Les dangers des appareils connectés pour votre vie privée
Les appareils connectés vous facilitent grandement la vie, mais ils sont souvent très gourmands en données personnelles. Nous avons cherché à savoir quelles informations ces appareils recueillent réellement sur vous et ce que vous pouvez faire limiter la récolte.
Quels appareils intelligents avons-nous analysés et pourquoi ?
Les haut-parleurs intelligents, téléviseurs, thermostats, aspirateurs robots et autres appareils connectés rendent la vie plus facile et confortable. Mais ce confort a un prix : votre vie privée.
Même avec la protection du RGPD européen, beaucoup plus de données sont collectées dans la pratique que vous ne le pensez. Les déclarations de confidentialité sont en général vagues. Vous êtes rarement mis clairement au courant de quelles informations sont précisément partagées, et avec qui.
C’est précisément pour cette raison que nous avons examiné les appareils intelligents en matière de confidentialité et de sécurité. Pour cette étude, nous avons sélectionné, avec nos partenaires d’Euroconsumers (association coupole dont fait partie Testachats), 13 appareils intelligents populaires et leurs applications dans les catégories suivantes :
- enceintes connectées ;
- Smart TV ;
- friteuses intelligentes (aifryers) ;
- aspirateurs robots ;
- thermostats connectés ;
- sonnettes connectées ;
- éclairage intelligent ;
Notre liste comprend notamment des produits des marques Bose, Sonos, Samsung, LG, Ring, Arlo, Xiaomi, Philips, Eufy, Dreame, Google et Tado.
Vers le haut de la page
Qu’avons-nous précisément analysé?
Dans notre recherche, nous avons examiné les points suivants :
- Quelles données devez-vous partager lors de la création d’un compte et sont-elles réellement nécessaires au fonctionnement de l’appareil ?
- Quelles autorisations les applications demandent-elles et sont-elles toutes justifiées ?
- Quelles données les appareils et applications transmettent-elles et avec qui sont-elles partagées, tant avec le fabricant qu’avec des tiers (sociétés de marketing ou d’analyse) ?
- La politique de confidentialité est-elle claire et complète ? L’utilisateur a-t-il son mot à dire ?
- Vos données sont-elles transmises en toute sécurité ? Nous avons vérifié si la communication des applications était chiffrée et si vos données pouvaient être interceptées.
- Le fabricant informait-il sur la politique de mise à jour ? Nous avons vérifié s’il était clair combien de temps l’appareil serait supporté par des mises à jour logicielles.
Quelles sont nos principales conclusions?
Notre conclusion principale ? Presque tous les appareils testés présentent un risque pour votre vie privée.
Comptes obligatoires
De nombreux appareils intelligents exigent la création d’un compte et demandent des données personnelles telles que votre nom, adresse e-mail, domicile, date de naissance ou pays d’origine. Il est frappant de constater que la création d’un compte n’est souvent même pas nécessaire au fonctionnement de l’appareil.
Autorisations superflues
Les applications demandent régulièrement un accès à votre localisation, à votre microphone ou même le suivi de votre comportement dans d’autres applications, alors que cela n’est pas toujours indispensable.
Partage de données avec des tiers
Presque toutes les applications étudiées transmettent des données utilisateurs à des tiers, tels que des grandes entreprises technologiques et des sociétés de marketing. Cela se produit souvent en arrière-plan, sans que vous le remarquiez.
Politique de confidentialité peu claire
Les informations sur l’usage de vos données sont le plus souvent cachées dans des déclarations de confidentialité qui sont vagues ou difficiles à comprendre. Pour de nombreux utilisateurs, il n’est donc pas du tout clair avec qui leurs données sont partagées et quels choix ils peuvent faire eux-mêmes.
Risques de sécurité
Certains appareils transmettent des données sans protection adéquate. Cela facilite l’interception de ces informations par des personnes malintentionnées.
Vers le haut de la pageQu’avons-nous découvert selon le type d’appareil?
Pour chaque catégorie de produit, découvrez les résultats les plus marquants.
Enceintes connectées (Bose et Sonos)
Les applications activent par défaut le suivi des applications, partagent des données personnelles avec des entreprises externes, et transmettent parfois même des adresses e-mail sans consentement.
Nos constats sur les enceintes connectées
Smart TV (Samsung et LG)
Les applications associées demandent souvent un accès à l’emplacement et au micro, parfois sans justification, et partagent vos données avec des entreprises telles que Facebook ou Google.
Découvrez nos résultats pour les téléviseurs intelligents
Friteuses à air chaud intelligentes (Philips et Xiaomi)
Les applications des airfryers se connectent à de nombreux sociétés de suivi et demandent de vastes autorisations, comme l’accès à votre photothèque et à votre localisation, soit bien plus qu’il ne serait nécessaire.
Ce que les airfryers font de vos données
Aspirateurs robots (Eufy et Dreame)
Les applications de ces robots transmettent parfois votre adresse e-mail et mot de passe non chiffrés dans le cloud et partagent vos données utilisateur avec de grandes sociétés technologiques.
Les données aspirées par les aspirateurs robots
Thermostats connectés (Tado et Nest)
Les applications de thermostat collectent des informations détaillées sur vos routines. Tado partage ces données avec des sociétés comme Amazon, tandis que Google préfère garder la plupart des données pour elle-même.
Plus sur la confidentialité des thermostats connectés
Sonnettes connectées (Ring et Arlo)
Les applications de sonnettes vidéo suivent votre comportement, partagent des informations avec des tiers et demandent parfois des autorisations à risques telles que l’accès à vos appels.
Découvrez le test de confidentialité des sonnettes connectées
Éclairage intelligent et capteurs (Philips Hue)
Nous avons observé ici des exceptions positives : Philips limite la collecte de données personnelles et le suivi est désactivé par défaut.
Découvrez pourquoi Philips Hue fait figure d’exception positive
Vers le haut de la pageQue pouvez-vous faire pour protéger votre vie privée ?
Il est difficile d’empêcher totalement les appareils intelligents de collecter des données sur vous. Mais il existe diverses mesures que vous pouvez prendre pour mieux protéger votre vie privée. Gardez ces conseils à l’esprit à chaque acquisition d’un nouvel appareil connecté.
Ne créez un compte que si c’est vraiment indispensable
Si l’appareil ne vous le demande pas, n’hésitez pas à passer cette étape. Si un compte est requis, ne fournissez que les informations strictement obligatoires.
Vérifiez les autorisations
N’accordez l’accès à votre localisation, micro, caméra ou contacts que si c’est réellement nécessaire au fonctionnement de l’appareil. Vous pouvez à tout moment ajuster ces autorisations dans les paramètres de votre appareil.
Désactivez le suivi dans les applications
Désactivez, lorsque cela est possible, la collecte de données sur votre utilisation dans les paramètres de l’application. Cela empêchera les fabricants et les sociétés de marketing de suivre automatiquement votre activité.
Limitez les enregistrements vocaux
Utilisez-vous un assistant vocal comme Alexa, Siri ou Google Assistant ? Indiquez dans les paramètres que les enregistrements vocaux doivent être supprimés automatiquement.
Connectez-vous avec votre adresse e-mail, pas avec des comptes externes
Évitez autant que possible de vous connecter via Facebook, Google ou Amazon. Moins il y a de liens avec d’autres comptes, moins il existe de voies pour le partage de données.
Lisez la politique de confidentialité
Vérifiez surtout quelles données sont collectées et partagées. Vous pouvez toujours vous opposer à l’utilisation de vos données.
Désactivez la publicité personnalisée
- Android. Allez dans Paramètres > Sécurité et confidentialité > Paramètres de confidentialité > Annonces > Confidentialité des annonces
- iOS. Allez dans Réglages > Confidentialité et sécurité > Publicité Apple et désactivez Annonces personnalisées.
Réinitialisez ou supprimez votre identifiant publicitaire
- Android. Allez dans Paramètres > Sécurité et confidentialité > Paramètres de confidentialité > Annonces > Réinitialiser l’identifiant publicitaire pour effacer votre historique de suivi.
- iOS. Vous ne pouvez pas supprimer votre identifiant publicitaire, mais vous pouvez désactiver totalement le suivi des applications via Réglages > Confidentialité et sécurité > Suivi. Puis désactivez Autoriser les demandes de suivi des apps.
Notre test montre que le suivi dans les applications, c’est-à-dire l’enregistrement de vos activités au sein de l’application, est activé par défaut.
L’application Bose Home Portable Speaker ne semble demander que peu d’autorisations au premier abord, mais elle contient de nombreux trackers :
- six sur Android ;
- cinq sur iOS.
Les données sont partagées avec des géants de la tech comme Facebook, Google, Amazon, ainsi qu’avec des entreprises de marketing plus petites telles que Urban Airship et Gigya (SAP).
Il est particulièrement notable que des données personnelles, dont l’adresse e-mail et le mot de passe, sont envoyées à un serveur SAP sans consentement explicite. De plus, l’application suit par défaut votre comportement dans l’application et partage ces informations avec des sociétés de publicité et d’analyse. Il est possible de désactiver ce suivi, mais en réalité, il devrait être désactivé par défaut.
Accès au micro et données de localisation sans nécessité
L’application Sonos est tout aussi intrusive. Pour connecter une enceinte Sonos Move 2, l’application demande l’accès au micro de votre smartphone, afin de détecter l’appareil via des signaux sonores. Cette demande est superflue, car l’appairage est également possible via Bluetooth ou NFC.
Comme Bose, Sonos suit également par défaut votre comportement dans l’application et partage ces données avec des sociétés telles que Google et divers groupes de marketing et d’analyse. La version iOS partage même la position exacte (coordonnées GPS), des codes d’identification uniques ainsi que des informations techniques de votre appareil avec l’entreprise de marketing Braze, le tout sans votre consentement.
Les applications des LG OLED55C46LA et Samsung QE55Q60D tentent d’obtenir un nombre remarquablement élevé d’autorisations, dont certaines sont plutôt contestables. Par exemple, les deux applications demandent par défaut l’accès à des fonctionnalités sensibles telles que le micro et la localisation, alors que cela n’est pas strictement nécessaire.
Ce qui ressort particulièrement avec l’application LG sur Android, c’est qu’elle demande à plusieurs reprises l’accès à la localisation, même lorsque cette autorisation a déjà été accordée pour "cette fois seulement". De plus, LG peut partager ces données de localisation avec des tiers, sans fournir d’explication sur les raisons de ce partage.
Pour l’application Samsung sur iOS, l’accès au microphone est demandé pour ajouter des appareils via des signaux sonores, alors que cela pourrait se faire plus sûrement via Bluetooth ou NFC. Sur Android, l’application Samsung obtient automatiquement certaines autorisations risquées, comme la modification des paramètres système ou l’accès à des données sensibles. Bien que l’on ne s’attende pas à un usage abusif volontaire, ces autorisations ne devraient pas être accordées par défaut.
Partage de données avec des parties externes, souvent sans notification
Les deux applications partagent (parfois des informations personnelles) des utilisateurs avec des sociétés externes telles que Facebook, Google, Microsoft, Amazon et Catamorphic.
L’application LG transmet des données à Facebook et Google. L’application Samsung transmet également des données vers des domaines de suivi appartenant à ces sociétés, ainsi qu’à des entreprises d’analyse plus petites comme Catamorphic. Parmi les données partagées figurent notamment l’adresse e-mail et le nom de l’utilisateur, sans que celui-ci en soit informé ou ait donné son consentement. Cela a été constaté principalement avec la version iOS de l’application Samsung.
Les friteuses intelligentes collectent beaucoup d’informations sur vous et votre utilisation de l’appareil. Ces données peuvent être partagées avec des tiers, ce qui permet aux entreprises de mieux connaître vos préférences personnelles et votre comportement en ligne.
Lors de notre test, l’application de la Philips Airfryer XL a établi le plus grand nombre de connexions avec des domaines de suivi : sept trackers sur Android et six sur iOS, principalement liés à Google, Branch et SAP.
La Xiaomi Smart Airfryer Pro comporte elle aussi de nombreux trackers : quatre sur Android et six sur iOS, provenant notamment de Google, Facebook et Tencent. De plus, dans l’application Xiaomi sur Android, nous avons constaté que l’adresse e-mail de l’utilisateur était envoyée à Google.
Les deux applications demandent un nombre particulièrement élevé d’autorisations, surtout sur iOS : l’accès à la localisation, à l’appareil photo et à la photothèque est requis par défaut.
Suivi des activités en dehors de l’application
Il est également frappant de constater que les deux applications sur iOS souhaitent pister vos "activités dans d’autres applications et sur des sites web", sans raison clairement spécifiée. Elles suivent donc votre comportement non seulement au sein de leur propre application, mais aussi à l’extérieur.
Ainsi, les entreprises peuvent constituer des profils détaillés de votre navigation, de vos préférences et de vos interactions avec d’autres applications. Ces informations peuvent parfois être partagées, voire revendues à des annonceurs, ce qui présente d’importants risques pour la vie privée.
De nombreux robots aspirateurs utilisent des caméras pour cartographier votre logement et font appel à des services cloud pour certaines fonctions intelligentes.
Les applications comportent plusieurs trackers, tels que ceux de Google, Facebook, Tencent et Alibaba. Par exemple, pour l’application Dreame L10s Ultra Gen 2 sur iOS, nous avons observé de nombreux trackers qui transmettent non seulement des informations sur votre utilisation de l’application, mais aussi des codes d’identification uniques et des informations sur le téléphone (comme le système d’exploitation, le modèle de l’appareil et même votre opérateur téléphonique).
Risques de sécurité liés à une transmission non chiffrée
Pour l’application Eufy Clean L60 SES, moins de trackers ont été repérés, mais l’adresse e-mail et le mot de passe de l’utilisateur sont envoyés à un serveur cloud Amazon sans chiffrement. Cela représente un risque de sécurité si ce serveur venait à être piraté.
De manière générale, les applications ne demandent pas d’autorisations particulièrement invasives, même si l’application Dreame sur Android a obtenu automatiquement quatre autorisations à risque, lui permettant de modifier les paramètres système, d’accéder à des données sensibles et de récupérer des informations sur les autres applications présentes sur l’appareil.
Les thermostats connectés rendent votre logement plus économe en énergie et plus confortable, mais suivent de très près vos allées et venues.
Ainsi, nous avons constaté avec l’application du Tado Smart thermostat X Multi-Room Starter Kit partage des données avec Amazon et des sociétés d’analyse. Elle transmet non seulement celles sur l’usage de l’application et les codes d’identification uniques, mais aussi des données personnelles telles que le nom et l’adresse e-mail.
L’application du Google Nest Learning Thermostat ne le fait pas : Google ne partage pas les informations des utilisateurs avec des tiers. En revanche, elle demande de nombreuses données personnelles lors de l’enregistrement, telles que le nom, l’adresse e-mail, la date de naissance, le sexe, le code postal et le pays. Il est possible de fournir son numéro de téléphone, mais cela reste facultatif.
Les applications pour sonnettes vidéo, comme la Ring Battery Video Doorbell et la Arlo 2K Wireless Video Doorbell, recueillent beaucoup d’informations sur vous et vos activités. Lors de l’installation et de l’utilisation, l’application Ring demande un nombre important d’autorisations (cinq sur Android, sept sur iOS) et partage, entre autres, votre localisation, votre adresse e-mail et votre mot de passe avec sa société mère, Amazon.
Le suivi dans l’application est activé par défaut, mais peut être partiellement désactivé. Dans l’application Arlo, il est impossible de désactiver le suivi de votre comportement dans l’application. Arlo partage des données avec des sociétés de suivi telles que Google, OneTrust, Catamorphic, Amplitude et MessageGears.
De plus, l’application Arlo sur Android obtient des autorisations à risque, comme l’accès à vos données téléphoniques et la gestion des appels, sans nécessité évidente. Cela peut entraîner des risques supplémentaires pour votre vie privée.
Le pack Philips Hue avec lampes et capteurs intelligents s’est distingué positivement lors de notre test. La création d’un compte est facultative, l’application demande peu d’autorisations et aucune donnée personnelle ni code unique n’est transmis à des tiers.
Le suivi dans l’application est désactivé par défaut. Seules des informations techniques et d’utilisation peuvent, si l’utilisateur le souhaite, être partagées avec des sociétés externes. Les utilisateurs gardent le contrôle sur ce qui est partagé via les paramètres de l’application.
