Ce lundi 4 décembre, la Commission nationale de l’informatique et des libertés (Cnil) a mis en demeure un fabricant chinois de deux jouets connectés, pour « atteinte grave à la vie privée en raison d’un défaut de sécurité ». En occurrence, il s’agit de la poupée « My Friend Cayla » et du robot « I-Que ». La poupée et le robot répondent à des questions simples des enfants. Equipés d’un micro et d’un haut-parleur, ils fonctionnent en tandem avec un mobile ou une tablette par connexion Bluetooth. Mais selon la Cnil, ils permettraient à des personnes malintentionnées d’espionner les enfants et leur entourage.
Alertée en décembre 2016 par l’association de défense des consommateurs UFC-Que Choisir, la Cnil a procédé à divers contrôles et a interrogé le fabricant Genesis Industries Ltd, basé à Hong Kong. « Ces vérifications ont permis de relever que la société collecte une multitude d’informations personnelles sur les enfants et leur entourage: les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…), mais également des informations renseignées dans un formulaire de l’application » liée, a-t-elle constaté.
Accès Bluetooth ouvert à tout vent
Premier grief: en descendant dans la cour de la Cnil, des contrôleurs ont pu constater qu’une personne située à l’extérieur, à 20 mètres, pouvait connecter son portable aux jouets sans avoir à s’identifier. Un étranger est ainsi en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet, mais aussi d’espionner tout ce qui se passe autour. Il peut aussi parler à l’enfant via le jouet.
La Cnil considère donc que cette absence de sécurisation des jouets, qui permet de s’y connecter à l’insu des enfants et des propriétaires et d’avoir accès aux conversations dans la pièce, méconnaît la Loi informatique et liberté de 1978, car elle porte potentiellement atteinte à la vie privée et à l’intimité des utilisateurs.
Deuxième grief de la Cnil: les jouets connectés n’utilisent pas de canal chiffré pour garantir la sécurité et la confidentialité des données personnelles. Enfin, la Cnil a constaté que les utilisateurs ne sont pas informés des traitements des données mis en œuvre par Genesis Industries Ltd, ni du transfert du contenu des conversations hors de l’Union européenne (en l’occurrence aux Etats-Unis).
La Cnil n’a pas le pouvoir d’interdire ces jouets. Mais sa présidente Isabelle Falque-Pierrotin a sommé la société chinoise de se mettre en conformité, faute de quoi une procédure de sanction sera engagée. La poupée « espionne » Cayla avait déjà été interdite en Allemagne en février 2017 par l’agence fédérale des réseaux et des télécoms (Bundesnetzagentur). Toutefois, elle n’a lancé aucune procédure à l’encontre de son alter ego masculin I-Que. Selon le journal Handelsblatt, l’agence estime qu’il n’y a plus urgence dans la mesure où les distributeurs allemands auraient d’ores et déjà supprimé le robot de leur catalogue.
Les bons réflexes à avoir
En Europe, ces deux jouets sont importés par le groupe Vivid, sous licence exclusive. En février dernier, celui-ci avait assuré qu’il pouvait améliorer la sécurité de l’application mobile de Cayla. Mais visiblement, rien n’a été fait. Nous avons contacté la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pour savoir si elle comptait prendre des mesures dans cette affaire. Pour l’instant, nous n’avons eu aucune réponse.
La Cnil a profité de son communiqué pour rappeler quelques bonnes pratiques à appliquer quand on achète un jouet connecté. Ainsi, il faut vérifier les possibilités de connectivités offertes par le jouet et, surtout, être certain que seuls les propriétaires peuvent s’y connecter. Au moment de l’inscription, il convient de ne donner que le minimum nécessaire d’informations, voire de communiquer des données bidon. Enfin, ces jouets sont à utiliser avec parcimonie. Il faut les éteindre quand ils ne sont pas utilisés et, si possible, effacer les données qu’ils contiennent.
D’autres jouets connectés ont récemment été épinglés. Début décembre, les chercheurs en sécurité de Pen Test Partners ont trouvé des failles de sécurité similaires dans un robot-animal baptisé « Teksta Toucan ».
En octobre dernier, une association de consommateurs norvégiens a tiré à boulets rouges sur une série de montres connectés pour enfants pour des raisons de sécurité. Un mois plus tard, ces produits ont été interdits en Allemagne.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
