IoTrust - Mini-eBike InMotion P1

Mini e-Bike (InMotion P1)

Les utilisateurs du vélo connecté In Motion n’ont aucune information sur le devenir de leurs données, ce qui ne leur permet pas de maîtriser l’utilisation qui est faite de celles-ci. Cette absence d’information, associée à un manque de mesures de sécurité (nom d’utilisateur et mot de passe stockés sur le téléphone sans chiffrement notamment) peuvent faire peser d’importants risques sur la vie privée des utilisateurs.

Par ailleurs, même si les communications sont chiffrées, des données personnelles telles que la position géographique de l’utilisateur sont transférées vers ces serveurs, pour la plupart situés en Chine. Or ce pays n’est pas reconnu comme assurant un niveau de protection adéquat par l’Union européenne et il est nécessaire d’encadrer les transferts de données personnelles grâce aux différents outils existants.

Le fonctionnement de l'objet connecté ne permet pas de répondre aux exigences essentielles en matière de protection des données personnelles et de respect de la législation s'y référant.

x

Résultats techniques

Le site web met à disposition des utilisateurs les conditions d’utilisation de l’application mobile ainsi que les conditions générales de vente relatives au site internet. La documentation trouvée en ligne indique que les données récoltées sont fournies à New Walking SAS.

L'application demande de nombreuses permissions intrusives sans justifications. La politique de complexité n’est pas assez forte puisqu’il est possible d’utiliser un type de caractère unique. Par ailleurs, sur Android, l'application demande de télécharger une mise à jour de l’application en passant par le navigateur.

Les communications, qu'elles soient entre l'application et l'objet ou entre l'application et les serveurs distants, sont chiffrées. Les serveurs contactés sont situés en Chine et à Hong Kong.

Résultats juridiques

Les informations relatives à l’utilisation des données personnelles des utilisateurs du Mini e-bike In Motion font l’objet d’une mention très succincte dans les conditions d’utilisation de l’application, rédigées en anglais. Les conditions générales de vente publiées sur le site internet sont plus complètes, mais visent uniquement l’utilisation du site.

Les utilisateurs ne reçoivent aucune information sur les données collectées, les finalités du traitement, la base légale, les durées de conservation des données, les destinataires ou encore l’existence de transferts hors de l’Union européenne. Seuls les droits d’accès et d’opposition sont envisagés, à propos du site internet.