La Douille, c’est la newsletter de Volkane qui raconte le droit au monde des affaires, un dimanche sur deux. Pour la recevoir, abonnez-vous ici.

Et vous ? ChatGPT est-il devenu votre meilleur ami, votre médecin ou votre psychologue ?

Depuis ces 3 dernières années, les outils qui embarquent l’IA se multiplient. L’IA s’invite dans votre téléphone, dans vos lunettes, dans votre montre, sur word.

Pour la productivité d’abord mais aussi pour le loisirs.

Aujourd’hui, on vous raconte une histoire d’actualité. Celle d’Avi qui veut révolutionner le marché français avec un collier connecté à l’IA.

Collier connecté à l’IA et RGPD : l’histoire de Friend bloqué par la CNIL

Friend, le collier qui veut être votre ami

Avi Schiffmann est un fondateur de 22 ans. Il a quitté Harvard.

Avi a une théorie :

Pour lui, nos amis ne sont pas vraiment les nôtres. Ce sont les amis de nos parents, ou ceux qu’on a croisés dans notre milieu ou sur les bancs de l’école. On subit son entourage plus qu’on ne le choisit. On hérite d’un cercle.

La technologie pourrait changer ça.

Avec la bonne technologie, chacun pourrait se révéler à lui-même et trouver ses vraies aspirations.

Par exemple, lui aime faire de la moto. Mais aucun de ses amis ne l’encourage dans cette voie parce qu’ils considèrent que c’est dangereux. Avi pense qu’on ne découvre souvent qui l’on est qu’en changeant brutalement d’environnement.
Nouveau pays.
Nouveau métier.
Nouveau cercle.
Et soudain, une autre version de soi apparaît.

C’est donc la raison pour laquelle il fonde Friend Global, Inc., société de droit du Delaware en 2023. Cette société commercialise un collier : un pendentif blanc avec un micro intégré qui écoute en continu l’environnement sonore du porteur, l’analyse avec l’IA. Le tout relié à une app.

Le collier enregistre tout. Il connaît tout. Il devient le confident. Chaque fois que le porteur du collier veut parler à son « friend », il appuie sur un bouton et reçoit la réponse par message texte sur l’application.

En tant que fondateur, Avi prend la sécurité très au sérieux. Les conversations sont chiffrées directement dans le collier. Si on perd le collier, alors on perd son ami et tout l’historique. Il a dépensé plus de 30 000 dollars pour que des hackers tentent en vain de pirater le système et d’accéder aux données d’un de ces colliers.

De Tab à Friend : levées de fonds et campagnes publicitaires choc

Revenons un peu en arrière.

L’histoire commence en octobre 2023 quand Avi sort un premier prototype, qu’il appelle alors Tab.

Il a levé 1,9 million de dollars.

En juillet 2024, il pivote et le produit s’appelle désormais Friend avec précommandes ouvertes à 99 dollars.

D’autres levées suivent, au total, Friend lèvera autour de 8 millions de dollars.

En août 2025, Avi décide de lancer une campagne publicitaire choc. Il commence par une campagne à 1 million de dollars dans le métro new-yorkais. 11 000 wagons, 1 000 panneaux de quai, 130 panneaux urbains. La plus grande campagne publicitaire de l’année à New York, selon l’agence Outfront.

Sur les publicités, une photo minimaliste du produit accompagnée de la phrase suivante

« Friend
[Frend] noun
Someone who listens, responds and supports you. »

Les New Yorkais sont offensés, certains panneaux sont vandalisés. Mais Avi ne se laisse pas impressionner, il va à la rencontre des contestataires, directement. Il écoute. Il comprend les objections. Il sait que son produit est controversé, soulève des critiques éthiques, juridiques ou sociétales et qu’il sera un jour poursuivi. Il le dit lui-même et assume ouvertement ce risque.

Dans une interview de décembre 2025, Avi déclare avoir vendu 5 000 unités.

Lancement européen : la CNIL s’autosaisit

En février 2026, il décide de s’attaquer à l’Europe.

Prix de vente : 113 euros.

Avi rejoue le coup dans le métro parisien.

Il lance une nouvelle campagne. Même ton minimaliste.

Même réaction, les parisiens s’agitent. Les panneaux publicitaires sont vandalisés par les défenseurs de la vie privée.

Sauf que, les frenchies ne sont pas les américains.

Rapidement, la CNIL, l’autorité de protection des données, s’autosaisit.

Elle dit aux journalistes que le dispositif peut entraîner une collecte massive de données possiblement sensibles : santé, opinion politique, orientation sexuelle. Elle s’interroge sur le sort des données, leur lieu de stockage, leur sécurisation, et leur possible réutilisation pour l’entraînement de l’IA.

En effet, le collier enregistre toutes les conversations du porteur, mais aussi de toute personne passant à portée de son micro. Et même si à la première installation l’app demande au propriétaire du collier de valider l’enregistrement des conversations de tiers, ça ne vaut pas un consentement valable pour ces tiers.

Pourtant, Friend a une belle politique de confidentialité de 17 pages qui dit « We comply fully with the General Data Protection Regulation (GDPR) ».

Avoir une politique de confidentialité de 17 pages, ça ne rend pas un produit conforme au RGPD.

En réaction, Friend a été obligé d’annoncer qu’elle repoussait la commercialisation européenne pour mise en conformité.

Quand la CNIL vient entraver un lancement, c’est un lancement raté.

Friend se retrouve bloqué par la CNIL.

Pourtant, cela aurait pu être simplement évité en s’intéressant en profondeur au projet en prenant un avocat.

Car quand nous avons lu la politique de confidentialité nous avons immédiatement vu que cela n’allait pas du tout et que la CNIL retoquerait le lancement.

Alors un conseil, si vous lancez des produits innovants, n’attendez pas d’être stoppés dans votre élan par une autorité.

---

Tout ce qu’il ne faut pas faire dans une politique de confidentialité (RGPD)

La politique de Friend fait 17 pages et pourtant, de nombreuses clauses montrent des problématiques de conformité au RGPD.

Erreur 1 : se dire responsable de traitement et décharger l’utilisateur

Section 1 de la PP : « For the purposes of the GDPR, Friend is a ‘data controller’. »

Traduction : Friend assume la qualité de responsable de traitement.

Section 2, quelques paragraphes plus loin :

« You are solely responsible for ensuring that you comply with all applicable laws when you use our products or Services. » Et : « Friend will not be held liable in any civil or criminal legal action that may arise from the content collected from the monitoring and recording. »

Traduction : « Il vous incombe exclusivement de veiller à respecter l’ensemble des lois applicables lorsque vous utilisez nos produits ou services. » et « Friend ne pourra être tenue responsable dans le cadre d’aucune action civile ou pénale pouvant découler du contenu recueilli au moyen des opérations de surveillance et d’enregistrement. »

Or, l’article 4.7 du RGPD attache la qualité de responsable de traitement à celui qui détermine les finalités et les moyens. Friend les détermine.

Friend est donc responsable de traitement vis-à-vis des personnes concernées par le traitement, c’est-à-dire aussi bien les utilisateurs que pour les tiers captés à leur insu.

Une clause qui se décharge de tout sur l’utilisateur ne suffit pas à déplacer les responsabilités.

Erreur 2 : présumer le consentement au transfert hors UE

Section 17 : « Friend currently processes data in the United States of America. By use of our Services or Devices you are deemed to consent to such usage. »

Traduction : « Friend traite actuellement les données aux États-Unis d’Amérique. En utilisant nos Services ou nos Appareils, vous êtes réputé y consentir. »

Le chapitre V du RGPD exige des garanties appropriées lorsque des données de citoyens européens transitent hors de l’UE. Friend ne peut pas considérer qu’elle a eu le consentement des utilisateurs européens à un tel transfert du seul fait qu’ils utilisent les services.

De plus, la privacy policy prévoit que Friend va « use reasonable efforts to ensure that the transfer is lawful » (« déployer des efforts raisonnables pour s’assurer que le transfert est licite »). Or, pour un responsable de traitement, il n’y a pas d’obligations de moyens sur le transfert, c’est une obligation de résultat ou une sanction à la clé.

Erreur 3 : traiter des données biométriques en niant traiter des données sensibles

La Section 2 liste des données collectées et notamment : « Biometric data, such as facial recognition, voice recognition. » Et à quelques lignes d’écart, dans un paragraphe distinct il est précisé : « We do not process sensitive information. »

Traduction : « Données biométriques, telles que la reconnaissance faciale et la reconnaissance vocale. » et « Nous ne traitons pas de données sensibles. »

Friend a sans doute voulu anticiper une évolution future du produit. Pour l’instant, le collier est uniquement équipé d’un micro mais l’ajout d’une caméra paraît envisagé pour l’avenir.

Sauf que l’article 9 du RGPD classe les données biométriques comme des données sensibles. Leur traitement est donc interdit par principe, sauf s’il existe une base légale spécifique (par exemple le consentement express et spécifique de l’utilisateur).

Erreur 4 : oublier les tiers dans les bases légales

L’article 12 de la privacy policy contient un tableau qui identifie une base légale pour chaque finalité d’utilisation des données.

Ce tableau couvre l’utilisateur du produit mais il ne couvre pas les personnes captées involontairement par le micro. Pour ces tierces personnes, il n’y a ni contrat à exécuter, ni consentement, ni intérêt légitime opposable.

En particulier, on constate que l’entraînement des modèles est rattaché à l’intérêt légitime. Or, l’intérêt légitime ne peut pas servir de base légale à un traitement de données sensibles au sens de l’article 9 du RGPD alors que c’est le type d’informations que le produit peut collecter.

Erreur 5 : ne pas désigner de DPO

Section 13 : « Although we have not appointed an official Group Data Protection Officer… »

Traduction : « Bien que nous n’ayons pas désigné de délégué officiel à la protection des données du groupe… »

L’article 37 du RGPD impose la désignation d’un DPO quand l’activité principale consiste en un traitement à grande échelle de données avec un suivi régulier et systématique.

C’est très exactement l’objet du produit.

L’absence de DPO démontre donc que cette obligation n’est pas respectée et qu’il n’y a pas de point de contact direct avec la CNIL ni de fonction de conformité dédiée en interne.

L’affaire Friend n’est pas un cas isolé.

Cette semaine, la CNIL a publié une mise en garde concernant les lunettes connectées.

Cela vise les Ray-Ban Meta et toutes les autres.

Même logique : des capteurs embarqués dans un objet du quotidien, porté en permanence, qui enregistrent l’environnement sonore et visuel du porteur et celui des personnes autour de lui, sans qu’elles en aient forcément conscience.

Le droit et la tech se poursuivent depuis longtemps mais pour ne pas rater ses lancements produits, il faut anticiper.

---

FAQ : politique de confidentialité, RGPD et objets connectés à l’IA

---

Toute ressemblance avec des faits et des personnages existants ou ayant existé serait purement fortuite et ne pourrait être que le fruit d’une pure coïncidence.