Samsung contraint ses utilisateurs à consentir à l'utilisation de leurs données de santé pour entraîner ses modèles IA, sous peine de suppression immédiate. Une pratique qui soulève de graves questions de conformité RGPD.
En bref
- Samsung contraint les utilisateurs de Samsung Health à consentir à l'utilisation de leurs données de santé pour entraîner ses modèles IA, sous peine de suppression immédiate des données.
- La mesure concerne des données particulièrement sensibles — pas, sommeil, médicaments, suivi de cycle, historiques médicaux — et touche des centaines de millions d'utilisateurs dans le monde.
- Les experts juridiques estiment que cette pratique de consentement coercitif est très probablement non conforme au RGPD ; des investigations des autorités de protection des données sont à prévoir.
Un ultimatum numérique : donnez vos données ou perdez-les
Depuis le 13 juillet 2026, les utilisateurs de Samsung Health sur Android découvrent une nouvelle notification dans l'application : un bouton intitulé « Consentement à l'utilisation des données de santé pour l'entraînement et la modélisation IA ». En apparence anodine, cette demande cache une conséquence draconienne en cas de refus. Lorsqu'un utilisateur désactive ce paramètre, l'application affiche immédiatement un avertissement sans équivoque : « Vous ne pourrez plus synchroniser vos données de santé avec votre compte Samsung et vos données de santé seront supprimées, sauf conservation imposée par la loi applicable. »
La formulation est claire et le mécanisme automatique : retirer son consentement à l'utilisation des données pour l'IA déclenche simultanément l'arrêt de la synchronisation et la suppression des données accumulées sur les serveurs de Samsung. Il ne s'agit pas d'une menace conditionnelle ou d'un futur changement — la suppression intervient immédiatement après le retrait du consentement, selon les tests effectués par plusieurs journalistes spécialisés, dont ceux de 9to5Google, Android Authority et Android Police, qui ont publié leurs analyses le 13 juillet 2026.
Les catégories de données visées par cette politique sont parmi les plus sensibles qu'une application puisse collecter. Selon les informations publiées par Neowin et Cybernews, les données concernées comprennent les compteurs de pas quotidiens, les données de sommeil détaillées (durée totale, phases de sommeil léger et profond, interruptions nocturnes), les journaux de prise de médicaments, les données de suivi du cycle menstruel et de santé reproductive, mais aussi, pour les utilisateurs ayant connecté Samsung Health à des services médicaux, des données de traitements médicaux, des résultats d'analyses et des historiques de santé complets. Ces informations constituent des « catégories particulières de données » au sens du RGPD, bénéficiant d'une protection renforcée.
La procédure de retrait du consentement est accessible depuis les Paramètres de Samsung Health, dans la section Confidentialité. Le toggle correspondant au consentement IA peut être désactivé en quelques secondes, mais le message d'avertissement affiché laisse peu de doute sur les conséquences. Aucune option intermédiaire n'est proposée : il n'est pas possible de synchroniser ses données sans consentir à leur utilisation pour l'entraînement IA, ni de conserver ses données sur les serveurs Samsung sans accorder ce consentement.
Cette politique tranche avec les pratiques habituelles du secteur de la santé numérique. La plupart des applications concurrentes — Apple Health, Google Fit, Garmin Connect, Fitbit — permettent à leurs utilisateurs de contrôler l'utilisation de leurs données à des fins d'amélioration de services ou d'entraînement IA sans conditionner ce contrôle à la perte d'accès à leurs propres données. Chez Apple, par exemple, les données de santé restent chiffrées de bout en bout et ne sont pas utilisées pour entraîner des modèles sans consentement explicite, sans que ce refus n'affecte la synchronisation ou la conservation des données.
Le contexte industriel derrière cette décision est celui d'une course mondiale aux données d'entraînement pour les IA de santé. Samsung développe activement son écosystème Galaxy AI, dont plusieurs fonctionnalités de santé et de bien-être sont attendues sur les prochaines générations de Galaxy Watch et Galaxy S. Ces fonctionnalités — analyse des tendances de santé, coaching personnalisé, détection précoce d'anomalies cardiaques ou respiratoires — nécessitent des volumes importants de données réelles provenant d'utilisateurs dans des conditions variées. Le consentement forcé apparaît donc comme une stratégie d'acquisition massive de données d'entraînement, dans un contexte où Samsung est en retard sur Apple et Google dans le domaine des IA de santé.
Au 14 juillet 2026, Samsung n'a pas communiqué officiellement sur les raisons précises de ce couplage entre consentement IA et conservation des données. La marque n'a pas non plus précisé si des mécanismes d'anonymisation ou de pseudonymisation sont appliqués avant l'utilisation des données à des fins d'entraînement, ni quels modèles IA spécifiques bénéficieraient de ces données. Cette absence de transparence aggrave les préoccupations des défenseurs de la vie privée.
La réaction de la communauté a été massivement critique. Sur Reddit, les fils de discussion consacrés à la question ont accumulé des milliers de commentaires dans les heures suivant les premières publications, de nombreux utilisateurs qualifiant la politique de « chantage aux données » ou de « consentement sous la contrainte ». Des experts en protection des données ont immédiatement commencé à soulever des questions de conformité réglementaire, notamment au regard du RGPD européen, du CCPA californien et des réglementations de protection des données de santé au Japon, en Corée du Sud et en Australie.
Un cas d'école pour les régulateurs européens
Cette affaire soulève une question juridique fondamentale qui dépasse largement le cas Samsung : peut-on légalement conditionner la conservation des données personnelles d'un utilisateur à son consentement à une finalité secondaire — en l'occurrence l'entraînement de modèles IA ? Au regard du RGPD, la réponse semble négative. L'article 7 du règlement dispose que le consentement doit être « libre », ce qui signifie qu'il ne peut être conditionné à l'accès à un service ou à la conservation de données préalablement collectées. La CJUE a rappelé ce principe à plusieurs reprises, notamment dans ses arrêts concernant Meta et Google.
Le caractère particulier des données de santé aggrave le risque réglementaire. Classées comme « catégories particulières de données » à l'article 9 du RGPD, les données de santé ne peuvent être traitées qu'avec un consentement explicite, distinct des conditions générales d'utilisation, et pour des finalités précisément et clairement définies. Les autorités de contrôle comme la CNIL (France), le BfDI (Allemagne), ou le Garante (Italie) ont à plusieurs reprises rappelé que lier le consentement à une finalité secondaire non essentielle à la conservation des données constitue une pratique non conforme. Samsung s'expose donc à des investigations et potentiellement à des amendes pouvant atteindre 4 % du chiffre d'affaires mondial annuel, soit plusieurs milliards d'euros dans le cas du géant coréen.
Des précédents récents illustrent concrètement ces risques. En 2023, Meta a été condamné à 1,2 milliard d'euros d'amende par l'autorité irlandaise de protection des données (DPC) pour des transferts illicites de données transatlantiques. En 2024, Google a fait l'objet d'investigations dans plusieurs États membres de l'UE concernant l'utilisation de données personnelles pour l'entraînement de ses modèles Gemini. La pratique de Samsung — qui concerne des données de santé, catégorie encore plus sensible — pourrait provoquer des réactions encore plus rapides et plus sévères de la part des régulateurs.
Pour les entreprises, cette affaire a des implications concrètes. Les politiques BYOD et les parcs d'appareils Samsung déployés dans les organisations signifient que des données de santé d'employés pourraient être transférées à Samsung pour l'entraînement IA sans que les équipes de sécurité ou de conformité ne l'aient anticipé. Les RSSI et DPO doivent impérativement vérifier les politiques d'utilisation des applications de santé dans leurs organisations et, si nécessaire, déployer des restrictions via MDM pour bloquer l'accès à Samsung Health ou forcer le retrait du consentement.
Ce qu'il faut retenir
- Samsung Health conditionne désormais la synchronisation et la conservation des données de santé au consentement à l'utilisation de ces données pour l'entraînement IA — le retrait du consentement déclenche la suppression immédiate des données.
- Les données concernées incluent des informations médicales très sensibles (médicaments, cycles, historiques médicaux) classifiées comme catégories particulières au sens du RGPD.
- Les RSSI et DPO doivent vérifier d'urgence les politiques BYOD et MDM de leur organisation pour limiter l'exposition involontaire des données de santé des employés.
Comment exporter mes données Samsung Health avant de retirer mon consentement ?
Ouvrez Samsung Health, allez dans Paramètres, puis dans « Mes données » et sélectionnez « Télécharger mes données ». L'application génère une archive ZIP contenant vos données au format JSON ou CSV. Une fois exportée, cette archive reste disponible localement sur votre appareil, indépendamment de tout consentement ou suppression côté serveur Samsung. Il est fortement conseillé de réaliser cet export avant de modifier le paramètre de consentement IA.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Nihon Kotsu : malware frappe le dispatch taxi de Tokyo
Nihon Kotsu, premier opérateur de taxis du Japon avec plus de 6 300 véhicules à Tokyo, a confirmé le 13 juillet 2026 une infection malware ayant paralysé son système de dispatch téléphonique et ses réservations en ligne.
jscrambler npm backdooré : supply chain via preinstall hook
Le package npm jscrambler a été compromis le 11 juillet 2026 via cinq versions malveillantes intégrant un infostealer Rust exécuté dès l'installation. La charge utile cible credentials cloud, tokens CI/CD et configurations d'outils IA.
Indra Group : ransomware TheGentlemen cible un contractant stratégique de l'OTAN
TheGentlemen, groupe ransomware affilié au programme Qilin, a revendiqué une attaque contre Indra Group, contractant espagnol membre de la coalition cyber OTAN. La filiale touchée a été isolée mais le groupe menace de publier les données volées. L'incident illustre la stratégie de ciblage des filiales pour compromettre les groupes industriels de défense.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire