Plusieurs marques, dont Ray-Ban (EssilorLuxottica) et Oakley, proposent, en partenariat avec Meta (Facebook, Instagram, WhatsApp, …), des lunettes connectées / intelligentes / IA, c’est-à-dire équipées d’une caméra, d’électronique, d’une connexion à Internet et, possiblement, d’un assistant IA. Que pourrait-il mal se passer ?
Google avait lancé ses Glass il y a 15 ans, mais, en France, elles n’ont pas rencontré le grand public. Les lunettes Meta, elles, sont vendues par des opérateurs télécoms, comme SFR ou Orange, et par des opticiens. Les lunettes Oakley sont promues par des égéries. Les ventes ont explosé (lire aussi).
Pour PURR, ces lunettes appellent une écrasante majorité d’usages prohibés par le RGPD : enregistrement furtif, image et son, des espaces publics et privés sans information, ni loyauté, ni consentement, donc exercice des droits impossible (accès, opposition, …), publication de la vidéo, y compris en direct, transfert et/ou analyse par Meta (de la vidéo ou de données biométriques ou …), etc.
Les usages illicites ne manquent pas :
-
Enregistrements furtifs, y compris de détails intimes, pour alimenter des cours de séduction ou pour diffusion sur les réseaux sociaux, ce qui amène au harcèlement ;
-
Canulars et harcèlement ;
-
Filmer voire diffuser des échanges privés dans des espaces privés, y compris au travail, ou dans des espaces sensibles comme des salles d’attente ou autres lieux recevant du public. Cela peut aller jusqu’aux secrets industriels d’entreprises sensibles touchant à la sécurité nationale ;
-
Le web regorge de tutoriels et d’astuces pour désactiver ou retirer le témoin lumineux indiquant qu’un enregistrement vidéo est en cours. Déjà que ce témoin est insuffisant pour informer en cela qu’il est invisible en plein soleil, par des personnes malvoyantes, sans être en face, etc, et qu’il ne délivre pas les informations obligatoires sur le traitement déjà en cours (articles 13 et 14 du RGPD).
Meta planifie l’ajout de la reconnaissance faciale en étant consciente des problèmes éthiques. Elle compte même sur la dispersion des opposants sur les nombreuses problématiques actuelles (Trump, etc.) pour éviter les critiques et recours contre les traitements qu’elle sait être illicites. Une telle fonctionnalité pouvait déjà être fait maison.
Dès la fin 2024, un de nos membres a déposé une plainte auprès de la CNIL, qui n’en a eu que faire. Par suite, il a déposé deux nouvelles plaintes, dont l’une est toujours en cours de traitement, nous allons y revenir.
Après l’animation du débat public par, entre autres, PURR, la CNIL avait répondu aux médias : seul un usage domestique de ces lunettes, sans publication ultérieure, est licite, les personnes qui sont filmées doivent être informées et elles doivent pouvoir exercer leurs droits RGPD, et l’enregistrement dans un lieu privé peut constituer une infraction pénale. Exactement ce que soutient PURR donc.
Ainsi, dès le 20 juin 2025, PURR a demandé à la CNIL d’adopter une interdiction provisoire de l’usage des lunettes Meta sur le territoire français, et de solliciter le Comité européen à la protection des données (CEPD) sur une décision contraignante urgente. (L’Italie y avait procédé contre ChatGPT, et la Norvège à l’encontre d’une extension pour navigateur web.) Nous avons réitéré notre demande en août, novembre, et février 2026.
Le 24 mars 2026, soit neuf mois après notre sollicitation initiale, la CNIL nous a répondu par la voix de son Secrétaire général adjoint :
-
« […] à ce jour les services [de la CNIL] ne considèrent pas que les circonstances des faits de l’espèce puissent être qualifiées d’exceptionnelles et de nature à entrainer une urgence telle qu’il conviendrait de déroger au mécanisme de contrôle de la cohérence […] ».
-
« Néanmoins, et comme vous le savez, la DPC est l’autorité compétente pour mener les investigations qu’elle estime nécessaire s’agissant des traitements en cause dans la mesure où la société META a son établissement principal en Irlande. C’est dans ce cadre que nous lui avons transmis votre première plainte <CENSURE> ainsi qu’une autre saisine relative à ces traitements déposée par un autre plaignant que vous ou votre association. La CNIL va ainsi poursuivre ces travaux sur les lunettes connectées en coopération avec ses homologues européens, dont l’autorité de protection des données irlandaise, en vue d’une action harmonisée et coordonnée sur ce sujet. »
Au regard de la facilitation et de la prédominance des usages illicites et de leur fort impact sur la protection des personnes, nous déplorons que la CNIL ne déclenche pas une procédure d’urgence.
Nous ne croyons pas à une action coordonnée par la DPC irlandaise. D’une part, une telle procédure sera trop lente pour aboutir dans un temps utile à l’adoption de mesures correctrices. D’autre part, la collusion entre Meta et la DPC, notamment par un jeu de portes-tournantes, n’est plus à démontrer.
PURR a sollicité un réexamen de sa demande de déclenchement d’une procédure d’urgence à l’encontre de ces lunettes Meta.
Bonjour M. Moulin,
Nous vous remercions pour votre réponse.
[…]
Nous attirons l’attention de vos services sur le fait que la procédure urgente ne relève pas nécessairement de fait d’une exceptionnelle qualification, celles déjà réalisées [1] ne l’étant manifestement pas, la plupart concernant déjà Meta et le non respect de la réglementation pour des services somme toute très courants (publicité en ligne, cookies…) et sans criticité particulière.
La problématique des lunettes Meta relève de plus pour nous justement d’une telle qualification exceptionnelle puisque transforme tout citoyen en un espion potentiel et risque à terme une banalisation de ce type de dispositif.
Les dérives sont de plus déjà importantes, allant jusqu’à la commission de délit grave, dont des agressions sexuelles [2], du harcèlement en ligne [3] ou de la mise en danger d’infrastructures militaires [4]. Les traitements réalisés sont aussi furtifs, extrêmement intrusifs, et dans des secteurs critiques.Concernant mes propres plaintes personnelles, je vous rappelle aussi que la DPC est une Autorité de Contrôle actuellement accusée de graves collusions avec Meta, qu’elle est donc supposée ici contrôler. Son directeur actuel est ainsi un ancien lobbyiste pour Meta, et l’ancien directeur de la DPC est retourné à son poste de lobbyiste aussi pour Meta [5].
Dans tous les cas, mes plaintes personnelles sont dirigées contre le responsable de traitement Meta Inc, de droit US, le RGPD m’autorisant à attaquer n’importe lequel des responsables de traitement identifié, et donc votre Commission est directement compétente en la matière.La saisie de la DPC en tant que cheffe de file ne retire pas non plus le pouvoir de votre Commission d’agir sur son territoire national par une interdiction de traitement, comme l’avait très bien fait le Garante italien avec ChatGPT malgré la compétence de la DPC pour OpenAI.
Et une telle interdiction ne serait pas fondée sur des raisons autres que la seule violation de la législation sur la protection des données (défaut d’information, de droit d’accès, d’opposition, traitement furtif, interdiction d’une telle captation dans l’espace public, etc), ce qui rentre parfaitement dans les prérogatives de votre Commission. C’est bien le seul traitement généré de captation (en particulier de l’espace public) qui serait interdit sur le territoire national, et non l’objet physique en lui-même.
Un autre précédent existe d’ailleurs aussi déjà avec l’extension de navigateur Shinigami Eyes, interdit par la Norvège sur son territoire pour les risques qu’elle générait sur les droits des personnes concernées, interdiction d’ailleurs relayée par le CEPD [6], interdiction d’ailleurs prise nationalement et sans procédure d’urgence.Notre Association souhaite donc demander à vos services une nouvelle étude du sujet.
[1] https://www.edpb.europa.eu/our-work-tools/consistency-findings/binding-decisions_fr
[2] https://www.ledauphine.com/videos/des-agressions-sexuelles-a-l-aide-de-simples-lunettes-connectees-35zkz8u
[3] https://www.slate.fr/tech-internet/lunettes-connectees-meta-nouvelles-technologies
[4] https://www.20minutes.fr/faits_divers/4200980-20260211-surpris-lunettes-filmantes-interimaire-dassault-place-garde-vue
[5] https://noyb.eu/fr/former-meta-lobbyist-named-dpc-commissioner-meta-now-officially-regulates-itself
[6] https://www.edpb.europa.eu/news/national-news/2022/norwegian-supervisory-authority-decides-ban-shinigami-eyes-norway_fr