J’ai acheté un aspirateur robot à caméra pour gagner du temps : le jour où j’ai ouvert l’application, j’ai vu où était stocké le plan détaillé de mon logement

Ouvrir l’application de son nouvel aspirateur robot et tomber sur un onglet “Carte de la maison” qui affiche, pièce par pièce, meubles compris, le plan exact de son appartement : voilà l’expérience que vivent des milliers de nouveaux propriétaires de robots équipés de caméra ou de LiDAR. Ce plan n’est pas qu’une fonctionnalité pratique pour programmer le nettoyage du salon plutôt que de la chambre. C’est aussi, dans la majorité des cas, une donnée qui quitte le domicile pour transiter par les serveurs du fabricant, quelque part dans un cloud dont on ignore souvent la localisation géographique exacte.

À retenir

  • Pourquoi les plans d’étage générés par votre robot aspirateur révèlent beaucoup plus que vous ne l’imaginez
  • Les failles de sécurité qui ont exposé les caméras et données intimes de milliers de foyers
  • Les trois gestes simples pour reprendre le contrôle de vos données avant l’achat

Un aspirateur qui dessine votre intérieur au millimètre

Un robot aspirateur moderne n’est plus une simple brosse motorisée. Pour éviter les pieds de chaise et les chaussettes qui traînent, les modèles récents embarquent un télémètre laser (LiDAR), parfois une caméra frontale, et un logiciel de cartographie qui reconstruit l’espace en temps réel. La plupart des aspirateurs robots créent des cartes détaillées de votre maison. Grâce au lidar, à l’infrarouge ou aux capteurs visuels, ils dessinent des plans, détectent les obstacles et mémorisent l’agencement des pièces. Ces données de carte sont souvent stockées sur l’appareil ou envoyées vers le cloud pour être utilisées dans une application compagnon.

Le niveau de détail est bluffant, et c’est justement le problème. Ces robots génèrent des plans d’étage précis au centimètre près qui révèlent l’agencement des chambres, le placement des meubles, les dimensions des pièces et les habitudes d’occupation quotidiennes. Un simple plan de sol permet ainsi de déduire énormément de choses sur un foyer. Le nombre de pièces et la surface au sol sont corrélés au revenu. La disposition du mobilier révèle des habitudes de vie. Les horaires de nettoyage exposent les routines quotidiennes et les fenêtres d’absence. Et selon un rapport du Conseil norvégien de la consommation cité par un guide spécialisé, 78 % des aspirateurs robots testés transmettent des métadonnées non chiffrées, dimensions des pièces, emplacements des portes, horaires de nettoyage, vers des serveurs situés hors de l’Union européenne, sans mécanisme de retrait pour l’utilisateur.

Des incidents qui ne sont plus de la science-fiction

Le cas le plus retentissant reste celui d’iRobot en 2020. Une version de test de la gamme Roomba J7 a capturé des photos très intimes à l’intérieur de logements, y compris des scènes prises depuis le sol dans des salles de bains. Ces images, envoyées à un sous-traitant spécialisé dans l’entraînement d’IA, ont fini par circuler sur des réseaux sociaux privés, malgré les accords de confidentialité censés protéger ces données. iRobot a confirmé que ces images avaient été prises par ses Roombas en 2020 dans le cadre d’un processus de développement de produits, envoyées à Scale AI, qui les utilise pour le développement de l’IA.

Plus récent et tout aussi parlant : début 2025, un ingénieur logiciel qui bricolait une application maison pour piloter son aspirateur DJI Romo est tombé, presque par hasard, sur une faille béante dans l’infrastructure cloud du fabricant. Il a obtenu un accès non désiré aux flux vidéo, aux micros et aux plans d’étage de milliers de foyers à travers le monde. L’appareil en question n’était pourtant pas un modèle d’entrée de gamme : le DJI Romo est un aspirateur autonome haut de gamme, commercialisé aux alentours de 2 000 dollars. La faille a été corrigée par deux mises à jour début février 2025, mais l’épisode illustre à quel point la sécurité du cloud pèse plus lourd que le prix de l’appareil dans la protection de vos données.

Et l’histoire s’est répétée en février 2026, cette fois à une échelle bien plus large : un ingénieur logiciel a démontré qu’une seule vulnérabilité d’API pouvait exposer plus de 7 000 aspirateurs robots répartis dans 24 pays, incluant les flux caméra en direct et les données de cartographie. Chez Ecovacs, un chercheur en cybersécurité a par ailleurs pointé du doigt une pratique troublante : les enregistrements vocaux, vidéos et photos supprimés via l’application de contrôle des aspirateurs peuvent continuer à être conservés et utilisés par Ecovacs, alors même que l’utilisateur pense avoir tout effacé de son côté.

Cloud ou stockage local : la vraie question à se poser avant l’achat

Tous les fabricants ne jouent pas la même partition. Certains, comme Roborock dans son mode réseau local, ou des marques mettant en avant le traitement embarqué, limitent volontairement ce qui part vers l’extérieur. Elles sont traitées directement sur l’aspirateur robot et ne sont pas transférées dans le cloud. Le fabricant collecte toutefois des statistiques d’utilisation anonymisées, traitées conformément au RGPD. D’autres, à l’inverse, font du cloud la norme par défaut, avec synchronisation systématique entre le robot et le smartphone pour permettre la programmation à distance.

La localisation des serveurs mérite aussi votre attention. Les fabricants chinois comme Roborock, Dreame et Ecovacs exploitent généralement des serveurs dans plusieurs régions, y compris l’infrastructure AWS en Europe et aux États-Unis, mais leurs politiques de confidentialité peuvent autoriser le transfert de données vers des serveurs en Chine. Pour les possesseurs de Roomba, la donne a changé après le rachat par Amazon : iRobot stocke les données sur l’infrastructure cloud d’Amazon, ce qui signifie que vos plans de sol et données de nettoyage sont traités au sein du même écosystème qui gère Alexa, les caméras Ring et les données d’achat Amazon.

Concrètement, trois réflexes limitent les risques sans renoncer au confort du robot : vérifier dans les paramètres de l’application s’il existe un mode “local uniquement” ou “sans cloud”, brancher l’appareil sur un réseau Wi-Fi invité séparé de vos ordinateurs et téléphones, et désactiver l’enregistrement vidéo ou l’upload d’images d’entraînement IA quand cette option existe. Pour les plus bricoleurs, un firmware libre comme Valetudo permet de reprendre la main sur certains modèles Roborock ou Dreame, avec un stockage des cartes qui ne quitte jamais le domicile. Ce genre de solution reste toutefois réservé à un public averti, capable de flasher un appareil sans perdre la garantie constructeur.

Un détail passe souvent inaperçu au moment de l’achat : les données de cartographie stockées dans le cloud peuvent théoriquement faire l’objet d’une réquisition judiciaire. Les données de plan de sol peuvent théoriquement être obtenues sur demande auprès des fournisseurs cloud. Le nombre de pièces, la surface au sol et les habitudes d’occupation stockés sur les serveurs des fabricants sont accessibles par ce biais. Aucune affaire judiciaire ne s’est encore appuyée sur ce type de preuve, mais le cadre légal qui le permettrait existe déjà, un rappel utile que le confort d’un robot qui range sa propre carte a un prix qui ne se lit pas sur l’étiquette.

Leave a Comment