Un thermostat sait plus de choses sur vous qu’un voisin indiscret. Heure de réveil, rythme de vie, nuits passées ailleurs, retours tardifs : chaque interaction avec l’appareil dessine silencieusement votre quotidien. Et si ce thermostat appartient à un compte partagé avec votre ex-partenaire, même si cette personne n’a jamais mis les pieds chez vous, elle peut lire tout ça, depuis son canapé, à des centaines de kilomètres de distance.
Ce scénario n’est pas théorique. Les thermostats connectés, comme les serrures, enceintes et caméras, commercialisés comme des gadgets de confort, sont désormais documentés comme outils de surveillance et de harcèlement dans des dizaines de témoignages recueillis auprès de victimes, avocats, travailleurs sociaux et services d’urgence.
À retenir
- Votre thermostat Nest enregistre bien plus que la température : présence, horaires, modes de vie
- Un accès partagé après une séparation peut devenir un outil de surveillance invisible et légalement difficile à qualifier
- Il existe des solutions techniques pour reprendre le contrôle de vos données personnelles
Ce qu’un thermostat “voit” vraiment
La plupart des gens imaginent le Nest comme un joli disque sur le mur qui ajuste la température. C’est sous-estimer massivement ce que l’objet enregistre. L’archive de données d’un compte Nest contient les informations personnelles transmises par l’utilisateur, les données issues des capteurs des thermostats, et les informations relatives aux interactions avec l’appareil. Concrètement, cela inclut chaque modification manuelle de température, les détections de présence, les changements de mode “Chez moi” et “Absent”.
Avec l’historique de l’application Google Home, tous les membres de la maison peuvent savoir quand et pourquoi les automatisations basées sur la présence se sont déclenchées, et vérifier les arrivées et départs du domicile. Dit autrement : si votre ex est toujours membre de votre “maison” dans l’app, il ou elle reçoit en temps réel une notification chaque fois que vous rentrez, ou que vous ne rentrez pas.
L’historique peut indiquer “Chez moi : Activité détectée dans la maison. Thermostat du salon, 19h30”, signifiant que le mode Absent a été désactivé automatiquement, car le thermostat a détecté une activité. Remplacez “activité” par “votre vie privée” et la réalité devient plus saisissante. La transmission comprend des données telles que les modifications manuelles de température, les détections de présence, ainsi que les variations de luminosité autour de l’appareil. Un journal de bord involontaire, mis à jour en permanence.
La dynamique toxique du compte partagé
Dans la plupart des foyers, une seule personne installe la technologie connectée, comprend son fonctionnement et détient tous les mots de passe. Cela confère à cette personne le pouvoir de retourner la technologie contre l’autre. Lors d’une séparation, ce déséquilibre devient un risque concret : l’un des deux partenaires garde une fenêtre ouverte sur le domicile de l’autre sans que ce dernier en soit nécessairement conscient.
Dans des situations documentées, des agresseurs ont utilisé leur accès à des enceintes intelligentes, des thermostats, des caméras, des serrures et d’autres produits pour harceler leurs victimes à toute heure du jour ou de la nuit. Le harcèlement ne nécessite pas forcément d’action active. Parfois, simplement savoir que vous n’avez pas dormi chez vous suffit à alimenter une dynamique de contrôle. Des victimes ont décrit cette expérience comme une forme de “guerre de jungle” parce qu’il était difficile de savoir d’où venaient les attaques, et comme une asymétrie de pouvoir, leur partenaire contrôlant la technologie et, par extension, leur vie.
Le droit peine à suivre. Le recours légal reste limité : des agresseurs ont appris à utiliser la technologie de la maison connectée pour exercer pouvoir et contrôle d’une façon qui échappe souvent aux lois pénales existantes. Des associations commencent à sensibiliser les premiers secours à la nécessité d’inclure tous les comptes d’appareils connectés, connus ou non des victimes, dans les ordonnances restrictives. En France, la violation de la vie privée par l’exploitation d’un compte numérique partagé reste un angle mort juridique difficile à qualifier et à prouver.
Reprendre le contrôle, techniquement
La bonne nouvelle : les accès se gèrent. Une fois une personne retirée du foyer numérique, les autres n’ont plus accès aux appareils et services configurés, y compris les thermostats, alarmes, serrures ou caméras Nest. Mais encore faut-il y penser, et savoir comment le faire.
La première étape consiste à reprendre le contrôle des comptes en ligne, ce qui signifie changer les mots de passe ou créer de nouveaux comptes dans le cas où ils étaient partagés avec l’agresseur. L’ajout de l’authentification à double facteur rend l’accès au compte beaucoup plus difficile pour les autres personnes. Ceci est particulièrement important pour tous les comptes liés à des produits intelligents comme les enceintes, les thermostats et les détecteurs de fumée.
Pour aller plus loin, pour stopper entièrement la transmission de données, il reste la solution radicale de déconnecter le thermostat du réseau Wi-Fi. Cette action désactive aussi les fonctionnalités connectées restantes, mais offre un contrôle complet sur ses informations personnelles. Moins pratique, mais sans ambiguïté.
Côté juridique français, si vous rencontrez des difficultés pour faire supprimer des données personnelles auprès des acteurs concernés, il est possible de s’adresser à la CNIL. Installer un logiciel ou utiliser un accès frauduleux pour espionner un conjoint est passible de 45 000 € d’amende et 12 mois de prison. La difficulté, dans les cas de thermostats ou d’objets connectés partagés, tient à la nuance : l’accès était légal avant la séparation. Prouver qu’il est devenu abusif après demande un niveau de documentation que peu de victimes ont les réflexes de constituer.
La leçon que l’industrie refuse d’entendre
Les objets connectés semblent anodins et s’intègrent facilement dans la vie quotidienne, mais les données qu’ils traitent ne sont pas anodines. Un thermostat n’est pas juste un capteur de température. C’est un journal de présence, un détecteur de rythme de vie, un outil de surveillance passive qui n’a rien demandé à personne et ne prévient jamais quand quelqu’un d’autre consulte ses logs.
32% des Français pensent que les objets connectés peuvent les espionner, et 14% déclarent en avoir peur, et pourtant les ventes augmentent. Ce paradoxe révèle quelque chose d’intéressant : les gens acceptent le risque abstrait tant qu’il reste abstrait. Quand il se matérialise sous la forme d’un ex qui sait que vous n’avez pas dormi chez vous vendredi soir, l’abstraction disparaît brutalement.
La réglementation avance lentement dans la bonne direction. La loi française du 3 avril 2024 sur le “droit au silence des objets” consacre la possibilité pour tout utilisateur de désactiver intégralement les fonctions de connectivité d’un appareil sans perdre ses fonctionnalités de base. Un droit qui existait de facto pour les utilisateurs avertis, mais qui est désormais garanti formellement. Le problème reste que les victimes d’une relation toxique ne savent généralement pas que ce droit existe, et encore moins comment l’exercer au moment où elles en auraient le plus besoin.
Sources : theconversation.com | support.google.com