← Blog / Vie privée
Vie privée

Le consentement fantôme :
ces apps qui collectent
avant votre accord.

Par RoninKa · No Fuss Gym · 8 min de lecture · 9 juillet 2026
Smartphone affichant une application mobile en cours de démarrage, symbolisant la transmission de données à des tiers avant tout consentement

Des applications transmettent vos données à des tiers dès l'ouverture, avant même qu'une fenêtre de consentement s'affiche. Comment ce mécanisme fonctionne, pourquoi il est rarement accidentel, et ce que ça implique concrètement pour vos données.

1. Une fuite massive, mais pas le vrai problème

En 2018, l'application de suivi calorique MyFitnessPal a subi un piratage touchant environ 150 millions de comptes : identifiants, emails, mots de passe hachés [1]. Une fuite énorme, largement relayée à l'époque.

Mais un piratage reste un incident, quelque chose qui n'aurait pas dû arriver. Ce qui suit est différent : c'est un fonctionnement prévu, documenté, et qui ne doit rien au hasard.

2. Un consentement qui n'en est pas un

En 2024, l'association européenne de défense de la vie privée noyb a déposé trois plaintes en France, dont une visant justement MyFitnessPal, aux côtés de Fnac et SeLoger. Le constat : dès l'ouverture de l'application, avant même que l'utilisateur ait pu faire un choix quelconque, l'app transmet à des tiers l'identifiant publicitaire Google, le modèle et la marque de l'appareil, ainsi que l'adresse IP locale [2].

Il n'y a là aucune case à cocher, aucune fenêtre de consentement à refuser : la transmission a déjà eu lieu au moment où l'écran d'accueil s'affiche. noyb a demandé à la CNIL d'ordonner la suppression de ces données collectées illégalement. Aux Etats-Unis, une juge californienne a validé début 2026 le maintien de plusieurs plaintes similaires contre MyFitnessPal portant sur ce même type de traçage via cookies [3]. Deux continents, deux procédures distinctes, pour un seul et même mécanisme.

Le problème n'est pas qu'une app collecte des données. C'est qu'elle le fasse avant de vous avoir demandé quoi que ce soit.

3. Un cas parmi des milliers

MyFitnessPal n'a rien d'une exception. Une étude académique présentée à la conférence NDSS en 2018, menée à partir du trafic réseau de plus d'un million d'applications mobiles, a recensé 2121 services publicitaires et de tracking distincts actifs dans l'écosystème mobile [4]. Les chercheurs concluent que partager les données collectées avec des filiales et des partenaires tiers est devenu, sans exagération, la norme du secteur. Ils notent aussi qu'une bonne partie de ce trafic quitte des pays aux lois protectrices, comme l'Allemagne ou la Suisse, pour transiter vers des juridictions bien moins regardantes.

Concrètement, la petite app de fitness que vous ouvrez chaque matin partage probablement des informations avec des dizaines d'entreprises dont vous n'avez jamais entendu parler, et dont vous n'avez jamais eu l'occasion d'accepter ou de refuser l'intervention.

No Fuss Gym ne revend aucune de vos données
Aucun SDK publicitaire, aucune enchère en arrière-plan, aucun tiers qui collecte votre profil à votre insu. L'app se finance par abonnement, pas par vos données.
Télécharger

4. Comment une app gratuite se finance vraiment

Ce mécanisme n'est pas un bug, c'est un modèle économique. Une app gratuite embarque des kits de développement tiers (des SDK) publicitaires. Chaque fois que vous ouvrez l'app, votre profil (appareil, approximation de localisation, centres d'intérêt déduits de votre usage) part aux enchères en quelques millisecondes auprès d'annonceurs, un système appelé real-time bidding. L'app touche une commission sur chaque enchère gagnée, sans que vous ayez rien déboursé.

Le souci, c'est que ce système d'enchères repose lui-même sur un mécanisme de consentement, le Transparency and Consent Framework (TCF), conçu par l'organisme professionnel IAB Europe pour justement documenter que l'utilisateur a bien autorisé le tout. En février 2022, l'autorité belge de protection des données a jugé ce cadre non conforme au RGPD, une décision confirmée en appel en 2025 avec une amende de 250 000 euros [5]. Autrement dit, le système censé prouver que vous avez consenti à cette chaîne d'enchères a lui-même été jugé illégal par un régulateur européen.

5. Le contraste avec No Fuss Gym

No Fuss Gym n'intègre aucun SDK publicitaire, aucun partenaire tiers, aucune enchère sur votre profil. Ce n'est pas un choix neutre financièrement : un utilisateur qui utilise l'app gratuitement ne nous rapporte rien, et nous coûte même un peu (hébergement, stockage, maintenance), sans qu'aucune donnée revendue ne vienne compenser la note. On préfère ce déséquilibre plutôt que de le combler avec votre vie privée. L'abonnement optionnel qui débloque certaines fonctionnalités reste la seule source de revenu de l'app, et la seule qu'on ait jamais voulue. Si cette approche vous parle, vous pouvez télécharger No Fuss Gym gratuitement sur iOS et Android.

Rejoins la communauté
No Fuss Gym est un projet récent et on construit la communauté maintenant. Le Discord est calme pour l'instant, c'est normal : les premiers membres sont ceux qui façonnent l'ambiance. Viens débattre, poser tes questions et partager tes séances.
Rejoindre le Discord
Questions fréquentes

Qu'est-ce que le consentement fantôme dans les applications mobiles ?

Le consentement fantôme désigne le fait qu'une application transmette vos données à des tiers dès l'ouverture, avant même qu'une fenêtre de consentement s'affiche. L'utilisateur n'a encore rien cliqué que des informations comme l'identifiant publicitaire, le modèle de l'appareil et l'adresse IP ont déjà été envoyées. Cette pratique a été documentée par l'association noyb dans des plaintes déposées en 2024 contre plusieurs applications en France.

Est-ce illégal qu'une app transmette mes données avant d'avoir mon consentement ?

En Europe, oui : le RGPD exige un consentement préalable, libre et éclairé avant toute transmission de données personnelles à des tiers. L'autorité belge de protection des données a de plus jugé le Transparency and Consent Framework (TCF) d'IAB Europe non conforme au RGPD en 2022, décision confirmée en 2025. Plusieurs applications ont fait l'objet de plaintes pour avoir contourné cette obligation.

Comment les applications gratuites se financent-elles vraiment ?

La plupart intègrent des kits de développement tiers (SDK) publicitaires. À chaque ouverture, votre profil est envoyé aux enchères en quelques millisecondes auprès d'annonceurs : c'est le real-time bidding. L'app perçoit une commission sur chaque enchère gagnante. C'est ce mécanisme qui explique pourquoi tant d'apps collectent des données bien au-delà de ce dont elles ont besoin pour fonctionner.

Comment limiter la transmission de mes données sans mon accord par une application ?

Privilégier des applications sans SDK publicitaires reste la protection la plus efficace. Vous pouvez aussi désactiver l'identifiant publicitaire de votre téléphone (iOS : Réglages > Confidentialité > Publicité Apple ; Android : Paramètres > Confidentialité > Annonces), refuser le consentement au tracking quand la fenêtre s'affiche, et vérifier régulièrement les autorisations accordées dans les réglages de votre appareil.

Sources

  1. [1] TechCrunch, Under Armour says MyFitnessPal data breach affected 150 million users
  2. [2] noyb, How mobile apps illegally share your personal data
  3. [3] CIPAWorld, California judge puts MyFitnessPal on a privacy diet
  4. [4] NDSS 2018, Apps, Trackers, Privacy, and Regulators: A Global Study of the Mobile Tracking Ecosystem
  5. [5] Autorité de protection des données (Belgique), IAB Europe held responsible for a mechanism that infringes the GDPR