Un ventilateur à 90 euros avec une appli. Ça semble raisonnable. Jusqu’au jour où on ouvre vraiment cette appli, où on lit ce qu’elle demande, où on commence à se poser des questions que personne ne pose au moment d’acheter un objet sous blister dans une allée de supermarché.
Le ventilateur SilverCrest vendu chez Lidl incarne parfaitement cette tension du moment : d’un côté, un design sans pales inspiré de Dyson, proposé autour de 76 euros, qui séduit ceux qui veulent se rafraîchir l’été sans exploser leur budget. De l’autre, une appli compagnon obligatoire pour piloter la bête à distance, avec tout ce que ça implique côté données. Et quand on sait que les modèles de base Dyson tournent autour de 350 euros, tandis que les appareils avec purification ou humidification peuvent dépasser les 600 euros, la tentation du moins de dix fois moins cher est réelle.
À retenir
- Un ventilateur trois fois moins cher que Dyson, mais avec une appli qui envoie votre géolocalisation à chaque démarrage
- Les données collectées sont partagées avec Facebook et Lidl pour affiner le profilage publicitaire
- Le Cyber Resilience Act de l’UE forcera bientôt les fabricants à respecter des normes minimales de sécurité et de transparence
Ce que fait vraiment ce ventilateur (et ce qu’il ne fait pas)
Son absence de pales assure une sécurité accrue et un flux d’air uniforme, évitant l’effet de courant d’air désagréable des ventilateurs traditionnels. Sur le papier, c’est exactement la promesse Dyson. Le ventilateur propose un mode normal à vitesse constante, un mode naturel qui imite une brise avec des variations d’intensité, et un mode nuit qui réduit progressivement la vitesse pour favoriser le sommeil. À pleine puissance, certains utilisateurs signalent un niveau sonore plus élevé que sur les modèles premium, ce qui n’est pas une surprise pour ce segment de prix.
La différence avec un Dyson ? Dyson ne fabrique pas de climatiseur. Ses appareils “Cool” brassent et purifient l’air, mais ne font pas baisser la température d’une pièce. Le SilverCrest, lui, n’a même pas la purification. Des utilisateurs notent que des marques comme Philips proposent un refroidissement plus performant, et le ventilateur Silvercrest, bien qu’efficace dans des espaces réduits, pourrait ne pas répondre à toutes les attentes pour les grandes pièces. Le verdict ventilation pure : correct pour une chambre, insuffisant pour un salon de 30 mètres carrés en pleine canicule.
L’appli : là où ça devient intéressant
Piloter son ventilateur depuis son canapé ou programmer une extinction à 23h, c’est l’argument de vente de la connectivité. L’objet connecté permet de matérialiser la captation de données, et l’application mobile transforme le smartphone à la fois en télécommande et en hub préférentiel pour consulter les informations. Mais derrière cette interface pratique, une réalité moins vendeuse se cache dans les conditions d’utilisation que personne ne lit.
Les dispositifs IoT collectent un flux constant de données personnelles, souvent sans consentement explicite des utilisateurs. Dans le cas des applis SilverCrest déjà déployées, le constat est édifiant : l’application peut partager des données de localisation, de santé et de performances avec des tiers. Un ventilateur qui transmet votre position GPS. Prenons un moment pour digérer ça.
Du côté de l’application Lidl plus générale, les événements collectés sont transmis à Facebook, Lidl et Facebook Ireland étant responsables conjoints du traitement au sens de l’article 26 du RGPD. Cette mise en relation permet de collecter des données sur votre utilisation et de les rapprocher de données Facebook afin de vous proposer des publicités adaptées à votre profil. Un ventilateur qui aide à cibler vos pubs Instagram. L’équation commerciale devient limpide.
Les appareils domestiques connectés bas de gamme, comme les friteuses à air intelligentes, collectent des données personnelles via leurs applications mobiles. Certaines demandent l’accès à l’audio des smartphones sans raison apparente, ou transmettent des informations à des serveurs situés à l’étranger. Cette collecte excessive soulève des questions sur la transparence des fabricants et les droits des utilisateurs.
Le vrai écart avec Dyson : pas les pales, les données
Comparer un SilverCrest à un Dyson sur la performance d’air, c’est l’exercice évident. Mais l’écart réel se joue ailleurs. Chez Dyson, l’appareil adapte automatiquement sa puissance en fonction de la qualité de l’air mesurée en temps réel, visible sur l’écran ou via l’application MyDyson. Une application propriétaire, développée en interne, avec une politique de confidentialité publique et auditable. Pour un produit à 350-600 euros, le fabricant a tout intérêt à soigner sa réputation de confidentialité. Pour un produit à 90 euros vendu en tranche de prix de supermarché, la logique économique n’est pas la même.
Certaines entreprises exploitent les informations collectées à des fins de publicité ciblée, notamment en les partageant avec des partenaires commerciaux. Ce phénomène alimente le sentiment d’une surveillance permanente. En 2024, les chercheurs de Kaspersky ont observé 1,7 milliard d’attaques sur des appareils IoT venant de 858 520 appareils dans le monde. Un chiffre qui rappelle que le risque ne vient pas seulement de la collecte volontaire, mais aussi des failles que ces objets introduisent dans votre réseau domestique.
La question de fond : peut-on faire confiance à une marque maison de supermarché pour gérer des données qui transitent depuis votre chambre à coucher ? Le respect de la vie privée repose sur la transparence des fabricants concernant la collecte et l’utilisation des données, et le choix d’un objet connecté dépend notamment de la réputation du fabricant. C’est précisément ce curseur que beaucoup d’acheteurs ne consultent jamais.
Ce que la réglementation va forcer à changer
Le Cyber Resilience Act a été officiellement adopté le 23 octobre 2024 et publié au Journal Officiel de l’Union européenne le 20 novembre 2024. Ce texte est l’un des piliers majeurs de la stratégie de l’Union européenne en matière de cybersécurité. Concrètement, le CRA entrera pleinement en application en décembre 2027, avec une première échéance dès septembre 2026 : les fabricants devront notifier certaines vulnérabilités activement exploitées ou incidents significatifs.
En cas de non-conformité, les acteurs s’exposent à des sanctions pouvant atteindre jusqu’à 15 millions d’euros ou 2,5% du chiffre d’affaires total sur l’exercice annuel précédent. Ce n’est plus un avertissement symbolique. Pour les distributeurs qui vendent des produits IoT sous marque maison fabriqués à l’étranger, les obligations concernent aussi bien le fabricant que l’importateur qui met le produit sur le marché de l’Union. Lidl, en distribuant des SilverCrest connectés, entre dans cette chaîne de responsabilité.
Sur le front du RGPD, le principe de “privacy by default” impose désormais que les paramètres les plus protecteurs soient activés par défaut sur les objets connectés. Ce qui signifie, en pratique, que le ventilateur connecté de 2028 ne devrait plus transmettre votre géolocalisation sans que vous l’ayez explicitement autorisé. En théorie. Parce qu’entre la réglementation et son application dans une appli développée par un sous-traitant obscur en dehors de l’Europe, le fossé reste béant.
La vraie leçon du ventilateur Lidl, c’est celle-ci : à 90 euros, vous achetez un flux d’air et une connectivité. Mais vous payez le reste avec autre chose. L’application mobile pourrait fournir des informations claires et des alertes au moment où les données sont envoyées vers le cloud, mais rares sont les fabricants d’entrée de gamme à investir dans cette transparence volontaire. La démarche de segmentation réseau reste la solution la plus efficace à date : placer ses objets connectés low-cost sur un réseau Wi-Fi séparé de son réseau principal. Pas glamour, mais redoutablement efficace pour limiter la surface d’exposition, en attendant que la réglementation oblige tout le monde à jouer honnêtement.
Sources : developpez.net | cyber-securite.fr