Oura vous demande de fournir vos données de localisation lors de la configuration. Si vous refusez, vous ne pourrez pas accéder à certaines fonctionnalités qui ne sont disponibles que dans certaines régions. Lors de l’inscription, il vous est demandé d’indiquer votre âge, votre taille et votre sexe. Sans ces informations, les données fournies par l’Oura Ring ne donneraient qu’une image incomplète de votre état de santé général.

Toutes les options de partage de données avec des tiers sont désactivées par défaut ; vous devez les activer vous-même pour pouvoir les utiliser.

Au quotidien, l’anneau enregistre : les phases et la durée du sommeil, la fréquence cardiaque et sa variabilité, le taux d’oxygène dans le sang, la température cutanée, la fréquence respiratoire, les niveaux d’activité et les mouvements, ainsi que, pour les utilisatrices qui activent cette option, les données relatives au cycle menstruel et à l’utilisation de contraceptifs hormonaux. L’application Oura peut également synchroniser la localisation GPS de votre téléphone avec les activités enregistrées par la bague Oura Ring afin que vous puissiez mémoriser votre parcours et vos temps par tour pendant vos séances d’entraînement.

Toutes ces données sont stockées sur les serveurs cloud d’Oura. L’entreprise ne propose pas aux utilisateurs de moyen direct d’extraire les données en temps réel de la bague elle-même sans passer par son application et son infrastructure cloud. L’API Oura n’est accessible qu’avec un abonnement.

Fondée en Finlande en 2013, Oura est considérée comme l’une des entreprises de technologie portable de santé grand public les plus soucieuses de la protection de la vie privée. Malheureusement, nous estimons que l’approche exclusivement en ligne d’Oura est fondamentalement incompatible avec sa politique de confidentialité.

Oura suscite de nombreuses interrogations concernant son partenariat avec le département américain de la Défense (DoD), même si la réalité est un peu plus nuancée que ne le suggèrent les articles que vous avez pu lire en ligne. Oura a conclu un contrat d’approvisionnement avec le département américain de la Défense afin de lui fournir des produits destinés à suivre l’état de santé du personnel militaire. Pour se conformer aux exigences réglementaires du programme du DoD, l’entreprise a utilisé FedStart de Palantir comme environnement cloud sécurisé destiné aux organismes gouvernementaux.

À l’heure actuelle, Oura n’est pas opérationnelle sur FedStart et aucune donnée Oura (qu’elle soit relative aux consommateurs ou de nature commerciale) n’interagit actuellement avec les systèmes de Palantir, selon un porte-parole d’Oura.

Si vous souhaitez consulter les données vous concernant détenues par Oura sans abonnement, il est possible d’exporter l’ensemble de vos données sous forme d’une série de fichiers CSV. Vous êtes propriétaire de vos données, mais pas des analyses qui en découlent et qu’Oura vous présente.

« Vous pouvez à tout moment supprimer ou exporter vos données personnelles, et nous ne vendons pas vos données personnelles à des tiers », a déclaré un porte-parole d’Oura.

Le partage de données avec des tiers est désactivé par défaut. Le partage des données de localisation est facultatif.

Vous devez activer manuellement la connexion avec Apple Health, Strava ou tout autre partenaire de recherche.

Oura autorise les demandes d’accès aux données afin que vous puissiez consulter toutes les informations conservées, y compris les champs qui n’apparaissent jamais dans l’application. L’entreprise est soumise au RGPD, qui assure une protection des consommateurs plus rigoureuse que la législation américaine à elle seule.

Sans abonnement, il est impossible d’utiliser la bague Oura. Vos données seront tout de même collectées et téléchargées, mais la seule façon d’y accéder est de soumettre une demande d’accès aux données, qui peut prendre plusieurs jours de traitement.

Le fait de devoir fournir vos informations de paiement lors de l’inscription au service Oura est regrettable. Sans abonnement, vous êtes limité à un sous-ensemble extrêmement basique des fonctionnalités d’Oura, ce qui rend la bague pratiquement inutile. Pire encore, il est impossible d’utiliser la bague sans transférer vos données biométriques vers les serveurs cloud d’Oura.

Bien que les données enregistrées par votre Oura Ring soient chiffrées pendant leur transfert à l’aide des protocoles TLS 1.2+ (le même chiffrement que celui utilisé pour la plupart du trafic web) et AES-256 lorsqu’elles sont stockées sur les serveurs d’Oura, aucune de ces méthodes ne constitue un véritable chiffrement de bout en bout. Concrètement, cela signifie que vous devez faire confiance aux contrôles d’accès internes d’Oura.

La politique de confidentialité d’Oura ne précise pas non plus clairement le délai nécessaire à la suppression des données. L’entreprise a déclaré que le processus de suppression était effectué dans les délais requis par les lois sur la protection de la vie privée. La réinitialisation d’usine de l’appareil efface instantanément toutes les données qu’il contient, mais nous avons pu constater, d’après les réponses du service client, qu’il peut s’écouler entre deux et trois semaines pour que vos données soient supprimées des systèmes d’Oura.

Voici quelques mesures que vous pouvez prendre pour minimiser l’impact de l’Oura Ring sur votre vie privée.

Vérifiez vos paramètres de partage

Ouvrez l’application Oura, accédez aux Paramètres et faites défiler vers le bas jusqu’à « Partage des données ». Assurez-vous que vos données ne sont pas transmises à des applications tierces ne vous inspirant pas confiance. Profitez-en pour vérifier également les options « Plateforme Oura » et « Recherche » et assurez-vous que vos données ne sont pas transmises à un organisme de gestion externe.

Réduisez au minimum les informations de votre profil

Désactivez la géolocalisation dans l’application, supprimez votre pays de résidence et désactivez toutes les fonctionnalités liées à la santé féminine. Cette interface vous permet également de supprimer immédiatement toutes vos données relatives à la santé reproductive, mais vos conversations avec l’assistant IA d’Oura devront être supprimées manuellement.

Demandez une copie de vos données

Rendez-vous sur le portail réservé aux membres Oura depuis l’application et sélectionnez « Exporter les données » pour soumettre une demande. Vérifiez les informations qu’Oura détient à votre sujet. Mis à part l’option permettant de supprimer séparément les données générées par les fonctionnalités « Santé des femmes », il n’existe aucun moyen de supprimer des informations spécifiques de votre compte sans le supprimer entièrement.

Utilisez des adresses e-mail et une carte de crédit éphémères

En créant votre compte Oura avec une adresse e-mail à usage unique et une carte de crédit virtuelle, votre compte Oura présente très peu de liens avec votre identité réelle. Cela limite la capacité de tiers à recouper vos données de santé avec d’autres comptes en cas de faille de sécurité.

Nous sommes tentés de recommander l’Oura Ring, mais le fait qu’il n’existe aucun moyen simple de l’utiliser hors ligne est difficilement justifiable.

L’activation de la géolocalisation d’Oura crée un enregistrement détaillé de vos déplacements, de vos lieux d’entraînement et de vos absences de votre domicile. L’application du RGPD est un point positif, mais ce dispositif n’est pas étayé par un chiffrement de bout en bout qui vous permettrait de garder le contrôle total de vos données. Oura affirmerait sans doute qu’il est nécessaire d’accéder à vos données pour fournir une offre complète de services, et nous le comprenons. Ce que nous ne comprenons pas, c'est l’absence d’options pour les utilisateurs soucieux de la protection de leur vie privée.