RGPD et données fitness : où vont vraiment les données de votre montre connectée

Les données de votre montre connectée (fréquence cardiaque, sommeil, cycle menstruel, poids, activité) constituent des données de santé au sens du RGPD art. 4 n° 15 : le règlement les soumet à des règles plus strictes que les adresses e-mail ou l'historique d'achats, et chaque marque qui les collecte doit respecter des obligations précises envers les utilisateurs européens. Cet article explique ce que ces obligations signifient concrètement et comment faire valoir vos droits.

Ce qui compte comme 'donnée de santé' selon le RGPD

Catégorie 'spéciale' (art. 9) : le traitement est en principe interdit sauf exceptions explicites. Les exceptions pertinentes pour les montres connectées sont au nombre de deux : le consentement explicite (art. 9.2.a) et les finalités de soins, médecine du travail ou santé publique (9.2.h-i). Pratiquement tous les fabricants grand public s'appuient sur le consentement explicite que vous donnez en acceptant les CGU lors du premier démarrage.

• •Fréquence cardiaque : donnée de santé.
• •Cycle menstruel (Cycle Tracking d'Apple Watch, Cycle Withings, etc.) : donnée de santé sensible.
• •Sommeil par phases (REM, profond, léger, éveillé) : donnée de santé.
• •ECG : donnée de santé à caractère médical.
• •SpO₂ : donnée de santé.
• •Pas quotidiens : cas limite. Certaines autorités de protection des données les classent comme données de santé si elles sont liées à une personne identifiable ; d'autres les traitent comme des données personnelles standard.
• •Traces GPS d'entraînement : données personnelles (pas de santé en soi), mais un profil localisé pouvant révéler la résidence, le lieu de travail et les habitudes.

Où vont physiquement vos données

La politique de confidentialité de chaque marque indique dans quels pays les serveurs sont hébergés. Récapitulatif basé sur les politiques publiques en 2026 :

Vos droits, en pratique

Droit d'accès (art. 15)

Vous pouvez demander à tout responsable du traitement une copie de toutes les données qu'il détient sur vous. Il dispose de 30 jours (extensibles à 90 dans les cas complexes). Gratuitement. Les données doivent être intelligibles (pas de dumps binaires indéchiffrables).

• •Apple : via privacy.apple.com (données Health iCloud incluses).
• •Google/Fitbit : via takeout.google.com.
• •Samsung : via privacy.samsung.com/fr/privacy-rights.
• •Garmin : via le tableau de bord du compte → Privacy → 'Export data'.
• •Polar : via flow.polar.com → paramètres du profil.
• •Withings : via account.withings.com → confidentialité.
• •Oura : via cloud.ouraring.com → settings → export.
• •Xiaomi : via privacy.mi.com.
• •Pour toute autre marque : envoyez un e-mail à privacy@[marque].com (ils sont tenus de fournir un canal).

Droit à la portabilité (art. 20)

Spécifique aux données que vous avez fournies (volontairement ou via l'utilisation du service). Les données dérivées ou agrégées par le responsable du traitement peuvent ne pas être incluses. Dans un format 'structuré, couramment utilisé et lisible par machine', généralement CSV ou JSON. C'est la base légale permettant de changer d'écosystème sans perdre l'historique.

Droit à l'effacement (art. 17)

En fermant le compte, les données doivent être supprimées. Presque toutes les marques conservent des sauvegardes opérationnelles pendant 30 à 180 jours après la suppression (cela doit être déclaré). Pour les données anonymisées et agrégées à des fins de recherche ou d'amélioration, la suppression peut ne pas être obligatoire.

Droit d'opposition (art. 21)

Pour les traitements fondés sur l'intérêt légitime (profilage marketing, analyses agrégées non essentielles), vous pouvez vous y opposer à tout moment. Le responsable du traitement doit cesser le traitement ou prouver un intérêt prépondérant. C'est presque toujours la base légale des programmes de 'partage de données anonymes pour améliorer le service'.

Signaux d'alarme dans les politiques de confidentialité

Lorsque vous lisez la politique de confidentialité d'une marque de wearables avant d'acheter, recherchez ces mots-clés. Ce sont des indicateurs de pratiques plus ou moins agressives.

• •'Nous partageons des données avec des partenaires de recherche' → consentement opt-in granulaire ? Oui = correct. Groupé dans 'tout accepter' = signal d'alarme.
• •'Données agrégées et anonymisées' → l'anonymisation est réversible sur plusieurs ensembles de données. Si possible, optez pour le retrait.
• •'Pour améliorer nos services et ceux de nos partenaires' → 'partenaires' est une formulation vague et suspecte.
• •'Personnalisation publicitaire' → interdite pour les données de santé (Apple, Google/Fitbit déclarent expressément ne pas le faire grâce à des engagements réglementaires). Si vous trouvez cette clause pour des données de santé, changez de marque.
• •Serveurs en Chine sans mention du RGPD → pour un usage en Europe, c'est presque toujours un problème légal.

En résumé

• •La fréquence cardiaque, le sommeil, le cycle menstruel et le SpO₂ sont des données de santé 'spéciales' au sens du RGPD art. 9 : le consentement doit être explicite et granulaire, pas un simple 'tout accepter'.
• •Presque aucune grande marque n'a de serveurs en Europe : Apple, Google/Fitbit, Garmin et Samsung transfèrent les données vers les États-Unis via des mécanismes SCC ou DPF. Huawei et Xiaomi transfèrent vers l'Asie avec des garanties plus faibles.
• •Vous disposez de trois droits pratiques à exercer dès maintenant : accès (copie des données sous 30 jours, gratuit), portabilité (format CSV/JSON pour changer d'écosystème) et effacement (en fermant le compte).
• •Signal d'alarme dans les politiques de confidentialité : 'nous partageons avec des partenaires de recherche' groupé dans un consentement unique, ou 'personnalisation publicitaire' pour les données de santé.
• •Health Connect est la configuration Android la plus respectueuse de la vie privée disponible : les données restent sur l'appareil et chaque application doit demander une autorisation par type de donnée.