Un ventilateur connecté pilotable depuis le canapé. Un purificateur d’air qui ajuste sa vitesse selon la qualité ambiante. Une télécommande infrarouge intelligente pour transformer n’importe quel climatiseur en appareil domotique. Trois gadgets achetés pour passer l’été sans installer une clim fixe, raisonnables, pratiques, pas si chers. Et puis, un soir, l’envie de regarder ce que leurs applications demandaient vraiment comme autorisations sur le téléphone.
Ce qui suit n’est pas rassurant.
À retenir
- Vos gadgets anti-chaleur savent à quelle heure vous vous levez, partez, rentrez et vous couchez, chaque nuit
- Les permissions accordées révèlent des accès surprenants : pourquoi un ventilateur aurait-il besoin du microphone ?
- Vos données s’envolent vers des serveurs hors Union Européenne, croisées avec d’autres pour créer des profils publicitaires détaillés
Ce que ces boîtiers captent réellement, heure par heure
L’usage d’un objet connecté génère une grande quantité de données qui peuvent être stockées sur Internet : informations de profil, données liées à l’environnement, localisation de l’utilisateur, fonctionnement de l’objet. Sur le papier, ça paraît logique. Le purificateur mesure le CO₂, les PM2.5, l’humidité et la température pour ajuster automatiquement sa vitesse, certains capteurs analysent jusqu’à sept paramètres différents en temps réel, dont le radon, les COV et la pression atmosphérique. La télécommande connectée, elle, détecte vos présences pour déclencher ou couper la climatisation. Certains appareils de dernière génération embarquent la géolocalisation : le climatiseur se déclenche automatiquement à votre arrivée au domicile et s’éteint lorsque vous partez.
Résultat concret : l’application sait à quelle heure vous vous levez, quand vous quittez la maison, quand vous rentrez, et à quelle heure vous vous couchez. Chaque nuit. Sept jours sur sept. Une maison connectée peut “savoir” vos horaires, vos habitudes, votre mode de vie, ce qu’on aime regarder, la musique qu’on aime écouter. Et votre ventilateur de salon, en capturant le moindre mouvement dans la pièce, fait exactement la même chose, sans que personne ne vous l’ait vraiment dit.
Le vrai problème ne tient pas à un capteur seul. Une information seule n’est pas le fond du problème. La difficulté dans l’Internet des objets, c’est qu’elle soit croisée avec d’autres. Elle peut alors révéler mon état personnel : présent ou absent d’un lieu, malade, etc. Il y a là une intrusion caractérisée dans la vie privée.
Les permissions mobiles : une liste qui donne à réfléchir
Ouvrir les paramètres de l’application de son ventilateur et aller dans “permissions accordées” réserve parfois une surprise désagréable. Les permissions d’accès mises en œuvre dans les systèmes d’exploitation permettent à l’utilisateur de choisir quelles fonctionnalités sont accessibles à chaque application, notamment les capteurs comme la localisation, l’objectif photo, le microphone, ou encore la mémoire de l’appareil. L’accès au micro d’un ventilateur connecté, pourquoi faire, exactement ? La plupart des utilisateurs cliquent “Autoriser” sans lire, lors de la configuration initiale, pressés d’activer leur gadget fraîchement déballé.
Le plus gros problème révélé par des analyses de sécurité concerne les données personnelles collectées : beaucoup de données non nécessaires au fonctionnement sont collectées, et le principe de minimisation du RGPD n’est pas respecté. Plus gênant encore : les utilisateurs ne reçoivent pas d’informations sur les transferts de données vers des serveurs situés dans des pays hors de l’Union Européenne. La CNIL le documente depuis plusieurs années, mais ça n’a pas changé grand-chose dans la pratique commerciale des fabricants à bas coût.
Dans la pratique, les obligations du RGPD sont parfois contournées ou noyées dans des conditions d’utilisation complexes. Le problème est encore plus aigu lorsque les objets sont importés depuis des marchés hors UE, où la législation est moins stricte. Et c’est précisément là que se situe l’essentiel du marché des gadgets anti-chaleur vendus sur les grandes plateformes : fabriqués en Asie, distribués via des places de marché, gérés par des applications dont le siège social se trouve à des milliers de kilomètres.
Quand les données partent ailleurs
Certains fabricants qui ajoutent une connectivité à leurs produits ne disposent pas toujours d’une vraie culture de la sécurité informatique. Ceci aboutit parfois à des solutions techniques mal sécurisées : mots de passe non chiffrés, services web présentant des failles de sécurité. Les chercheurs en sécurité mandatés par la CNIL dans le cadre de l’événement REDOCS l’ont constaté directement : “Sur les objets les moins onéreux, nous avons observé une absence de mesures de sécurité ; sur les objets plus haut de gamme, c’est principalement au niveau de l’information des personnes que des questions se posaient.”
La destination des données est l’autre sujet qui fâche. Lorsque vous installez une application pour contrôler un objet connecté, vous acceptez souvent sans le savoir la collecte de nombreuses informations personnelles. Elles ne servent pas uniquement à améliorer les services : elles sont aussi utilisées pour créer des profils publicitaires, améliorer les algorithmes de recommandation ou être revendues à des tiers. Amazon collecte, via son écosystème, une quantité impressionnante de types d’informations croisées pour construire un profil utilisateur détaillé. Chaque information récoltée est croisée avec d’autres pour former une vision globale des habitudes, préférences et comportements.
À force de ne plus être mis à jour, les objets connectés deviennent vulnérables aux attaques. Des hackers peuvent installer un virus dessus et l’actionner sur tous les appareils infectés en même temps. Un ventilateur devenu passerelle d’intrusion vers votre réseau domestique, c’est moins dystopique qu’il n’y paraît, c’est simplement une négligence de mise à jour firmware que personne ne surveille.
Ce qu’on peut faire concrètement ce soir
La réponse n’est pas de jeter les gadgets. C’est d’ajuster les réglages, maintenant. La CNIL conseille de désactiver le partage automatique des données, de s’assurer de la possibilité d’accéder aux données et de les supprimer, et d’éteindre l’objet quand il ne sert pas pour éviter de capter des données sensibles. Sur les applications mobiles, aller dans les paramètres système et révoquer les autorisations non essentielles, notamment l’accès au microphone et aux contacts, est une opération de cinq minutes. Vérifiez que vous pouvez désactiver de façon physique ou logicielle le Wi-Fi, le microphone ou toute fonctionnalité que vous n’utilisez pas et qui peut être potentiellement intrusive.
Se priver d’objets connectés “est évidemment irréaliste et certains sont bien pratiques”, reconnaît un ingénieur-expert de la CNIL. “L’idée c’est donc de ne pas acheter tout et n’importe quoi.” Choisir un appareil d’une marque dont le siège est européen, ou qui stocke explicitement ses données en Europe, c’est déjà réduire le risque. Les modèles premium, un Dyson, un Netatmo, ont tout intérêt à jouer la transparence face à des réglementations qui leur coûteraient cher à enfreindre. Les alternatives à dix-neuf euros sur une marketplace anonyme, beaucoup moins.
La régulation s’accélère : en mai 2025, TikTok a été condamné à une amende de 530 millions d’euros pour des transferts de données jugés non conformes. Un signal fort qui finira peut-être par discipliner les fabricants d’objets connectés. Mais entre la condamnation et le changement de pratique, il se passe des saisons entières de canicule, pendant lesquelles votre purificateur d’air continue d’envoyer vos habitudes de sommeil quelque part sur un serveur dont vous ne connaissez pas l’adresse.
Sources : cnil.fr | idealogeek.fr