GuiGui's Show

Après avoir raté le coche de l'IA générative, les Autorités européennes de protection des données à caractère personnel, dont la CNIL, sont en train de rater le boom des lunettes connectées. 😑️

La CNIL a mis neuf mois pour juste répondre qu'elle ne fera rien (je traduis)… Qu'est-ce que tu veux faire avec ça…

Plusieurs marques, dont Ray-Ban (EssilorLuxottica) et Oakley, proposent, en partenariat avec Meta (Facebook, Instagram, WhatsApp, …), des lunettes connectées / intelligentes / IA, c’est-à-dire équipées d’une caméra, d’électronique, d’une connexion à Internet et, possiblement, d’un assistant IA. Que pourrait-il mal se passer ?

Google avait lancé ses Glass il y a 15 ans, mais, en France, elles n’ont pas rencontré le grand public. Les lunettes Meta, elles, sont vendues par des opérateurs télécoms, comme SFR ou Orange, et par des opticiens. Les lunettes Oakley sont promues par des égéries. Les ventes ont explosé (lire aussi).

Pour PURR, ces lunettes appellent une écrasante majorité d’usages prohibés par le RGPD : enregistrement furtif, image et son, des espaces publics et privés sans information, ni loyauté, ni consentement, donc exercice des droits impossible (accès, opposition, …), publication de la vidéo, y compris en direct, transfert et/ou analyse par Meta (de la vidéo ou de données biométriques ou …), etc.

Les usages illicites [documentés par la presse] ne manquent pas : […]

Le web regorge de tutoriels et d’astuces pour désactiver ou retirer le témoin lumineux indiquant qu’un enregistrement vidéo est en cours. Déjà que ce témoin [lumineux] est insuffisant pour informer en cela qu’il est invisible en plein soleil, par des personnes malvoyantes, sans être en face, etc, et qu’il ne délivre pas les informations obligatoires sur le traitement déjà en cours (articles 13 et 14 du RGPD).

Meta planifie l’ajout de la reconnaissance faciale en étant consciente des problèmes éthiques. Elle compte même sur la dispersion des opposants sur les nombreuses problématiques actuelles (Trump, etc.) pour éviter les critiques et recours contre les traitements qu’elle sait être illicites. Une telle fonctionnalité pouvait déjà être fait maison.

Dès la fin 2024, un de nos membres a déposé une plainte auprès de la CNIL, qui n’en a eu que faire. Par suite, il a déposé deux nouvelles plaintes, dont l’une est toujours en cours de traitement, nous allons y revenir.

Après l’animation du débat public par, entre autres, PURR, la CNIL avait répondu aux médias : seul un usage domestique de ces lunettes, sans publication ultérieure, est licite, les personnes qui sont filmées doivent être informées et elles doivent pouvoir exercer leurs droits RGPD, et l’enregistrement dans un lieu privé peut constituer une infraction pénale. Exactement ce que soutient PURR donc.

Ainsi, dès le 20 juin 2025, PURR a demandé à la CNIL d’adopter une interdiction provisoire de l’usage des lunettes Meta sur le territoire français, et de solliciter le Comité européen à la protection des données (CEPD) sur une décision contraignante urgente. (L’Italie y avait procédé contre ChatGPT, et la Norvège à l’encontre d’une extension pour navigateur web.) Nous avons réitéré notre demande en août, novembre, et février 2026.

Au regard de la facilitation et de la prédominance des usages illicites et de leur fort impact sur la protection des personnes, nous déplorons que la CNIL ne déclenche pas une procédure d’urgence.

Nous ne croyons pas à une action coordonnée par la DPC irlandaise. D’une part, une telle procédure sera trop lente pour aboutir dans un temps utile à l’adoption de mesures correctrices. D’autre part, la collusion entre Meta et la DPC, notamment par un jeu de portes-tournantes, n’est plus à démontrer.

PURR a sollicité un réexamen de sa demande de déclenchement d’une procédure d’urgence à l’encontre de ces lunettes Meta.

Collusion CNIL irlandaise / Meta : Former Meta lobbyist named DPC Commissioner: Meta now officially regulates itself et ici.

La CNIL a communiqué sur son site web en mai 2026. C'est mieux que rien, mais très insuffisant au regard de ce qu'un citoyen est en droit d'attendre d'une autorité de protection des données à caractère personnel.