La notification apparaît un soir sur l’écran de votre téléphone. « Mise à jour disponible pour votre thermostat connecté. Amélioration des performances énergétiques. Réduction de la consommation en mode veille. » Vous appuyez sur “Installer” sans lire. Tout le monde le fait. Mais la cinquième ligne des notes de version, celle que personne ne parcourt, stipule en caractères minuscules que l’appareil collectera désormais des données d’usage supplémentaires pour “améliorer les services personnalisés”. Bienvenue dans la réalité des mises à jour firmware de vos objets connectés.
À retenir
- Les fabricants cachent des changements de collecte de données dans les notes de version en les maquillant sous des promesses d’optimisation énergétique
- Vos montres de fitness et objets connectés accumulent des données sensibles (santé, localisation, habitudes) pouvant être vendues à des tiers comme les assureurs
- Le Data Act européen (septembre 2025) et le Cyber Resilience Act donnent enfin aux utilisateurs des outils juridiques pour reprendre le contrôle
La mise à jour : un emballage souvent trop pratique
Une mise à jour firmware, c’est le logiciel interne de votre objet connecté. Comme le cerveau miniature d’une ampoule, d’un frigo ou d’une montre, il régit tout ce que l’appareil sait faire. Les fabricants la poussent régulièrement par voie OTA (Over-The-Air, c’est-à-dire à distance, sans branchement physique), et c’est très bien : réaliser les mises à jour de sécurité dès qu’elles sont disponibles permet d’éviter que des cybercriminels utilisent des failles pour prendre le contrôle de l’objet ou voler des informations personnelles sensibles. Problème : ces objets collectent souvent un volume important de données personnelles, parfois de manière opaque, et la nature même de ces données, habitudes de vie, localisation, santé, les rend particulièrement sensibles.
Dans les notes de version, les corrections de sécurité servent souvent de couverture confortable. On retient “optimisation de la consommation” ou “correction d’un bug d’affichage”. On passe sur “transmission de données de télémétrie améliorée” ou “partage enrichi avec nos partenaires”. La télémétrie est une technique qui permet d’obtenir des informations provenant des applications installées. L’éditeur intègre dans son produit des fonctions qui permettent d’effectuer des remontées d’informations, généralement présentées comme à des fins statistiques pour améliorer le service. Présentées. Le terme est important.
Les utilisateurs doivent se montrer vigilants face au manque de transparence de certaines applications, malgré l’entrée en vigueur du RGPD. Bon nombre d’entre eux n’ont pas conscience de la quantité de données personnelles collectées, lesquelles sont susceptibles d’être transmises à l’extérieur, et ne savent pas à quelles fins ces dernières peuvent être utilisées. : vous avez signé, mais vous n’avez rien lu.
Ce que votre objet sait vraiment sur vous
L’histoire du téléviseur LG est restée dans les mémoires des spécialistes de la sécurité. La société DoctorBeet a dénoncé l’espionnage exercé par un téléviseur LG : l’entreprise avait remarqué que lorsqu’une publicité s’affichait sur l’écran, le téléviseur collectait des données sur le comportement de l’utilisateur vis-à-vis de cette publicité. De plus, même après avoir désactivé l’option de collecte de données, cette dernière continuait. Ce cas, passé dans les annales, n’est pas isolé. C’est précisément le mécanisme qui a poussé la justice européenne à agir.
L’arrêt “Smart TV” de la CJUE du 4 février 2024 a consacré le principe de finalité stricte dans la collecte des données par les objets connectés. La Cour a condamné un fabricant de téléviseurs qui utilisait les données de visionnage pour établir des profils publicitaires sans information claire des utilisateurs, et cette jurisprudence impose désormais une séparation étanche entre les données nécessaires au fonctionnement du service et celles exploitées à des fins commerciales. Séparation étanche, sur le papier. En pratique, ces objets collectent souvent un volume important de données personnelles de manière opaque, et la nature même de ces données, habitudes de vie, localisation, santé, les rend particulièrement sensibles.
Les montres de fitness savent quand vous dormez mal, à quelle heure vous rentrez chez vous, si vous avez pris du poids. Les objets connectés tels que les montres ou les podomètres collectent de nombreuses données de santé, des données personnelles dites sensibles. La protection apportée à ces données doit être importante. Ces données peuvent être communiquées à des tiers, notamment des assureurs. Une compagnie d’assurance qui reçoit deux ans d’historique de vos rythmes cardiaques et de vos nuits agitées possède un levier que vous n’aviez pas anticipé en déballant votre bracelet connecté.
Le Data Act change la donne, mais pas encore tout
Le règlement de l’UE sur les données (Data Act) s’applique depuis le 12 septembre 2025 dans l’ensemble de l’Union européenne. Il donne aux utilisateurs le contrôle des données générées par leurs objets connectés, tels que les montres intelligentes ou les voitures, tout en ouvrant de nouvelles perspectives pour les petites entreprises. Concrètement, le règlement permet à toute personne qui possède ou utilise un objet connecté d’accéder aux données générées par cet objet, et facilite leur partage avec d’autres acteurs en interdisant notamment les clauses contractuelles abusives.
La mécanique est simple à retenir : toute personne qui utilise un objet ou un service connecté, voitures, montres, frigos, machines industrielles, applications, plateformes en ligne, cloud — a le droit de voir les données créées par cet objet et peut les partager facilement avec qui elle veut. Votre thermostat intelligent produit des données sur votre consommation d’énergie ? Si vous utilisez un thermostat connecté à la maison, vous pouvez désormais envoyer vos données à un autre fournisseur pour réduire votre facture énergétique. C’est un changement de paradigme réel : les données ne sont plus la propriété exclusive du fabricant.
Nuance importante : les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial, mais le Data Act ayant été construit avant la grande émergence de l’intelligence artificielle générative, il ne comprend pas de dispositions spécifiques aux usages possibles des données IoT par de telles IA, alors qu’elles peuvent en faire un usage non transparent. Un angle mort qui promet quelques débats judiciaires dans les années qui viennent. Et côté calendrier, ce n’est qu’en septembre 2026 que les fabricants et fournisseurs devront concevoir les objets connectés pour que les données qu’ils génèrent soient directement accessibles.
Reprendre le contrôle sans attendre le législateur
L’arsenal réglementaire avance, mais la vigilance au quotidien reste la première ligne de défense. Désactiver les fonctionnalités comme le partage des données sur les réseaux sociaux si vous ne l’utilisez pas permet de réduire les risques de piratage et de fuite incontrôlée de vos données personnelles. Ce réflexe, qui prend trente secondes, est pourtant négligé par la plupart des utilisateurs. Il est recommandé de désactiver toutes les fonctions non utilisées : accès distant, télémétrie inutile, découverte automatique, etc., afin de limiter la surface d’attaque.
La transparence sur l’usage des données, la possibilité de paramétrer finement les options de collecte, ainsi que des mises à jour régulières sont autant d’éléments indispensables, et autant de critères à vérifier avant d’acheter un objet connecté, pas après. Lire les notes de mise à jour avant d’appuyer sur “Installer” n’est pas une lubie de technicien : c’est la version numérique de lire ce qu’on signe.
Un chiffre donne à réfléchir : sur une flotte de capteurs en entreprise, il n’est pas rare que 20 à 30 % des objets continuent de tourner sur un firmware datant du déploiement initial, parfois sans support actif. Des appareils vulnérables, aux comportements de collecte jamais revus, souvent oubliés sur un réseau Wi-Fi domestique partagé avec l’ordinateur professionnel. Le cyber Resilience Act européen, pleinement applicable depuis janvier 2025, établit des obligations strictes en matière de sécurité informatique pour tous les produits connectés commercialisés dans l’Union et impose aux fabricants une analyse de risque systématique. Ce que cela signifie en pratique : les fabricants qui persistent à glisser des clauses de collecte dans les notes de version sous couvert d'”amélioration du service” s’exposent désormais à un contrôle réglementaire qu’ils n’avaient jamais connu, et les utilisateurs, eux, ont pour la première fois les outils juridiques pour leur demander des comptes.
Sources : infos-it.fr | juridiqueenligne.fr