La télé s’allume à 20h47. Elle s’éteint à 23h12. Le lendemain, la TV repart à 7h03, sans doute le journal du matin. Le week-end, tout ça décale d’une heure et demie. Voilà exactement ce que sait votre prise connectée, sans caméra, sans micro, sans rien d’autre qu’un simple relevé de consommation électrique horodaté.
Personne ne l’a programmée pour vous surveiller. Elle fait juste son travail : la prise connectée indique précisément la consommation d’un appareil, même en veille. Mais ce relevé millimétré, croisé sur plusieurs semaines, devient quelque chose d’autre. Un journal de bord de votre vie domestique.
À retenir
- Votre prise connectée consigne chaque allumage, chaque extinction, mais sait-elle vraiment qui vous êtes ?
- 72 objets IoT sur 81 testés collectent bien plus que prévu : vos horaires, votre localisation, bien au-delà du simple usage énergétique
- À partir de 2026, vous aurez le droit légal de reprendre contrôle de vos données — mais seulement si vous le demandez
Quand la consommation électrique raconte votre quotidien
Une prise derrière la TV, c’est anodin. Branchée à une application, elle enregistre chaque allumage, chaque extinction, avec l’heure exacte et la puissance consommée. La smart plug offre une visualisation de l’historique et une analyse des usages énergétiques. C’est sa fonction première, vendue comme un outil d’économies. Rien à redire là-dessus.
Le problème surgit quand on regarde cet historique avec un peu de recul. La TV s’allume le matin à la même heure ? Vous êtes debout. Elle s’éteint brusquement en milieu d’après-midi plusieurs jours de suite ? Vous êtes rentré du travail plus tôt que d’habitude, ou vous n’êtes pas sorti ce jour-là. La consommation tombe à zéro pendant dix jours en août ? Vous étiez en vacances. C’est exactement ce que pointe la CNIL : ces données peuvent révéler les habitudes et permettre de tirer des conclusions sur la vie privée des utilisateurs.
Température d’un logement, horaires de présence, habitudes de consommation font partie des informations fréquemment enregistrées. Le problème n’est pas tant la collecte elle-même que l’accumulation et l’exploitation de ces données. En croisant ces données, on peut dresser un portrait très précis de la vie privée des utilisateurs, souvent sans qu’ils en aient pleinement conscience. Une prise, c’est peut-être insuffisant. Mais une prise derrière la TV, une autre sur la cafetière, une troisième sur le chargeur de téléphone, et là, on parle d’un profil comportemental complet.
Où partent ces données, vraiment ?
La question qu’on ne pose jamais au moment d’acheter une smart plug à 15 euros : à qui appartient l’historique de consommation ? Les informations collectées par un objet connecté peuvent être stockées sur des serveurs distants, parfois situés hors de l’Union européenne, ce qui complique leur contrôle par l’utilisateur. La plupart des prises connectées grand public passent par le cloud du fabricant. Le serveur est en Europe ? Parfois. Souvent en Asie ou aux États-Unis.
Lorsque vous installez une application pour contrôler un objet connecté, vous acceptez souvent sans le savoir la collecte de nombreuses informations personnelles. Elles ne servent pas uniquement à améliorer les services. Elles sont aussi utilisées pour créer des profils publicitaires, améliorer les algorithmes de recommandation ou être revendues à des tiers. Une étude collaborative entre Northeastern University et Imperial College London l’a confirmé sur 81 objets IoT testés : la majorité d’entre eux, soit 72 des 81 appareils testés, collectent des informations telles que les habitudes d’utilisation, les données de localisation et l’adresse IP de leurs propriétaires.
Si chaque donnée prise séparément semble bien anodine, s’il devient possible de les combiner et de les analyser, ces objets révèleront tout de vos habitudes. Le paradoxe est là : on achète une prise connectée pour gérer son budget énergie, et on offre involontairement une cartographie précise de son emploi du temps à un tiers dont on n’a jamais entendu parler. Certains fabricants qui ajoutent une connectivité à leurs produits ne disposent pas toujours d’une vraie culture de la sécurité informatique, ce qui aggrave encore l’exposition aux fuites.
Ce que la loi dit (et ce qu’elle ne peut pas encore imposer)
L’Europe n’est pas restée sans réagir. La plupart des dispositions du règlement sur les données (Data Act) sont applicables depuis le 12 septembre 2025. Ce texte change concrètement quelque chose : il permet à toute personne qui possède ou utilise un objet connecté d’accéder aux données générées par cet objet, et facilite leur partage avec d’autres acteurs, en interdisant notamment les clauses contractuelles abusives. vous avez désormais le droit de demander à récupérer vos données d’usage, et de les transférer ailleurs si vous changez d’écosystème.
La prochaine étape concrète arrive en septembre 2026 : les fabricants et les fournisseurs devront concevoir les objets connectés et leurs services pour que les données qu’ils génèrent soient directement accessibles. Ce n’est pas encore le cas pour la majorité des smart plugs vendus aujourd’hui. Et du côté des sanctions, la CNIL a frappé fort en 2024, avec 87 sanctions prononcées, représentant un montant total de 55,2 millions d’euros d’amendes. Mais le contrôle des petits objets connectés grand public reste un angle mort : la régulation cible plus souvent les grandes plateformes que les fabricants de gadgets domotiques à bas prix.
Reprendre la main, concrètement
Bonne nouvelle : quelques réflexes simples réduisent l’exposition sans sacrifier le confort. La CNIL recommande notamment de vérifier les différentes connexions liées à Vos objets connectés, de changer régulièrement les mots de passe ou les codes PIN et de ne jamais garder ceux fournis par défaut, et d’éteindre les objets connectés que vous n’utilisez pas. Ce dernier point est souvent sous-estimé : une prise débranchée de son cloud ne collecte rien.
L’alternative la plus radicale existe pour les utilisateurs qui veulent aller plus loin : certaines prises peuvent fonctionner entièrement en local, sans cloud du fabricant. Tasmota est un firmware open source alternatif destiné aux appareils connectés permettant un contrôle local indépendant des services cloud. Installer ce type de firmware sur une smart plug compatible, c’est couper tout flux de données vers un serveur distant, l’historique reste chez vous, sur votre réseau. Cela demande un peu de technique, mais des dizaines de milliers d’utilisateurs le font déjà en France via des plateformes comme Home Assistant ou Jeedom.
Ce que révèle finalement cette prise derrière la TV, c’est une vérité plus large sur l’IoT grand public : la plupart des objets connectés collectent davantage d’informations qu’on ne l’imagine. Les caméras et sonnettes enregistrent des images. De plus, des métadonnées, des horaires et des informations de localisation. Une prise électrique n’a pas de capteur sophistiqué, elle mesure juste des watts et des secondes. Mais ces watts et ces secondes, accumulés pendant des mois, dessinent un portrait de vie que beaucoup de gens seraient surpris de trouver dans les serveurs d’une entreprise étrangère. Le Data Act de 2025 est un premier verrou. Le vrai changement viendra quand les fabricants intégreront la confidentialité dès la conception, par obligation et non par marketing.
Sources : cnil.fr | electriciteguide.com