Le moins que l’on puisse dire, c’est que les entreprises n’ont pas vraiment fait de cadeau à la confidentialité a cette année. Et quelque chose nous disait que pour les fêtes non plus, nous n’allions pas être gâtés… Alors nous avons enfilé notre plus belle tenue de lutins au service de votre vie privée ! Découvrez sans plus attendre les entreprises « enguirlandées » mais aussi les produits qui nous ont emballés !

Cette année, nous avons passé en revue la confidentialité et la sécurité de plus de 100 produits connectés, des sonnettes vidéo aux appareils Bluetooth pour suivre l’état de votre forme en passant par tous les robots qui ont envahi notre quotidien (et nos maisons). Et après un millier d’heures de recherche (oui, un millier), voici quelques-uns des principaux changements que nous avons remarqués cette année :

  • Certaines marques jusqu’ici exemplaires ne se sont pas très bien comportées : Sonos et Bose, par exemple, avaient l’habitude de s’en tirer avec les honneurs depuis des années. Malheureusement, nous avons été obligés de leur adresser leur premier avertissement pour leurs pratiques en matière de confidentialité.
  • Google, dont le comportement était jusqu’ici « Ok », a désormais rejoint la liste des marques faisant peu de cas de la vie privée de leurs utilisateurs, tout comme ses filiales Fitbit et Tile d’ailleurs.
  • Enfin, les entreprises pointées du doigt les années précédentes ne se sont pas racheté une conduite, bien au contraire : Amazon, Amazon Ring, Samsung, Microsoft Xbox et Wyze ont réussi l’exploit de faire encore pire cette année.
  • Autre constat : l’intégration quasi-systématique de l’IA : nous l’avons identifiée dans pas moins de 94 des produits passés en revue. Et dans de trop nombreux cas, cela signifie malheureusement que les informations personnelles (et privées !) sont stockées, analysées et partagées… voire les trois à la fois. Deux exemples : les enregistrements vidéo des aspirateurs robots Roomba de l’entreprise iRobot ont été étudiés pour l’entraînement de leur IA lors de phases tests. Des images de l’intérieur des maisons des utilisateurs-tests ont donc été diffusées sur Facebook. Et l’entreprise qui produit le « robot qui apprend avec le cœur », aussi appelé Moxie, peut partager des extraits des conversations de votre enfant avec OpenAI, les stocker pendant 18 mois, et les utiliser pour « améliorer son IA ».
  • Nous avons également eu entre les mains le produit le plus flippant jamais passé en revue. Nous disons rarement cela, mais n’achetez pas l’Angel Watch pour votre enfant ou une personne vulnérable de votre entourage. Nous vous en exposons les raisons dans notre guide, mais si vous ne deviez en retenir qu’une, ce serait celle-ci : cette montre connectée ne dispose tout simplement d’aucune politique de confidentialité ! Nada. Niet. Niente !.

Mais attendez – nous avons aussi de bonnes nouvelles à vous annoncer !

2023 restera comme une grande année pour les régulateurs. La FTC (l’équivalent aux États-Unis de la DGCCRF) a réussi à épingler Microsoft Xbox et Amazon pour avoir enfreint la loi américaine sur la protection des données des enfants, appelée COPPA. Quant à leurs homologues européens, ils ont infligé un nombre record d’amendes à des entreprises qui ne respectaient pas le RGPD (Règlement Général sur la Protection des Données). Des entreprises comme Meta par exemple, qui a écopé de l’amende la plus importante à ce jour : 1,3 milliard de dollars !

Mais ce n’est pas tout : la confidentialité figure toujours parmi les priorités de la majorité des entreprises dont nous avions vanté les mérites l’an dernier (ouf !). Et le champion en titre, Garmin, nous en a même mis des étoiles plein les yeux en améliorant encore ses pratiques en la matière. Nous avons également identifié une mini tendance pour les jouets connectés : la minimisation des données. Et des jouets interactifs comme le Tamagotchi Uni et Artie 3000 ont développé un moyen infaillible de protéger les données des enfants : ne pas les collecter ! Autant vous dire que chez *Confidentialité non incluse, on adore !

Vous l’aurez compris : cette année, la confidentialité n’est pas à la fête. Alors raison de plus de célébrer les marques qui lui accordent toute l’importance qu’elle mérite. Ne manquez pas notre liste des produits à offrir les yeux fermés !

Les produits connectés à éviter par catégorie en 2023

Maison connectée

Notre (nouvelle) liste des cadeaux à éviter : maison connectée

Ces marques qui proposent des produits connectés pour la maison vont recevoir du charbon cette année… et pour la première fois un avertissement *Confidentialité non incluse !

C’est une première dont ils se seraient bien passés : tous les produits Google, y compris leur célèbre gamme Google Nest, ont reçu un avertissement *Confidentialité non incluse cette année. La raison est double. Tout d’abord, l’historique de l’entreprise n’est pas très reluisant. Google a écopé de différentes amendes pour un total de plusieurs millions de dollars dans des affaires liées à de sérieux manquements en termes de confidentialité. Ensuite, leur utilisation des données. Google prétend collecter des données à partir de sources « accessibles publiquement » mais chez Mozilla, on se demande toujours ce que signifie ce terme exactement…

Wyze, le fabricant de caméras de sécurité, de sonnettes vidéo, d’aspirateurs robots, d’éclairages connectés et bien plus encore, fait désormais partie de la liste des « mauvaises » marques. Elle a notamment dû faire face à certaines des pires failles de sécurité qui puissent arriver.… Le genre de faille qui pourrait permettre de montrer à des inconnus des vidéos de votre intérieur ! Rien que d’y penser cela nous fait froid dans le dos (et ce n’est pas la météo !). Wyze peut également récolter de nombreuses informations à votre sujet, les utiliser pour créer des « inférences » (autrement dit, des regroupements de données) et même en revendre une partie !

Sonos, quant à elle, ne permet pas à ses utilisateurs de supprimer leurs informations personnelles. L’entreprise s’octroie par contre le droit de revendre ces mêmes informations à des fins publicitaires (d’après la définition que fait l’État de Californie d’une vente, c’est-à-dire l’échange d’informations en échange de « contreparties précieuses » ce qui inclut, sans toutefois s’y limiter, de l’argent).

Quant à Amazon Ring, une chose est sûre : leurs caméras et sonnettes vidéo partagent toujours un grand nombre d’informations sensibles avec les forces de l’ordre. Et ils se sont bien entendu abstenus de résoudre la faille de sécurité que nous leur avons signalée l’année dernière.

Parcourir tous les avis sur les produits Maison Connectée par catégorie

Divertissement et technologie

Notre (nouvelle) liste des cadeaux à éviter : divertissement et technologie

Tile, le premier traceur Bluetooth, a pris un très mauvais tournant cette année. Pour commencer, leur maison mère, Life360, s’est fait traîner devant les tribunaux pour avoir vendu les données de localisation de ses utilisateurs sans leur autorisation. Ho-ho-horrible, vous ne trouvez pas ?

Et tandis que d’autres fabricants de traceurs (comme Apple) ajoutent des fonctionnalités pour empêcher le plus possible que leurs produits suivent des gens sans leur consentement, Tile fait exactement le chemin inverse. En février, la marque a lancé le « mode antivol » qui rend ses traceurs totalement indétectables… et permet de contourner leur fonctionnalité anti-harcèlement « scanner et sécuriser ». De quoi soulever de vives inquiétudes en matière de vie privée. Et comme si cela ne suffisait pas, Tile exige de vérifier votre identité et de pouvoir partager vos informations avec les forces de l’ordre pour l’utiliser.

Et ce n’est pas tout : la maison mère de Tile, Life360, affirme pouvoir recueillir des informations supplémentaires sur ses utilisateurs auprès d’entreprises tierces pour les combiner avec ce qu’elle sait déjà sur vous. Charmant, non ? C’est exactement ce que l’ancienne « gentille » marque, Bose prétend pouvoir faire aussi. Et devinez quoi ? Bose peut également collecter des données sur les mouvements de votre tête à partir de vos écouteurs. Franchement, qui a besoin de savoir si votre hochement de tête est synchronisé avec la musique (ou pas, d’ailleurs) ? Plus curieux encore, Bose se réserve le droit de vendre ces informations accompagnées de votre adresse e-mail. Et dans le même temps, ses utilisateurs semblent ne plus avoir le droit de supprimer leurs informations personnelles.

Pendant ce temps, Samsung continue d’écrire sa politique de confidentialité comme si personne n’allait jamais la lire (et ce n’est pas comme si on ne leur avait pas déjà dit !). Ce qu’on y apprend ? Que la célèbre marque coréenne récupère un grand nombre de données sur ses utilisateurs, jeunes et moins jeunes. Qu’elle agrège ensuite le tout, le partage, le vend, et s’en sert aussi pour faire de la publicité. Et pour couronner le tout, Samsung a par erreur donné des informations sensibles à ChatGPT cette année.

Parcourir tous les avis sur les produits Divertissement et Technologie par catégorie

Forme et santé

Notre (nouvelle) liste des cadeaux à éviter : forme et fitness

Si vous ne possédez pas déjà une Fitbit, il n’est désormais plus possible d’en acquérir (et surtout d’en utiliser une) sans accepter la politique de confidentialité de Google. Vous avez bien lu : tous les appareils Fitbit nécessitent désormais de se connecter à l’aide d’un compte Google. Et avant que vous ne vous posiez la question, oui : cela veut dire que toutes les données de suivi de votre santé seront donc collectées par le (pas très) bon gros géant de la Silicon Valley.

Google assure que vos données de santé seront en sécurité et séparées des autres informations que l’entreprise détient déjà sur vous. Mais cela n’empêche pas les experts en confidentialité (nous y compris !) de s’inquiéter. Après tout, ce ne serait pas la première fois que Google induit ses utilisateurs en erreur, et la firme de Mountain View s’est déjà comportée de façon douteuse avec les données de Fitbit par le passé. Par ailleurs, le groupe de défense de la vie privée NOYB souligne que Google enfreint la loi européenne sur la protection des données, le fameux RGPD, en obligeant ses utilisateurs à consentir au transfert de leurs données en dehors de l’UE s’ils veulent utiliser l’application.

Parcourir tous les avis sur les produits Forme et Santé par catégorie

Produits pour les enfants

Notre (nouvelle) liste des cadeaux à éviter : produits pour les enfants

Au début de ce guide, nous vous avons déconseillé d’acheter une Angel Watch. Et voici pourquoi : c’est une montre connectée qui permet d’enregistrer votre position GPS, de passer des appels téléphoniques via un réseau cellulaire, d’enregistrer des vidéos et de l’audio, et d’effectuer un suivi des différents signes vitaux de votre corps. Son fabricant la présente comme « le moyen ultime de garantir la sécurité de vos proches ». Rien que ça. Ces fonctionnalités suffisent déjà à nous faire sourciller, mais le véritable problème de cette montre ultraconnectée réside dans le fait qu’elle n’est régie par aucune politique de confidentialité. Il est donc impossible de savoir ce que la marque fera ou ne fera pas avec vos informations privées. Enfin, chez *Confidentialité non incluse, nous nous méfions aussi de sa capacité à « enregistrer discrètement de l’audio et des vidéos ». Car tout le monde, même les enfants et les personnes vulnérables, a le droit d’avoir une vie privée.

L’AngelSense Watch (c’est un peu confusant, on l’admet) est un produit plus ou moins similaire. Elle est aussi vendue et présentée comme un appareil qui permet aux parents et aux tuteurs de mettre leurs enfants et leurs proches vulnérables « en sécurité » grâce à plusieurs fonctionnalités identiques. Bien que, techniquement, l’AngelSense Watch dispose d’une rubrique dans ses conditions générales nommée « Politique de confidentialité », celle-ci n’en possède malheureusement que le nom. Au final, cette montre connectée nous laisse avec beaucoup trop de questions sans réponse. Surtout pour un produit qui recueille autant d’informations sensibles et privées.

Lorsque des produits pour enfants sont vendus à des parents et qu’ils recueillent de nombreuses informations personnelles, ils l’expliquent souvent en invoquant une « bonne » raison. Ces deux montres connectées qui utilisent le mot « angel » avancent elles l’argument de la sécurité. Moxie, le robot qui dispose d’une IA mais surtout d’un « cœur » d’après son fabricant, promet lui d’aider les enfants à réguler leurs émotions et à apprendre, et se présente comme un « co-pilote » parental. Mais pour pouvoir faire toutes ces choses, Moxie doit retranscrire tout ce que votre enfant dit, et peut ensuite partager ces informations avec Google et OpenAI. Bien que Moxie n’ait pas techniquement reçu un avertissement de notre part cette année, ce robot n’est pas sans nous inquiéter. Sans doute parce que dans sa politique de confidentialité, il est rappelé qu’il est de la responsabilité des parents que leurs enfants ne partagent pas d’informations privées avec Moxie. Pincez-nous s’il nous plaît.

Envie de voir moins de « mauvais » appareils connectés ?

Nous aussi ! Et nous faisons de notre mieux pour vous donner toutes les informations qui vous permettront de prendre les meilleures décisions afin de protéger votre vie privée. Mais il semble qu’il y ait chaque année de moins en moins de possibilités… Et il est vraiment décourageant de constater que de nombreuses marques sur lesquelles nous pouvions compter ont choisi de faire machine arrière et de partager de manière peu scrupuleuse nos données. Mais soyez assurés que nous ne baisserons jamais les bras : nous continuerons de militer en faveur de meilleures pratiques de confidentialité dans le domaine de la technologie grand public. Et si toutes les marques qui ont récemment pris de mauvaises directions nous lisent : sachez qu’il n’est jamais trop tard pour changer !

Vous pouvez nous aider et faire en sorte que ces entreprises rendent des comptes en partageant nos recherches et en soutenant notre cause. Ensemble, nous pouvons faire la différence.

Jen Caltrider

Jen Caltrider

Lors d’une période de relative improvisation pendant laquelle elle travaillait sur son diplôme de Master en Intelligence Artificielle, Jen a découvert qu’elle était davantage douée pour raconter des histoires que pour écrire du code. Cette prise de conscience a par la suite donné lieu à une carrière intéressante en tant que journaliste spécialisée dans les questions technologiques chez CNN. Mais sa véritable passion dans la vie a toujours été de laisser le monde un peu meilleur qu’elle ne l’avait trouvé. C’est pourquoi elle a créé et dirige encore aujourd’hui l’initiative *Confidentialité non incluse de Mozilla, pour défendre le droit à la vie privée du plus grand nombre.

Misha Rykov

Misha Rykov

Originaire de Kiev et aujourd’hui basé à Berlin, Misha a travaillé dans de grandes entreprises technologiques et de conseil en sécurité avant de rejoindre les équipes en charge des questions de confidentialité chez Mozilla. Il adore les enquêtes journalistiques et déteste par-dessus tout les politiques de confidentialité confuses. Misha prône un cadre réglementaire plus fort et plus intelligent en matière de confidentialité, ainsi qu’un Internet plus sûr.

Zoë MacDonald

Zoë MacDonald

Zoë est rédactrice et stratège spécialisée dans le numérique à Toronto, au Canada. Avant que sa passion pour les droits numériques ne la conduise chez Mozilla et plus particulièrement dans l’équipe de *Confidentialité non incluse, Zoë écrivait sur la cybersécurité et le commerce électronique. Lorsqu’elle n’est pas occupée à enquêter sur des sujets de confidentialité dans le cadre de son travail, elle surveille étroitement les appareils intelligents chez elle.

*confidentialité non incluse