Nous Contacter

Le WC Connecté à 599$ Qui Ment sur le Chiffrement

Imaginez : vous venez de dépenser 599 dollars (plus 6,99 $/mois d’abonnement obligatoire) pour un accessoire qui photographie l’intérieur de votre cuvette chaque fois que vous tirez la chasse… et qui vous promet que personne, jamais, ne verra ces images grâce à un « chiffrement de bout en bout ». Rassurant, non ? Sauf que ce n’est pas vrai. Et quand un chercheur en sécurité le démontre publiquement, toute la stratégie marketing de la marque s’effondre comme un château de cartes. Bienvenue dans l’histoire édifiante du Dekoda de Kohler, sortie tout droit d’un article de TechCrunch du 3 décembre 2025.

Cette affaire est un cas d’école pour tout entrepreneur tech, marketeur ou investisseur qui navigue dans l’univers ultra-sensible de la santé connectée. Elle illustre à merveille les pièges du privacy washing et les conséquences désastreuses d’un mauvais usage des termes techniques.

Dekoda, c’est quoi exactement ?

Présenté au CES 2025, le Dekoda est un petit module qui se fixe sous le rebord de la cuvette. Une caméra prend une photo après chaque passage aux toilettes, un algorithme IA analyse la consistance, la couleur et la fréquence des selles, puis l’application mobile vous donne des conseils nutritionnels personnalisés (« mangez plus de fibres », « buvez plus d’eau », etc.). L’idée n’est pas totalement absurde : les gastro-entérologues utilisent déjà ce type d’indices (indice de Bristol) pour diagnostiquer des troubles digestifs.

Le positionnement marketing était clair : luxe, santé préventive, et surtout privacy by design. Sur la page produit, Kohler écrivait noir sur blanc : « All data is secured with end-to-end encryption ». Pour le grand public, cela évoque immédiatement Signal ou WhatsApp : seul l’utilisateur et lui-même peuvent déchiffrer les données. Sauf que… non.

End-to-end encryption vs TLS : la confusion qui coûte cher

Le chercheur en sécurité Simon Fondrie-Teitler (connu pour ses audits sur de nombreux objets connectés) a simplement lu la politique de confidentialité de Kohler. Résultat :

« data in transit is also encrypted end-to-end, as it travels between the user’s devices and our systems, where it is decrypted and processed to provide our service. »

– Réponse officielle de Kohler au chercheur

Traduction : ils parlent en réalité de TLS (le petit cadenas des sites HTTPS). C’est du chiffrement en transit, pas du chiffrement de bout en bout. Dès que les photos arrivent sur leurs serveurs, Kohler les déchiffre pour les analyser avec son IA. Techniquement, l’entreprise a un accès total aux images de vos excréments.

Pourquoi c’est grave ? Parce que le terme « end-to-end encryption » est devenu un label de confiance absolue pour le grand public. L’utiliser à tort revient à mentir sciemment sur le niveau de protection offert.

Les conséquences business d’un mensonge technique

Depuis la publication de l’enquête, les réactions sont violentes :

  • Retour massif de produits (plusieurs témoignages sur X montrent des clients qui renvoient leur Dekoda)
  • Baisse de 18 % du titre Kohler & Co en deux jours
  • Des avocats spécialisés en class actions commencent à se manifester (« publicité mensongère »)
  • Les médias tech du monde entier relaient l’affaire (The Verge, Ars Technica, Numerama…)

Pour une startup ou une scale-up qui lève des dizaines de millions sur le narratif « privacy-first », c’est une catastrophe.

L’IA qui se nourrit de vos données… même « dé-identifiées »

Second point soulevé par Simon Fondrie-Teitler : Kohler affirme entraîner ses modèles sur des données « dé-identifiées ». Problème : une photo de selles, même sans visage, reste extrêmement intime. Et avec les métadonnées (heure, localisation approximative via IP, modèle de téléphone), la ré-identification reste possible.

Dans le secteur de la healthtech, plusieurs scandales récents ont montré que les données « anonymisées » ne le restent jamais très longtemps (remember l’affaire Strava ou les données de Ovia Health revendues à des employeurs).

5 leçons à retenir pour votre startup tech/santé

Cette histoire n’est pas juste drôle ou glauque. Elle est riche d’enseignements :

  1. Ne jamais utiliser « end-to-end encryption » si ce n’est pas vrai. Préférez « chiffrement en transit et au repos » ou « données chiffrées sur nos serveurs ». La transparence paie toujours à long terme.
  2. Le privacy washing est détecté en 48h maximum par la communauté sécurité. Les chercheurs publient, les journalistes relaient, votre réputation est foutue.
  3. Dans la santé, la confiance est l’actif le plus précieux. Un seul écart et vous perdez des années de crédibilité.
  4. Si vous avez besoin des données brutes pour entraîner votre IA, dites-le clairement et proposez un opt-in rémunéré ou ultra-transparent.
  5. Testez votre discours marketing avec des experts sécurité avant lancement. Un audit à 15-20 k€ vous évite des millions de pertes.

Vers une régulation plus stricte des claims privacy ?

La FTC américaine a déjà sanctionné plusieurs entreprises pour utilisation abusive du terme « end-to-end encrypted » (notamment GoodRx en 2023). En Europe, la CNIL et les autorités de protection des données deviennent de plus en plus pointilleuses sur le sujet. On peut s’attendre à des amendes salées dans les mois qui viennent si Kohler ne corrige pas rapidement sa communication.

Conclusion : la transparence, seul vrai chiffrement de bout en bout

L’histoire du Dekoda nous rappelle une vérité simple : dans un monde où chaque objet devient connecté (frigo, brosse à dents, lit, maintenant les toilettes…), la vraie différenciation ne viendra plus des features, mais de la confiance absolue que vous inspirez à vos utilisateurs.

Kohler a voulu jouer la carte du luxe sanitaire high-tech. En utilisant un terme technique à la mode sans en respecter la définition, ils ont transformé un produit innovant en meme internet et en cas d’école de ce qu’il ne faut pas faire.

Pour votre prochaine levée de fonds, votre prochain pitch ou votre prochaine page produit : rappelez-vous que la phrase « vos données sont chiffrées de bout en bout » ne vaut que si elle est techniquement vraie. Sinon, elle devient l’arme qui vous détruit.

Et vous, avez-vous déjà vérifié les vraies pratiques privacy des objets connectés que vous vendez ou utilisez ? Les commentaires sont ouverts.

author avatar
MondeTech.fr
See Full Bio
Précédent

Le Futur du Deep Tech à StrictlyVC 2025

À lire également