Un lave-linge branché au Wi-Fi, c’est d’abord une bonne idée : notification quand le linge est prêt, démarrage à distance, statistiques de consommation. Mais quand un informaticien pointe un outil d’analyse réseau sur le trafic sortant de l’appareil, le tableau devient beaucoup plus instructif.
À retenir
- Un lave-linge connecté envoie des signaux bien au-delà de ses fonctions utiles, même quand il est éteint
- Trois mois de données de lavage peuvent révéler des informations intimes sur la composition et le rythme du foyer
- Samsung Ads utilise ces données pour du profilage comportemental destiné à la publicité ciblée
Ce que le lave-linge envoie vraiment
Pour connecter un lave-linge Samsung au réseau domestique, il faut passer par l’application SmartThings et créer un compte Samsung. Dès cette étape, on renseigne son nom, son adresse électronique, parfois sa date de naissance. L’appareil est ensuite lié à ce compte. Une fois la connexion Wi-Fi activée, le lave-linge reste connecté au réseau même mis hors tension. : même éteint, il continue de communiquer.
La déclaration de confidentialité de SmartThings, consultable en ligne, est limpide sur le sujet. Si vous utilisez SmartThings Clothing Care, Samsung recueille des informations sur votre utilisation, notamment les vêtements qui vous intéressent et vos habitudes en matière de gestion des vêtements, comme le mémo d’affichage et les informations sur les programmes et les options. En clair : le fabricant sait quel programme vous lancez, à quelle température, à quelle heure, avec quelle fréquence. La fonction AI Control mémorise ainsi vos préférences personnelles, température, rinçages, essorage, options, pour sélectionner automatiquement le meilleur programme. Pratique, oui. Mais cela suppose que ces données partent vers des serveurs, soient stockées et analysées.
Ce qui rend l’exercice du beau-frère informaticien particulièrement révélateur, c’est qu’un lave-linge connecté ne transmet pas des données techniques abstraites. Il transmet un journal d’activité du foyer. Lancez une lessive à 23h30 en semaine : vous êtes probablement un grand citadin qui rentre tard. Trois machines en deux jours un week-end sur deux : week-end de garde d’enfants. Aucun cycle depuis dix jours : vacances, ou logement secondaire. L’appareil ne ment pas.
Le problème des “données sensibles augmentées”
C’est là que ça devient inconfortable. La notion de “données sensibles augmentées” a émergé dans le droit pour qualifier certaines informations collectées par les objets connectés : des données qui, prises isolément, ne seraient pas sensibles au sens du RGPD, mais qui le deviennent par leur volume, leur précision ou leur croisement. L’heure d’un lavage, seule, ne dit rien. Couplée à trois mois d’historique, croisée avec les données d’un thermostat ou d’un frigo connecté, elle commence à dresser un portrait de vie assez saisissant.
Au-delà des risques de piratage, l’une des principales préoccupations concernant les objets connectés est l’utilisation commerciale des données qu’ils collectent. Les fabricants et leurs partenaires peuvent analyser ces informations pour créer des profils détaillés de leurs utilisateurs, ce profilage comportemental ayant des implications directes sur la manière dont on est ciblé par la publicité. Samsung n’est pas une association à but non lucratif, et son programme Samsung Ads est parfaitement documenté : les données collectées comprennent des informations sur les intérêts, les comportements en ligne et les données démographiques d’un public spécifique.
Une analyse de chercheurs en sécurité publiée sur le site du laboratoire de la CNIL est encore plus directe : beaucoup de données non nécessaires au fonctionnement sont collectées, et le principe de minimisation du RGPD n’est pas respecté. Il n’y a également pas d’informations données aux utilisateurs sur les transferts de données vers des serveurs situés dans des pays hors de l’Union Européenne. Pour un lave-linge, ça surprend.
Ce que dit le droit, et ce qu’on peut faire
La réglementation européenne tente de rattraper le retard. Le Cyber Resilience Act, entré en vigueur en décembre 2024, impose aux fabricants de produits numériques, dont les objets connectés, d’intégrer la sécurité dès la conception. Le RGPD impose également un principe de minimisation : seules les informations strictement nécessaires doivent être collectées, tenues à jour et supprimées une fois leur finalité atteinte. En théorie. En pratique, personne ne lit les 47 pages de la déclaration de confidentialité de SmartThings avant d’appuyer sur “Accepter”.
Le baromètre du numérique publié en mars 2025 établit que 40 % des Français de plus de 12 ans possèdent déjà un objet connecté, taux qui dépasse les 50 % chez les moins de 39 ans. Les objets liés à l’électroménager représentent 18 % de ces équipements. Des millions de foyers transmettent donc chaque jour des signaux comportementaux à des serveurs distants, sans en avoir la moindre conscience.
Bonne nouvelle : des options concrètes existent. Samsung indique lui-même dans sa documentation que vous pouvez à tout moment déconnecter des appareils électroménagers IoT spécifiques de SmartThings afin de cesser la collecte de données à partir de ces appareils. Plus radicalement, la fonction Wi-Fi du lave-linge est désactivée par défaut sur certains modèles : il suffit de ne jamais l’activer pour garder toutes les fonctions de lavage sans rien transmettre. Pour ceux qui veulent garder le contrôle à distance sans tout exposer, les experts réseau recommandent de placer les appareils IoT sur un réseau Wi-Fi séparé (un VLAN ou un SSID invité), ce qui isole leur trafic du reste du foyer. Activer WPA3, séparer les équipements IoT sur un VLAN ou un SSID invité et limiter l’accès sortant aux seuls services utiles restent les bonnes pratiques de base.
La vraie leçon de l’expérience du beau-frère, ce n’est pas que Samsung espionne vos sous-vêtements. C’est que bon nombre d’utilisateurs n’ont pas conscience de la quantité des données personnelles collectées par certaines applications, lesquelles sont susceptibles d’être transmises à l’extérieur. Un lave-linge reste un lave-linge quand il est débranché du réseau. Connecté, il devient un capteur d’habitudes de vie installé au cœur de votre cuisine. La prochaine étape réglementaire à surveiller : l’obligation de notification des vulnérabilités prévue par le Cyber Resilience Act, qui entrera en vigueur dès 2026, et qui pourrait enfin contraindre les fabricants à la transparence sur ce qui transite réellement entre votre tambour et leurs serveurs.
Sources : samsung.com | samsung.com