Jouets connectés : Méfiez-vous des poupées et robots qui violent la vie privée de vos enfants... et la vôtre !


C’est la période des fêtes : le moment est venu de trouver le prochain cadeau de vos enfants ! Les Playmobil et Lego étant un peu trop muets à votre goût, vous penchez cette année pour les jouets dits « connectés », tels la poupée « My Friend Cayla » et le robot « I-QUE ». Méfiez-vous, bien qu’innovants, ces jouets ne respectent pas toujours la vie privée de vos enfants ! Il n’en fallait bien pas moins à la CNIL pour mettre la main dessus…

Qu’est-ce qu’un objet connecté ?


Les objets connectés sont des objets dotés de moyen de communication avec ou sans fil (Wi-Fi, Bluetooth) qui prennent souvent la forme d’objets d’apparence anodine (poupées, robots, etc.) et qui collectent des informations. On les retrouve dans de nombreux domaines, comme la domotique, le sport, le bien-être et la santé, les activités de loisirs, etc.

Ces objets peuvent être autonomes ou peuvent fonctionner avec un smartphone ou une tablette. Ce dernier sert de télécommande pour les contrôler directement ou servir de relais pour échanger des données sur Internet. Ces données sont alors consultables sur l’appareil mobile ou sur le service web de l’éditeur.

Cependant, l’utilisation mal contrôlée ou non sécurisée d’un jouet connecté peut confronter les enfants/utilisateurs à des problématiques importantes.

Qui sont la poupée « My Friend Cayla » et le robot « I-QUE » ?


Ce sont des jouets qui répondent aux questions posées par les enfants sur divers sujets tels que des calculs mathématiques ou encore la météo.

Ils équipés d’un microphone et d’un haut-parleur et sont associés à une app. La réponse est extraite d’Internet par l’application et donnée à l’enfant par l’intermédiaire des jouets.

Mise en demeure publique


En date du 04 décembre, la CNIL (le régulateur des données personnelles en France) a mis en demeure la société GENESIS INDUSTRIES LIMITED (basée à Hong-Kong mais distribuant les objets en France) de procéder à la sécurisation des deux jouets.

Elle a constaté, après certaines vérifications, que cette société « collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l’application ‘My Friend Cayla App’ ».

Plus précisément, les données personnelles visées sont :

  • La voix d’une personne (avis du G29 n° 4/2007 du 20 juin 2007) ;
  • Le contenu des conversations échangées avec les jouets qui est associé aux adresses adresses IP des utilisateurs ; et
  • Le contenu des conversations échangées avec les jouets qui peut révéler les données directement ou indirectement identifiantes des enfants mais aussi de membres de leur entourage, dès lors que les enfants pourraient être amenés dans le cadre du jeu, à confier une multitude d’informations dont par exemple leur nom, prénom, adresse etc.

Plusieurs manquements à loi Informatique et Libertés ont été constatés dont notamment :

Le non-respect de la vie privée et des libertés individuelles


Les contrôleurs de la CNIL ont constaté qu’une personne située à une distance de 9 mètres des jouets à l’extérieur d’un bâtiment, pouvait connecter (ou « appairer ») un smartphone aux jouets via Bluetooth sans avoir à s’authentifier (avec un code PIN ou un bouton sur le jouet).

Elle était également en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci.

Une fois la 1ère connexion effectuée, un deuxième appairage pouvait aussi s’effectuer à une distance de 20 mètres.

La CNIL a également relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet par deux techniques :

  • soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ;
  • soit en utilisant les jouets en tant que « kit main libre ». Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.

Et de conclure que le défaut de sécurisation des jouets constituait bien un manquement à l’article 1er de la loi Informatique et Libertés selon lequel l’informatique « ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Manquement à l’obligation d’informer les personnes


Après l’installation de l’application My Friend Cayla App, un formulaire de demande d’informations relatives à l’enfant s’affiche. Les clients sont amenés à renseigner diverses informations comme  le prénom de l’enfant, celui de ses parents, le nom de son école, son lieu d’habitation, etc.

Cependant, le formulaire ne contenait aucune information relative aux traitements de données à caractère personnel mis en œuvre.

Il ressort également des constats de la CNIL que les conditions d’utilisation et les politiques de confidentialité des applications My Friend Cayla App et iQue Robot app étaient incomplètes en ce qu’elles n’indiquaient notamment pas les transferts de données à caractère personnel à destination des Etats-Unis de l’UE.

En outre, la politique de confidentialité des sites ique-robot.com et myfriendcayla.com ne contenait aucune information relative à la nature des données transférées, à la finalité du transfert, aux catégories de destinataires des données et au niveau de protection offert par le pays destinataire.

Ces faits constituaient immanquablement un manquement à l’article 32-I de la Loi Informatique et Libertés.

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données


Il ressort également des investigations de la CNIL que la transcription en texte des conversations échangées entre les utilisateurs et les jouets est envoyée depuis le serveur de la société vers les applications en cause via le protocole non chiffré HTTP.

Or, dans le cadre des discussions entre les enfants et les jouets, certaines données à caractère personnel seront amenées à être fournies par les enfants et donc traitées par la société et son prestataire.

Par conséquent, la sécurité et la confidentialité des données n’était donc pas assurée à l’occasion des échanges avec la société dans la mesure où il n’existait aucun chiffrement du canal utilisé.

Ces faits constituent eux aussi un manquement à l’article 34 de la Loi Informatique et Libertés qui dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » .

Et maintenant ?


La société GENESIS INDUSTRIES LIMITED doit se conformer à la loi Informatique et Libertés dans un délai de deux mois.

Passé ce délai, si la société ne se conforme pas, la CNIL pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL de prononcer une sanction (la peine d’amende pouvant atteindre 1.500.000 €).

Popular posts from this blog

Is the iPhone Generation Over?

Les FAI peuvent bloquer l'accès au site "The Pirate Bay", selon l'Avocat Général SZPUNAR

Ethical Coffee Company Sues Nestlé Nespresso For €150m