Un grille-pain qui enregistre vos données personnelles. L’idée paraît absurde, presque comique. Elle est pourtant au cœur d’une réalité documentée, accélérée, et que les associations de consommateurs alertent depuis fin 2024. L’électroménager connecté ne se contente plus de griller du pain ou de faire frire des frites : il observe, il collecte, il transmet. Et souvent, sans que vous le sachiez vraiment.
À retenir
- Votre application de grille-pain enregistre bien plus que vos réglages de température
- Les friteuses connectées transmettent des données audio et personnelles à des serveurs chinois sans vraiment vous le dire
- Le cadre légal existe (RGPD, Cyber Resilience Act), mais un microphone peut être activé secrètement par mise à jour
Ce que l’application de votre appareil sait réellement sur vous
Le grille-pain connecté fonctionne via Bluetooth avec votre smartphone. Une application dédiée gère les réglages et propose une base de données des différents types de pains. Jusque-là, rien d’alarmant. Mais les données non personnelles collectées incluent des informations techniques liées à l’utilisation du produit : réglages de température, cycles d’utilisation, consommation d’énergie, journaux d’erreurs. Ce qui peut sembler anecdotique devient vite révélateur quand on comprend à quoi servent ces informations croisées.
Vos habitudes alimentaires, reconstituées via les recettes choisies ou les cycles de cuisson, peuvent servir au constructeur ou à ses partenaires commerciaux pour analyser vos comportements et vous proposer des publicités ciblées selon vos centres d’intérêt. : votre grille-pain matinal trace, en creux, un portrait de ce que vous mangez, à quelle heure, à quelle fréquence. Un profil que des algorithmes savent exploiter.
Lorsque vous installez une application pour contrôler un objet connecté, vous acceptez souvent sans le savoir la collecte de nombreuses informations personnelles. Elles ne servent pas uniquement à améliorer les services. Elles sont aussi utilisées pour créer des profils publicitaires, améliorer les algorithmes de recommandation ou être revendues à des tiers. C’est la mécanique de fond, commune à toute la chaîne du smart home. Le grille-pain n’est que l’exemple le plus inattendu, celui qui rend soudain le problème concret.
L’affaire des friteuses connectées : un signal d’alarme qui dépasse la cuisine
L’Information Commissioner’s Office britannique a publié de nouvelles directives après qu’une enquête menée par Which? en décembre 2024 a révélé que certaines friteuses à air chaud, téléviseurs intelligents et montres connectées collectaient des données sur leurs propriétaires. Le cas des friteuses mérite un focus : l’électroménager de cuisine connecté y révèle des pratiques que personne n’attendait à ce niveau.
Selon l’étude de Which?, trois friteuses à air chaud fabriquées par Xiaomi, Tencent et Aigostar enregistraient des données audio sur les téléphones de leurs propriétaires sans raison précise. Les friteuses d’Aigostar et de Xiaomi ont également envoyé des données personnelles à des serveurs chinois, bien que cela ait été signalé dans la déclaration de confidentialité fournie avec le produit. Signalé, oui. Lu, non. Si toutes les marques mentionnent ces collectes dans leurs conditions d’utilisation, l’association britannique de consommateurs dénonce néanmoins leur caractère excessif et l’opacité entourant leur exploitation ultérieure.
Xiaomi intègre, via l’application rattachée à la friteuse à air, des trackers à destination de Facebook, Pangle (le réseau publicitaire de TikTok) et Tencent, le géant chinois de la tech. La liste ne s’arrête pas là : les informations récupérées vont bien au-delà de simples préférences culinaires. Localisation, genre, date de naissance : autant de données qui se retrouvent entre les mains des fabricants. Pour une friteuse. Le décalage entre la promesse de l’objet et l’étendue réelle de la collecte est saisissant.
Comme l’a résumé Stephen Almond, directeur exécutif de l’ICO : “Les produits intelligents en savent beaucoup sur nous : avec qui nous vivons, quelle musique nous aimons, quels médicaments nous prenons et bien plus encore. Ils sont conçus pour nous faciliter la vie, mais cela ne signifie pas qu’ils doivent collecter une quantité excessive d’informations.”
Le cadre légal existe. Le problème aussi
Le RGPD impose plusieurs obligations aux entreprises qui collectent des données via des objets connectés. Toute collecte doit être justifiée, proportionnée, et faire l’objet d’un consentement clair et éclairé de l’utilisateur. Sur le papier, c’est solide. En pratique, ces obligations sont parfois contournées ou noyées dans des conditions d’utilisation complexes. Le problème est encore plus aigu lorsque les objets sont importés depuis des marchés hors UE, où la législation est moins stricte.
Un nouveau texte est venu renforcer le dispositif : le Cyber Resilience Act européen, pleinement applicable depuis janvier 2025, établit des obligations strictes en matière de sécurité informatique pour tous les produits connectés commercialisés dans l’Union. Ce règlement impose aux fabricants une analyse de risque systématique et la mise en œuvre de mesures de sécurité proportionnées. Côté CNIL, l’axe prioritaire de contrôle pour 2025 porte justement sur les données collectées via les applications mobiles. Un signal fort, même si les ressources d’inspection restent limitées face au volume d’appareils en circulation.
La CNIL pointe par ailleurs un angle mort qui fait froid dans le dos : dans le cas de la présence d’un microphone, même si celui-ci n’est pas actif au moment de l’achat, il peut être activé par la suite par le fabricant au moyen d’une simple mise à jour, sans que vous en soyez nécessairement informé. l’appareil que vous achetez aujourd’hui n’est pas forcément celui que vous utiliserez dans six mois.
Ce que vous pouvez faire, concrètement
En 2025, certaines entreprises collectent jusqu’à 5 000 points de données personnelles par individu et par jour, sans que la majorité des utilisateurs en aient conscience. Difficile de tout contrôler. Quelques réflexes changent néanmoins la donne. Vérifier les autorisations accordées à chaque application lors de la première installation : contrôlez les autorisations de chaque application sur votre smartphone. Refusez celles qui vous semblent intrusives ou superflues. Sur iOS, rendez-vous dans les paramètres de confidentialité pour restreindre l’accès à des données comme la localisation et le microphone. Sur Android, accédez aux paramètres de sécurité et confidentialité pour ajuster les autorisations.
Les utilisateurs peuvent demander des droits d’information, d’accès, de rectification, de portabilité, mais également d’effacement définitif de leurs données personnelles. Ce droit est rarement exercé, parce que rarement connu. Or, depuis l’entrée en vigueur, le 12 septembre 2025, du règlement européen sur les données (Data Act), les fabricants d’électroménager connecté ont l’obligation de fournir une notification claire des données collectées. Cela vise à garantir la transparence et à défendre vos droits en tant qu’utilisateur à accéder et à gérer les données générées par l’utilisation de vos produits.
Le vrai paradoxe de cette histoire : le premier objet connecté de l’histoire était déjà un grille-pain. En 1990, l’ingénieur John Romkey avait connecté un toaster à Internet lors d’une conférence, pensant à la confidentialité et à la sécurité. “Qui peut voir un grille-pain en ligne peut le contrôler ?”, se demandait-il. Le grille-pain est un appareil tellement minime que les données ne posent pas problème, à moins que vous ne craigniez que les autres ne sachent combien de pains vous faites griller. Trente-cinq ans plus tard, les données du grille-pain connecté alimentent des profils publicitaires croisés avec votre localisation, votre âge, et vos habitudes de navigation. Romkey s’inquiétait peut-être pour rien à l’époque. Aujourd’hui, il aurait de bonnes raisons de s’inquiéter.
Sources : droit.developpez.com | blog.avast.com