Connexion
Abonnez-vous

L’opacité des objets connectés domestiques agace l’UFC-Que Choisir

Protocole, données personnelles, etc.

L'opacité des objets connectés domestiques agace l'UFC-Que Choisir

Le 16 juin 2017 à 13h38

L'UFC-Que Choisir lance un appel à la vigilance sur les objets connectés pour la maison. Il ne s'agit pas cette fois-ci de parler de leur sécurité (il y a pourtant tellement à dire...), mais de leur interopérabilité et de l'information qui est faite aux consommateurs sur l'utilisation des données générées.

Ce n'est un secret pour personne : les objets connectés occupent une place de plus en plus importante dans notre vie de tous les jours. Il y a évidemment les smartphones, les montres, les voitures, mais ils prennent également leurs aises dans les logements, que ce soit pour surveiller votre domicile ou bien pour contrôler le chauffage par exemple.

Données, vie privée, interopérabilité : l'UFC pointe une absence d'information

Un objet connecté est ainsi en mesure de générer et d'échanger des données sur votre foyer avec des serveurs qui peuvent être installés un peu partout dans le monde, soulevant certaines interrogations sur la vie privée. Les zones d'ombres ne s'arrêtent pas là et on en trouve également sur la connectivité et l'interopérabilité des différents objets connectés.

L'UFC-Que Choisir monte justement au créneau sur ces sujets, pointant « une absence d’information qui empêche tout choix éclairé des consommateurs ». Avant d'arriver à cette conclusion, l'association de consommateurs a mené une enquête sur 10 distributeurs (Castorama, Leroy Merlin, Fnac, Amazon, Cdiscount, Darty, Grosbill, Boulanger, La Redoute et Futur Home Shop) et 13 fabricants qui proposent des objets connectés pour le logement (Somfy, Netatmo, Tado, Nest, Qivivo, Philips, Chacon, etc). 

UFC-Que Choisir objets connectés maison

L'étude porte sur trois informations importantes : le protocole de communication utilisé, la liste des produits compatibles et la collecte de données personnelles suite à l'installation du produit. Trop souvent, ces informations manquent à l'appel pour l'UFC-Que Choisir.

Comme l'IMF, les distributeurs enclenchent le protocole fantôme

Afin de fonctionner correctement et échanger des données, les objets connectés peuvent utiliser divers protocoles : Wi-Fi, Bluetooth, Z-Wave, Zigbee, etc. La liste est (trop) longue. Il existe bien certaines tentatives d'uniformisation, mais aucune ne semble pour le moment tirer son épingle du jeu. Pour le moment, XKCD résume parfaitement la situation dans cette planche :

XKCD protocols
Crédits : XKCD (licence: CC by NC 2.5)

« Le marché est tellement fragmenté qu’il est difficile de définir le nombre exact de protocoles de communication existants » explique l'association de consommateurs. Afin d'assurer une bonne interopérabilité, il est primordial que les objets parlent le même langage (sinon ils ne se comprennent pas). Problème, le protocole utilisé n'est pas mentionné dans deux tiers des références passées au crible par nos confrères.

Chez les distributeurs, un tiers des produits comporte une information claire, alors qu'elle est absente dans plus de 43 % des cas, et partielle dans 20,7 %. Darty, Castorama, Leroy Merlin et Futur Home Shop précisent le protocole dans plus de deux tiers des cas, alors que Cdiscount, GrosBill et la Fnac ne l'indiquent pas dans près de deux tiers des références.

Du côté des fabricants, ils sont deux tiers à mentionner clairement le protocole utilisé, ce qui en laisse tout de même un tiers dans le brouillard. Qivivo, Philips ou encore Momit ne se distinguent ainsi pas de la bonne manière : nos confrères n'ont pas identifié « clairement et facilement » le protocole utilisé. 

UFC-Que Choisir objets connectés maisonUFC-Que Choisir objets connectés maison

L'interopérabilité au second plan

Au-delà de l'absence d'information sur le protocole, c'est également la liste des produits compatibles qui manque souvent à l'appel. Or celle-ci permet de savoir comment le consommateur pourra ou non faire évoluer son installation en y ajoutant des capteurs supplémentaires. C'est également un bon indicateur permettant de savoir s'il sera enfermé dans une solution propriétaire ou au contraire s'il pourra profiter d'un large écosystème.

Chez les distributeurs, l'UFC-Que Choisir constate que seulement 4 des 87 références analysées (soit 4,6%) affichent une information sur l’environnement des produits compatibles. Chez les constructeurs, c'est la parité (ou presque) : 7 sur 13 précise les produits compatibles, 4 de plus le font de manière partielle. De leur côté, Momit et Philips ne donnent pas d'indication claire.

Des solutions comme IFTTT (If This Then That) permettent certes de contourner le problème dans certains cas, mais pas encore d'assurer une interopérabilité entre tous les objets connectés. En effet, les constructeurs n'autorisent pas tous la création de recettes avec leurs objets, leur solution logicielle étant fermée.

UFC-Que Choisir objets connectés maisonUFC-Que Choisir objets connectés maison

Distributeurs : le grand vide sur la collecte des données personnelles 

Vient ensuite la délicate question de la collecte des données personnelles et donc des questions de vie privée qui s'y rattachent. Un point important puisqu'un thermostat connecté par exemple peut connaitre vos habitudes de déplacements, vos vacances, l'heure à laquelle vous allez au lit, etc. 

Chez les distributeurs, c'est le désert : « aucun ne donne une information sur la gestion des données collectées par le produit en question (recherche dans les caractéristiques du produit, document attaché ou lien dédié vers le site du fabricant) » note l'UFC.

Cette situation, bien que regrettable, n'est pas irrégulière précisent nos confrères. L'obligation d'information porte ainsi sur l'entreprise qui collecte les données, et pas sur le revendeur. Les détails peuvent être transmis aux clients lors de l'ouverture d'un compte ou lors de l'installation de l'application sur smartphone par exemple.

Problème : si le client refuse, il peut se retrouver avec des fonctionnalités réduites, voire inexistantes. Avec une vente par correspondance, il reste toujours la possibilité de retourner le produit dans les deux semaines qui suivent son achat, mais une information précise avant l'achat serait la bienvenue afin d'éviter toute déconvenue.

La majorité des fabricants étudiés donnent des informations sur l'utilisation des données personnelles, mais dans le cas de Honeywell, Qivivo, Schneider et Thomson « l’analyse du site ne nous a pas permis de trouver ces informations ». Une situation « inadmissible » pour l'UFC-Que Choisir. De plus, même lorsque l'information est indiquée, elle n'est pas toujours bien précisée produit par produit, avec une mise en page facilement lisible. 

L'UFC-Que Choisir veut plus de transparence avant l'achat

Fort de ce constat, l'association de consommateurs formule trois demandes aux pouvoirs publics : 

  • Rendre obligatoire, pour les fabricants et les distributeurs, l’information sur le type de protocole de communication utilisé par l’objet connecté ;
  • Mettre à disposition avant l’achat, a minima sur le site internet du fabricant, la liste des produits compatibles ;
  • Informer, avant l’achat, quant à la collecte des données personnelles et aux conséquences sur les fonctionnalités essentielles du produit d’un refus de cette collecte par l’utilisateur.

On peut également signaler que le manque d'informations ne s'arrête pas forcément là. Bon nombre de produits, y compris des thermostats connectés, ont besoin d'une connexion à Internet pour fonctionner correctement. En cas de coupure certains sont capables de continuer, mais est-ce le cas de tous les produits ? Impossible à dire...

Il y a également la question du piratage (vous payez ou vous n'avez plus de chauffage, de lumière, etc.) d'autant que des failles béantes sont régulièrement découvertes, ainsi que celle des mises à jour. Un exemple parmi d'autres : des utilisateurs sans chauffage en plein hiver suite à une mise à jour défaillante sur des thermostats Nest.

Si la domotique peut amener à des économies d'énergies avec une gestion intelligente de la maison, il faut que les consommateurs soient suffisamment informés des conditions d'utilisation et des risques afférents. Sur ce point, on ne peut que rejoindre l'UFC-Que Choisir.

Le 16 juin 2017 à 13h38

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

c’est quand meme dingue de devoir utiliser son smartphone pour allumer une lampe.. avant y’avait un truc qui s’appelait interrupteur, et ca marchait bien, sans mise a jour defaillante.

Mais bon c’est le futur, il parait. <img data-src=" />

votre avatar







momal a écrit :



c’est quand meme dingue de devoir utiliser son smartphone pour allumer une lampe.. avant y’avait un truc qui s’appelait interrupteur, et ca marchait bien, sans mise a jour defaillante.

Mais bon c’est le futur, il parait. <img data-src=" />







_ Chéri, tu allumes la lampe du salon ? On voit rien ?

_ Je peux pas, j’ai plus de batterie.





Mais je reste 100% d’accord avec toi. Autant la domotique peut avoir son intérêt (quand on est pas chez soi par exemple) mais autrement, rien.


votre avatar

Avant même la lecture de l’article : “L’opacité des objets connectés domestiques agace l’UFC-Que Choisir”

moi : “c’est ballot que des appareils avec tant de trous soient opaques <img data-src=" /> ”



Il serait effectivement louable que les achats soient faits un peu moins à l’aveuglette (ou pas au prix d’une chasse à l’info compliquée). Espérons que ça aboutisse.



(question subsidiaire : une idée de la croissance du marché ? je trouve +10.4% sur 2015 mais ce n’était qu’une prévision et c’était il y a 2 ans…)

votre avatar

On appelle ça le web 3.0 ?



(où est Loïc Le Meur?)

votre avatar

Et tout cela pour savoir cb de fois madame l’a fait vibrer <img data-src=" />

votre avatar

Je viens de mettre au point une application connectée très intéressante et innovante :



Ça fait “glop glop” quand t’es chez toi et “pas glop pas glop” quand tu n’y es pas !! <img data-src=" />



Très utile pour les mecs bourrés qui ne savent plus où ils sont… <img data-src=" />

Et pour ceux qui se croient chez-eux partout où ils sont…



Sérieusement, “jusqu’où vont-ils s’arrêter” avec le tout connecté ?

votre avatar

Désolé de passer pour un vieux con mais comme signalé dans cet article, les objets connectés ce sera sans moi !!!



<img data-src=" />

votre avatar

Crédits : XKCD (licence: CC by NC 2.5)

<img data-src=" />

Euh, c’est un usage non commercial ici ? D’autant plus que c’est un article réservé aux abonnés…


votre avatar







momal a écrit :



c’est quand meme dingue de devoir utiliser son smartphone pour allumer une lampe.. avant y’avait un truc qui s’appelait interrupteur, et ca marchait bien, sans mise a jour defaillante.

Mais bon c’est le futur, il parait. <img data-src=" />





Autant pour les ampoules l’intérêt est limité, autant on peut trouver des applications sympas (sans être vraiment indispensables, c’est vrai). Ouvrir la porte du garage quand le smartphone entre dans la cour. Allumer le chauffage quand on quitte le boulot.

Rien qui à mon avis justifie l’envoi de données perso sur le web, mais c’est un autre sujet…


votre avatar

oué, ca s’appelle la domotique, et perso, je ne comprends pas pourquoi une programmation (chauffage qui se declenche a 18h00 pour 18h30…), ou l’activation via un bip necessite de passer par internet..

votre avatar

L’intérêt (limité, c’est vrai) est que c’est pas préprogrammé.

Le moyen le plus simple pour communiquer entre ton smartphone et ton radiateur (pour l’exemple où le chauffage s’allume quand on quitte le boulot), ça reste internet.

La vraie question, c’est est-ce que ça nécessite de passer par les serveurs du fabriquant? La réponse est non, mais c’est pas forcément la pire des solutions non plus.

votre avatar

Ca ne me dérange pas les objets connectés, la domotique… mais pourquoi toujours tout vouloir centraliser “pour notre bien” ?



Depuis que le “cloud” c’est répandu, c’est la misère pour avoir des solutions autonomes… comme çà quand un site ce fait pirater, ca touche immédiatement des milliers de personnes.

votre avatar

Moi, je veux bien, mais le serveur qui centralise les manœuvres, il sera CHEZ MOI ET A MOI, bordel !



S’il faut passer par un serveur extérieur, niet. D’où l’intérêt d’avoir une information complète sur le protocole histoire de voir si je peux implémenter ça sur un Tux maison, par exemple.



Sinon, la seule application domotique que j’ai, c’est un système d’allumage de lampes par radiocommande et minuterie, pour simuler ma présence quand j’y suis pas. Et c’est pas relié au net du tout.

votre avatar







Commentaire_supprime a écrit :



Sinon, la seule application domotique que j’ai, c’est un système d’allumage de lampes par radiocommande et minuterie, pour simuler ma présence quand j’y suis pas. Et c’est pas relié au net du tout.





Ouh là, mais c’est déjà du grand luxe ça ! Pour faire la même chose, j’ai une prise électrique avec minuteur mécanique et il faut enfoncer des pins dans des trous pour définir l’heure de mise en marche et l’heure d’arrêt.


votre avatar







heret a écrit :



Ouh là, mais c’est déjà du grand luxe ça ! Pour faire la même chose, j’ai une prise électrique avec minuteur mécanique et il faut enfoncer des pins dans des trous pour définir l’heure de mise en marche et l’heure d’arrêt.







Pour mes plafonniers, j’aurais du mal à utiliser ta solution…



Et puis, j’ai des variantes lampes par lampes : one-shot, régulier ou au hasard. Et cela appareil par appareil branché dessus. Je m’en sers aussi pour neutraliser la veille de mon écran 32 pouces.


votre avatar

Même constat que l’UFC que choisir, quand je cherchais à avoir une prise connectée pour le cas ou ma fille oubliait d’éteindre la lumière. Trop compliqué trop opaque, compatibilité entre centrale et autre marque non renseigné. Bref, soit on part avec une seule marque, mais le mélange est une aventure, ça me rappelle les temps où on montait les pc avec leur compatibilité …

votre avatar

on appel cela l’inertie thermique, le temps cela chauffe, pourtant déduisible ………

votre avatar

Effectivement, c’est très sympa : si la personne qui vole ton portable parvient à savoir où tu habites (ce qui n’est pas du tout improbable une fois qu’on a un mobile dans les mains), et remarque qu’il y a l’application “qui va bien”, il pourra vider ton garage, voire ta maison si les deux communiquent et partir avec ta voiture…&nbsp; et sans infraction aucune !



C’est une très bonne idée !

votre avatar







kervern a écrit :



on appel cela l’inertie thermique, le temps cela chauffe, pourtant déduisible ………







ca n’a rien a voir, je parle du besoin de passer par internet au lieu d’avoir un programmateur qui permet la meme chose sans pour autant expliquer a toute la planete que l’on est pas chez soi de telle heure a telle heure, par ex pour faciliter un petit cambriolage…


votre avatar







Zerdligham a écrit :



L’intérêt (limité, c’est vrai) est que c’est pas préprogrammé.

Le moyen le plus simple pour communiquer entre ton smartphone et ton radiateur (pour l’exemple où le chauffage s’allume quand on quitte le boulot), ça reste internet.

La vraie question, c’est est-ce que ça nécessite de passer par les serveurs du fabriquant? La réponse est non, mais c’est pas forcément la pire des solutions non plus.









Commentaire_supprime a écrit :



Moi, je veux bien, mais le serveur qui centralise les manœuvres, il sera CHEZ MOI ET A MOI, bordel !



S’il faut passer par un serveur extérieur, niet. D’où l’intérêt d’avoir une information complète sur le protocole histoire de voir si je peux implémenter ça sur un Tux maison, par exemple.



Sinon, la seule application domotique que j’ai, c’est un système d’allumage de lampes par radiocommande et minuterie, pour simuler ma présence quand j’y suis pas. Et c’est pas relié au net du tout.









DayWalker a écrit :



Effectivement, c’est très sympa : si la personne qui vole ton portable parvient à savoir où tu habites (ce qui n’est pas du tout improbable une fois qu’on a un mobile dans les mains), et remarque qu’il y a l’application “qui va bien”, il pourra vider ton garage, voire ta maison si les deux communiquent et partir avec ta voiture…  et sans infraction aucune !



C’est une très bonne idée !







bon ben tout est dit… Effectivement, on serveur perso peut tres bien faire l’affaire, mais bon c’est comme pour google, si c’est gratuit ou gracieusement mis a dispo par le fabricant, y’a une contrepartie pas toujours bonne pour le client..


votre avatar







fred42 a écrit :



Crédits : XKCD (licence: CC by NC 2.5) <img data-src=" /> Euh, c’est un usage non commercial ici ? D’autant plus que c’est un article réservé aux abonnés…



La question m’intéresse aussi.


votre avatar







DayWalker a écrit :



Effectivement, c’est très sympa : si la personne qui vole ton portable parvient à savoir où tu habites (ce qui n’est pas du tout improbable une fois qu’on a un mobile dans les mains), et remarque qu’il y a l’application “qui va bien”, il pourra vider ton garage, voire ta maison si les deux communiquent et partir avec ta voiture…  et sans infraction aucune !

C’est une très bonne idée !





Et si quelqu’un te pique tes clés et sait où tu habites, il se passe quoi? Et avec les télécommandes qui restent généralement dans les boites à gants des voitures?

Il existe des contres-mesures plus faciles avec un smartphone qu’avec des les outils ‘traditionnels’ : révocation du tel via une interface web par exemple, imposer le déverrouillage du smartphone…

L’usage d’un smartphone pour ça, même si ça me semble personnellement très gadget, ne me semble pas particulièrement remettre la sécurité de la maison en jeu… sous réserve que le système soit correctement sécurisé par rapport à internet, ce qui n’est malheureusement pas toujours le cas (Mais c’est pas in défaut intrinsec de l’usage du smartphone, c’est un défaut d’implémentation. Certains télécommandes de portail ou porte de garages ne sont absolument pas sécurités elles non plus)







momal a écrit :



bon ben tout est dit… Effectivement, on serveur perso peut tres bien faire l’affaire, mais bon c’est comme pour google, si c’est gratuit ou gracieusement mis a dispo par le fabricant, y’a une contrepartie pas toujours bonne pour le client..





Le défaut du serveur perso, c’est que c’est à toi de le sécuriser (dont MAJ etc…), voire c’est une porte d’entrée sur ton réseau si tu merdoie un peu. Et à moins de vraiment s’y connaitre, c’est pas évident d’être confiant dans son paramétrage. Ya qu’à regarder comment ça se passe avec les caméras connectées qui se comportent comme des serveurs perso.

Pour pas mal de gens, mieux vaut peut-être un serveur central bien géré par l’éditeur, vers lequel l’objet connecté pousse ses données (donc l’objet lui-même n’est pas visible depuis internet)… mais qui a le défaut d’être indiscret. Peste ou choléra…

Après reste la solution de ne pas utiliser ces outils si on n’est satisfait par aucune de ces options, mais la majorité des gens ne se préoccupant pas (ou ne comprenant pas) ces aspects, ils ne font pas ce choix.



In fine, c’est surtout de la formation/sensibilisation à ces aspects qu’il faut faire. Surtout pour les nouvelles générations qui vont avoir baigné toute leur vie dedans. Il me semble souhaitable que ça fasse partie des programmes scolaires.


votre avatar

La notion d’utilisation non-commerciale est apparament complexe.

Voici 3 liens qui donnent des explications:

https://creativecommons.org/licenses/by-nc/2.5/

https://creativecommons.org/faq/#does-my-use-violate-the-noncommercial-clause-of…

https://wiki.creativecommons.org/wiki/NonCommercial_interpretation

&nbsp;

Notamment:

NonCommercial explained

Creative Commons NC licenses expressly define NonCommercial as “not

primarily intended for or directed towards commercial advantage or

monetary compensation.” [2]



The inclusion of “primarily” in the definition recognizes that no      



activity is completely disconnected from commercial activity; it is only



the primary purpose of the reuse that needs to be considered.     



The definition of NonCommercial is intentionally flexible; the

definition is specific enough to make its intended operation and reach

clear, but versatile enough to cover a wide variety of use cases.

Narrowly or exhaustively attempting to prescribe every permitted and

prohibited activity is an impossible task and, in Creative Commons’

judgment, an ill-advised one. Thus, the definition sets out a principle

for determining what uses do and do not qualify, but does not list

specific use cases (aside from peer-to-peer file sharing).





Je pense que Nextinpact respecte la licence car la planche n’est pas principalement destinée à leur offrir une rémunération. C’est l’article que tu payes. La planche ne vient que l’illustrer dans une seconde mesure.



<img data-src=" />

L’opacité des objets connectés domestiques agace l’UFC-Que Choisir

  • Données, vie privée, interopérabilité : l'UFC pointe une absence d'information

  • Comme l'IMF, les distributeurs enclenchent le protocole fantôme

  • L'interopérabilité au second plan

  • Distributeurs : le grand vide sur la collecte des données personnelles 

  • L'UFC-Que Choisir veut plus de transparence avant l'achat

Fermer