Pendant que vous dormez, votre maison connectée, elle, ne dort pas. L’enceinte sur la table de nuit guette les sons ambiants. La montre au poignet cartographie vos phases de sommeil, votre fréquence cardiaque, votre rythme respiratoire. Le robot aspirateur a mémorisé le plan exact de votre appartement. Et tout cela transite, souvent, vers des serveurs situés à des milliers de kilomètres. Bienvenue dans la réalité de 2026 : l’intimité nocturne est devenue un gisement de données.
À retenir
- Vos assistants vocaux s’activent accidentellement jusqu’à 19 fois par nuit — même quand vous ne les sollicitez pas
- Le marché du sommeil connecté explosera à 118 milliards de dollars en 2030, transformant chaque microéveil en donnée exploitable
- Les fabricants collectent bien plus de données que nécessaire, sans consentement explicite, mais une nouvelle réglementation européenne arrive enfin en 2026
Ce que vos appareils captent quand vous ne regardez pas
Les appareils IoT collectent des quantités massives de données sur leurs utilisateurs : comportements, préférences, utilisation, y compris des données sensibles comme les informations de santé. Ces données sont collectées de manière continue, les utilisateurs étant connectés en permanence au réseau. Mais la nuit amplifie le phénomène d’une façon que peu de gens anticipent vraiment.
Prenez la sleep tech, ce marché du sommeil connecté qui pèsera 118,3 milliards de dollars d’ici 2030, avec un taux de croissance annuel moyen de 7,1 %. Les bandeaux connectés enregistrent les données physiologiques de leur utilisateur : fréquence respiratoire, rythme cardiaque, position et phases de sommeil. D’autres outils servent le même but : des oreillers et matelas connectés, munis de capteurs imperceptibles. C’est-à-dire que le moindre microéveil, la moindre apnée, le moindre mouvement nocturne devient une donnée stockée quelque part dans un cloud. Souvent américain ou chinois.
Les robots aspirateurs n’aspirent pas que de la poussière. Pour réaliser leur tâche, ils collectent des informations permettant de retracer le plan du domicile, la surface, l’agencement des pièces. Les appareils sont dotés de caméras pour reconnaître les meubles et objets. Ces informations pourraient être exploitées à l’insu de leur propriétaire par des algorithmes qui déduiraient le nombre de personnes au foyer, la présence d’enfants, et d’autres informations relatives à une vie très intime. Pensez-y la prochaine fois que votre aspirateur part en balade de nuit sur sa programmation automatique.
Quant à l’enceinte connectée posée dans le couloir ou la chambre, la CNIL parle de « monétisation de l’intime » : en veille permanente, ces assistants sont susceptibles d’enregistrer vos conversations, y compris celles de tiers. Parfois, ils s’activent même lorsqu’ils pensent avoir reconnu un mot-clé d’activation, même s’il n’a pas été prononcé. Des chercheurs de l’université de Northeastern ont établi que les assistants des enceintes intelligentes s’activent accidentellement jusqu’à 19 fois par jour. Dix-neuf fois. De nuit, quand la télévision est éteinte et que la maison est silencieuse, n’importe quel bruit de fond peut déclencher une écoute.
Le gouffre entre ce que les marques annoncent et ce qui se passe réellement
Les fabricants d’enceintes connectées affirment ne pas écouter vos conversations en permanence à des fins de surveillance ou de ciblage publicitaire non sollicité. Leurs politiques de confidentialité insistent sur le fait que l’objectif principal est l’amélioration de l’expérience utilisateur. L’argument est rodé. Mais il évite soigneusement une réalité plus gênante.
La plupart des enceintes à commande vocale envoient et stockent les requêtes des utilisateurs ainsi que les données associées (date, heure, nom du compte) dans le cloud, sur les serveurs de traitement de la société. Le plus gros problème révélé par les analyses de chercheurs en sécurité concerne les données personnelles collectées : beaucoup de données non nécessaires au fonctionnement sont collectées et le principe de minimisation du RGPD n’est pas respecté. Dit autrement : vous payez votre abonnement ou votre appareil, et vous offrez en prime des données que vous n’avez pas explicitement consenti à transmettre.
Il n’y a également pas d’informations données aux utilisateurs sur les transferts de données vers des serveurs situés dans des pays hors de l’Union européenne. La plupart de ces appareils sont produits par des géants technologiques américains ou chinois, ce qui pose la question du contrôle de ces informations sensibles par des puissances étrangères. Le cas qui illustre le mieux cette opacité reste celui révélé par le blog DoctorBeet : un téléviseur LG collectait des données sur le comportement de l’utilisateur vis-à-vis des publicités. Et même après avoir désactivé l’option de collecte de données, cette dernière continuait.
Peu d’utilisateurs réalisent l’importance des conditions générales liées à l’objet. Certains, à leur insu, autorisent les fabricants à réutiliser ces données. Le problème n’est pas forcément la malveillance des fabricants : c’est l’architecture même de ces services, conçus pour aspirer du signal en continu, et dont la rentabilité dépend en partie de la richesse des profils constitués.
La réglementation s’accélère, mais le retard reste énorme
L’Europe a décidé de frapper fort. À partir de septembre 2026, le Cyber Resilience Act imposera de nouvelles obligations de cybersécurité aux fabricants, importateurs et distributeurs de produits numériques connectés, tels que les routeurs, caméras IP, objets connectés et équipements industriels. Des sanctions pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial sont prévues en cas de non-conformité. Cela inclut l’obligation de fournir des mises à jour de sécurité pendant au moins cinq ans.
L’arrêt « Smart TV » de la CJUE du 4 février 2024 a consacré le principe de finalité stricte dans la collecte des données par les objets connectés. La Cour a condamné un fabricant de téléviseurs intelligents qui utilisait les données de visionnage pour établir des profils publicitaires sans information claire des utilisateurs. Cette jurisprudence impose désormais une séparation étanche entre les données nécessaires au fonctionnement du service et celles exploitées à des fins commerciales. Un signal fort, même si son application reste à confirmer dans les faits.
Mais soyons honnêtes sur le calendrier : le CRA est entré en vigueur en décembre 2024, mais les obligations principales en matière de cybersécurité ne s’appliqueront qu’à partir du 11 septembre 2026, avec une application intégrale obligatoire pour tous les produits concernés à compter du 11 septembre 2027. des millions d’appareils déjà installés dans des foyers français continuent de fonctionner sous d’anciennes règles, bien moins protectrices. Le parc existant est une zone grise réglementaire considérable.
Ce que vous pouvez faire dès ce soir
La posture du fatalisme serait une erreur. Quelques gestes concrets changent significativement la surface d’exposition. En veille permanente, les assistants vocaux sont susceptibles d’enregistrer vos conversations : couper le micro ou éteindre l’appareil lorsqu’on ne s’en sert pas, ou qu’on ne souhaite pas être écouté, reste la mesure la plus efficace. Pour les objets connectés de la maison, changer les mots de passe par défaut, désactiver les fonctions inutilisées et maintenir le firmware à jour sont des réflexes de base.
Isoler les appareils IoT sur un réseau séparé est également judicieux : si un dispositif est compromis, cette séparation empêchera que l’attaque ne s’étende à d’autres appareils sensibles comme votre ordinateur personnel. C’est techniquement accessible sur la plupart des box françaises, via la création d’un réseau Wi-Fi invité dédié à vos objets connectés. Cinq minutes de configuration pour une vraie différence.
Ce qui change réellement la donne à partir de 2026 ne viendra pas d’un geste individuel, mais d’une pression collective sur les fabricants. Les objets connectés peuvent accéder et utiliser des informations extrêmement précises sur les comportements, les habitudes, les préférences des utilisateurs, collectant des données à caractère personnel qui pourraient revêtir un certain degré de sensibilité. La bonne nouvelle : c’est précisément ce type de données que la nouvelle réglementation européenne entend verrouiller. La mauvaise : entre l’entrée en vigueur d’une loi et son application effective par des milliers de fabricants répartis aux quatre coins du monde, il se passe toujours bien plus de temps qu’on ne le croit. Vos appareils continueront d’écouter. À vous de décider lesquels méritent vraiment votre confiance nocturne.
Sources : pyrenees-atlantiques.gouv.fr | lemagit.fr