Lunettes connectées : la CNIL lance son plan d'action et alerte sur la surveillance mobile invisible

11/5/26
👈 les autres actualités

Le 11 mai 2026, la CNIL a publié une alerte inhabituellement frontale sur les lunettes connectées et annoncé l'ouverture d'un plan d'action dédié. Derrière le geste, deux faits qui doivent retenir l'attention des DPO : 67 % des Français considèrent ces dispositifs comme une atteinte à la vie privée, et la régulatrice française porte désormais le sujet au niveau du Comité européen de la protection des données (CEPD).

Ce qui s'est passé

La CNIL a rendu publics les résultats d'un sondage mené du 22 au 29 janvier 2026 auprès de 2 128 personnes représentatives de la population française adulte. Le constat est sans ambiguïté : méfiance, malaise et inquiétude dominent la perception des lunettes connectées. Les craintes portent en priorité sur le droit à l'image, le consentement des tiers, les détournements via hypertrucages et le devenir des données captées.

En réponse, l'autorité lance des travaux sur la conformité juridique et technique de ces dispositifs, qu'elle compte porter au niveau européen via le CEPD. Elle publie également un premier socle de bonnes pratiques à destination des utilisateurs : informer les personnes à proximité, désactiver les fonctions de captation hors usage, éteindre l'appareil dans les lieux où le téléphone doit l'être, et recueillir le consentement avant toute publication d'images.

Pourquoi c'est important

Les lunettes connectées concentrent une combinaison technique inédite : capteurs audio et vidéo intégrés à un objet socialement invisible, traitement par analyse d'impact (AIPD) rarement réalisée à l'achat, et connexion à des agents conversationnels capables d'inférer du contexte à partir d'images. Ce trio — captation silencieuse, traitement IA, connectivité permanente — déplace le centre de gravité juridique : ce ne sont plus seulement les données personnelles du porteur qui sont en jeu, mais celles de toutes les personnes filmées ou enregistrées à son insu.

La CNIL souligne un point décisif : ces lunettes ne sont pas identifiables comme « connectées » par les tiers. Les voyants lumineux d'activation, quand ils existent, ont une portée limitée. Le RGPD continue de s'appliquer, mais l'asymétrie informationnelle entre le porteur et son entourage rend le recueil du consentement structurellement difficile — un point que la régulatrice européenne avait déjà commencé à durcir sur d'autres usages d'IA captative, comme l'a montré la doctrine récente de l'AEPD sur la transcription vocale.

L'autre risque, plus politique, est celui d'une banalisation de la surveillance mobile. La CNIL parle explicitement d'un basculement « d'une surveillance fixe, signalée et encadrée à une surveillance mobile, quasi invisible et omniprésente ». Le coût modéré des dispositifs accélère leur diffusion. À terme, le risque pointé est celui d'une autocensure des individus dans l'espace public — un effet sur les libertés fondamentales qui dépasse le strict cadre de la protection des données.

Ce que ça change pour les organisations

Trois chantiers s'ouvrent pour les responsables de traitement et les DPO :

1. Cartographier les usages internes. Lunettes connectées en milieu professionnel (logistique, terrain, formation), mais aussi équipements personnels utilisés en réunion ou dans des espaces sensibles (cabinets médicaux, salles de conseil, R&D). Le RGPD impose au responsable de traitement de connaître les flux ; une politique d'usage explicite est désormais attendue.

2. Préparer une AIPD pour les déploiements professionnels. Caméra portée, traitement IA, captation potentielle de personnes non concernées par la finalité du traitement : cette combinaison coche, dans la quasi-totalité des cas, les critères de l'article 35 du RGPD. L'AIPD doit intégrer le scénario tiers — collègues, visiteurs, patients, clients —, pas uniquement le porteur.

3. Réviser les chartes informatiques et les règlements intérieurs. Les politiques BYOD ne suffisent plus. Il faut désormais traiter le cas spécifique des dispositifs de wearable computing : règles d'utilisation, zones d'interdiction (toilettes, vestiaires, espaces médicaux), obligation d'information des tiers, sanctions en cas de manquement. L'article 226-1 du Code pénal — rappelé par la CNIL — punit d'un an d'emprisonnement et de 45 000 € d'amende l'atteinte à l'intimité par captation d'image sans consentement dans un lieu privé : une exposition que peu de chartes traitent explicitement aujourd'hui.

Pour les organisations souhaitant suivre l'évolution réglementaire au fil de l'eau, Leto propose une application gratuite de veille RGPD, cybersécurité et IA qui agrège quotidiennement les décisions des autorités européennes.

Ce que Leto pense de cette décision

L'alerte de la CNIL est utile parce qu'elle déplace le sujet du « gadget » vers le « risque systémique ». Mais la régulatrice ne pourra pas tenir seule ce dossier : le portage au CEPD est la bonne décision, car la fragmentation nationale serait inopérable face à des fabricants globaux. Pour les DPO, l'opportunité est claire — anticiper la doctrine européenne plutôt que de subir une vague de mises en demeure dans 18 mois. Les organisations qui auront cartographié leurs usages, formé leurs équipes et inscrit les wearables dans leur registre des traitements dès cette année auront un temps d'avance décisif.

Sources : CNIL — Les lunettes connectées : la CNIL appelle à la vigilance (11 mai 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026