À l'approche de Noël, alors que plusieurs parents ont acheté ou projettent d'acheter des jouets connectés à leurs jeunes enfants, la CNIL rapporte, dans une mise en demeure publique au fabricant, de graves lacunes de sécurité de la vie privée concernant la poupée connectée « My Friend Cayla » et du robot « I-QUE ».
Ces jouets connectés répondent aux questions posées par les enfants sur divers sujet et sont associés à une application mobile téléchargeable sur téléphone mobile ou sur tablette.
Alertée, en décembre 2016, par UFC-Que Choisir sur le défaut de sécurité des deux jouets, la Présidente de la CNIL a décidé de procéder à des vérifications qui ont permis de constater plusieurs manquements à loi française Informatique et Libertés.
Passants et voisins peuvent écouter
Une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment peut connecter (ou « appairer ») un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier (par exemple, avec un code PIN ou un bouton sur le jouet).
La personne située à une telle distance est en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci.
Il est possible de communiquer avec l'enfant
Il est possible de communiquer avec l’enfant situé à proximité de l’objet soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ; soit en utilisant les jouets en tant que « kit mains libres ». Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.
Défaut d’information des utilisateurs des jouets
Alors que des informations personnelles sont traitées par la société, les utilisateurs des jouets n'en sont pas informés. De plus, ils ne sont pas informés du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne.
La société Genesis Industries Limited est mise en demeure de se conformer à la loi Informatique et Libertés dans un délai de deux mois.
Cette mise en demeure intervient un an après une saisine par l'association française UFC-Que Choisir, laquelle a aussi saisi la DGCCRF qui n'a pas encore rendu sa décision.
L’Allemagne a décidé, en janvier 2017, d’interdire la vente de Mon amie Cayla et a aussi suspendu la commercialisation de montres connectées pour enfants, capables de géolocaliser la personne qui les porte, rapporte Le Figaro.
La CNIL a publié en début d'année une liste de conseils aux parents pour l'utilisation des jouets connectés et des écoute-bébé, rapporte Le Figaro.
«
L'autorité française recommande par exemple de donner une fausse date de naissance, des pseudonymes ou une boîte mail créée uniquement pour le jouet connecté. Elle préconise aussi de déconnecter le jouet dès qu'il n'est pas utilisé, et d'effacer régulièrement les données stockées par l'appareil. L'homologue anglais de la CNIL (ICO, Information Commissioner's Office) conseille, elle, de désactiver systématiquement les caméras et les fonctions de géolocalisation des jouets connectés.»
Pour plus d'informations, voyez les liens plus bas.
Psychomédia avec sources : CNIL, Le Figaro.
Tous droits réservés.