Jouets connectés : une poupée et un robot épinglés par la Cnil
Publié le 4 décembre 2017 à 16:22 Aujourd'hui
La Commission nationale de l’informatique et des libertés (Cnil) a mis en demeure le fabricant de la poupée « My Friend Cayla » et du robot « I-Que » de procéder à la sécurisation de ces jouets. Ces derniers présentent des failles de sécurité et peuvent donc être facilement piratés.
Très à la mode, les jouets connectés séduisent de plus en plus les jeunes. Parmi eux, on retrouve notamment la poupée « My Friend Cayla » et le robot « I-Que ». Ces derniers sont dotés d’un microphone intégré qui se connecte par Bluetooth à une application mobile, préalablement téléchargée sur un smartphone. Ainsi, l’enfant peut parler à sa poupée ou son robot, et magie de la technologie, l’objet peut lui répondre parfaitement. Assez séduisants, ces jouets peuvent en revanche se transformer en vilains mouchards. C’est d’ailleurs ce que craint la Commission nationale de l’informatique et des libertés (Cnil) qui a décidé de mettre en demeure la société Genesis Industries Limited, le fabricant hongkongais de ces deux jouets connectés.
Alertée en décembre 2016 par l’association de défense des consommateurs UFC-Que Choisir, la Cnil a réalisé divers contrôles en ligne en janvier et novembre 2017. Elle a par ailleurs adressé un questionnaire en mars 2017 à l’entreprise concernée. « Ces vérifications ont permis de relever que la société collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l’application « My Friend Cayla App », souligne la Cnil dans un communiqué.
Non respect de la vie privée
Lors de leur enquête, les enquêteurs de la Cnil ont constaté qu’une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment pouvait aisément connecter un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier. « La personne située à une telle distance est en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci », précise la Cnil. Ils ont aussi relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet. Une personne peut diffuser des sons via l’enceinte du jouet ou carrément l’utiliser en tant que « kit main libre ». « Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet », détaille la Cnil.
La Cnil considère que l’absence de sécurisation des jouets, « permettant à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter, à l’insu des enfants et des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical, méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
Alors que des informations personnelles sont traitées par la société, la Commission a par ailleurs constaté que « les utilisateurs des jouets ne sont pas informés des traitements de données mis en œuvre par la société ». Ces derniers ne sont pas aussi informés du fait que Genesis transfère « des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne ».
Deux mois pour se mettre en conformité
Désormais, le fabricant de jouets a deux mois pour procéder à la sécurisation de la poupée et du robot, et ainsi se mettre en conformité. Dans le cas contraire, la présidente de la Cnil, Isabelle Falque-Pierrotin, désignera un rapporteur, « chargée de réprimer les manquements à la loi, de prononcer une sanction ». Pour celles et ceux qui souhaiteraient offrir un jouet connecté à leur(s) enfants(s) à Noël, la Cnil a publié sur son site une liste de conseils pour le sécuriser. Parmi ses recommandations : ne communiquer que le minimum d’informations nécessaires au service (par exemple, donner une date de naissance aléatoire si le système a besoin de déterminer un âge), lors de l’inscription.
En Allemagne, les consommateurs n’ont pas à se méfier de la poupée Cayla puisque cette dernière a été interdite en février dernier.
