Lunettes connectées : la CNIL alerte directement les citoyens — un signal d'enforcement avant les contrôles

15/5/26
👈 les autres actualités

Le 11 mai 2026, la CNIL ne s'est pas contentée d'annoncer un plan d'action européen sur les lunettes connectées : elle a publié, en parallèle, un appel direct à la vigilance destiné au grand public. Une double communication rare, et un signal politique fort pour toute organisation qui envisage de déployer, distribuer ou intégrer ces dispositifs dans ses processus.

Ce qui s'est passé

Le régulateur français a mis en ligne une alerte « grand public » sur les risques que les lunettes connectées font peser sur la vie privée. Le document liste trois catégories de captures qui inquiètent la CNIL : la vidéo (champ visuel intégral et permanent du porteur), l'audio (conversations alentour, qu'elles soient destinées au porteur ou non) et la localisation (trajets précis, fréquentation de lieux sensibles). À cela s'ajoute le risque d'inférence : derrière une image apparemment anodine, ces dispositifs permettent de reconnaître des visages, d'identifier des plaques d'immatriculation ou de déduire des informations sensibles sur les personnes filmées à leur insu.

Cette alerte est publiée simultanément au plan d'action européen porté par la CNIL avec ses homologues, dont nous avons détaillé les contours dans notre article sur le plan d'action européen ouvert par la CNIL sur les lunettes connectées. La cohabitation des deux communications n'a rien d'un hasard : elle conjugue la pression politique (vers Bruxelles) et la pression sociale (vers les citoyens et les acheteurs).

Pourquoi c'est important

Quand la CNIL parle directement aux citoyens, elle ne fait pas que pédagogie : elle prépare le terrain à des contrôles ciblés. Historiquement, les communications « grand public » du régulateur précèdent de quelques mois les premières mises en demeure dans le secteur visé (cookies en 2021, applications de santé en 2022, reconnaissance faciale en magasin en 2023). Les organisations qui commercialisent, intègrent ou recommandent à leurs collaborateurs ce type de dispositifs doivent donc considérer cette alerte comme une horloge enclenchée, pas comme une simple veille sectorielle.

Sur le terrain juridique, les lunettes connectées cumulent les facteurs aggravants au sens du RGPD : capture systématique de tiers non consentants, possibilité d'inférer des données sensibles au sens de l'article 9 (santé, opinion politique, appartenance syndicale visible dans l'image), et risque biométrique élevé lorsque les flux sont couplés à des modèles de reconnaissance faciale ou vocale. Ce sont précisément les critères qui déclenchent une analyse d'impact (AIPD) obligatoire au titre de l'article 35.

Ce que ça change pour les organisations

Trois chantiers deviennent prioritaires pour les DPO et RSSI confrontés à ces dispositifs.

1. Cartographier les usages internes et externes. Les lunettes connectées ne sont pas l'apanage du grand public : elles arrivent dans les usines (maintenance assistée), la logistique (préparation de commandes), la formation (réalité augmentée) et même la vente (essayage virtuel). Chaque déploiement professionnel doit être inscrit au registre des traitements, avec une analyse de la finalité, de la base légale et des données collectées sur les tiers (collègues, clients, passants).

2. Documenter une AIPD robuste avant tout déploiement. Avec la position publique de la CNIL, le risque résiduel est désormais réputé élevé tant que la preuve du contraire n'est pas apportée. L'AIPD doit traiter explicitement les mesures techniques (floutage automatique, désactivation des micros par défaut, signalisation visible de l'enregistrement) et les mesures organisationnelles (politique d'usage, formation des porteurs, droit d'opposition des tiers).

3. Réviser l'information et le consentement. L'obligation de consentement explicite ne couvre pas seulement le porteur des lunettes : elle s'étend à toutes les personnes susceptibles d'être filmées ou enregistrées dans un cadre professionnel. Cela impose une signalisation visuelle et sonore, des chartes d'usage signées et, dans certains cas, l'interdiction pure et simple du port dans certains espaces (open spaces, salles de réunion confidentielles, lieux où sont traités des données de santé).

Pour les acteurs déjà engagés dans une démarche structurée, un audit RGPD ciblé sur ces nouveaux dispositifs permet d'identifier rapidement les écarts. L'arrivée d'objets connectés à fort potentiel de collecte rappelle par ailleurs que la doctrine de la CNIL s'aligne progressivement sur celle de l'AEPD espagnole sur la transcription vocale par IA : consentement spécifique par session, transparence renforcée et diligence sur les fournisseurs.

Ce que Leto pense de cette décision

La double publication de la CNIL — alerte citoyens d'un côté, plan d'action européen de l'autre — n'est pas un dédoublement de communication. C'est une stratégie d'enforcement préemptive. Le régulateur dit publiquement aux acquéreurs et aux porteurs : « soyez prudents », ce qui crée une pression réputationnelle immédiate sur les fabricants et les utilisateurs professionnels, bien avant que la prochaine vague de contrôles ne tombe. Les organisations qui attendent la publication formelle du plan d'action européen pour s'organiser prennent un retard difficile à rattraper. À ce stade, traiter les lunettes connectées comme un projet IoT classique est un pari risqué.

Sources : CNIL — Lunettes connectées : appel à la vigilance (11 mai 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026