Jouets connectés : la CNIL tire la sonnette d’alarme

Publié le par - 1360 vues

Cette année, les cadeaux-stars s’appellent « My Friend Cayla » (une poupée) et « I-QUE » (un robot). Ces jouets répondent aux questions posées par les enfants sur divers sujets tels que des calculs mathématiques ou encore la météo. Ils sont équipés d’un microphone et d’un haut-parleur et sont associés à une app. La réponse est extraite d’Internet par l’application et fournie à l’enfant. Inquiète des dérives en matière de protection des données personnelles, la CNIL tire la sonnette d’alarme et hausse le ton.

Qu’est-ce qu’un objet connecté ?

Les objets connectés sont des objets dotés de moyens de communication avec ou sans fil (Wi-Fi, Bluetooth) qui prennent souvent la forme d’objets d’apparence anodine (poupées, robots, etc.) et qui collectent des informations. On les retrouve dans de nombreux domaines, comme la domotique, le sport, le bien-être et la santé, les activités de loisirs, etc.

Ces objets peuvent être autonomes ou peuvent fonctionner avec un smartphone ou une tablette. Ce dernier sert de télécommande pour les contrôler directement ou servir de relais pour échanger des données sur Internet. Ces données sont alors consultables sur l’appareil mobile ou sur le service web de l’éditeur.

Cependant, l’utilisation mal contrôlée ou non sécurisée d’un jouet connecté peut confronter les enfants/utilisateurs à des problématiques importantes.

Mise en demeure publique

En date du 20 novembre (mais publiée le 5 décembre), la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED (basée à Hong-Kong mais distribuant les objets en France) de procéder à la sécurisation des deux jouets.

Elle a constaté, après certaines vérifications, que cette société « collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l’application ‘My Friend Cayla App’ ».

Plus précisément, les données personnelles visées sont :

  • La voix d’une personne (avis du G29 n° 4/2007 du 20 juin 2007) ;
  • Le contenu des conversations échangées avec les jouets qui est associé aux adresses IP des utilisateurs ; et
  • Le contenu des conversations échangées avec les jouets qui peut révéler les données directement ou indirectement identifiantes des enfants mais aussi de membres de leur entourage, dès lors que les enfants pourraient être amenés dans le cadre du jeu, à confier une multitude d’informations dont par exemple leur nom, prénom, adresse etc.

Plusieurs manquements à loi Informatique et Libertés ont été constatés dont notamment :

Le non-respect de la vie privée et des libertés individuelles

Les contrôleurs de la CNIL ont constaté qu’une personne située à une distance de 9 mètres des jouets à l’extérieur d’un bâtiment, pouvait connecter (ou « appairer ») un smartphone aux jouets via Bluetooth sans avoir à s’authentifier (avec un code PIN ou un bouton sur le jouet).

Elle était également en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci.

Une fois la 1ère connexion effectuée, un deuxième appairage pouvait aussi s’effectuer à une distance de 20 mètres.

La CNIL a également relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet par deux techniques :

  • soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ;
  • soit en utilisant les jouets en tant que « kit main libre ». Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.

Et de conclure que le défaut de sécurisation des jouets constituait bien un manquement à l’article 1er de la loi Informatique et Libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Manquement à l’obligation d’informer les personnes

Après l’installation de l’application My Friend Cayla App, un formulaire de demande d’informations relatives à l’enfant s’affiche. Les clients sont amenés à renseigner diverses informations comme  le prénom de l’enfant, celui de ses parents, le nom de son école, son lieu d’habitation, etc.

Cependant, le formulaire ne contenait aucune information relative aux traitements de données à caractère personnel mis en œuvre.

Il ressort également des constats de la CNIL que les conditions d’utilisation et les politiques de confidentialité des applications My Friend Cayla App et iQue Robot app étaient incomplètes en ce qu’elles n’indiquaient notamment pas les transferts de données à caractère personnel à destination des Etats-Unis de l’UE.

En outre, la politique de confidentialité des sites ique-robot.com et myfriendcayla.com ne contenait aucune information relative à la nature des données transférées, à la finalité du transfert, aux catégories de destinataires des données et au niveau de protection offert par le pays destinataire.

Ces faits constituaient immanquablement un manquement à l’article 32-I de la Loi Informatique et Libertés.

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données

Il ressort également des investigations de la CNIL que la transcription en texte des conversations échangées entre les utilisateurs et les jouets est envoyée depuis le serveur de la société vers les applications en cause via le protocole non chiffré HTTP.

Or, dans le cadre des discussions entre les enfants et les jouets, certaines données à caractère personnel seront amenées à être fournies par les enfants et donc traitées par la société et son prestataire.

Par conséquent, la sécurité et la confidentialité des données n’était donc pas assurée à l’occasion des échanges avec la société dans la mesure où il n’existait aucun chiffrement du canal utilisé.

Ces faits constituent eux aussi un manquement à l’article 34 de la Loi Informatique et Libertés qui dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » .

Et maintenant ?

La société GENESIS INDUSTRIES LIMITED doit se conformer à la loi Informatique et Libertés dans un délai de deux mois.

Passé ce délai, si la société ne se conforme pas, la CNIL pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL de prononcer une sanction.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK