Une clôture solaire connectée. Le concept séduit : des panneaux photovoltaïques intégrés au périmètre du jardin, une appli sur smartphone pour tout piloter, une promesse de sécurité physique et d’autonomie énergétique réunies dans un seul produit. La clôture solaire, couplée à un portillon intelligent, combine énergie verte, sécurité et confort d’usage. Le pitch est beau. Mais le soir où l’on ouvre la liste des permissions requises par l’application compagnon, le tableau change du tout au tout.
À retenir
- Une appli de clôture solaire demande des permissions inutiles et potentiellement dangereuses
- Les données collectées dépassent largement ce qui est nécessaire au fonctionnement
- Hackers éthiques ont démontré l’accès à des systèmes solaires cumulant 3x la puissance du réseau allemand
Ce que la clôture fait. Et ce que l’appli réclame en plus.
Techniquement, le concept est solide. Les clôtures solaires sont une combinaison intelligente de protection visuelle et de production d’énergie renouvelable : des modules photovoltaïques intégrés transforment la lumière du soleil en énergie électrique utilisable ou injectable dans le réseau. Jusque-là, logique. Le problème commence quand on installe l’application censée surveiller les alertes d’intrusion, contrôler le portillon ou consulter la production énergétique en temps réel.
Contrairement au web, les applications mobiles peuvent avoir accès à des données bien plus variées et parfois plus intrusives : géolocalisation, données de contact, photos, microphone. Pour une clôture de jardin. Elles peuvent, par ailleurs, collecter des données même lorsque vous n’êtes pas en train de les utiliser activement. Ce n’est pas un scénario paranoïaque : c’est la réalité documentée par la CNIL elle-même dans ses recommandations publiées en avril 2025.
La CNIL signale qu’il est possible de repérer des demandes excessives, comme une lampe torche qui demande l’accès aux contacts. Une clôture solaire qui sollicite le microphone ou l’accès permanent à la localisation, c’est exactement le même registre d’absurdité. Il convient de vérifier les permissions demandées par l’application associée : certains objets sollicitent des autorisations excessives et inutiles pour fonctionner.
L’appli de jardin, cheval de Troie dans votre réseau
Le vrai problème dépasse le confort personnel. Quand une clôture connectée rejoint votre réseau Wi-Fi domestique, elle ne s’y glisse pas seule : la décentralisation de la production énergétique via des millions d’installations solaires résidentielles introduit de multiples objets connectés, présentant chacun des vulnérabilités distinctes des grands sites énergétiques. Votre clôture de jardin est, dans cette logique, une toute petite brique d’une infrastructure beaucoup plus vaste.
Un hacker éthique a démontré qu’avec un simple téléphone et un ordinateur portable, il pouvait accéder à distance aux systèmes solaires de 6 fabricants, cumulant une puissance trois fois supérieure à celle du réseau allemand. C’est le niveau d’exposition réelle. Et côté données personnelles, beaucoup de données non nécessaires au fonctionnement sont collectées, et le principe de minimisation du RGPD n’est pas respecté. Cette conclusion n’est pas le fruit d’un blog alarmiste : elle provient de travaux de doctorants en sécurité informatique analysés par le laboratoire d’innovation numérique de la CNIL.
Concrètement, un accès excessif permet à des applications de voler des mots de passe, d’intercepter des codes SMS, d’inscrire l’utilisateur à des services payants non autorisés ou de vendre des profils détaillés à des annonceurs. La clôture protège le périmètre physique. L’application, elle, peut le trouer numériquement.
Ce que le RGPD dit, et ce que les fabricants font vraiment
Sur le papier, le cadre légal est clair. Le RGPD impose aux systèmes IoT licéité, loyauté et transparence : l’utilisateur doit être informé de façon claire des traitements effectués, et seules les informations strictement nécessaires doivent être collectées. En cas de fuite, les fabricants ont l’obligation d’en informer la CNIL ainsi que les utilisateurs concernés dans un délai de 72 heures. Dans les faits, il n’y a souvent aucune information donnée aux utilisateurs sur les transferts de données vers des serveurs situés dans des pays hors de l’Union Européenne.
Un règlement européen supplémentaire renforce ce dispositif depuis fin 2024. Le Cyber Resilience Act, entré en vigueur en décembre 2024, impose aux fabricants de produits numériques, dont les objets connectés, d’intégrer la sécurité dès la conception. Certaines obligations, comme la notification des vulnérabilités, entrent en vigueur dès 2026. La pression réglementaire monte. Mais en attendant que les fabricants s’y conforment pleinement, c’est l’utilisateur qui porte le risque.
La CNIL recommande de faire attention aux autorisations accordées, de se méfier des applications qui demandent des permissions excessives ou inhabituelles, et de n’accorder des permissions que lorsque l’application est active. Ce qui ne résout pas le problème de fond : la plupart des gens cliquent sur “Autoriser tout” au moment de l’installation, dans l’euphorie du premier déballage.
Ce qu’il faut vérifier avant de brancher quoi que ce soit
Quelques réflexes suffisent à réduire drastiquement l’exposition. Créer un réseau Wi-Fi séparé pour les appareils IoT, les box opérateurs permettent généralement de configurer un réseau secondaire — est la première barrière. Si l’application de la clôture est compromise, elle ne peut pas atteindre votre ordinateur ou vos données bancaires. Privilégier les fabricants qui publient des rapports de sécurité transparents et corrigent rapidement les failles est le deuxième filtre, avant même l’achat.
La prolifération des firmwares propriétaires non mis à jour aggrave le constat : une part significative d’équipements IoT tourne avec des versions datant de plus de deux ans. Sans gestion centralisée des mises à jour, chaque bug documenté devient une faille exploitable. Éviter les appareils bas de gamme qui ne reçoivent plus de mises à jour après un an n’est pas du snobisme tech, c’est de l’hygiène numérique de base.
Sur Android, une fonction permet de voir quelles applications ont utilisé des capteurs au cours des sept derniers jours ; si une application a accédé au microphone ou à la localisation à des moments inhabituels, il est possible de révoquer immédiatement l’autorisation. Aller vérifier ça, ce soir, prend deux minutes. Découvrir que l’appli de la clôture a interrogé le micro à 3h du matin en l’absence de toute activité dans le jardin, ça dure beaucoup plus longtemps.
Le fabricant, quand on finit par l’appeler, répond généralement que les permissions sont “nécessaires pour améliorer l’expérience utilisateur”, formule passe-partout qui ne convainc personne. L’essor de l’edge computing, qui permet de traiter les données à la source sans passer systématiquement par le cloud, limite les risques liés à la transmission d’informations sensibles : c’est précisément ce que les bons fabricants devraient proposer par défaut, plutôt qu’en option réservée aux modèles haut de gamme. Les prochaines certifications européennes exigeront ce type d’architecture. D’ici là, la vigilance reste du côté de l’utilisateur.
Sources : cnil.fr | woodstore24.fr