Un jogging sous haute surveillance avec Runtastic d'Adidas

Comment l'application de fitness d'Adidas brade vos données personnelles, sans fondement juridique valable

Publié par Pixel de Tracking le 31 mai 2020

Runtastic multiplie les traceurs et fuite votre nom

Pratiquant le jogging régulièrement, j'ai souhaité en savoir plus sur les applications de "fitness", à commencer par Runtastic. Cette application a été rachetée en 2015 par Adidas et depuis renommée en "adidas Running par Runtastic". Si les applications de fitness sont excellentes pour se motiver et mesurer ses progrès, elles récupèrent des données personnelles assez sensibles comme :

  • Votre activité physique : ces données peuvent par exemple intéresser des sociétés d'assurances car si vous êtes en meilleur forme, vous serez plus rentable (aux États-Unis, un assureur propose déjà de baisser ses prix si vous portez un bracelet de santé).
  • Vos déplacements sportifs : notamment depuis votre domicile ou votre travail mais pas seulement, ces données intéressent notamment les publicitaires.

Google ne s'y est d'ailleurs pas trompé et a décidé d'acheter Fitbit l'année dernière, complétant encore la masse et la diversité des données personnelles qu'il détient sur une grande partie de la population mondiale.

Pour se rendre compte des outils de tracking installés par Runtastic, j'ai suivi la procédure suivante sur mon iPhone :

  • Fermeture des différentes applications en arrière plan.
  • Lancement de l'application Charles Proxy et activation du suivi.
  • Lancement de l'application Runtastic, puis navigation dans l'App dont le lancement d'une activité.
  • Export des logs de ma session Charles Proxy vers mon ordinateur.

Runstatic iOS

Comme vous pouvez le voir, Runtastic appelle de nombreux tiers, regardons ceux qui vous pistent :

  • Google : incontournable, Runtastic utilise Firebase, la boîte à outils de Google pour les Apps.
  • Facebook : incontournable également, Runtastic utilise la boite à outil de Facebook pour les Apps, et notamment la brique analytics.
  • Pushwoosh : boite à outils pour applications, fournit notamment des services de notification, d'e-mails et de messages in-App personnalisés. Mauvaise surprise : en plus d'envoyer un pseudonyme et vos différentes actions, Runtastic fuite votre prénom, votre nom, votre sexe et votre tranche d'âge.
  • NewRelic : outil de mesure de la performance de l'application Runtastic, notamment utile pour les développeurs.
  • Adjust : société de marketing mobile spécialisée dans l'attribution de campagnes publicitaires (savoir grâce à quelle pub vous avez installé Runtastic). Adjust collecte vos actions sur l'application Runtastic.
  • Emarsys : société de data marketing permettant à Runtastic de vous profiler de manière extensive pour ensuite mieux vous recibler. Emarsys récupère ainsi le détail de vos activités : la distance parcourue, la durée de l'exercice, le nombre de calories brûlées, vos impressions à la fin de l'exercice, la météo, le type d'activité, la température extérieure, etc.

Une collecte de données personnelles massive, et une fuite vers des tiers sans fondement juridique valable

Au premier lancement de Runtastic, je n'ai malheureusement pas eu de choix : j'ai été obligé d'accepter les conditions d'utilisation pour me servir de l'application.

Conditions utilisation

J'ai pu ensuite refuser de recevoir des publicités ciblées Runtastic sur des plateformes tierces telles que Google et Facebook (mais sans pouvoir interdire à ces tiers de collecter mes données personnelles) :

Ciblage tiers

Notez le bouton "Accepter", clairement mis en avant comparé à "Je refuse", un exemple supplémentaire de Dark Pattern.

La politique de confidentialité de Runtastic liste dans le détail les différentes données personnelles collectées. Vous pouvez lire la section 3. "Données que nous collectons et traitons" afin de mieux saisir la variété et l'ampleur des données personnelles collectées (et ainsi mieux comprendre pourquoi Google a racheté Fitbit). Voici les différentes catégories de données personnelles :

  • Informations d'identité.
  • Coordonnées de contact.
  • Informations de localisation.
  • Informations sur les tailles et pointures.
  • Informations concernant les achats.
  • Informations de profil et comportementales.
  • Informations communautaires.
  • Informations des réseaux sociaux.
  • Informations concernant l'appareil.
  • Informations d'activité.
  • Informations sur les préférences.
  • Informations Creators Club.
  • Inscription par le biais de Google ou Facebook.
  • Liste d'ami(e)s Facebook.
  • Informations concernant les activités d'entraînement importés à partir des Comptes connectés.

Pour chaque catégorie de destinataires, Runtastic informe des catégories de données personnelles transférées ici.

Runtastic explique ensuite de manière détaillée son usage de Firebase, Google Analytics, Adjust et Facebook Analytics. Plus bas dans la politique de confidentialité, Runtastic donne des informations succinctes sur les différents prestataires que nous avons vu précédemment :

Nous faisons appel à des sous-traitants tels que Adjust, Google, Facebook, Amazon Web Services, Inc., Emarsys eMarketing Systems AG, Pushwoosh, Inc., NewRelic, Inc., Apptimize, Inc. ou Zendesk, Inc.

Si ces explications sont louables, Runtastic indique se fonder sur l'intérêt légitime (lire la documentation de la CNIL sur cette base légale) pour fuiter vos données personnelles vers ces tiers : "Le fondement pour le traitement des Données est constitué par nos intérêts légitimes". Pourtant, cette interprétation du RGPD n'est pas valable. Pour les outils d'analytics, on peut notamment se référer à cette page de la CNIL :

Si le dispositif mis en œuvre par le responsable de traitement ne respecte pas strictement les critères des deux cas précédents, seul le consentement des personnes peut être retenu comme base légale du traitement (article 7 de la loi Informatique et libertés, article 6 du RGPD). Ce consentement peut être obtenu par tout moyen (par exemple, connexion à un réseau wifi spécifique, téléchargement d’une application spécifique, inscription via un site web dédié, « badgeage » du terminal auprès d’une borne NFC). Ce consentement doit être informé (les personnes doivent être informées conformément au point ci-dessous avant de consentir), libre (les personnes doivent pouvoir choisir librement de consentir ou non, et ne doivent pas souffrir de conséquences négatives si elles ne consentent pas) et spécifique (le consentement ne doit concerner que le traitement de suivi et ne peut être inclus dans l’acceptation de CGU par exemple).

Runtastic ne peut donc se fonder sur l'intérêt légitime et doit obtenir mon consentement pour fuiter mes données personnelles vers des tiers tels que Google, Facebook ou Adjust. En particulier, le fait d'avoir accepté les CGU ne veut pas dire que j'ai consenti à cette surveillance.

Pourtant, Runtastic persiste à s'appuyer sur la base légale de l'intérêt légitime, comme en témoigne aussi la section 8.1 de sa politique de confidentialité, "Fondements juridiques" :

La licéité du traitement des Données trouve sa source : [...] dans les intérêts légitimes de Runtastic ou d'un tiers, par exemple, notre recours aux cookies, aux plug-ins ou à la publicité ciblée.

Clairement, le recours aux cookies, aux plug-ins ou à la publicité ciblée ne peut s'appuyer sur l'intérêt légitime.

Il est surprenant de voir une célèbre multinationale Allemande (Adidas) collecter de manière aussi massive les données personnelles de millions d'utilisateurs, sans fondement juridique valable. Il est également surprenant de constater qu'Adidas ne se limite pas dans l'usage d'outils marketing fuitant vos données personnelles, toujours sans fondement juridique valable. Que pouvez-vous faire afin d'empêcher les fuites vers des outils tiers ? En attendant une éventuelle sanction d'une autorité de régulation compétente, vous pouvez passer par des applis telles que DNSCloak, Adguard ou NextDNS sur iOS.