Accueil > Agences & Marques > Actualités > Quand la poupée de votre enfant se transforme en mouchard
<Retour
Actualités

Quand la poupée de votre enfant se transforme en mouchard

Les travers des jouets connectés
Partager

Les fêtes de Noël approchent à grand pas. Nul doute que les objets connectés de 7 à 77 ans auront leur place sous le sapin. Aux côtés de l’assistant intelligent et de l’enceinte Bluetooth trôneront des poupées et autres jouets connectés. Attention à bien faire votre choix !

En effet, certains de ces objets présentent des défauts de sécurité susceptibles de les transformer en mouchard et en aspirateur à données. C’est ainsi que la société chinoise Genesis Industries Limited vient d’être épinglée par la CNIL pour sa poupée connectée Cayla et son robot i-Que, en raison de leur défaut de sécurité et de leur manquement à la protection des données personnelles. Ces derniers avaient déjà suscité les inquiétudes de l’UFC-Que Choisir.

En l’espèce, ces deux jouets permettent d’entretenir une conversation avec un enfant d’au moins cinq ans. Ils sont susceptibles de répondre à des questions relatives à un problème de mathématique ou à la météo. Pour ce faire, ils fonctionnent à l’aide d’un microphone, d’un haut-parleur et d’une application associée téléchargeable sur iOS et Android.

La vie des autres

Le problème est qu’ils sont très peu sécurisés. Dans ses tests, la CNIL a pu constater qu’il est très facile de se connecter à ces jouets. Ainsi, aucun mot de passe, ni aucune identification n’est demandé à l’utilisateur pour appairer son smartphone en Bluetooth avec la poupée et le robot. L’accès est d’autant plus aisé qu’il n’est pas nécessaire d’être à leur proximité pour le faire. Vingt mètres peuvent séparer le smartphone du jouet, le premier pouvant se situer à l’extérieur du bâtiment où se trouve le second !

Autrement dit, un parfait inconnu peut se connecter à l’objet et entrer en contact avec l’enfant via le haut-parleur et le microphone intégrés au jouet, qui fait alors office de kit mains libres. Mais avant d’engager la conversation, il aura eu tout le loisir d’écouter ce qui se dit dans l’entourage de la poupée ou du robot, voire de procéder à des enregistrements, le tout en restant caché.

Pour la CNIL, ce défaut de sécurisation est attentatoire à la vie privée « dès lors que tout tiers non autorisé peut avoir accès à des informations relevant de l’intimité de la vie privée des personnes ainsi qu’à leurs comportements alors qu’elles font usage de ces jouets dans un cercle familial ou amical ». Cette violation est d’autant plus grave qu’elle concerne « un public vulnérable, à savoir des enfants ».

Donner ses données

En plus d’être des mouchards, les deux produits de la marque Genesis Industries Limited sont de véritables aspirateurs à données, dont l’utilisation n’est pas précisée. Il faut savoir qu’après l’installation de l’application de la poupée (« My Friend Cayla App ») sur son smartphone, le client est amené à rentrer tout un tas d’informations dans un formulaire : prénom de l’enfant et des parents, nom de l’école, lieu d’habitation, préférences de l’enfant dans divers domaines (émission de télévision, sport…). Or, il n’existe aucune documentation sur le traitement de ces données à caractère personnel.

Ce n’est pas tout.

Il s’avère que l’ensemble des conversations qui passent par ces deux jouets est envoyé depuis leur application vers les serveurs de la société, localisés aux États-Unis. Mis à part les informations génériques d’usage que l’on trouve dans la plupart des conditions générales d’utilisation, on ne trouve rien sur les données transférées, la finalité de l’opération ou le niveau de protection du pays destinataire. D’ailleurs, il n’est même pas indiqué que des données à caractère personnel sont envoyées à un pays non membre de l’Union Européenne.

Cerise sur le gâteau : la sécurité des échanges (dont certains relèvent de la vie privée) n’est pas assurée puisque leur transcription en texte est envoyée depuis les serveurs de la société vers les applications des jouets via un protocole non chiffré. C’est un manquement à l’obligation qui pèse sur la société de prendre « toutes précautions utiles (…) pour préserver la sécurité des données » selon la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers, et aux libertés.

En définitive, la société Genesis Industries Limited dispose d’un délai de deux mois pour répondre à la mise en demeure de la CNIL.

Si vous souhaitez faire l’acquisition de jouets connectés pour les fêtes, la Commission a mis en ligne en début d’année des recommandations à suivre pour les sécuriser.

Ces conseils sont toujours d’actualité.

Article rédigé par Thierry Randretsa

Sur le même sujet.
Nous contacter
Les champs indiqués par un astérisque (*) sont obligatoires
Sur le même sujet.
Nous contacter
Les champs indiqués par un astérisque (*) sont obligatoires
McKinsey créateur de formations pour les jeunes sans emploi Paris Conseils black friday Lyon Marseille Robots tueurs autonomes Marseille Paris