IoTrust - Bewell connect

Bewell Connect

L’information complète des utilisateurs du thermomètre Bewell Connect est d’autant plus importante que des données pouvant révéler l’état de santé des utilisateurs, donc des données sensibles, peuvent être traitées pour l’utilisation de la plateforme ou des applications associées aux produits commercialisés. Ces données sont en outre susceptibles d’être transférées hors de l’Union européenne, puisque deux serveurs sont localisés aux États-Unis, ce dont les utilisateurs ne sont pas informés.

Par ailleurs, le responsable de traitement n’a pas mis en place toutes les mesures techniques permettant d’assurer l’effectivité des informations délivrées dans la politique de confidentialité. En effet, celle-ci prévoit qu’en cas de suppression du compte et/ou du profil de l’utilisateur, le groupe s’engage à supprimer les données qui lui sont rattachées. Néanmoins, l’utilisateur n’a pas la possibilité de supprimer son compte.

Le fonctionnement de l'objet connecté ne permet pas de répondre aux exigences essentielles en matière de protection des données personnelles et de respect de la législation s'y référant.

x

Résultats techniques

L’application Windows mentionnée sur l'emballage de l'objet est introuvable. L'emballage indique la collecte de la température corporelle et les mentions légales indiquent la façon dont les données sont utilisées.

La plupart des permissions demandées par l’application ne sont pas obligatoires et sont justifiées. La politique de mot de passe n’est pas assez complexe, car l’utilisation d’un seul type de caractère est possible. Il n’y a pas de mécanisme contre le brute force.

Les communications Bluetooth entre l'objet et l'application sont chiffrées, ainsi que les communications entre l'application et les serveurs distants.

Résultats juridiques

Les utilisateurs sont globalement bien informés de l’utilisation qui est faite des données personnelles collectées par le thermomètre Bewell Connect. L’objet peut être amené à collecter des données sur les caractéristiques physiques de l’utilisateur, mais également concernant le médecin traitant de l’utilisateur et la personne à contacter en cas d’urgence. Le groupe Visiomed s’engage à informer ces personnes du traitement de leurs données dès que celles-ci sont enregistrées sur l’application.

La documentation définit une durée de conservation de l’historique des utilisateurs, et prévoit que le groupe peut transmettre des données à ses filiales et à des sous-traitants, mais les autres informations obligatoires à fournir aux utilisateurs sont incomplètes ou absentes.