Ce qui semblait être un cadeau de Noël idéal, s’est transformé en véritable bombe à informations, prête à empiéter sur la vie privée de leurs possesseurs, avant les fêtes. En effet, la CNIL a mis en demeure publiquement le 4 décembre 2017, la société Genesis industries limited de procéder à la sécurisation de jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE ». Ces jouets, après plusieurs vérifications de la CNIL suite aux signalements d’associations de consommateurs, collectaient des informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets mais également des informations renseignées dans un formulaire de l’application « My Friend Cayla App ». Un mini espion avenant, au contact des enfants, qui collectaient des données personnelles sans l’autorisation des propriétaires.
Les jouets connectés : espionnage moderne et détournements
Relativement présents dans les foyers, les jouets connectés sont des jouets qui comportent plusieurs technologies tel que la connexion à internet en Wifi, la géolocalisation, une caméra, la possibilité de se connecter à plusieurs appareils et de recueillir des informations.
Les problèmes relatifs à la sécurité des jouets sont pratiquement les mêmes que pour l’ensemble des objets connectés ; mais les questions usuelles relatives aux données personnelles deviennent plus sérieuses lorsqu’elles concernent les mineurs et c’est pour cette raison que la commission a accordé une importance particulière à ces plaintes.
Au regard de la loi Informatique et Libertés et du nouveau règlement sur la protection des données personnelles, les problématiques issues de ce genre de produits se multiplient sans cesse : la question du consentement et de la véritable information du consommateur sur ce que deviennent les données collectées semblent être les principaux questionnements ressortant de leur utilisation.
Les jouets « intelligents » en question, équipés d’un haut-parleur et d’un microphone, sont associés à une application librement téléchargeable sur téléphone ou tablette. Ces jouets répondent aux questions posées par les enfants et peuvent avoir une véritable discussion avec eux. En captant le Bluetooth nommé par défaut « Cayla » comme la poupée par exemple donc facilement identifiable, chaque personne pouvait entendre ou entamer une discussion avec l’enfant. Cependant, ce jouet collecte en même temps toutes les données qui lui sont fournies, d’où la mise en demeure par la CNIL qui a identifié les violations.
L’analyse de la CNIL : des solutions proposées pas assez efficaces ?
Les deux manquements principaux relevés dans le communiqué de la CNIL sont : D’abord, le non-respect de la vie privée des personnes en raison d’un défaut de sécurité en s’appuyant sur l’article 1er de la loi Informatique et Libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
En l’espèce, le pirate placé à une certaine distance (9 mètres maximum pour la première connexion et ensuite à 20 mètres) peut activer le haut-parleur du jouet ou entendre les paroles captées par le jouet. L’appairage Bluetooth non sécurisé pose donc des problèmes considérant le droit des données personnelles.
La CNIL relève aussi la possibilité de mettre de la publicité intempestive et ainsi de passer des messages par le biais des enfants pour les sociétés ou de collecter les données utiles aux entreprises à des fins commerciales, par exemple en faisant passer des messages publicitaires préenregistrés par le biais de la poupée ou du robot.
La CNIL rappelle alors que les fabricants ont une obligation de sécuriser les informations collectées. L’article 34 de la loi informatique et libertés prévoit que « le fabricant est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Ensuite, le défaut d’information des utilisateurs des jouets est pointé du doigt, peut être le point qui est le plus négligé par les fabricants de jouets connectés. Les utilisateurs n’étaient pas informés des traitements de données mise en œuvre par les sociétés dont le transfert de conversation hors union européenne auprès d’un prestataire de service.
Les failles de sécurité relevées par la commission sont ensuite suivies par des mesures de sécurité nécessaires à l’utilisation de ces objets connectées spéciaux. Il est nécessaire de penser à la protection de la vie privée dès la conception de l’objet connecté avec par exemple la sécurisation par mot de passe et le chiffrement des données du côté du constructeur, élaborer une analyse d’impact pour anticiper les risques …
Et du côté de l’utilisateur, les principale missions seraient de sécuriser l’accès et éteindre ainsi qu’effacer les données régulièrement, et même s’il y a du travail à faire concernant la sécurisation de la part du constructeur, la prise de conscience primordiale devrait se faire côté utilisateur, qui doit se responsabiliser concernant l’utilisation des jouets connectés.
Le futur problématique des jouets connectés : multiplication, dérives et contrôles allant jusqu’à l’interdiction ?
Le sujet de la surveillance des enfants par le biais de jouets connectés peut être controversé : comme le montre à l’extrême la série Black Mirror, qui interroge sur les conséquences inattendues que pourraient avoir les nouvelles technologies, et comment ces dernières influent sur la nature humaine de ses utilisateurs, dans la saison 4, l’épisode Arkange, aborde la surveillance extrême des parents sur les enfants à travers les nouvelles technologies ; mais c’est un autre débat, une analyse plutôt psychologique.
Mais le fait est qu’à travers ce genre de produits, les parents ont conscience de la possibilité de surveiller leurs enfants. D’ailleurs, ces jouets n’effraient pas la population puisque des analystes prédisent que les ventes vont tripler d’ici 2022. Alors, dans cette société hyper connectée, est ce que les seuls contrôles non récurrents de la CNIL suffisent à stopper ou du moins à contrôler cette manœuvre de surveillance ?
Il est nécessaire de se rendre à l’évidence : les objets connectés sont partout et peuvent être peu visibles (exemple de cette raquette de tennis dont le manche est connecté, il est difficile de constater à première vue que c’est un objet connecté) et avec les jouets connectés, le trouble est encore plus grand.
Pour certains pays, les solutions sont plus radicales qu’en France : En Allemagne, la poupée a été interdite à la vente et cela a été le cas aussi pour les montres connectées pour enfants, qui permettaient aux parents d’écouter les conversations et l’environnement de leurs enfants grâce à une application : enregistrer ou écouter des conversations privées à l’insu des personnes et sans leur accord explicite qu’il s’agisse d’enfants ou d’adultes, enfreint la loi allemande. Aux Etats unis, une amende de 650 000 dollars pour la société Vtech pour ne pas avoir su protéger la confidentialité des enfants qui utilisent les jouets connectés de la marque ayant subi une cyberattaque. A la France, de s’imposer en la matière et de prendre les mesures nécessaires en prenant exemple sur les pays étrangers qui, eux, n’hésitent pas à sanctionner même lourdement ces objets connectés destinés aux enfants.
SOURCES :
CHODORGE (S.), « jouets connectés : la Cnil publie une mise en demeure pour atteinte grave à la vie privée », l’usine digitale, mis en ligne le 4 décembre 2017, consulté le 15 janvier 2018,
DEBES (F.), « la croissance du jouet connecté à l’épreuve des polémiques sur la sécurité », les échos, mis en ligne le 4 décembre 2017, consulté le 15 janvier 2018,
RONFAUT (L.), « Sécurité : la Cnil accuse deux jouets connectés d’atteinte grave à la vie privée des enfants », le Figaro, mis en ligne le 4 décembre 2017, consulté le 14 janvier 2018,
SIGNORET (P.), « sécurité, vie privée… faut-il avoir peur des jouets connectés ? », l’Express, mis en ligne le 19 novembre 2017, consulté le 13 janvier 2018,