Sophie a commencé à suivre son cycle menstruel dans l’app Santé de son iPhone en 2021. Quelques mois plus tard, elle a connecté Clue — une app populaire de suivi de cycle — pour avoir plus de fonctions. Elle n’y a plus pensé.
Ce qu’elle ignorait : Apple protège ses données de cycle avec un chiffrement que même Apple ne peut pas briser. Clue, elle, envoie ces mêmes données à ses serveurs aux Pays-Bas avec une politique de confidentialité qui liste plusieurs partenaires publicitaires.
Deux apps, deux niveaux de protection. Une seule Sophie.
TL;DR : L’app Santé Apple est chiffrée de bout en bout dans iCloud depuis 2016, même sans Advanced Data Protection. Apple ne peut pas lire vos données de santé. Le problème : les apps tierces comme Garmin, Fitbit, Strava et MyFitnessPal lisent ces mêmes données en clair et les envoient à leurs propres serveurs. Voici comment vérifier qui a accès et comment révoquer ces accès.
Ce que contient vraiment l’app Santé
Avant d’expliquer la protection, il faut comprendre ce qu’on protège. L’app Santé d’Apple est bien plus qu’un podomètre.
Données biométriques passives : fréquence cardiaque (au repos, pendant l’effort, variabilité), saturation en oxygène, fréquence respiratoire, température corporelle. Si vous portez une Apple Watch, ces données sont collectées en continu, 24 heures sur 24.
Données reproductives et hormonales : cycle menstruel, durée, régularité, symptômes associés, ovulation estimée, données de fertilité. Depuis iOS 16, Apple a ajouté des champs pour les températures basales et les résultats de tests d’ovulation.
Données de sommeil : durée, phases (sommeil paradoxal, sommeil profond, sommeil léger), fréquence cardiaque nocturne, mouvements, temps passé au lit. Si vous portez une montre connectée pendant la nuit, le portrait est très détaillé.
Médicaments et suppléments : la fonction Médicaments d’iOS 16 permet de consigner chaque médicament, sa dose, sa fréquence, l’heure de prise, et les interactions potentielles. Certains utilisateurs y notent des antidépresseurs, des contraceptifs, des traitements pour des maladies chroniques.
Données mentales et émotionnelles : depuis iOS 17, l’app Santé inclut des journaux d’humeur, des évaluations de bien-être émotionnel, des scores de dépression basés sur des questionnaires PHQ-9.
Poids, composition corporelle, alimentation : poids, IMC, pourcentage de masse graisseuse si vous utilisez une balance compatible, apport calorique, macronutriments.
Résultats de laboratoire : si votre médecin utilise un système compatible ou si vous importez manuellement, les résultats de prises de sang, taux de cholestérol, glycémie, peuvent y être stockés.
Ce catalogue est l’une des représentations numériques les plus intimes d’une personne. C’est précisément pour ça qu’Apple a décidé de le traiter différemment.
Pourquoi Apple a choisi le E2EE par défaut dès 2016
En 2016, Apple a classé les données Santé dans une catégorie à part dans son architecture iCloud : chiffrées de bout en bout par défaut, sans exception, sans option de désactivation pour l’utilisateur.
La décision n’était pas philanthropique — elle était stratégique et défensive.
La pression réglementaire américaine. La loi HIPAA (Health Insurance Portability and Accountability Act) impose des obligations sévères aux entités qui manipulent des données médicales aux États-Unis. Si Apple pouvait techniquement accéder aux données Santé de ses utilisateurs, il devenait potentiellement une “entité couverte” soumise à HIPAA avec tout le fardeau réglementaire que ça implique. En rendant les données techniquement inaccessibles, Apple s’est placé hors du champ d’application.
Le risque de subpoena. En 2016, plusieurs affaires judiciaires avaient démontré que les entreprises technologiques recevaient régulièrement des ordonnances judiciaires pour remettre des données utilisateur. Pour des données de santé — qui peuvent révéler des maladies, des grossesses, des dépendances, des troubles mentaux — Apple a préféré ne jamais être dans la position de devoir choisir entre obéir à un tribunal et trahir ses utilisateurs.
La confiance comme avantage concurrentiel. Google, à la même époque, récoltait des données de santé depuis Google Fit pour alimenter ses profils publicitaires. Apple a choisi l’angle opposé : “Nous ne pouvons pas lire vos données de santé” comme argument de vente, pas seulement comme politique.
Comment ça fonctionne techniquement. Les données de l’app Santé sont chiffrées localement sur votre appareil avant d’être synchronisées dans iCloud. Les clés de chiffrement sont générées dans le Secure Enclave — la puce de sécurité dédiée présente dans chaque iPhone depuis l’iPhone 5S. Ces clés ne quittent jamais le Secure Enclave. Apple reçoit des données chiffrées dont il ne possède pas la clé. Le résultat : même avec un mandat judiciaire valide, Apple ne peut pas remettre le contenu lisible de vos données Santé aux autorités. Il peut seulement remettre des données chiffrées inutilisables.
C’est ce que “chiffrement de bout en bout” signifie concrètement : la chaîne de chiffrement commence et se termine sur vos appareils, jamais sur les serveurs d’Apple.
Le problème des apps tierces
La protection d’Apple est réelle. Elle a une limite précise : elle s’arrête à la frontière de l’écosystème Apple.
Voici ce qui se passe quand vous autorisez une app tierce à accéder à votre app Santé :
- L’app tierce demande l’accès à certaines catégories de données Santé.
- Vous approuvez.
- Apple, conformément à votre autorisation, déchiffre les données Santé pertinentes et les remet à l’app en clair, dans la mémoire vive de votre téléphone.
- L’app tierce les lit, les copie, les envoie à ses propres serveurs.
- À partir de là, les règles d’Apple ne s’appliquent plus. C’est la politique de confidentialité de l’app tierce qui gouverne.
Garmin Connect synchronise vos données de fréquence cardiaque, de sommeil et d’activité entre votre montre et votre app Santé — dans les deux sens. Garmin envoie ces données à ses serveurs aux États-Unis et les utilise pour améliorer ses algorithmes. Sa politique de confidentialité permet le partage avec des partenaires commerciaux dans certaines circonstances.
Fitbit (propriété de Google depuis 2021) fait de même. La fusion avec Google signifie que vos données Fitbit peuvent alimenter les profils Google — le contraire exact de l’approche Apple.
Strava lit votre fréquence cardiaque et vos données GPS depuis l’app Santé. Ses serveurs sont aux États-Unis, soumis aux lois américaines sur les ordonnances judiciaires et aux demandes gouvernementales.
MyFitnessPal accède à vos données d’alimentation et d’activité. Racheté par Francisco Partners en 2020, il a une longue liste de partenaires avec lesquels il peut partager des données.
Les apps de suivi de cycle sont peut-être les plus préoccupantes. Flo, Clue, Ovia Fertility accèdent à vos données reproductives depuis l’app Santé. Ces apps ont des serveurs en dehors du Canada, des politiques de confidentialité variables, et une valeur commerciale évidente pour les données qu’elles contiennent.
Le cas des données de grossesse et l’enjeu post-Roe v. Wade
En juin 2022, la Cour suprême des États-Unis a annulé Roe v. Wade, rendant l’avortement illégal dans plus d’une vingtaine d’États américains. Dans les jours qui ont suivi, des millions de femmes américaines ont supprimé leurs apps de suivi de cycle, craignant que ces données puissent être utilisées comme preuves dans des poursuites judiciaires.
Cette crainte n’est pas théorique. Des procureurs américains ont déjà utilisé des données de messagerie et de localisation dans des affaires liées à l’avortement. Les données de cycle menstruel et de grossesse pourraient être saisies via des ordonnances judiciaires adressées aux apps tierces dont les serveurs sont en sol américain.
La situation au Canada est différente, mais pas sans risques. L’avortement est légal au Canada sans restriction fédérale. Vos données de grossesse ne vous exposent pas aux mêmes poursuites qu’aux États-Unis.
Cependant : si votre app de suivi de cycle a ses serveurs aux États-Unis, vos données sont soumises aux lois américaines, y compris les demandes judiciaires américaines. Si vous voyagez aux États-Unis, vous emportez ces données avec vous. Et les pratiques commerciales des data brokers — entreprises qui achètent et revendent des profils d’utilisateurs — sont beaucoup moins encadrées aux États-Unis qu’au Canada.
Dans l’app Santé d’Apple, vos données de cycle sont protégées par le E2EE. Dans Flo ou Clue, ce n’est pas le cas.
Comment vérifier et révoquer les accès à votre app Santé
La vérification prend moins de deux minutes. Voici la procédure exacte :
Étape 1 — Ouvrir l’app Santé sur votre iPhone.
Étape 2 — Toucher votre photo de profil en haut à droite de l’écran d’accueil.
Étape 3 — Sélectionner “Confidentialité”, puis “Apps et services”.
Vous verrez une liste de toutes les apps qui ont demandé et obtenu un accès à vos données Santé. Pour chaque app, vous pouvez toucher son nom pour voir exactement quelles catégories de données elle lit et lesquelles elle écrit.
Pour révoquer l’accès : touchez l’app, puis désactivez les catégories dont vous ne voulez pas partager les données, ou désactivez complètement tous les accès en bas de l’écran.
Quelques constats fréquents : Beaucoup d’utilisateurs trouvent des apps auxquelles ils avaient accordé l’accès il y a plusieurs années et qu’ils n’utilisent plus. D’autres découvrent que des apps de fitness lisent des catégories qu’ils n’avaient pas réalisé avoir partagées — données de sommeil, données reproductives, médicaments.
La règle pratique : si vous n’utilisez plus l’app activement, révoquez son accès. Si vous n’avez pas lu sa politique de confidentialité, révoquez son accès aux catégories les plus sensibles — cycle menstruel, médicaments, données de santé mentale, résultats de laboratoire.
Pour les apps que vous voulez conserver, vérifiez si elles ont une option pour désactiver la synchronisation avec l’app Santé d’Apple tout en conservant leurs propres fonctions. Garmin, par exemple, fonctionne parfaitement sans l’intégration Santé — vous perdez la consolidation des données, mais vous gardez le contrôle.
Apple a fait le travail difficile pour vous protéger de lui-même. Le reste, il ne peut pas le faire à votre place. Vérifiez vos accès Santé maintenant — pas parce que quelque chose s’est passé, mais parce que c’est beaucoup plus simple de prévenir que d’expliquer.
Si vous voulez aller plus loin, Sequr accompagne les particuliers et les entreprises au Québec pour un audit complet de leur empreinte numérique.
