris sportives. Le choix d’une marque ou d’une autre aura donc un impact sur la possible utilisation de nos données personnelles, de santé ou sportives. Cet article n’a pas de visée politique, mais simplement d’analyse sur les différences entre chaque marque.
Contenu de l’article
Soutenir le site
Vous appréciez les contenus de nakan.ch? Vous souhaitez soutenir le site, tout en vous équipant avec les dernières nouveautés en matière de technologie sportive? En utilisant le lien sur l'un des logos ci-dessous, vous soutenez la réalisation de futurs tests de matériel sur le site! Et cela ne vous coûte rien de plus!
De l’IA pour alimenter cet article
Avant d’aller plus loin, sachez que cet article a été, comme tous les autres sur nakan.ch, écrit par un humain, toujours le même, le fondateur de ce site. Mais pour écrire cet article, il m’a fallu analyser l’entier des politiques de confidentialité de 6 sociétés (Polar, COROS, Garmin, Strava, Suunto et Sigma). Pour cela, j’ai utilisé une IA (ChatGPT pour ne pas la nommer) afin de m’aider à isoler les éléments pertinents et trouver plus facilement les informations que je cherchais.
Le RGPD européen: impact sur les données des plate-formes sportives
Entré en vigueur en 2018, le RGPD impose un cadre jusqu’alors inédit dans le traitement des données personnelles. Visant principalement le stockage et le traitement de données numériques, il ne s’y limite toutefois pas.
L’entrée en vigueur du RGPD a eu un impact majeur pour les marques de montres cardio GPS ou d’accessoires de sport ou de santé. Ces objets ont effectivement de plus en plus tendance à accumuler des données personnelles telles que données de santé, d’habitudes quotidiennes, de déplacements ou de données sportives. Ces données sont d’ailleurs non seulement collectées par les montres et appareils eux-mêmes, mais aussi par les applications mobiles associées.
Le RGPD a obligé les sociétés à informer de manière claire sur les données en question, leur stockage, leur traitement, le partage éventuel de ces dernières et leur utilisation. De plus, si ces données sont stockées hors de l’UE, elles doivent faire l’objet d’une clause contractuelle qui encadre cette délocalisation des données (CCT).
En cas de violation du RGPD, de manquement à informer d’une fuite de données dans un délai de 72 heures, de traitement non conforme des données ou de partage non autorisé, les sociétés risquent une amande allant jusqu’à 4% du chiffre d’affaire annuel mondial. Cela peut rapidement se chiffrer en millions d’euros…
Les personnes couvertes sont les citoyens d’un état de l’UE. Dans la plupart des cas, les citoyens suisses sont également couvert par le RGPD car la nouvelle LPD Suisse (Loi sur la Protection des Données) a largement été alignée sur le RGPD, rendant la quasi totalité des mesures de l’une compatibles avec l’autre. C’est la raison pour laquelle récemment, plusieurs marques ne distinguent plus les citoyens suisses (hors UE) des citoyens UE dans ce domaine.
Des différences de politiques pour les sociétés américaines, européennes et chinoises
Dans mon analyse, j’ai intégré des sociétés américaines (Garmin et Strava), européennes (Polar et Sigma), et hybrides (COROS et Suunto). COROS et Suunto sont des cas particuliers. Suunto est une société finlandaise, mais désormais contrôlée par un investisseur chinois, avec lequel Suunto a signé une clauses contractuelles types (CCT) de transfert de données. COROS est une société chinoise, mais qui d’après sa politique de confidentialité, stocke les données aux Etats-Unis (à l’exception des utilisateurs chinois).
J’ai donc analysé, avec l’aide de ChatGPT, la politique de confidentialité de ces 6 sociétés. Pourquoi avoir intégré Sigma? Car c’est le seul fabricant européen (Allemagne) de compteurs cyclistes. Pourquoi avoir intégré Strava? Car en plus de la plateforme de sa montre ou de son compteur, on envoie bien souvent les données aussi sur Strava…
Le lieu de stockage des données: un enjeu majeur
La première chose que j’ai cherché, c’est le lieu de stockage des données. Car cette information est très importante. En effet, même si le RGPD est un règlement qui n’est pas dépendant de la localisation des données, la juridiction de l’endroit physique où se trouvent les données revêt une importance capitale. En effet, même si les données sont soumises au RGPD, ce dernier peut entrer en conflit avec une loi ou réglementation locale. Prenons l’exemple de données d’un utilisateur européen sotckées aux Etats-Unis. Elles sont régie par le RGPD (car elles concernent un citoyen européen) mais aussi par le Cloud Act (Clarifying Lawful Overseas Use of Data Act), le Patriot Act et le FISA (Foreign Intelligence Surveillance Act) qui concernent les personnes non-américaines. Ces trois lois américaines permettent aux agences gouvernementales d’accéder et de traiter les données sans en avertir son propriétaire…
Il est donc préférable que les données soient stockées en Europe (ou tout du moins en dehors des Etats-Unis) pour les utilisateurs européens. Je laisse ici de côté l’aspect extra-territorial des lois américaines et leur application pour les propriétaires de systèmes américains. Les acteurs du cloud ayant des entités européennes pour les données stockées en Europe, je crois qu’aucune jurisprudence n’a à ce jour été prononcée pour trancher le cas…
Donc, où sont stockées les données pour les différentes marques, par qui et via quel prestataire? La politique de confidentialité des sociétés est souvent spécifique pour les utilisateurs européens et suisses. J’ai donc intégré les données d’un tel citoyen, les personnes habitant dans d’autres région sont peut-être traitées différemment:
| Société | Lieu de stockage | Exploitant des données | Prestataire de stockage |
| Polar | UE (Suède / Irlande) | Polar Electro Oy | Non spécifié |
| Garmin | Non spécifié | Garmin International | Non spécifié |
| COROS | EEE | Non spécifié | Non spécifié |
| Suunto | EEE | Suunto Oy | Non spécifié |
| Strava | EEE | Strava Ireland Limited | Non spécifié |
| Sigma Elektro | UE | Non spécifié | Non spécifié |
La première bonne nouvelle, c’est qu’apparemment, chaque société à l’exception de Garmin stocke les données des utilisateurs européens et suisses soit dans l’UE (Union Européenne), soit dans l’EEE (Espace Economique Européen). Mais si on gratte un peu, on constate une petite subtilité pour Suunto:
Nous pouvons également transférer vos données personnelles à une filiale, une société affiliée ou un tiers en cas de réorganisation, de fusion, de vente, de coentreprise, de cession, de transfert ou autre disposition de tout ou partie de notre activité, de nos actifs ou de nos actions, y compris, sans limitation, dans le cadre d’une faillite ou d’une procédure similaire.
Cela rend possible, au travers d’une CCT, le transfert de données vers la Chine, même pour les utilisateurs européens. Et comme pour les USA, un conflit légal entre RGPD et lois chinoises pourrait alors avoir lieu.
Transfert et transmission de données
Sur cet aspect aussi, le RGPD est très clair: les données ne peuvent être transférées à des tiers ou partagées avec des partenaires que si il y a consentement de leur propriétaire. D’après les politiques de confidentialité de toutes les sociétés, cela est clair. Les données ne sont transférées à des tiers que dans 3 cas de figure:
- Dans le cadre du fonctionnement technique d’une fonction activée par l’utilisateur. Par exemple, connecter la plate-forme de sa montre à Strava, TrainingPeaks ou autre.
- Avec l’accord de l’utilisateur. Par exemple dans le cas de l’installation d’un champ de données Connect IQ sur une montre Garmin.
- Dans le cas d’une obligation légale, par exemple si certaines données sont réclamées par une autorité judiciaire ou toute autre demande légale valide.
Pour Suunto et Garmin, il est également stipulé que les données peuvent être transmises à des socitétés affiliées. Chez Suunto, on imagine qu’il s’agit entre autres de l’exploitant de Sports-Tracker, qui est à la base l’app Suunto et qui appartient à un autre groupe chinois. Pour Garmin, il s’agit de partager les données entre les différentes entités, Garmin étant aujourd’hui un conglomérat de plusieurs entités juridiques (Garmin, Garmin International, FirstBeat, Dynastream et bien plus).
Au final, qui a la meilleure protection des données pour les utilisateurs européens?
Au cours de mon analyse, j’ai décortiqué de manière bien plus avancée les politiques de confidentialité des différentes sociétés. Au final, avec les réponses que j’ai obtenues, voici le classement que je peux établir en termes de transparence, de protection des données des utilisateurs européens de ces 6 sociétés.
Première place: Polar
Polar arrive en première position, faisant peu de compromis sur la confidentialité et la protection des données.
Points forts de Polar:
- Stockage des données des utilisateurs européens et suisses en Irlande et en Suède
- Respect et application complet du RGPD
- Stricte limitation du partage des données, sauf en cas de demande légale ou d’autorisation de l’utilisateur
- Société européenne non soumise au Cloud Act américain
Point faibles de Polar:
- Polar ne spécifie pas si les données sont strictement chiffrées sur le stockage cloud, mais affirme anonymiser les données tant que possible en séparant données et identifiant de leur propriétaire hors de l’app.
Deuxième place: Sigma
Les informations pour Sigma ont été plus difficiles à trouver car au début, en me basant sur la politique de confidentialité du site, je n’ai pas obtenu de réponses claires ou satisfaisantes. Mais ensuite, en lisant la politique de confidentialité de l’app mobile, on en apprend un peu plus… Et les réponses sont satisfaisantes.
Points forts de Sigma:
- Stockage des données des utilisateurs européens dans l’UE
- Société européenne non soumise au Cloud Act américain
- Respect et application complet du RGPD
- Le partage de données, même non sensibles, avec des tiers n’est effectué qu’avec le consentement explicite de l’utilisateur.
Points faibles de Sigma:
- L’entier de la politique de confidentialité est fractionné en différents endroits (sur le site web, ainsi que dans l’application Sigma Ride)
- Aucune mention de chiffrement ou de protection des données stockées
Troisième position: Suunto
Suunto a une politique de confidentialité très transparente, mais qui a été mise à jour en fin d’année 2024, incluant le transfert possible avec des partenaires en Chine, ce qui la fait passer en troisième position…
Points forts de Suunto:
- Stockage des données en Europe (EEE)
- Respect et application complet du RGPD
- Chiffrement des bases de données et serveurs attestés dans la politique de confidentialité
- Société européenne non soumise au Cloud Act américain
Points faibles de Suunto:
- Transfert de données possibles hors de l’UE/EEE dans certaines conditions, notamment en Chine
Quatrième position: COROS
La politique de confidentialité de COROS répond à la plupart des questions, mais pas toutes. Et notamment l’une importante: qui exploite les données? Car cela peut-être d’une grande importance, même si ces dernières résident en Europe, car si la société qui les exploite est de droit américain, elle sera soumise au Cloud Act…
Points forts de COROS:
- Données stockées dans l’EEE pour les utilisateurs européens
- Respect et application complet du RGPD
Points faibles de COROS:
- Le chiffrement de données n’est pas spécifié
- La société exploitant les données n’est pas clairement spécifiée
- Partage possible de données non sensible avec des partenaires techniques
Cinquième position: Garmin
Garmin est une société américaine. Plane donc sur elle le risque que s’applique le Cloud Act, vu par les autorités américaines comme prévalant sur le RGPD dans le cas de données stockées aux Etats-Unis ou gérées par une société de droit américain… La confidentialité des données est donc bien moins assurée.
Points forts de Garmin:
- Le RGPD est appliqué pour les utilisateurs européens
Points faibles de Garmin:
- Bien que le stockage de données devrait logiquement être proche de l’utilisateur pour des raisons d’efficacités techniques, le stockage d’information personnelles aux USA ne peut être exclu.
- Garmin est de droit américain, et donc soumise au Cloud Act.
- Aucune information sur le chiffrement des données
- Partage d’informations non sensibles avec des partenaires techniques
Dernière position: Strava
Strava est, comme Garmin, une société américaine. Bien que Strava assure exploiter les données au travers de sa filiale irlandaise pour les utilisateurs européens, cela ne signifie pas forcément qu’elle échappe au Cloud Act…
Points forts de Strava:
- Politique stricte quant à l’exploitation des données pour entrainer des IA
- Stockage des données des utilisateurs européens dans l’EEE
- Le RGPD est appliqué pour les utilisateurs européens
Points faibles de Strava:
- Strava est de droit américain, et donc soumise au Cloud Act. Strava Ireland, succursale de Strava, probablement aussi.
- Aucune mention de protection ou de chiffrement des données
- Partage de données non sensibles élargie à plusieurs partenaires.
Conclusion sur les données de nos montres sportives
L’analyse des politiques de confidentialité des principaux fabricants de montres GPS et autres plateformes révèle des différences significatives en matière de protection des données personnelles des utilisateurs européens. Polar, Sigma apparaissent comme les acteurs les plus engagés dans la sécurisation des informations, grâce à un stockage principalement en Europe, une application stricte du RGPD et une limitation du partage des données avec des tiers. Ces entreprises étant 100% européenne les aident dans cette démarche. Suunto et Coros offrent une protection intermédiaire, avec un stockage parfois flou ou des transferts vers des pays hors UE, tandis que Garmin et surtout Strava présentent des risques accrus en raison de leur soumission aux lois américaines, notamment le Cloud Act, qui pourrait permettre aux autorités américaines d’accéder aux données des utilisateurs.
Toutefois, ces conclusions restent théoriques et ne sont valables que si ces entreprises respectent réellement leurs politiques de confidentialité. Il m’est évidemment impossible de vérifier concrètement la mise en œuvre effective des mesures qu’elles annoncent, le chiffrement et la protection des données par exemple annoncées par ces sociétés, ou encore d’attester du lieu de stockage de ces dernières. L’utilisateur européen souhaitant préserver au mieux sa vie privée devra donc, au-delà des promesses affichées, faire preuve de vigilance en choisissant son équipement vis-à-vis de ses convictions, et bien entendu, de protéger au mieux ses données en ajustant les paramètres de confidentialité de ses applications sportives!
Les commentaires vous sont ouverts pour toutes vos remarques ou questions, j’y répond avec plaisir!
Soutenir ce site pour de futurs articles
Rédiger des tests et des articles sur la technologie dans le sport est une passion dévorante! Cela fait plus de 12 ans que je le fais en marge de mon activité professionnelle et sportive.Je ne compte pas mon temps, et je ne suis absolument pas rémunéré par les marques pour le faire.
En passant par l'un des liens ci-dessous pour réaliser votre prochaine commande en ligne, je touche une petite commission sur la transaction, vous soutiendrez le site, et cela ne vous côutera pas plus cher!
Vous pouvez également soutenir le site au travers de la plateforme "Buy Me a Coffee" ou d'autres moyens de soutenir le site sur cette page. Je vous en remercie beaucoup!
Pour tout savoir sur ma politique de publication et de publicité sur le site, rendez-vous ici!
Bonjour Greg,
Il y a peut-être des infos que tu n’as pas lues sur https://www.garmin.com/fr-FR/privacy/global/policy
On trouve notamment :
« Nous utilisons des services cloud de tiers tels qu’MoEngage »
« Nous pouvons également transférer vos données personnelles à une société affiliée, à une filiale ou à un tiers en cas d’une réorganisation, d’une fusion, d’une vente, d’une joint-venture, d’une cession, de toute autre disposition concernant tout ou partie des stocks, des actifs ou des activités de Garmin, y compris, notamment, en rapport avec une faillite ou une procédure similaire, à condition que toute entité à laquelle nous transférons vos données personnelles ne puisse traiter celles-ci autrement que conformément aux dispositions de la présente politique de confidentialité sans préavis et, si requis par les lois applicables, sans obtenir votre consentement. » (similaire à ce que tu mentionnes pour Suunto dans l’article)
« Garmin est une entreprise internationale. Pour proposer nos produits, applications et services, nous avons parfois besoin de transférer vos Données personnelles à d’autres entreprises appartenant à Garmin situées dans d’autres pays. » (+lien vers la liste des entreprises et leur juridiction de rattachement, soit un pays soit un Etat américain)
« Lorsque vous créez un compte Garmin, ajoutez des données personnelles à votre profil de compte ou téléchargez des données sur votre compte Garmin, vos données personnelles sont collectées et stockées sur des serveurs aux États-Unis, au Royaume-Uni et/ou en Australie. » (les données chinoises sont stockées en Chine)
« Les données personnelles des personnes résidant dans un pays de l’Espace économique européen (« EEE »), au Royaume-Uni (« Royaume-Uni ») ou en Suisse sont contrôlées par Garmin Würzburg GmbH et traitées pour son compte par d’autres sociétés appartenant à Garmin afin de fournir assistance, infrastructure, sécurité et d’autres fonctions clés. Garmin Würzburg GmbH a conclu des clauses contractuelles types approuvées lorsque ces sociétés ne sont pas basées dans l’EEE ou dans une juridiction jugée adéquate en vertu de la réglementation relative à la protection des données applicable. Les filiales de Garmin basées aux États-Unis sont certifiées conformes au EU-U.S. Data Privacy Framework et au Swiss-U.S. Data Privacy Framework »
« Si vous résidez en dehors de l’EEE, du Royaume-Uni, de la Suisse et de la Chine continentale, vos données personnelles recueillies par Garmin sont contrôlées par Garmin International, Inc., 1200 E. 151st St., Olathe, Kansas 66062, États-Unis. »
Oui j’ai lu (ou plus précisément demandé à une IA de l’analyser) la politique de Garmin. Et c’est sur cette base que j’ai écrit l’article. Dire dans des conditions « Des services tels que » n’est à mon avis pas suffisant pour conclure qu’ils utilisent réellement ce service et QUE celui-ci.
Je pourrai ajouter que les données peuvent être transférées comme pour Suunto, mais comme dans tous les cas, Garmin ne précise pas où sont les données, elles peuvent être virtuellement partout, donc cette clause ne change rien pour Garmin. Alors que pour Suunto, elles sont de base dans l’UE, mais « peuvent » être transférées en Chine, ce qui est plus problématique pour quelqu’un qui pense que ses données sont en Europe.
Le fait que les données soient gérées pour les utilisateurs européens par la filiale allemande de Garmin ne semble pas garantir le stockage des données dans l’EEE. La politique de Garmin reste suffisamment floues à ce sujet. Donc je pense que tout cela est déjà considéré dans mon analyse. Je suis à dispo si tu penses le contraire.
Sportivement.
Greg
Encore un petit bout, cette fois-ci depuis https://www.garmin.com/fr-FR/legal/terms-of-use/#section4-2 :
« Si vous êtes un résident d’un pays de l’Espace économique européen, du Royaume-Uni, de la Suisse, de l’Australie ou de la Nouvelle-Zélande, le droit applicable et le tribunal compétent sont les lois et les tribunaux de votre lieu de résidence habituel. »
Pour les autres, ça se passe dans le Kansas :-)
Si il y a un litige sur l’utilisation des données, le cas sera jugé en Europe ou en Suisse respectivement, c’est bien, mais si les données sont effectivement stockées aux USA et que les US pensent prépondérant leur Cloud Act sur le RGPD, cela ne changera pas grand chose malheureusement.