Une glacière connectée. Un gadget de barbecue. L’objet le moins menaçant du monde, a priori. Jusqu’au jour où, par curiosité, on ouvre vraiment l’application qui lui est associée et qu’on regarde ce qu’elle fait tourner en arrière-plan. La liste des données transmises, des permissions accordées, des serveurs contactés. Ce moment-là change la façon de regarder tous les gadgets connectés de la maison.
À retenir
- Votre glacière « intelligente » sait à quelle heure vous la contrôlez, combien de temps vous passez dehors et depuis où — bien plus que sa température
- Les friteuses connectées demandent l’accès au micro de votre téléphone, tandis que les appareils Xiaomi envoient des données en Chine sans chiffrement
- Avant le Cyber Resilience Act de 2026, aucune obligation n’impose aux fabricants de protéger vos données — seule votre vigilance compte
Ce que votre glacière “intelligente” sait de vous
Contrairement aux ordinateurs conventionnels, les objets connectés collectent des informations de manière continue et souvent passive. La glacière, c’est le même principe qu’un thermostat ou qu’un frigo connecté : elle ne se contente pas de surveiller la température de vos bières. Son application mobile sait à quelle heure vous l’allumez, combien de temps vous restez dehors, depuis quel endroit vous la contrôlez. Un thermostat intelligent ne se contente pas de réguler la température ; il enregistre nos habitudes, nos horaires, et parfois même détecte notre présence dans différentes pièces. La glacière connectée, c’est exactement ce principe appliqué à votre jardin.
Plusieurs études, dont une publiée par Consumer Reports, montrent que de nombreux objets connectés collectent bien plus de données que ce qui est nécessaire à leur fonctionnement. Et ce qu’ils font de ces données n’a rien d’anodin : des datas qu’ils partagent allègrement à des serveurs situés (ou non) en Europe, et parfois même sans le moindre chiffrement. La question n’est donc pas “est-ce que mon appareil envoie des données ?” mais bien “à qui, et pourquoi ?”
Le cas des friteuses à air connectées, devenu emblématique en 2024, illustre parfaitement le problème. L’association de consommateurs britannique Which? a analysé trois modèles de friteuses connectées fonctionnant via une application, qui permet de piloter la cuisson depuis son smartphone. Parmi les autorisations requises, les trois machines demandaient d’enregistrer du son sur le téléphone de l’utilisateur. Pourquoi une friteuse a-t-elle besoin d’accéder à votre micro ? Aucune réponse satisfaisante n’a été fournie. La friteuse Xiaomi, elle, est liée à des trackers publicitaires pour recueillir des informations sur les habitudes de navigation de ses utilisateurs : localisation, posts likés sur les réseaux sociaux, des données auraient ainsi été collectées et envoyées à des serveurs situés en Chine. La glacière connectée de votre terrasse, elle, pourrait très bien suivre la même logique.
Le vrai business model derrière la “commodité”
L’IoT s’intègre dans la vie quotidienne avec une facilité déconcertante : l’internet des objets semble anodin, mais les données collectées ne le sont pas. Le problème central, c’est que la plupart des utilisateurs ne lisent jamais les conditions générales ni la politique de confidentialité avant de coupler leur appareil à une application. Ces pratiques, bien que souvent mentionnées dans les politiques de confidentialité, restent opaques pour les consommateurs.
Les milliards d’objets connectés utilisés dans le monde collectent d’énormes quantités de données, qui sont transmises pour stockage, agrégation et analyse centralisée sur les serveurs des fabricants. Or, parmi ces masses de données se trouvent très souvent des données personnelles. Ce qui est encore plus troublant, c’est la capacité à déduire bien plus que ce qui a été directement capté : on doit aussi considérer des données qui n’ont pas été collectées à proprement dit, mais qui peuvent être déduites des données collectées. Des algorithmes peuvent en effet permettre d’extraire des données spécifiques sur les habitudes de vie ou l’état de santé de la personne concernée. Votre glacière “sait” que vous faites des barbecues les samedis d’été, que vous recevez du monde, que vous rentrez tard. Ces informations valent de l’argent pour des annonceurs, des assureurs, des data brokers.
Les données collectées par un objet connecté en France peuvent être traitées aux États-Unis, stockées en Irlande, et analysées en Inde. Cette dispersion géographique rend le contrôle pratiquement impossible pour l’utilisateur, même le plus averti.
Ce que vous pouvez faire dès maintenant
La réponse n’est pas de jeter la glacière. C’est de reprendre la main avant le premier allumage. Lisez attentivement la politique de confidentialité pour comprendre quelles données sont collectées, pourquoi et où elles sont envoyées. C’est fastidieux, mais révélateur. Désactivez les fonctionnalités inutilisées telles que la commande vocale, l’accès à distance ou la synchronisation des données, et refusez les autorisations inutiles dans les paramètres de l’application.
Un bon réflexe réseau : une consommation anormale de bande passante peut indiquer qu’un objet envoie des données à un serveur inconnu. Des outils comme Pi-hole (un filtre DNS installé sur un Raspberry Pi) permettent de voir en temps réel quels domaines vos appareils contactent. Activer cette surveillance chez soi, c’est souvent la douche froide : une glacière connectée peut interroger une dizaine de serveurs différents dans la même heure, sans que vous n’ayez rien demandé.
Les utilisateurs peuvent notamment demander des droits d’information, d’accès, de rectification, de portabilité, mais également d’effacement définitif de leurs données personnelles. Ces droits existent. Les exercer est votre prérogative légale, même si les fabricants ne les mettent pas en avant. Et si vous revendez ou jetez l’appareil un jour : avant la mise au rebut, effacer les comptes liés et réinitialiser l’appareil réduit les risques d’exposition future des données.
La réglementation arrive, mais pas encore à temps pour cet été
Avant le Cyber Resilience Act, il n’existait pas de cadre européen unique imposant un niveau minimal de cybersécurité pour les produits numériques. Chaque fabricant appliquait ses propres standards, parfois insuffisants. De nombreux objets connectés étaient vendus avec des failles de sécurité, sans mises à jour régulières, et sans information claire pour les utilisateurs.
Entré en vigueur en décembre 2024, le CRA prévoit une mise en œuvre progressive. Les obligations principales en matière de cybersécurité s’appliqueront à partir du 11 septembre 2026. Pour les fabricants récalcitrants, les sanctions sont dissuasives : les amendes peuvent atteindre jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial, et les produits non conformes peuvent être retirés du marché européen. Le CRA impose que les produits numériques intègrent des protections tout au long de leur cycle de vie, en appliquant le principe de “sécurité par défaut”.
la glacière connectée achetée aujourd’hui n’est pas protégée par ce cadre. Celle achetée fin 2027, si le fabricant joue le jeu, le sera en théorie. D’ici là, la seule défense réaliste reste la curiosité : ouvrir l’appli, regarder les permissions, et poser les bonnes questions avant de brancher quoi que ce soit sur son Wi-Fi de jardin.
Sources : lemagit.fr | technomind.fr