Bientôt Noël ! Au pied du sapin se dressent les nouvelles stars des jouets connectés. A l’instar de ces ours, poupées et robots qui se comportent comme des assistants personnels intelligents. Ils savent rechercher sur internet les réponses aux questions posées par l’enfant. Pour remplir leurs missions, ces jouets sont équipés d’un microphone et d’un haut-parleur. Ils sont associés à une application mobile téléchargeable sur téléphone mobile ou sur tablette. Dès lors, il suffit que l’enfant pose une question comme « quel temps fait-il ? » pour que l’application recherche sur Internet la réponse qui lui est ensuite restituée vocalement par l’intermédiaire du haut-parleur.
Aussi séduisants soient ils, ces jouets méritent qu’on y regarde à deux fois avant de les confier à nos chères têtes blondes. En décembre 2016, une association de consommateurs a en effet alerté la Commission nationale de l’informatique et des libertés (Cnil) sur le défaut de sécurité de deux jouets. Il s’agit en l’occurrence de la poupée « My Friend Cayla » et du robot « I-Que ». Tous deux sont fournis par la société Genesis Industries Limited. En réponse à cette alerte, Isabelle Falque-Pierrotin, la présidente de la Cnil a décidé de réaliser des contrôles en ligne en janvier et novembre 2017 et a par ailleurs adressé un questionnaire en mars 2017 à cette entreprise située à Hong-Kong.
Collecte illégale d’informations personnelles
Ces vérifications ont permis de relever que Genesis Industries Limited collecte au travers de ses jouets une multitude d’informations personnelles sur les enfants et leur entourage. Comme les voix et le contenu des conversations échangées avec les jouets qui sont susceptibles de révéler des données identifiantes comme une adresse, un nom… L’entreprise collecte aussi des informations renseignées dans un formulaire de l’application « My Friend Cayla App ».
Plusieurs manquements à la loi Informatique et Libertés ont ainsi été constatés. Entre autres, le non-respect de la vie privée des personnes en raison d’un défaut de sécurité. Les contrôleurs de l’institution ont constaté qu’une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment, peut connecter (ou « appairer ») un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier par exemple, avec un code PIN ou un bouton sur le jouet. A cette distance, le pirate est en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci.
Deux techniques de piratage
A 20 mètres, la délégation de la Cnil a également relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet par deux techniques. La première consiste à diffuser via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones. La seconde technique consiste à utiliser le jouet en tant que « kit main libre ». Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité de son robot ou de sa poupée.
L’institution a estimé que l’absence de sécurisation de ces produits méconnaît l’article 1er de la loi Informatique et Libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Notons par ailleurs que s’il n’existe pas de disposition légale spécifique aux jouets connectés, l’article 34 de la même loi prévoit que le fabricant «est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès»
Atteinte grave à la vie privée
Autre grief exprimé par le gendarme des libertés sur le Net, les utilisateurs des jouets ne sont pas au courant des traitements de données mis en œuvre par leur fournisseur qui ne les informe pas non plus du fait qu’il transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne.
Compte tenu de ces anomalies, la Commission a décidé de mettre en demeure la société Genesis Industries Limited de se conformer à la loi Informatique et Libertés dans un délai de deux mois.
Au regard de l’atteinte grave portée à la vie privée de l’enfant, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, le bureau de la Cnil a décidé de rendre publique cette mise en demeure. L’organisme rappelle qu’il ne s’agit pas d’une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.
Si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la présidente pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de cette autorité administrative en charge de réprimer les manquements à la loi, de prononcer une sanction.
Eliane Kan
Commentez