Deux jouets connectés sont mis en cause par la CNIL pour non-respect de la vie privée en raison d’un défaut de sécurité.

5 milliards, c’est le nombre d’objets connectés vendus au grand public en 2017 selon une étude du cabinet américain Gartner. Si les objets connectés ont la cote (+31% de vente par rapport à 2016), ils soulèvent néanmoins certaines interrogations en matière de sécurité. Et pour cause : la moindre faille peut attenter gravement à la vie privée des utilisateurs. Avec les jouets connectés, c’est la vie privée des enfants qui peut être directement impactée.

la poupée connectée mise en demeure par la CNIL

Une société de jouets connectés mise en demeure par la Cnil

Deux jouets connectés ont été mis en cause par la CNIL : la poupée Cayla et le robot I-que. Fabriqués par la société GENESIS Industries limited, ces jouets sont capables de répondre aux questions posées par les enfants sur différents sujets (calculs mathématiques, météo..).

Disposants d’un haut parleur integré et d’un microphone, ces objets sont capables de comprendre certaines requêtes mais aussi d’y répondre. L’ensemble étant interfacé via une application mobile connectée en bluetooth.

Des jouets collectant de nombreuses données personnelles

À travers ces terminaux, de nombreuses informations personnelles sont collectées sur les enfants et leurs proches : conversations, voix ainsi que des informations renseignées dans un formulaire à remplir avant la première utilisation de l’application.

Le contenu des conversations enregistrées peut révéler des données  dites à caractère personnel comme une adresse, un nom, mais aussi la voix. Ces données permettent d’indentifier directement ou indirectement une personne. 

Le robot connecté présentant une faille de sécurité

“Au regard des constats effectués lors des contrôles, il apparaît que des données à caractère personnel sont traitées par la société dès lors que les propos échangés vocalement avec les jouets sont traités par la technologie de reconnaissance vocale développée par la société”. Extrait de la décision rendue par la Cnil.

La CNIL précise également que chaque donnée collectée est associée à l’adresse IP de l’utilisateur, permettant alors d’établir un lien identifiable entre le contenu et l’individu.

Une faille de sécurité importante

Alertée par une association de consommateurs, la CNIL a constaté plusieurs manquements relatifs à la Loi Informatique et Libertés :

01.

Une connexion non sécurisée

Toute personne située à 9 mètres du jouet, même à l’extérieur d’un batiment, peut se connecter via bluetooth sans code d’accès requis. Donc avoir accès aux conversations ou même envoyer des sons avec le dictaphone de son appareil. La CNIL considère ceci comme un manquement à l’article 1er de la loi Informatique et Libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

la CNIL explique les dangers des objets connectes en infographie.
la CNIL explique les dangers des objets connectes en infographie.
02.

Un manque de transparence envers les utilisateurs

La CNIL a constaté des manquements en terme d’informations données aux consommateurs, puisqu’à aucun moment les utilisateurs ne sont avertis que des données personnelles sont collectées et traitées par l’entreprise éditrice. Selon la CNIL, les conditions d’utilisation et les politiques de confidentialité sont “incomplètes” au vu de l’article 32-I de la loi n°78-17 du 6 janvier 1978 (finalité du traitement, identité du responsable de traitement, transfert de données…).

03.

Des transferts de données personnelles non-cryptées

Les données collectées sont transférées à un prestataire situé hors UE (aux Etats Unis), via une transcription non sécurisée. Selon la CNIL, “la sécurité et la confidentialité des données à caractère personnel n’est pas assurée à l’occasion des échanges avec la société […] dans la mesure où il n’existe aucun chiffrement du canal utilisé”. Cela constitue un manquement à l’obligation d’assurer la sécurité et la confidentialité des données.

la CNIL explique les dangers des objets connectes en infographie.

En conclusion

Dans le cadre de la loi Informatique et Libertés de 1978 en vigueur actuellement, CNIL n’a pas sanctionné directement la société éditrice. Elle lui laisse un délai de 2 mois pour se mettre en conformité et protéger le droit des enfants. Mais elle a tout de même décidé de rendre publique cette mise en demeure, en raison de “la gravité du manquement constaté” qui “porte atteinte à la vie privée des utilisateurs et de toute personne se trouvant à proximité” (Délibération n°2017-295 du 30 novembre 2017).

Au-delà d’éventuelles sanctions, cette décision impacte déjà l’image de la société éditrice. Il est probable que la divulgation publique est un impact sur la courbe des ventes de tous les jouets connectés manufacturés par GENESIS Industries Limited. Si aujourd’hui cette société a été condamnée, il n’est pas garanti que les autres sociétés vendant des jouets connectés aient pris les mesures de sécurité suffisantes à ce jour.

Enfin, si des incidents lourds se produisaient comme conséquence directe de ces failles de sécurité, il est fort à parier que les sanctions pourraient être très lourdes pour l’entreprise, surtout une fois le RGPD en vigueur.

Sources : CNIL – http://www.cnil.fr