📋 Sur cette page

  1. Ce que ta montre collecte réellement
  2. Où vont ces données par marque
  3. Loi 25 et données de santé au Québec
  4. LPRPDE — la loi fédérale canadienne
  5. Risques concrets : assurances, employeurs, pirates
  6. Comment minimiser les risques
  7. Apple Watch vs Android : qui est plus privé?
  8. Pour les plus prudents — alternatives respectueuses

Ce que ta montre collecte réellement

La liste est plus longue que la plupart des gens le réalisent. Une montre connectée moderne de 2024–2026 peut mesurer :

Combinées, ces données forment un portrait de ta santé, de ton mode de vie et de tes habitudes qui va bien au-delà de ce qu'un médecin voit lors d'une consultation annuelle. C'est exactement pourquoi elles ont une valeur commerciale et un potentiel d'abus considérables.

Où vont ces données par marque

🍎 Apple Watch → Apple Health Relativement meilleur

Apple stocke les données de santé sur l'appareil lui-même (iPhone) grâce au Secure Enclave — un processeur dédié à la sécurité qui chiffre les données au repos. Les données de santé ne sont pas utilisées pour la publicité ciblée, selon la politique d'Apple. La synchronisation iCloud est chiffrée de bout en bout pour la plupart des données de santé si tu actives la Protection avancée des données (réglages iCloud).

Nuance importante : Apple peut accéder aux données si tu ne l'actives pas explicitement. Et comme toute entreprise américaine, Apple est soumise aux demandes judiciaires américaines.

📊 Fitbit → Google (depuis 2021) Préoccupant

Google a racheté Fitbit en janvier 2021 pour 2,1 milliards de dollars. Les données Fitbit sont maintenant intégrées à Google Health. Google s'est engagé auprès de la FTC américaine à ne pas utiliser les données Fitbit pour la publicité ciblée — mais cet engagement était lié à l'approbation de la fusion et son statut à long terme reste incertain.

Les données Fitbit incluent maintenant l'historique de localisation, les données de forme physique, et les données de santé — dans les serveurs de la compagnie qui monétise la publicité ciblée plus agressivement que n'importe quelle autre.

🗺️ Garmin Attention aux paramètres

Les données Garmin sont hébergées sur des serveurs américains (Garmin Connect). Garmin n'est pas dans le business de la publicité, ce qui réduit l'incitation à monétiser les données. Cependant, en 2020, Garmin a subi une attaque ransomware majeure — WastedLocker — qui a mis hors ligne tous ses services pendant plusieurs jours. Les données de millions d'utilisateurs ont été potentiellement exposées.

Option : utiliser Garmin avec un compte minimal (nom fictif, pas de photo, sans lier d'autres applications) réduit l'exposition.

📱 Samsung → Samsung Health Modéré

Samsung stocke les données dans Samsung Health, avec des serveurs aux États-Unis et en Corée du Sud. Samsung est moins agressif que Google sur la monétisation des données de santé, mais sa politique permet le partage avec des partenaires tiers si tu l'autorises (ce qui est souvent demandé lors de l'installation d'applications partenaires).

Attention aux intégrations automatiques avec des applications tierces — désactive-les manuellement dans Samsung Health si tu ne les utilises pas activement.

Loi 25 et données de santé au Québec

⚖️ Ce que dit la Loi 25 sur les données sensibles

La Loi 25 désigne les données de santé comme des renseignements personnels sensibles — une catégorie qui requiert une protection accrue. Pour ces données, la loi exige un consentement explicite, libre et éclairé — pas juste une case pré-cochée dans des conditions d'utilisation de 80 pages.

Elle donne aussi aux individus le droit d'accès (voir toutes les données détenues sur eux), le droit de rectification (corriger des données inexactes), et depuis septembre 2023, un droit à la portabilité (recevoir ses données dans un format structuré).

Le problème pratique : la Loi 25 s'applique aux organisations qui exploitent des renseignements personnels dans le cadre d'une entreprise au Québec. Apple, Google et Garmin sont des entreprises américaines. La Commission d'accès à l'information (CAI) a une compétence limitée sur elles — même si elles collectent des données de Québécois.

Le Québec peut exercer une pression régulatrice indirecte : si une entreprise a une présence commerciale significative au Québec (bureaux, ventes), elle peut être considérée comme « exploitant une entreprise au Québec » et donc soumise à la Loi 25. Mais l'enforcement reste un défi.

LPRPDE — la loi fédérale canadienne

La LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) est la loi fédérale canadienne qui s'applique aux entreprises privées. Elle exige le consentement pour la collecte et l'utilisation des renseignements personnels, et donne aux Canadiens le droit d'accès à leurs données.

Comparée au RGPD européen, la LPRPDE est nettement plus faible sur plusieurs points :

En 2023, le gouvernement fédéral a introduit le projet de loi C-27 (Loi sur la protection de la vie privée des consommateurs) pour remplacer la LPRPDE avec un cadre plus strict — incluant des amendes plus élevées et des droits renforcés. Ce projet était encore en cours d'étude parlementaire en 2026.

Risques concrets : assurances, employeurs, pirates

⚠️ Risques documentés ou plausibles

  • Assureurs santé et vie — aux États-Unis, des compagnies d'assurance ont offert des réductions de primes en échange des données de montres connectées (John Hancock en 2018, Vitality). Au Canada, cette pratique est plus encadrée par la législation provinciale sur les assurances, mais le risque d'utilisation indirecte des données existe. Si ton assureur te propose un programme « bien-être connecté », lis très attentivement la politique avant d'accepter.
  • Programmes de bien-être d'entreprise — certains employeurs au Québec offrent des programmes incitatifs où les employés partagent leurs données de forme physique via une application. Ces programmes semblent bénins, mais les données peuvent être visibles par l'employeur ou des tiers. Ne lie jamais ton Apple Health, Fitbit ou Garmin à une application imposée ou suggérée par ton employeur.
  • Fuites et piratages — l'attaque ransomware contre Garmin en juillet 2020 a paralysé tous les services pendant près d'une semaine. Des millions d'utilisateurs n'ont pas pu synchroniser leurs données ou utiliser les fonctions GPS. Des informations personnelles pourraient avoir été copiées avant que le ransomware soit activé. Myfit (2018) et Under Armour/MapMyFitness (150 millions de comptes piratés en 2018) montrent que ces plateformes sont des cibles attractives.
  • Données de cycle menstruel — depuis la décision Dobbs de 2022 aux États-Unis, des préoccupations légitimes ont été soulevées sur l'utilisation des données de cycle menstruel dans des contextes juridiques. Au Canada, l'avortement est légal, donc le risque immédiat est différent — mais la sensibilité de ces données reste élevée.

Comment minimiser les risques

✅ Mesures pratiques à prendre maintenant

  • Désactiver le partage avec applications tierces — dans Apple Santé, va dans Confidentialité → Applications et retirer l'accès aux applications que tu n'utilises pas activement. Sur Garmin Connect et Samsung Health, vérifie les « Connexions » ou « Applications connectées ».
  • Ne pas lier les données de santé à des applications de bien-être d'entreprise — sans exception. Ces données peuvent changer de mains.
  • Activer le chiffrement local sur iPhone — dans iTunes/Finder sur Mac, cocher « Chiffrer la sauvegarde iPhone locale » et définir un mot de passe fort. Cela chiffre aussi les données de santé dans les sauvegardes.
  • Activer la Protection avancée des données iCloud — Réglages → Ton prénom → iCloud → Protection avancée des données → Activer. Chiffre de bout en bout presque toutes les données, y compris la santé.
  • Utiliser un nom d'utilisateur non identifiable — sur Garmin Connect ou Samsung Health, pas besoin d'utiliser ton vrai prénom. Un pseudonyme réduit la valeur des données si elles fuient.
  • Désactiver le GPS en dehors des activités sportives explicites — dans les paramètres de la montre, configure le GPS pour se désactiver entre les entraînements.
  • Supprimer l'historique de localisation périodiquement — sur Garmin Connect (web) → Activités → supprimer les activités avec GPS si tu n'en as pas besoin.

Apple Watch vs Android : qui est plus privé?

C'est une vraie différence architecturale, pas juste du marketing. Apple a conçu le stockage des données de santé autour du principe de traitement local sur l'appareil : la plupart des analyses (détection de chute, mesure de SpO2, analyse du sommeil) se font directement sur l'iPhone ou l'Apple Watch via le Secure Enclave, sans passer par des serveurs Apple.

Cette architecture signifie que même Apple ne peut techniquement pas lire tes données de santé — du moins pour celles stockées localement avec chiffrement activé. C'est fondamentalement différent d'un modèle où toutes les données montent dans le cloud pour être analysées.

Sur Android, l'expérience varie selon le fabricant. Samsung Health fait du traitement local pour certaines fonctions, mais Google Fit et Google Health (qui intègre maintenant Fitbit) sont fondamentalement des services cloud. Les fonctions d'analyse de santé avancées nécessitent l'envoi des données vers des serveurs Google pour le traitement.

Si la vie privée des données de santé est une priorité pour toi et que tu n'as pas encore de smartwatch, l'Apple Watch avec la Protection avancée des données iCloud activée est actuellement l'option la plus protectrice parmi les grandes marques grand public.

Pour les plus prudents — alternatives respectueuses de la vie privée

Si tu veux un suivi de santé sérieux sans céder tes données aux GAFAM :

🇫🇷 Withings Recommandé pour la vie privée

Entreprise française fondée à Paris, Withings est soumise au RGPD européen — le standard de protection des données le plus strict au monde. Withings ne revend pas les données à des tiers pour la publicité. Leurs montres (ScanWatch, ScanWatch Horizon) offrent des fonctions médicales sérieuses (ECG, SpO2, mesure de l'indice de forme cardio-vasculaire) avec une approche de confidentialité documentée. Plus chères que Fitbit, mais c'est le prix de la vraie protection.

🗺️ Garmin sans compte Google Option intermédiaire

Utiliser Garmin Connect sans lier à Google Fit ou Google Health réduit considérablement l'exposition. Garmin n'est pas dans le business de la publicité et son incitation à monétiser les données est moindre. Assure-toi de ne pas autoriser l'intégration Garmin ↔ Google Fit lors de la configuration.

⌚ Montre traditionnelle Zéro donnée collectée

Si tu veux l'heure et une belle montre sans aucune collecte de données biométriques, une montre mécanique ou quartz traditionnelle reste la solution parfaite. Aucune pile. Aucun compte. Aucune fuite possible. Certaines personnes portent une smartwatch au travail pour les fonctionnalités de notifications et remettent une montre traditionnelle le week-end — un équilibre raisonnable.

📚 Pour aller plus loin

Commission d'accès à l'information (CAI) : cai.gouv.qc.ca — exercer ton droit d'accès aux données de santé

Commissariat à la protection de la vie privée du Canada : priv.gc.ca — plaintes sous la LPRPDE

Politique de confidentialité Withings : withings.com

Pour une vue d'ensemble de la protection de tes données personnelles, consulte notre guide sur l'IA et les données personnelles et notre article sur la publicité ciblée et le tracking par cookies. Si tu utilises d'autres appareils connectés à la maison, notre guide sur la cybersécurité pour particuliers couvre l'ensemble du tableau.