Cette année sous le sapin les jouets connectés seront les têtes d’affiches. Face à la montée en puissance de l’Internet des Objets (IdO), les constructeurs de jouets ont décidé de miser sur les technologies « intelligentes » et espèrent séduire les enfants et leurs parents. Mais cet engouement pour le « tout connecté » n’est pas sans dangers et l’UFC-Que choisir met en garde contre les failles dans la sécurité de ces jouets. Suite à une étude commanditée par l’association norvégienne Forbrukerradet, l’UFC vise en particulier le robot i-Que de Genesis et Mon Amie Cayla du fabricant hongkongais Vtech. L’association a saisi la Commission Informatique et Liberté (CNIL) qui va diligenter une enquête au regard du droit des données personnelles, ainsi que la DGCCRF qui, elle, sanctionnera les manquements aux obligations légales et réglementaires sur la sécurité.

Une impression de « déjà-vu »

Déjà en 2015, la société Vtech avait fait le buzz avant Noël. 6,3 millions de comptes d’enfants avaient été compromis après une attaque informatique et un total de 190Go de données avait été piraté, hors informations bancaires.
En droit français, de telles données ne sont protégeables que si elles se rapportent à une personne physique identifiée ou identifiable, et peuvent être qualifiée de données à caractère personnel. Or parmi les informations volées figuraient des photos, informations personnelles et préférences des enfants utilisateurs des jouets Vtech et permettaient ainsi de les identifier très facilement. Elles constituaient dès lors des données à caractère personnel au sens de l’article 2 de la loi Informatique et Libertés du 6 janvier 1978. Une entreprise étrangère doit se conformer à la loi française dès lors que l’une de ses installations réalise un traitement sur le territoire français (article 5), ce qui est le cas de Vtech par exemple.

Cette année, les jouets pointés du doigt soulèvent tout autant la question de la protection des données personnelles de leurs utilisateurs selon les associations qui tirent la sonnette d’alarme.

Des lacunes dans la sécurité des données et une violation manifeste des obligations légales

Les entreprises qui choisissent aujourd’hui d’incorporer dans leur environnement numérique de l’Internet des Objets (IdO) doivent repenser leur fonctionnement et leur stratégie informationnelle, mais en restant vigilantes quant à l’exploitation des données collectées.

Pour que le bénéfice de la protection de la législation nationale et européenne puisse être invoqué, les données personnelles doivent faire l’objet d’un traitement, qui intervient dès lors qu’un acte, telle que la collecte, porte sur ces données (article 2 alinéa 3 de la loi susvisée). Le règlement sur la protection des données à caractère personnel adopté le 27 avril 2016, qui entrera en vigueur en 2018, prévoit en son article 5 un renforcement de la responsabilité des responsables de traitement en cas de manquement au respect des conditions qui leur sont imposées. Il contiendra de nouvelles obligations telles que la protection de la vie privée dès la conception et les sanctions en cas d’infraction seront alourdies par l’article 83.

Toutefois, à l’heure actuelle, c’est encore la loi de 1978, modifiée par la loi pour une République Numérique du 7 octobre 2016, qui s’applique. Elle impute aux responsables de traitement une obligation générale de sécurité en son article 34. Le niveau de sécurité d’un traitement doit en effet être adapté aux risques que celui-ci représente et à la nature des données personnelles à protéger. Or les jouets connectés sont sujets à des risques graves, tels que le vol, la perte ou le détournement de données.

En l’espèce, l’association dénonce trois failles dans le fonctionnement des jouets visés :
En premier lieu, ce type de jouet doit être connecté au smartphone par bluetooth pour être mis en service. Or, aucun code d’accès n’est requis et selon l’étude de l’association norvégienne, un tiers serait susceptible d’entendre ce qui se dit à proximité s’il se connecte au jouet. Il pourrait même en prendre le contrôle et ainsi discuter avec l’enfant, à partir des préférences de l’enfant dont il aurait pris connaissance au préalable, sans qu’il ne s’en rende compte.
Pourtant, l’authentification des utilisateurs, par mot de passe ou autre, est essentielle pour garantir la sécurité de leurs données. Cette lacune contrevient à l’article 34 de la loi qui dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Elle est aussi susceptible de constituer une ingérence manifeste dans la vie privée de l’enfant, et des parents s’ils se trouvent dans le rayon d’écoute. Le jouet représente une nouvelle fenêtre par laquelle on peut s’introduire chez nous.
L’article 1 de la directive du 24 octobre 1995 relative à la protection des personnes physiques avait fait entrer le droit à la protection des données à caractère personnel dans le registre des droits de la personnalité et le rendait dès lors imprescriptible et inaliénable. C’est donc un droit fondamental qui est menacé par les fabricants de jouets connectés, et il leur incombe de remédier à ces risques de manière active s’ils ne veulent pas faire l’objet d’un scandal planétaire.

Ensuite, les conditions générales d’utilisation (C.G.U) de ces jouets autorisent les entreprises fabricantes à collecter, dans une finalité autre que la stricte fourniture du service, les données vocales enregistrées par Mon amie Cayla et i-Que sans le consentement exprès des utilisateurs. Les conditions de la collecte peuvent par ailleurs être modifiées sans information ni consentement préalable. Pour couronner le tout, une transmission hors Union Européenne des données collectées à des tiers non identifiés est prévue, et ce, sans le consentement des parents. Selon UFC-Que Choisir, ces données pourraient être transférées « aux Etats-Unis, ou vers les autres territoires concernés où les lois sur la protection de la vie privée ne sont peut-être pas aussi complètes que celles du pays où vous résidez et/ou dont vous êtes ressortissant ».
Ces dispositions contractuelles sont contraires à la loi :
– au regard des principes de finalité, de pertinence et de proportionnalité (article 6) : les données ne doivent être collectées que dans un but précis, nécessaire au traitement qui doit être effectué par le responsable de traitement. Le traitement ne doit pas aller au-delà de ce pour quoi il était initialement prévu. Or en l’espèce les données sont surtout collectées à des fins commerciales par les fabricants, à partir des préférences et profils des enfants.
– au regard des principes de loyauté et de licéité, dont le respect ne peut passer que par une information claire et précise des personnes sur la collecte et le traitement. Ce n’est pas le cas des jouets visés puisque la finalité des traitements et l’identité des destinataires des données ne sont, semble-t-il, pas communiquées aux acheteurs. L’article 7 de la loi dispose en outre qu’« Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée », alors que ce critère a été totalement occulté par Vtech et Genesis.
– enfin car toute transmission de données à caractère personnel vers un Etat hors de l’Union est prohibée, si cet Etat ne garantit pas un niveau suffisant de protection de la vie privée et des droits et libertés fondamentaux des personnes concernées par le traitement, selon l’article 68 de la loi. Ce minimum de protection serait tout de même élevé, le droit français étant très protecteur des données à caractère personnel.

La finalité de ces collectes et transferts hors Union Européenne n’est peut-être pas si inconnue. Il est en effet apparu que les jouets faisaient la promotion de certains produits dont les fabricants sont les partenaires des responsables de traitement. Selon la CNIL, les conditions contractuelles supposent que le simple fait de visualiser une publicité ciblée, constitue de notre part, un accord exprès à recevoir de telles publicités ciblées.
Or le consentement préalable de la personne concernée, des parents en l’occurence, vaut aussi lorsque les données sont utilisées à des fins de prospection commerciale.

Les infractions à la loi sont punies d’une peine, qui peut sembler mince lorsqu’il s’agit de sociétés de dimension internationale, pouvant aller jusqu’à cinq ans de prison et 300 000 euros d’amende. Ces seuils ne sont bien sûr que rarement atteints (article 226-16 à 226-24 du code pénal). Le règlement prévoit heureusement d’alourdir la peine d’amende jusqu’à dix millions d’euros ou quatre pour-cent du chiffre d’affaire annuel mondial, ce qui serait plus dissuasif que la peine française actuelle.

Un constat affligeant

Finalement, c’est le droit des données personnelles français qui est violé par ces jouets et il est indispensable que les sociétés en cause apprennent à gérer ces risques, à les prévenir et à travailler en conformité avec les lois nationales. Le respect de leurs obligations légales et des droits des utilisateurs engendrerait alors plus de confiance et donc plus de ventes. D’autant plus que Cayla et i-Que ne font que refléter un problème général de sécurité et ne sont pas des cas isolés, puisque par exemple la poupée connectée Hello Barbie, commercialisée aux Etats-Unis mais pas encore en France, a également été dénoncée par des associations américaines.

Ces failles sont d’autant plus dangereuses lorsqu’il s’agit d’enfants, qui représentent des proies faciles car vulnérables. Contrairement à des adultes, les jeunes utilisateurs ne se rendront compte d’un vol de données personnelles que lorsqu’ils seront suffisamment âgés pour ouvrir un compte bancaire ou postuler à une offre d’emploi. En effet une mauvaise utilisation voire une usurpation d’identité par le voleur pourrait compromettre leur avenir. D’autant plus que les données telles que le nom, la date de naissance, le numéro de sécurité sociale d’une enfant vaut de trente à quarante dollars sur le marché noir contre vingt dollars pour un adulte.
D’autre part, les données bancaires des parents pourraient être obtenues par l’intermédiaire de l’enfant ou du jouet sous le contrôle d’un tiers.
Ces cas montrent que la multiplication des surfaces d’attaque mettent considérablement en jeu la protection de nos données personnelles. Les entreprises fabricantes, qui n’ont pas les connaissances et compétences suffisantes en matière de sécurité des nouvelles technologies, préfèrent profiter de la rentabilité de ce nouveau marché juteux et sacrifier la sécurité des utilisateurs. Une étude d’impact des risques sur la vie privée sera rendue obligatoire par l’article 35 du règlement, ce qui pourra peut être réduire les dérives.

En attendant une protection plus efficace et la prise de mesures par la CNIL, UFC-Que choisir a publié un guide de prévention en 2015 et appelle les consommateurs à être vigilants sur les données collectées sans leur consentement et sans en avoir été informés. Elle recommande de lire attentivement les conditions générales d’utilisation des objets avant de les mettre entre les mains de nos têtes blondes. Une campagne de sensibilisation a aussi été lancée sur Youtube. Si l’on peut retenir une chose, c’est que les jouets connectés ne sont finalement pas adaptés au jeune public.

Sources

ANONYME, « Jouets connectés, alerte sur la sécurité et les données personnelles ! », quechoisir.org, mis en ligne le 6 décembre 2016, consulté le 11 décembre 2016, https://www.quechoisir.org/action-ufc-que-choisir-jouets-connectes-alerte-sur-la-securite-et-les-donnees-personnelles-n23355/.

ROCH (A.), « L’UFC-Que Choisir épingle les jouets connectés sur la sécurité des données personnelles », cnetfrance.fr, mis en ligne le 9 décembre 2016, consulté le 11 décembre 2016, http://www.cnetfrance.fr/news/l-ufc-que-choisir-epingle-les-jouets-connectes-sur-la-securite-des-donnees-personnelles-39845774.htm.

HAAS (G.), DUBARRY (A.), D’AUVERGNE (M.), RUIMY (R.), « Enjeux et réalités juridiques des objets connectés », Dalloz IP/IT, p. 394, publié en 2016, consulté le 14 décembre 2016.

AMIOT (P.-Y.), « Jouets connectés, attention danger ! », lexsi.com, mis en ligne le 22 décembre 2015, consulté le 14 décembre 2016, https://www.lexsi.com/securityhub/jouets-connectes-attention-danger/.

CHEMINAT (J.), « VTech et Hello Barbie : jouets connectés, enfants en danger », silicon.fr, mis en ligne le 8 décembre 2015, consulté le 14 décembre 2016, http://www.silicon.fr/vtech-et-hello-barbie-jouets-connectes-enfants-en-danger-133415.html.

BURNS (E.), « VTech & Hello Barbie: The dangers of connected toys this Christmas », cbronline.com, mis en ligne le 1er décembre 2015, consulté le 16 décembre 2016, http://www.cbronline.com/news/mobility/security/vtech-hello-barbie-the-dangers-of-connected-toys-this-christmas-4741554/.

ANONYME, « Garantir la sécurité des données », cnil.fr, consulté le 18 décembre 2016, https://www.cnil.fr/fr/garantir-la-securite-des-donnees.