Une bouffée, deux bouffées, trois … comment Juul et les fabricants de tabac recueillent vos données personnelles !

 

 

Comment Juul et les cigarettiers recueillent vos données personnelles?

 

Le 29 juillet[1], en toute discrétion, Juul a sorti un nouveau dispositif d’ores et déjà disponible au Royaume-Uni. Juul qui s’affiche comme – la « start-up de remplacement du tabac » connue pour ses minuscules vapes à la nicotine, ses saveurs fruitées alléchantes chez les jeunes et sa valorisation vertigineuse – se lance apparemment dans le secteur des données. La société, qui a investi 12,8 milliards[2] de dollars juul-connecte-collecte-donnees-industries-tabacprovenant du géant de la cigarette Altria en décembre, crée un nouvel appareil compatible Bluetooth et l’application mobile correspondante (uniquement disponible sur Android à ce jour). Juul affirme que ces offres font partie de sa mission globale consistant à aider les fumeurs de cigarettes à adopter ce produit. Mais la société serait également en train de lancer un programme qui permettrait aux tiers d’accéder aux données clients de Juul – y compris des détails sensibles tels que les habitudes d’utilisation[3].

Ce nouveau dispositif enregistre des données sur le moment et l’endroit où il est utilisé et enregistre le nombre de bouffées que prend un utilisateur, en suivant ses habitudes de consommation. Il dispose également de fonctionnalités de connectivité, telles qu’un localisateur pour rechercher votre vape en cas de perte et un verrou de périphérique pour empêcher toute personne autre que vous d’utiliser votre périphérique. L’application C1 utilise la reconnaissance faciale et une vérification de l’arrière-plan en deux étapes pour vérifier l’âge de l’utilisateur, afin, selon leurs dires, d’empêcher les adolescents d’utiliser l’appareil. Les utilisateurs de Juul devront soumettre un selfie et une photo d’une pièce d’identité émise par le gouvernement pour pouvoir utiliser l’application. Ils peuvent configurer l’appareil pour que la e-cigarette ne soit utilisable que lorsque le propriétaire du smartphone a déverrouillé le périphérique. Il dispose également d’une fonction de verrouillage automatique qui empêche la e-cigarette de fonctionner lorsqu’elle est hors de portée du smartphone. Des rapports récents suggèrent que Juul envisage également d’instaurer des clôtures géographiques qui empêcheraient son produit d’être utilisé dans certaines zones, notamment dans et autour des écoles.

juul-connecte-collecte-donnees-industries-tabac

«Comme toute technologie, une application peut être utilisée pour le bien ou pour le mal – ou plutôt pour un peu des deux», déclare Margaret Foster Riley, experte en droit de la santé à l’Université de Virginie. « Je ne serais pas surprise qu’ils vendent des données à des tiers – c’est là que se trouve l’argent. »[4]

Les experts en protection de la vie privée ont exprimé leur préoccupation à propos de la collecte de données requise pour le nouvel appareil. Le principal risque est que ces données, à savoir le numéro de téléphone, la date de naissance, la reconnaissance faciale et le numéro d’identification national soient divulguées, il est possible d’identifier la personne à partir de ces données. Il pourrait s’agir d’informations liées à la santé, domaine extrêmement sensible au niveau du règlement général sur la protection des données (RGPD)[5]. Bien que la politique de confidentialité de Juul puisse être révisée après le lancement de son nouvel appareil et de ses applications Bluetooth, la société se réserve déjà le droit de partager vos données personnelles – telles que votre localisation, les informations de paiement et les adresses électroniques – avec des tiers. Une application mobile pourrait toutefois considérablement élargir le type de données collectées par Juul et la quantité de données qu’elle partage.

Nicolas Terry, directeur exécutif du Centre Hall pour le droit et la santé de l’Université d’Indiana, a déclaré que de telles données pourraient intéresser plusieurs entités différentes, telles que les employeurs et les assureurs maladie. Ce qui peut poser de gros problèmes, notamment aux Etats-Unis où certains employeurs ont interdit la consommation de cigarettes au travail et en dehors du travail, car une base d’employés en meilleure santé permet à l’entreprise d’économiser de l’argent sur l’assurance maladie. Récemment, certaines entreprises ont incorporé la cigarette électronique à leur interdiction de fumer[6].

Une idée qui n’est pas nouvelle …

Philip Morris International Inc, et son nouveau dispositif de tabac chauffé appelé iQOS, qui affirme toujours que le gadget électronique est moins susceptible de provoquer des maladies que les cigarettes traditionnelles présente un autre avantage moins évident par rapport aux cigarettes classiques : la possibilité de collecter des données personnelles sur les habitudes de consommation des utilisateurs.

Le géant du tabac est déjà en train de construire une base de données de clients iQOS qui s’enregistrent auprès de la société. Et il a développé un logiciel où pour chaque achat d’un dispositif, il est requis de se connecter en ligne et de créer un compte pour assimiler son appareil à l’application qui vous rappelle de temps à autre à travers des notifications push que votre appareil est bientôt déchargé !

L’initiative, si les autorités de réglementation l’autorisent, pourrait extraire des informations sur les habitudes de tabagisme d’un utilisateur et les utiliser à des fins de marketing, a déclaré un ancien chef de projet de la société ayant testé le logiciel au Japon. Ces données incluraient le nombre de bouffées et la consommation moyenne par jour, a déclaré Shiro Masaoka, qui a travaillé chez Philip Morris au Japon de 2012 à 2016[7].

juul-connecte-collecte-donnees-industries-tabac-iqos

Certains utilisateurs d’IQOS ne font d’ailleurs pas confiance à cette application (également uniquement disponible sur android …) car il est supposé que PMI, par l’intermédiaire du Bluetooth autorise l’application comme moyen de surveiller les données utilisateur. Cela fait suite à une enquête menée par TechInsights en 2018 qui a révélé que tous les dispositifs IQOS contiennent des puces de microcontrôleur capables de stocker des données utilisateur. Si les puces de l’appareil surveillent activement les utilisateurs, c’est sans leur consentement, ce qui signifie que PMI aurait pu enfreindre les lois sur la confidentialité des données personnelles.

 

Mots-clé : Juul, IQOS, nouveaux produits du tabac, collecte de données, données personnelles, RGPD


[1] https://www.wired.co.uk/article/juul-c1-e-cigarette-youth-vaping

[2] https://edition.cnn.com/2018/12/19/business/altria-juul/index.html#targetText=Fresh%20off%20a%20%241.8%20billion,maker%20Juul%2C%20worth%20%2412.8%20billion.

[3] https://www.dailymail.co.uk/sciencetech/article-6021125/Juul-reveals-plans-smart-Bluetooth-e-cigs-use-biometric-data-prove-smokers-age.html

[4] https://onezero.medium.com/juuls-upcoming-smart-device-could-pose-a-major-privacy-risk-f4151f6c2dd2

[5] LE RGPD est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de régulation.

[6] https://www.healthmarkets.com/content/smoking-and-health-insurance#targetText=The%20ACA%20allows%20for%20insurance,vary%20from%20state%20to%20state.

[7] https://af.reuters.com/article/commoditiesNews/idAFL3N1SM2BN