Trois mois de délégation totale. Le thermostat faisait tout : monter, descendre, apprendre, ajuster. La facture, à l’arrivée de septembre, n’était pas mauvaise. Mais c’est l’ouverture des logs de l’application, par curiosité un soir de rentrée, qui a tout changé. Pas les kWh. Ce que l’appareil savait sur moi.
À retenir
- Un thermostat intelligent collecte bien plus que la température : il crée un profil détaillé de vos habitudes et absences
- Les données continuent d’être envoyées même quand vous pensez l’appareil « en veille », créant des risques de sécurité réels
- Le Data Act européen vous donne enfin des droits : accès, suppression et transparence directe sur vos données
Ce que l’algorithme a vraiment appris
Un thermostat intelligent, ce n’est pas un simple minuteur amélioré. Il fait appel à des algorithmes d’apprentissage pour créer un programme qui s’adapte aux habitudes de vie des occupants. Concrètement, son fonctionnement repose sur la collecte continue d’informations à travers plusieurs capteurs intégrés : des capteurs de température qui mesurent en permanence la chaleur ambiante, mais aussi des détecteurs capables d’analyser la présence ou l’absence des occupants ainsi que les conditions météorologiques externes. Certains modèles vont plus loin encore : ils peuvent intégrer divers capteurs, température, humidité, présence, luminosité, bruit, afin de recueillir un maximum de données sur leur environnement.
Le résultat dans les logs ? Une radiographie de l’été. Heure de lever, heure de départ au travail, jours de télétravail détectés par une présence anormalement longue en semaine, retours tardifs un vendredi sur deux, séjours hors domicile de plusieurs jours consécutifs. Tout cela sans jamais avoir rien saisi manuellement. Ces technologies apprennent les comportements et les préférences des occupants, et ajustent la température à la hausse ou à la baisse afin de rendre l’occupant confortable lorsqu’il est chez lui et d’économiser l’énergie lorsqu’il est absent. L’efficacité est réelle. Le portrait de vie que ça génère, aussi.
Le problème, c’est pas la chaleur. C’est où vont les données.
Les équipements connectés enregistrent des informations précises sur les habitudes de vie des utilisateurs, leurs horaires de présence ou d’absence, leur localisation, leurs préférences quotidiennes. Ces données, bien que banales en apparence, peuvent révéler beaucoup sur votre mode de vie. Et elles quittent le boîtier mural. L’usage de votre objet connecté génère une grande quantité de données qui peuvent être stockées sur Internet : informations de profil, données liées à l’environnement, localisation de l’utilisateur, fonctionnement de l’objet.
Ce qui est troublant dans le cas des thermostats, c’est la continuité de la collecte même quand l’utilisateur pense que l’appareil est “en veille”. La collecte des données continue, souvent à l’insu des utilisateurs, via les capteurs intégrés mesurant température, humidité, mouvements et éclairage ambiant. Un cas particulièrement révélateur : bien que la fonctionnalité à distance soit désactivée sur certains modèles rétrogradés, la collecte des données persiste de manière significative. Les dispositifs continuaient jusqu’alors d’envoyer des informations nécessaires à leur pilotage, mais la possibilité de les contrôler via les applications mobiles a été supprimée. Moins de contrôle pour vous, même volume de données transmises.
Du côté des risques indirects, un acteur malveillant pourrait savoir à quel moment vous êtes absent en fonction de vos réglages, et en tirer des conclusions sur les moments pour pénétrer dans la maison. Ce n’est pas de la paranoïa techno : c’est une déduction logique que n’importe qui ayant accès aux données de chauffage pourrait faire. Certains fabricants qui ajoutent une connectivité à leurs produits ne disposent pas toujours d’une vraie culture de la sécurité informatique. Ceci aboutit parfois à des solutions techniques mal sécurisées : mots de passe non chiffrés, services web présentant des failles qui laissent accéder à toute leur base de données.
Ce que vous pouvez faire sans tout débrancher
La réponse radicale, c’est de couper le Wi-Fi. Pour stopper la transmission de données, il reste la solution de déconnecter le thermostat du réseau Wi-Fi, ce qui désactive aussi les fonctionnalités connectées restantes, mais offre un contrôle complet sur ses informations personnelles. Trop draconien pour la majorité des usagers, qui ont justement acheté l’appareil pour le piloter à distance.
Des options intermédiaires existent. Séparer les réseaux Wi-Fi en créant un réseau invité pour isoler la domotique du reste du domicile, et limiter les droits d’accès à distance en désactivant les services inutiles, constituent des mesures efficaces. Pour les plus avancés, des solutions domotiques locales comme Home Assistant permettent de faire tourner l’algorithme d’apprentissage chez soi, sans rien envoyer à un serveur tiers. Opter pour des appareils intelligents disposant d’un chiffrement natif et d’une documentation claire sur la protection des données augmente la sécurité globale.
Côté réglementation, les choses bougent. La plupart des dispositions du règlement européen sur les données (Data Act) sont applicables depuis septembre 2025. Ce texte change concrètement la donne : il permet à toute personne qui possède ou utilise un objet connecté d’accéder aux données générées par cet objet et facilite leur partage avec d’autres acteurs, en interdisant notamment les clauses contractuelles abusives. vous avez désormais un droit d’accès légal aux données que votre thermostat produit sur vous, y compris pour en demander la suppression auprès du fabricant. Ce droit de suppression doit s’exercer directement auprès des acteurs impliqués ; en cas de difficulté, il est possible de s’adresser à la CNIL.
L’appel téléphonique, ce soir-là, c’était au service client du fabricant pour demander exactement quelles données étaient conservées et pendant combien de temps. Réponse laborieuse, imprécise, renvoyant vers une politique de confidentialité de dix pages. Révélateur. À partir de septembre 2026, les fabricants et les fournisseurs devront concevoir les objets connectés et leurs services pour que les données qu’ils génèrent soient directement accessibles à leurs utilisateurs, sans avoir à décrocher le téléphone pour le découvrir.
Sources : cnil.fr | ecopedia.fr