L’opacité des objets connectés domestiques agace l’UFC-Que Choisir

L'UFC-Que Choisir lance un appel à la vigilance sur les objets connectés pour la maison. Il ne s'agit pas cette fois-ci de parler de leur sécurité (il y a pourtant tellement à dire...), mais de leur interopérabilité et de l'information qui est faite aux consommateurs sur l'utilisation des données générées.

Ce n'est un secret pour personne : les objets connectés occupent une place de plus en plus importante dans notre vie de tous les jours. Il y a évidemment les smartphones, les montres, les voitures, mais ils prennent également leurs aises dans les logements, que ce soit pour surveiller votre domicile ou bien pour contrôler le chauffage par exemple.

Données, vie privée, interopérabilité : l'UFC pointe une absence d'information

Un objet connecté est ainsi en mesure de générer et d'échanger des données sur votre foyer avec des serveurs qui peuvent être installés un peu partout dans le monde, soulevant certaines interrogations sur la vie privée. Les zones d'ombres ne s'arrêtent pas là et on en trouve également sur la connectivité et l'interopérabilité des différents objets connectés.

L'UFC-Que Choisir monte justement au créneau sur ces sujets, pointant « une absence d’information qui empêche tout choix éclairé des consommateurs ». Avant d'arriver à cette conclusion, l'association de consommateurs a mené une enquête sur 10 distributeurs (Castorama, Leroy Merlin, Fnac, Amazon, Cdiscount, Darty, Grosbill, Boulanger, La Redoute et Futur Home Shop) et 13 fabricants qui proposent des objets connectés pour le logement (Somfy, Netatmo, Tado, Nest, Qivivo, Philips, Chacon, etc). 

• Télécharger le bilan de l'étude sur les objets connectés pour le logement

L'étude porte sur trois informations importantes : le protocole de communication utilisé, la liste des produits compatibles et la collecte de données personnelles suite à l'installation du produit. Trop souvent, ces informations manquent à l'appel pour l'UFC-Que Choisir.

Comme l'IMF, les distributeurs enclenchent le protocole fantôme

Afin de fonctionner correctement et échanger des données, les objets connectés peuvent utiliser divers protocoles : Wi-Fi, Bluetooth, Z-Wave, Zigbee, etc. La liste est (trop) longue. Il existe bien certaines tentatives d'uniformisation, mais aucune ne semble pour le moment tirer son épingle du jeu. Pour le moment, XKCD résume parfaitement la situation dans cette planche :

« Le marché est tellement fragmenté qu’il est difficile de définir le nombre exact de protocoles de communication existants » explique l'association de consommateurs. Afin d'assurer une bonne interopérabilité, il est primordial que les objets parlent le même langage (sinon ils ne se comprennent pas). Problème, le protocole utilisé n'est pas mentionné dans deux tiers des références passées au crible par nos confrères.

Chez les distributeurs, un tiers des produits comporte une information claire, alors qu'elle est absente dans plus de 43 % des cas, et partielle dans 20,7 %. Darty, Castorama, Leroy Merlin et Futur Home Shop précisent le protocole dans plus de deux tiers des cas, alors que Cdiscount, GrosBill et la Fnac ne l'indiquent pas dans près de deux tiers des références.

Du côté des fabricants, ils sont deux tiers à mentionner clairement le protocole utilisé, ce qui en laisse tout de même un tiers dans le brouillard. Qivivo, Philips ou encore Momit ne se distinguent ainsi pas de la bonne manière : nos confrères n'ont pas identifié « clairement et facilement » le protocole utilisé. 

L'interopérabilité au second plan

Au-delà de l'absence d'information sur le protocole, c'est également la liste des produits compatibles qui manque souvent à l'appel. Or celle-ci permet de savoir comment le consommateur pourra ou non faire évoluer son installation en y ajoutant des capteurs supplémentaires. C'est également un bon indicateur permettant de savoir s'il sera enfermé dans une solution propriétaire ou au contraire s'il pourra profiter d'un large écosystème.

Chez les distributeurs, l'UFC-Que Choisir constate que seulement 4 des 87 références analysées (soit 4,6%) affichent une information sur l’environnement des produits compatibles. Chez les constructeurs, c'est la parité (ou presque) : 7 sur 13 précise les produits compatibles, 4 de plus le font de manière partielle. De leur côté, Momit et Philips ne donnent pas d'indication claire.

Des solutions comme IFTTT (If This Then That) permettent certes de contourner le problème dans certains cas, mais pas encore d'assurer une interopérabilité entre tous les objets connectés. En effet, les constructeurs n'autorisent pas tous la création de recettes avec leurs objets, leur solution logicielle étant fermée.

Distributeurs : le grand vide sur la collecte des données personnelles 

Vient ensuite la délicate question de la collecte des données personnelles et donc des questions de vie privée qui s'y rattachent. Un point important puisqu'un thermostat connecté par exemple peut connaitre vos habitudes de déplacements, vos vacances, l'heure à laquelle vous allez au lit, etc. 

Chez les distributeurs, c'est le désert : « aucun ne donne une information sur la gestion des données collectées par le produit en question (recherche dans les caractéristiques du produit, document attaché ou lien dédié vers le site du fabricant) » note l'UFC.

Cette situation, bien que regrettable, n'est pas irrégulière précisent nos confrères. L'obligation d'information porte ainsi sur l'entreprise qui collecte les données, et pas sur le revendeur. Les détails peuvent être transmis aux clients lors de l'ouverture d'un compte ou lors de l'installation de l'application sur smartphone par exemple.

Problème : si le client refuse, il peut se retrouver avec des fonctionnalités réduites, voire inexistantes. Avec une vente par correspondance, il reste toujours la possibilité de retourner le produit dans les deux semaines qui suivent son achat, mais une information précise avant l'achat serait la bienvenue afin d'éviter toute déconvenue.

La majorité des fabricants étudiés donnent des informations sur l'utilisation des données personnelles, mais dans le cas de Honeywell, Qivivo, Schneider et Thomson « l’analyse du site ne nous a pas permis de trouver ces informations ». Une situation « inadmissible » pour l'UFC-Que Choisir. De plus, même lorsque l'information est indiquée, elle n'est pas toujours bien précisée produit par produit, avec une mise en page facilement lisible. 

L'UFC-Que Choisir veut plus de transparence avant l'achat

Fort de ce constat, l'association de consommateurs formule trois demandes aux pouvoirs publics : 

• Rendre obligatoire, pour les fabricants et les distributeurs, l’information sur le type de protocole de communication utilisé par l’objet connecté ;
• Mettre à disposition avant l’achat, a minima sur le site internet du fabricant, la liste des produits compatibles ;
• Informer, avant l’achat, quant à la collecte des données personnelles et aux conséquences sur les fonctionnalités essentielles du produit d’un refus de cette collecte par l’utilisateur.

On peut également signaler que le manque d'informations ne s'arrête pas forcément là. Bon nombre de produits, y compris des thermostats connectés, ont besoin d'une connexion à Internet pour fonctionner correctement. En cas de coupure certains sont capables de continuer, mais est-ce le cas de tous les produits ? Impossible à dire...

Il y a également la question du piratage (vous payez ou vous n'avez plus de chauffage, de lumière, etc.) d'autant que des failles béantes sont régulièrement découvertes, ainsi que celle des mises à jour. Un exemple parmi d'autres : des utilisateurs sans chauffage en plein hiver suite à une mise à jour défaillante sur des thermostats Nest.

Si la domotique peut amener à des économies d'énergies avec une gestion intelligente de la maison, il faut que les consommateurs soient suffisamment informés des conditions d'utilisation et des risques afférents. Sur ce point, on ne peut que rejoindre l'UFC-Que Choisir.