Des affiches blanches, des promesses de présence inconditionnelle et un gadget vendu comme un remède à la solitude. Depuis fin janvier 2026, la campagne de Friend.com dans le métro parisien a mis en lumière l’accélération des objets IA portables, omniprésents et collecteurs de données, et les cadres de confiance que l’Europe s’est donné beaucoup de mal à construire. Le collier Friend est à l’image d’un marché qui avance plus vite que ses garde-fous, et d’un modèle de confiance délibérément flou.
Friend est un pendentif circulaire équipé d’un micro toujours actif, connecté en Bluetooth à votre iPhone, qui transmet les données audio aux serveurs de Friend Global, Inc. (une société enregistrée au Delaware, USA) pour analyse par le modèle Gemini de Google. En retour, l’utilisateur reçoit des messages sur son smartphone, rédigés par une IA qui se comporte comme un « ami ». Notez qu’il n’y a pas de bouton de mise en veille physique ; pas d’indicateur lumineux signalant clairement l’état d’écoute ; et aucune interface permettant à un tiers (collègue, voisin de wagon, convive, etc.) de savoir qu’il est en train d’être capté.
Or, la voix est une donnée personnelle protégée par le RGPD, et lorsqu’un dispositif capte une conversation, il traite des informations qui appartiennent à tous les participants. D’autant que Friend ne collecte pas seulement les données de son utilisateur. Il collecte aussi, et sans leur consentement, les données de tous ceux qui se trouvent dans son périmètre sonore. La politique de confidentialité de l’entreprise transfère à l’utilisateur l’entière responsabilité du respect des lois locales et de l’obtention du consentement des tiers. Avouez qu’il s’agit là d’une clause particulièrement problématique, car elle déporte une obligation légale sur l’individu, tout en maintenant le flux de données vers les serveurs de l’entreprise.
Sans compter que le traitement opéré par Friend dépasse la simple reconnaissance vocale. En effet, le collier analyse l’intonation, la fatigue ou le stress afin d’en déduire des états émotionnels, des fragilités psychologiques et des éléments de santé. Ces catégories de données (état de santé, orientation potentiellement inférée, vulnérabilités psychologiques, etc.) sont explicitement qualifiées de données sensibles par le RGPD. La CNIL, interrogée par l’AFP, a confirmé que le dispositif pouvait entraîner une collecte massive de données possiblement sensibles, incluant la santé, l’opinion politique ou l’orientation sexuelle, et a annoncé son intention de contacter Friend pour examiner sa conformité au RGPD.
Une politique de confidentialité qui soulève autant de questions qu’elle n’en résout
La politique de confidentialité de Friend, datée du 14 juin 2025, fait 17 pages et est rédigée en anglais uniquement. Elle contient a priori plusieurs anomalies. D’un côté, la société affirme ne pas traiter d’informations sensibles. De l’autre, certaines déclarations de son fondateur Avi Schiffmann (notamment à Fortune en octobre 2025) laissent entendre que certaines fonctionnalités annoncées dans la politique ne sont pas encore activées, ce qui crée une contradiction significative entre les engagements formels et la réalité opérationnelle.
Sur le plan du modèle économique aussi, il y a des questions à se poser. Un paiement unique de 129 dollars pour un service nécessitant une infrastructure cloud coûteuse apparaît économiquement insoutenable à long terme. Dès lors, plusieurs hypothèses émergent : soit l’entreprise compte introduire un abonnement ultérieurement, soit le véritable produit n’est pas le hardware mais les données collectées. Cette incertitude sur le business model réel est précisément ce qui devrait alerter tout le monde. Quelle est la finalité économique du traitement ?
Il est utile de rappeler qu’en octobre 2025, Avi Schiffmann déclarait encore ne pas vendre en Europe pour « éviter les tracas réglementaires ». Quatre mois plus tard, le produit est annoncé en France avec une campagne massive dans le métro parisien (sans pour autant que le produit soit réellement disponible en magasins). Ce revirement rapide, sans documentation publique sur les mesures de mise en conformité adoptées dans l’intervalle, est un signal d’alerte en soi.
L’AI Act, un cadre présent mais aux contours encore flous pour ce type d’objet
Au-delà du RGPD, le collier Friend croise aussi les dispositions de l’AI Act européen, entré progressivement en application depuis 2024. Depuis février 2025, certaines pratiques sont encadrées, notamment l’inférence des émotions dans les contextes professionnels et éducatifs. La mobilité du dispositif rend cependant cette frontière plus difficile à maintenir, car un collier peut s’utiliser partout, au travail comme à l’école. La question de la classification du risque de ce type de système (risque limité, élevé, ou interdit) n’est par ailleurs pas tranchée publiquement pour le moment.
Ce flou illustre une lacune structurelle : les objets IA portables de nouvelle génération, qui combinent captation continue, inférence émotionnelle et mémoire contextuelle, n’ont pas été anticipés par les textes tels qu’ils ont été rédigés. Les régulateurs raisonnent encore souvent par type d’usage déclaré, là où ces objets se définissent précisément par l’absence de délimitation d’usage.
Ce que Friend révèle sur l’état du marché et les enjeux pour les organisations
Friend n’est pas un cas isolé. Un appareil très similaire est en cours de développement par OpenAI, dont le projet précis reste secret, mais qui devrait tenir dans une poche, sans écran, et être capable de collecter des informations via des caméras et des micros intégrés. Le marché des compagnons IA portables est en train de se structurer, avec des acteurs disposant de moyens colossaux. Les enjeux de conformité, de responsabilité et de confiance vont forcément s’intensifier.
Pour toutes les organisations, l’essor de ces dispositifs pose plusieurs questions. D’abord, la question du périmètre de collecte incontrôlée : un salarié portant ce type de dispositif dans un open space, une salle de réunion ou un espace client génère une captation dont l’employeur n’a ni la maîtrise ni la traçabilité. Ensuite, la question des preuves et de la recevabilité : si des conversations professionnelles sont captées et mémorisées par un service tiers hébergé aux États-Unis, leur statut juridique en cas de litige est incertain. Enfin, la question de la dépendance émotionnelle et de ses effets sur les dynamiques de travail n’est pas encore documentée, mais elle commence à être posée dans les cercles de recherche en santé numérique.
L’American Civil Liberties Union a aussi alerté sur le fait que ce type d’appareil pourrait être utilisé à des fins de surveillance par des hackers, des entreprises privées ou même des gouvernements. En matière de sécurité, le périmètre d’exposition est très difficile à borner. Mais ce qui est sur, c’est qu’une écoute permanente transitant par Bluetooth et le cloud constitue une surface d’attaque non négligeable, d’autant que les détails sur le stockage, la durée de conservation, l’accès par des tiers et la sécurité des données restent vagues dans la documentation officielle.
Le fond du problème est là. Friend ne vend pas un produit de confiance. Il vend une présence. Et dans l’écosystème numérique européen, où la confiance est devenue un actif réglementé, ce n’est pas la même chose. La CNIL a annoncé un examen de conformité. L’issue de cette procédure sera un indicateur utile de la capacité des autorités à réguler une nouvelle génération d’objets IA que ni le RGPD ni l’AI Act n’avaient anticipée.
La prochaine étape probable n’est pas l’interdiction, mais la mise en demeure. Et derrière Friend, ce sont des dizaines de produits similaires qui observent.
