Votre tracker d'activité sait tout de vous. Qui d'autre le sait ?

En 2021, un chercheur en sécurité a découvert une base de données non sécurisée contenant 61 millions d'enregistrements de trackers d'activité d'utilisateurs Apple et Fitbit — noms, dates de naissance, poids, taille et données de localisation, le tout stocké en texte brut, sans mot de passe.

La base de données appartenait à GetHealth, une entreprise tierce dont la plupart de ces utilisateurs n'avaient jamais entendu parler. Leurs données avaient été collectées, agrégées et stockées par un service enfoui dans les conditions générales des applications auxquelles ils faisaient confiance.

Ce n'était pas un incident isolé. C'est ainsi que fonctionne l'industrie des trackers d'activité.

Ce que votre tracker d'activité collecte réellement

Les trackers d'activité et applications de santé modernes collectent en moyenne 12 types de données différents — soit plus d'un tiers de toutes les catégories définies par Apple dans ses étiquettes de confidentialité de l'App Store. Voici ce qui est généralement enregistré :

• Fréquence cardiaque — surveillance continue 24h/24 et 7j/7, incluant la fréquence au repos, à l'effort et pendant le sommeil
• Habitudes de sommeil — heure d'endormissement, durée du sommeil, cycles des différentes phases
• Localisation GPS — vos itinéraires d'entraînement, vos parcours de course, de marche et de vélo
• Mesures corporelles — poids, taille, composition corporelle, taux d'oxygène dans le sang
• Données du cycle menstruel — dates des règles, symptômes, fenêtres de fertilité
• Stress et récupération — scores de stress basés sur la VFC, état de récupération
• Données brutes des capteurs — données de l'accéléromètre et du gyroscope révélant vos schémas de mouvement tout au long de la journée

Une étude de Surfshark a révélé que Fitbit collecte jusqu'à 24 types de données uniques — le record parmi les applications de fitness. Strava utilise 21 types de données à des fins qui dépassent les fonctionnalités de base de l'application.

Combinées, ces données dressent un portrait extraordinairement détaillé de votre quotidien : vos déplacements, vos heures de sommeil, votre niveau de stress, votre condition physique et votre santé reproductive.

---

La faille HIPAA : pourquoi vos données ne sont pas protégées

Voici ce que la plupart des gens ignorent : les données de votre tracker d'activité ne sont presque certainement pas protégées par les lois sur la confidentialité médicale.

HIPAA — la loi que les Américains pensent protéger toutes les données de santé — ne s'applique qu'aux « entités couvertes » : hôpitaux, assurances maladie, centres de traitement des données de santé et leurs sous-traitants. Les entreprises tech grand public comme Fitbit, Garmin, Oura, WHOOP et Strava ne sont pas des entités couvertes.

Cela signifie qu'elles peuvent légalement :

• Partager vos données de santé avec des partenaires publicitaires
• Vendre des données agrégées (et parfois individuelles) à des courtiers en données
• Transférer vos données à de nouveaux propriétaires en cas de rachat de l'entreprise
• Fournir des données à des assureurs ou des employeurs via des partenariats

Et nombre d'entre elles le font. Une étude de l'université Duke a révélé que 79 % des applications populaires de santé et de fitness partagent les données des utilisateurs avec des tiers. Seuls 28 % des utilisateurs en étaient conscients.

L'écart entre les attentes des gens et ce qui se passe réellement est considérable. Vous n'accepteriez jamais qu'un médecin transmette votre dossier médical à un annonceur — pourtant votre tracker d'activité fait peut-être quelque chose de fonctionnellement similaire.

---

Le bilan des fuites de données

Le bilan de l'industrie du fitness et des technologies de santé en matière de sécurité des données est sombre :

Incidents majeurs

GetHealth (2021) — 61 millions d'enregistrements de trackers d'activité (utilisateurs Apple et Fitbit) exposés dans une base de données non sécurisée. Pas de mot de passe, pas de chiffrement, du texte brut.

UnitedHealth / Change Healthcare (2024) — 190 millions de dossiers médicaux dérobés dans le plus grand vol numérique de dossiers médicaux aux États-Unis. L'attaquant a obtenu l'accès grâce à des identifiants volés, sans authentification multifactorielle. UnitedHealth a payé une rançon de 22 millions de dollars.

MyFitnessPal (2018) — 150 millions de comptes utilisateurs compromis, exposant noms d'utilisateur, adresses e-mail et mots de passe.

Garmin (2020) — Le groupe de hackers russe Evil Corp a déployé le ransomware WastedLocker, mettant hors service l'ensemble des services en ligne de Garmin pendant plusieurs jours. Garmin aurait payé une rançon de 10 millions de dollars via un intermédiaire.

Peloton (2021) — Une vulnérabilité de l'API a exposé les données personnelles d'environ 3 millions d'utilisateurs, dont noms complets, e-mails, âges et statistiques d'entraînement. Peloton a mis plus de 90 jours à corriger le problème après avoir été averti.

Le problème Strava et les armées

Les failles de confidentialité de Strava sont peut-être l'exemple le plus frappant de ce qui peut mal tourner. En 2018, la carte thermique mondiale de Strava — construite à partir des données d'entraînement des utilisateurs — a involontairement révélé l'emplacement de bases militaires secrètes américaines et alliées en Syrie, en Afghanistan et à Djibouti. Des soldats avaient enregistré leurs courses sur la base sans réaliser que leurs itinéraires étaient rendus publics.

Le problème a perduré. En 2022, une ONG israélienne a créé de faux segments Strava à l'intérieur de six installations militaires ultra-secrètes et identifié plus de 100 personnes, dont du personnel du Mossad. En 2025, des membres d'équipage de sous-marins nucléaires français ont divulgué des positions de patrouille via leurs entraînements Strava. En mars 2026, un marin du porte-avions français Charles de Gaulle a révélé la position du navire en enregistrant une course sur le pont.

Les données de localisation des trackers d'activité ont des conséquences réelles sur la sécurité.

---

📱 Livity conserve toutes vos données de santé sur votre appareil — rien n'est envoyé vers des serveurs externes. Essayez gratuitement →

---

Qui achète vos données de santé — et pourquoi ?

Quand les entreprises de fitness partagent vos données avec des « tiers », qui sont ces tiers ?

Les annonceurs

Une enquête de 2023 a révélé que 78 % des applications de fitness partageaient des données avec Meta et Google, même quand les utilisateurs avaient paramétré leur compte sur « privé ». Ces données alimentent la publicité ciblée. Vous avez cherché des chaussures de course récemment ? Votre application de fitness a peut-être informé Meta que vous êtes coureur avant même que vous ne l'ayez dit à quiconque.

Les compagnies d'assurance

Les assureurs santé ont commencé à utiliser les données des objets connectés pour ajuster les primes. Certains offrent des réductions pour atteindre des objectifs de pas — ce qui semble positif jusqu'à ce qu'on envisage l'inverse : des données montrant une faible activité, un mauvais sommeil ou un stress élevé pourraient à terme être utilisées pour augmenter les primes. Aucune loi ne l'interdit pour les données obtenues en dehors des canaux couverts par HIPAA.

Un rapport de la Kaiser Family Foundation a révélé que 21 % des employeurs proposant une assurance santé collectaient déjà des données issues des objets connectés de leurs employés.

Les courtiers en données

Vos données de fitness peuvent aboutir entre les mains de courtiers en données qui les agrègent et les revendent. Contrairement aux dossiers médicaux, les données des trackers d'activité ne bénéficient d'aucune protection juridique spécifique contre la revente. Une fois qu'elles quittent l'application, il est quasi impossible de savoir où elles vont.

Les nouveaux propriétaires

Quand Google a racheté Fitbit pour 2,1 milliards de dollars en 2019, il a obtenu l'accès aux données de santé de 28 millions d'utilisateurs actifs. Google s'est engagé à ne pas utiliser les données Fitbit pour la publicité. Mais le précédent est inquiétant : quand Google a racheté Nest en 2014, les données ont d'abord été conservées séparément, avant d'être connectées à l'écosystème global de Google en moins d'un an.

Le partenariat d'Oura Ring en 2024 avec Palantir pour une « analyse de risque et d'état de préparation à l'échelle de la population » — destiné au département de la Défense américain — a provoqué une levée de boucliers de la part d'utilisateurs qui n'avaient pas signé pour contribuer à des analyses militaires de santé.

---

Sur l'appareil vs. cloud : pourquoi l'architecture compte

La question fondamentale de la vie privée est : où vivent vos données de santé et qui peut y accéder ?

La plupart des trackers d'activité suivent un modèle « cloud d'abord ». Votre montre ou bracelet collecte les données brutes des capteurs, les envoie à votre téléphone, qui les téléverse sur les serveurs de l'entreprise pour traitement. Les analyses que vous voyez dans l'application ont été calculées sur leur infrastructure, avec vos données, selon leurs conditions.

Ce modèle crée de multiples points de vulnérabilité :

• Les données en transit peuvent être interceptées (écoute Bluetooth, WiFi non sécurisé)
• Les serveurs cloud peuvent être mal configurés ou piratés (GetHealth, UnitedHealth)
• Les données côté serveur peuvent être consultées par des employés, des sous-traitants ou les forces de l'ordre
• Les conditions d'utilisation peuvent changer, élargissant l'usage des données après que vous les avez déjà partagées

L'alternative est le traitement sur l'appareil. Apple a démontré la viabilité de cette approche avec Apple Health : toutes les métriques de santé — tendances, points clés, prédictions de cycle, analyse de la fréquence cardiaque au repos — sont calculées sur votre iPhone ou Apple Watch. Les données synchronisées via iCloud utilisent un chiffrement de bout en bout qu'Apple lui-même ne peut pas déchiffrer.

Les chiffres le confirment. La recherche sur l'IA embarquée dans les objets connectés montre que le traitement sur l'appareil réduit la transmission de données de 97,4 % — de 4,2 Go de données brutes par jour à seulement 217 kilooctets d'analyses traitées. Les données brutes ne quittent jamais votre poignet.

Ce n'est pas qu'une fonctionnalité de confidentialité. C'est une architecture fondamentalement différente. Les données qui ne quittent jamais votre appareil ne peuvent pas être :

• Exposées lors d'une fuite de serveur
• Vendues à des courtiers en données
• Transmises à des annonceurs
• Saisies par la justice sans accès physique à votre appareil
• Transférées à un nouveau propriétaire

---

Où en est la législation ?

Le cadre réglementaire évolue, mais lentement :

Règle de notification de violation de données de santé de la FTC (mise à jour 2024) — Couvre désormais explicitement les trackers d'activité, les applications de santé et les appareils connectés. Les entreprises doivent notifier les utilisateurs dans les 60 jours suivant une violation affectant plus de 500 personnes.

Washington My Health My Data Act (2024) — La première loi d'un État américain protégeant spécifiquement les données de santé en dehors du cadre HIPAA. Elle exige un consentement préalable avant tout partage de données de santé et une autorisation signée séparée avant toute vente.

Illinois BIPA — Le Biometric Information Privacy Act a été utilisé pour poursuivre des entreprises de fitness qui collectaient des données biométriques sans consentement. Plus de 107 recours collectifs BIPA ont été déposés rien qu'en 2025, avec des amendes pouvant atteindre 5 000 $ par infraction intentionnelle.

WHOOP, Fitbit et Oura ont tous fait l'objet de poursuites dans le cadre de ces réglementations. Mais il n'existe toujours aucune loi fédérale globale protégeant les données de santé des consommateurs issues des trackers d'activité aux États-Unis.

En attendant que cela change, votre meilleure protection est de choisir des outils qui ne collectent pas vos données en premier lieu.

---

Comment protéger vos données de santé

Si vous utilisez un tracker d'activité, voici ce que vous pouvez faire dès maintenant :

1. Consultez l'étiquette de confidentialité — Avant de télécharger une application de santé, lisez l'étiquette de confidentialité de l'App Store. Cherchez « Données non collectées » ou « Données non liées à vous ». Si l'application indique « Données utilisées pour vous suivre », réfléchissez-y à deux fois.

2. Vérifiez vos autorisations — Allez dans Réglages → Confidentialité → Santé sur votre iPhone. Voyez quelles applications ont accès à vos données de santé et révoquez l'accès pour celles que vous n'utilisez plus.

3. Désactivez la localisation pour vos entraînements — Si vous n'avez pas besoin du suivi GPS, désactivez-le. Les données de localisation sont le type de données de fitness le plus sensible (demandez à la Marine française).

4. Utilisez des outils sur l'appareil — Choisissez des applications qui traitent les données localement plutôt que de les envoyer sur des serveurs cloud. L'architecture d'Apple Health est la référence.

5. Lisez les conditions — Cherchez spécifiquement les sections sur le « partage de données », les « partenaires tiers » et la « conservation des données ». Si une entreprise se réserve le droit de partager vos données de santé avec des partenaires non nommés, c'est un signal d'alarme.

6. Réfléchissez à ce que vous échangez — Une application de fitness « gratuite » qui monétise vos données de santé n'est pas vraiment gratuite. Vous payez avec les données les plus intimes que vous produisez.

---

FAQ

Les données des trackers d'activité sont-elles protégées par HIPAA ?

Non, dans la plupart des cas. HIPAA ne couvre que les prestataires de soins, les régimes d'assurance maladie et leurs sous-traitants. Les entreprises de fitness grand public comme Fitbit, Garmin, Oura et WHOOP ne sont pas des entités couvertes par HIPAA. Les données de votre tracker d'activité bénéficient de moins de protections juridiques que votre dossier médical.

Les compagnies d'assurance peuvent-elles utiliser les données de mon tracker ?

Oui. Certains assureurs proposent déjà des programmes où les données des objets connectés influencent les primes — généralement présentés comme des réductions pour comportement sain. Il n'existe actuellement aucune loi fédérale empêchant les assureurs d'utiliser des données de fitness obtenues en dehors du cadre HIPAA pour ajuster les tarifs.

Que deviennent mes données de santé si une entreprise de fitness est rachetée ?

Vos données sont généralement transférées au nouveau propriétaire selon les conditions d'utilisation existantes. Le rachat de Fitbit par Google, par exemple, a donné à Google l'accès aux données de santé de 28 millions d'utilisateurs. Si les entreprises font souvent des promesses de confidentialité lors des acquisitions, ces engagements ne sont généralement pas juridiquement contraignants sur le long terme.

Quels trackers d'activité conservent les données sur l'appareil ?

Apple Health traite toutes les données de santé sur l'appareil et utilise le chiffrement de bout en bout pour la synchronisation iCloud. Livity suit la même approche — toutes les métriques de santé sont calculées sur votre iPhone à partir des données Apple Health, et rien n'est envoyé vers des serveurs externes. La plupart des autres grandes plateformes (Fitbit, Garmin Connect, WHOOP, Oura) reposent sur un traitement dans le cloud.

Les données d'un tracker d'activité peuvent-elles être utilisées en justice ?

Oui. Les données de trackers d'activité ont été utilisées comme preuves dans des affaires criminelles, des litiges d'assurance et des demandes d'indemnisation pour préjudice corporel. En 2023, les données Fitbit d'un suspect de meurtre ont été utilisées pour établir sa localisation et son activité au moment du crime. Les données stockées sur les serveurs d'une entreprise peuvent être obtenues par voie de citation à comparaître.

---

Suivez votre santé sans sacrifier votre vie privée

Vos données de santé comptent parmi les informations les plus personnelles que vous générez. L'endroit où elles sont stockées et qui peut y accéder a de l'importance.

Livity suit votre sommeil, votre VFC, votre récupération, votre stress et votre âge de forme entièrement sur votre appareil — pas de serveurs cloud, pas de courtiers en données, pas de partage avec des tiers. Vos données de santé restent sur votre iPhone, là où elles doivent être. Essai gratuit sur l'App Store.