Lunettes connectees : la CNIL ouvre un plan d'action europeen — ce qui change pour les DPO
Le 11 mai 2026, la CNIL ouvre un front réglementaire qu'aucune autorité européenne n'avait encore frontalement adressé : les lunettes connectées. Au-delà d'un simple appel à la vigilance, l'autorité française dévoile les résultats d'un sondage inédit, formule six bonnes pratiques pour les utilisateurs et annonce un plan d'action porté au niveau du CEPD. Pour les DPO, le signal est clair : un nouvel objet du quotidien rejoint la cartographie des risques RGPD.
Ce qui s'est passé
La CNIL a publié le 11 mai 2026 un communiqué structuré en deux volets. D'abord, les résultats d'une enquête réalisée du 22 au 29 janvier 2026 auprès de 2 128 personnes représentatives de la population française : 67 % des sondés considèrent que les lunettes connectées représentent un risque d'atteinte à la vie privée. Méfiance, malaise, inquiétude — les verbatims dépeignent un rejet diffus, alimenté par la peur du détournement par l'IA (hypertrucages) et l'opacité sur le devenir des données captées.
Ensuite, l'autorité acte un plan d'action en trois temps : analyses juridiques et techniques approfondies, escalade des travaux au Comité européen de la protection des données (CEPD) pour une réponse harmonisée, et dialogue avec les autres autorités publiques compétentes — car les enjeux dépassent le périmètre strict de la protection des données personnelles. Dès maintenant, la CNIL publie six bonnes pratiques pour les utilisateurs : informer les tiers, désactiver les capteurs hors usage, éteindre les lunettes là où les téléphones doivent l'être, éviter les lieux où la captation n'est pas attendue, recueillir le consentement avant publication, et réfléchir avant de partager.
Pourquoi c'est important
Les lunettes connectées concentrent tout ce que le RGPD redoute : une captation systématique d'images et de sons, déclenchable par la voix, parfois invisible aux tiers — l'absence de différenciation visuelle avec des lunettes classiques est précisément le cœur du problème pointé par la CNIL. Là où un smartphone doit être sorti et orienté, les lunettes filment tout ce que regarde leur porteur. Cette bascule d'usage transforme l'objet du quotidien en dispositif de captation permanent.
L'autorité rappelle deux fondamentaux juridiques que les utilisateurs et leurs employeurs ne pourront pas contourner : l'article 9 du Code civil garantit le droit au respect de la vie privée dans tous les lieux, et l'article 226-1 du Code pénal sanctionne d'un an d'emprisonnement et 45 000 € d'amende la captation non consentie de l'image d'autrui dans un lieu privé. Pour une organisation qui équiperait ses collaborateurs (logistique, maintenance, santé, formation), la question du droit à l'image et de son articulation avec le RGPD devient un préalable opérationnel, pas une formalité contractuelle.
Côté traitements, l'addition d'un agent conversationnel IA pour interpréter ce que voit ou entend le porteur déplace le curseur. Données biométriques potentielles, capture incidente de tiers non consentants, données de localisation, profils d'usage : chaque cas d'usage organisationnel doit s'apprécier à l'aune des risques pour les personnes concernées, exactement comme l'a fait l'autorité grecque qui vient d'enterrer un programme de reconnaissance faciale de 4 millions d'euros faute de base légale et d'AIPD.
Ce que ça change pour les organisations
Concrètement, les DPO ont quatre chantiers à enclencher dès maintenant. Premier : cartographier les usages internes — RH, communication, formation, opérationnels terrain — où des lunettes connectées pourraient apparaître, y compris sous forme de pilotes ou d'achats individuels par des collaborateurs (« shadow wearables »).
Deuxième : qualifier le traitement et déclencher une analyse d'impact (AIPD) pour tout déploiement qui combine captation audio/vidéo, IA et environnements partagés. La présence quasi systématique de tiers non consentants dans le champ de captation place ces usages dans la zone à haut risque de l'article 35 du RGPD.
Troisième : intégrer la question dans les politiques internes — règlement intérieur, charte numérique, politique BYOD. Interdire ou encadrer l'usage de lunettes connectées en réunion confidentielle, en open space, dans les vestiaires et toilettes, et plus largement dans tout lieu où l'intimité est la norme attendue. La CNIL le formule sans détour : « ces dispositifs ne doivent pas devenir des outils intrusifs ».
Quatrième : anticiper la couche AI Act. Quand le dispositif s'appuie sur un système d'IA pour analyser l'environnement, identifier des personnes ou interpréter des comportements, les obligations de transparence et de gestion des risques de l'AI Act se cumulent avec celles du RGPD. La CNIL annonce vouloir aborder le sujet dans ses prochains événements : les DPO ont donc une fenêtre courte pour structurer leur position avant que des contrôles ciblés ne s'annoncent.
Ce que Leto pense de cette décision
Cette publication marque une rupture utile : la CNIL ne se contente plus de réagir aux scandales, elle prend de vitesse un marché en train d'éclore. C'est exactement ce qu'on attend d'une autorité de protection des données mature. Le pari de l'escalade au CEPD est aussi le bon — un texte français isolé serait contournable par design produit. Reste un angle mort : les bonnes pratiques visent les utilisateurs individuels, alors que les usages professionnels — terrains où l'asymétrie de pouvoir avec les tiers captés est maximale — méritent une guidance dédiée. Notre conviction chez Leto : la prochaine étape utile serait un référentiel sectoriel sur l'« informatique portée » en environnement de travail.
Sources : CNIL — Les lunettes connectées : la CNIL appelle à la vigilance (11 mai 2026) · Numerama — La CNIL alerte sur les lunettes connectées et ouvre un plan d'action européen
