Lunettes connectées et IA : enjeux juridiques et réglementaires ?

Par Haas Avocats

Pourtant, malgré des tentatives répétées depuis une dizaine d’années, les expériences précédentes, de Google Glass à Snap Spectacles, ont montré la difficulté d’imposer un objet technologique porté sur le visage, tant pour des raisons d’usage que d’acceptabilité sociale.

C’est dans ce contexte que Meta persiste avec insistance à développer ses propres modèles, en partenariat avec Ray-Ban et Oakley. Cela laisse à penser que le groupe croit fermement au potentiel à moyen terme de ces dispositifs, à la croisée de la réalité augmentée, de l’IA et de la mobilité.

Loin de se réduire à un effet de mode, cette innovation soulève donc des enjeux technologiques et juridiques majeurs, auxquels il convient de s’intéresser dès maintenant.

Comment les lunettes connectées révolutionnent notre rapport à la technologie

Meta et Apple préparent l’après-smartphone

L’annonce récente de Meta (Ray-Ban Meta Display) et d’Apple témoignent de la maturité croissante du marché des lunettes connectées.

La keynote de Mark Zuckerberg du mois de septembre 2025 montre que les appareils proposeront dans un futur proche un affichage immersif, une assistance IA générative, et une interaction mains libres grâce à la voix ou à la captation de gestes.

L’objectif des GAFAM est clairement affiché : les lunettes connectées ont vocation à remplacer à terme le smartphone en rendant la technologie invisible et omniprésente dans le quotidien.

Des cas d’usage démultipliés par l’intelligence artificielle

Traduction instantanée, accès à l’information contextuelle, navigation et gestion de tâches, transmission instantanée de captures, les lunettes connectées ambitionnent de transformer la manière de communiquer, de travailler et de percevoir l’environnement.

Leurs concepteurs et partenaires stratégiques investissent massivement pour assurer une adoption large du produit, combinant esthétique et puissance logicielle.

Propulsée par l’avancée des réseaux 5G, l’IA embarquée et la miniaturisation des composants, la diffusion de lunettes connectées pourrait aussi susciter un intérêt croissant en raison de la valeur ajoutée générée par la combinaison de l’intelligence artificielle et de la mobilité.

Dans les hôpitaux, une telle technologie faciliterait le diagnostic et l’accès au dossier patient en temps réel. Dans la grande distribution, elle optimiserait la gestion des stocks et l’assistance aux clients. Dans la sécurité privée ou publique, elle renforcerait la capacité de surveillance et d’intervention.

La mise en œuvre de ces dispositifs impose toutefois aux organisations utilisatrices le respect d’un ensemble d’obligations réglementaires au regard des informations collectées et de la technologie utilisée.

Le défi de la vie privée à l’époque du “wearable” : RGPD, captation et responsabilité

Lunettes connectées et RGPD : un nouveau défi pour la protection des données personnelles

Véritable prolongement du regard et de l’ouïe de l’utilisateur, les lunettes dotées d’IA capturent photos, vidéos, sons, données de localisation.

Cette capacité à enregistrer ou analyser l’environnement en temps réel introduit une exposition inédite à la surveillance et à l’atteinte potentielle à la vie privée d’autrui.

Dès lors que des lunettes connectées sont utilisées dans un contexte professionnel ou commercial, l’organisation ou l’employeur devient responsable de traitement au sens du RGPD, avec toutes les obligations cumulatives que cela implique :

• De choisir une base légale adaptée^[1] (consentement, exécution de contrat, intérêt légitime).
• D’informer les personnes concernées^[2] (collaborateurs, clients, tiers présents dans le champ visuel ou sonore).
• Le respect d’obligations spécifiques pour les traitements à grande échelle, systématiques, ou sensibles^[3] (données biométriques, santé, sécurité).

Le RGPD s’appliquant dès qu’il y a traitement de données personnelles, même sans stockage, la simple captation passive d’image ou de son fait entrer le dispositif dans le champ réglementaire.

Par ailleurs, la logique du RGPD est cumulative : chaque traitement (enregistrement, analyse via IA, transmission ou stockage) exige d’être documenté^[4], d’en limiter l’usage^[5] et d’en maîtriser la diffusion.

Sécurité et traçabilité des données personnelles

La masse de données captées ou analysées requerra la mise en place de contrôles stricts sur la sécurité de leur collecte et le conservation^[6], et leur partage éventuel.

Les concepteurs et les utilisateurs professionnels devront élaborer une gouvernance stricte de la donnée : documentation des traitements, audits réguliers, limitation des accès, procédures précises de notification d’incident ou de violation, et justification continue du recours à ces dispositifs, au regard des principes du RGPD et des recommandations de la CNIL.

Toute faille de sécurité ou usage inapproprié (captation illicite, défaut de sécurisation, négligence dans l’audit ou la remédiation) engagera la responsabilité in solidum de l’entreprise, sans déport automatique sur l’utilisateur final.

Toute entité adoptant ces technologies devra mettre en place des chartes d’utilisation, organiser la formation continue de ses équipes et procéder à des AIPD régulières, adaptées à l’évolution technique des appareils.

Questions à se poser :

• Les flux de données générés par ces lunettes sont-ils bien identifiés et protégés ?
• Des politiques de restriction d’usage ou de gestion des incidents sont-elles en place ?
• Les modalités de consentement et d’information sont-elles conformes aux exigences du RGPD ?
• Une réévaluation périodique des risques et des mesures de sécurité est-elle organisée à chaque modification fonctionnelle ou logicielle ?

L'Essor d'une technologie devant se conformer à la règlementation de l'IA 

Une technologie soumise à la règlementation sur l’IA

Comme pour toute utilisation de l’IA, tout organisme ayant recours à des lunettes connectées devra agir en amont et en aval du déploiement.

Le Règlement sur l’intelligence artificielle introduit une régulation ex-ante des systèmes à base d’IA, imposant une évaluation du niveau de risque^[7]. Plus le système est jugé à risque (ex : analyse comportementale en temps réel), plus les contraintes sont fortes :

• Inscription au registre européen des systèmes à haut risque^[8];
• Documentation complète, transparence et auditabilité^[9];
• Evaluation de conformité préalable (certification, marquage CE)^[10];
• Gouvernance continue (supervision humaine, mécanismes de recours^[11]).

Selon les fonctionnalités activées (reconnaissance faciale, voix, analyse de comportements, interactions sensibles), les lunettes connectées pourront relever de la classification « haut risque ».

Dans pareil cas, les constructeurs auront des obligations de :

• Démontrer la sécurité, la robustesse et l'explicabilité des algorithmes^[12];
• Documentation précise de la logique décisionnelle, des données d’apprentissage et des biais éventuels^[13];
• Mettre en place des mécanismes de contrôle humain (par exemple : désactivation immédiate, transparence complète vis-à-vis de l’utilisateur ou des tiers)^[14];
• Mettre en place des systèmes d’alerte, de journalisation des erreurs, simulation régulière d’incidents^[15].

Ce même règlement prévoit des contrôles ex post : en cas d’incident ou de litige, l’organisation devra être en mesure de prouver la supervision humaine effective, la traçabilité technique et l’absence de biais algorithmique grave.

Les organisations utilisatrices, et non seulement les fabricants, pourront être assimilées à des opérateurs au sens de l’AI Act et donc être soumises à des obligations permanentes de documentation, de preuve et d’auditabilité.

Une vigilance s’imposant à chaque étape de l’utilisation

Le succès d’un projet reposant sur l’intégration de lunettes connectées dotées d’IA nécessitera ainsi l’implication concertée de l’ensemble des fonctions de l’organisation l’utilisant : direction IT, services juridiques, ressources humaines et équipes opérationnelles.

Cette mobilisation transversale permettra d’opérer un diagnostic, d’actualiser, d’adapter les procédures internes, et d’assurer le suivi et l’amélioration continue dans la durée.

C’est donc par cette approche globale et partagée que seront évitées les dérives et que le potentiel technologique des lunettes connectées pourra être atteint, sans porter atteinte aux droits fondamentaux des personnes dont les données seront collectées par l’intermédiaire de cette technologie.

Lunettes connectées et IA : bâtir la confiance grâce à une gouvernance conforme au RGPD

L’adoption des lunettes connectées dotées d’intelligence artificielle représente une continuité dans l’ère numérique actuelle par l’automatisation et la dématérialisation de l’accès à l’information.

Cette évolution ne sera pérenne et acceptée que si elle est fondée sur des principes clairs de gouvernance, de sécurité, de maturité réglementaire et d’accompagnement au changement, dans un esprit « privacy by design » et « auditability by design ».

Les entreprises, collectivités et professionnels qui anticiperont ces évolutions, prendront une longueur d’avance dans l’instauration d’une confiance durable auprès de leurs équipes, de leurs clients et partenaires, et dans les futures coopérations intersectorielles.

***

Le cabinet HAAS Avocats, spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle, est à votre disposition pour vous accompagner dans vos démarches de conformité et pour répondre à toutes vos interrogations sur la régulation des plateformes numériques. Pour nous contacter, cliquez ici.

^[1] Article 6.1 du RGPD

^[2] Article 13 du RGPD

^[3] Article 35 du RGPD

^[4] Article 30 du RGPD

^[5] Article 5.1 c) du RGPD

^[6] Article 32 du RGPD

^[7] Article 6 du Règlement Européen sur l’IA

^[8] Article 60 du Règlement Européen sur l’IA

^[9] Articles 11 à13, article 16 et article 17 du Règlement Européen sur l’IA

^[10] Articles 43 à 48 du Règlement Européen sur l’IA

^[11] Article 14 du Règlement Européen sur l’IA

^[12] Articles 15 et 16 du Règlement Européen sur l’IA

^[13] Articles 11, 12 et 16 du Règlement Européen sur l’IA

^[14] Article 14 du Règlement Européen sur l’IA

^[15] Article 17 du Règlement Européen sur l’IA