Grande tendance de cette rentrée 2018, les montres connectées pour enfants ont pris leur place au sein des écoles primaires. En effet en 2017, 25,6 millions de montres connectées destinées aux mineurs étaient livrées dans le monde, représentant déjà près de la moitié du marché de la montre connectée. Ces objets détiennent en outre un poids considérable, puisqu’ils sont amenés à collecter une quantité colossale de données concernant l’enfant, ainsi que son environnement, sa consommation et même son hygiène de vie.
Représentation matérielle d’une véritable émergence de technophiles précoces, les jouets connectés se caractérisent surtout par les fonctionnalités qu’ils comportent. Ces dernières sont, par exemple, la possibilité de se connecter à un réseau Wifi ou à un autre appareil lui-même connecté à Internet, la présence d’un système de géolocalisation ou encore le fait que le jouet en question recueille des informations personnelles lors de la création d’un compte en ligne. Face à de telles fonctionnalités présentes dans un objet destiné aux mineurs, il est nécessaire de connaitre les enjeux de la possession d’un jouet connecté.
L’environnement juridique des objets connectés destinés aux mineurs
La présence des objets connectés au sein des écoles a donné lieu à une réglementation très récente : la loi du 3 août 2018 relative à l’encadrement de l’utilisation du téléphone portable dans les établissements d’enseignement scolaire. Cette dernière prévoit que l’utilisation « d’un téléphone mobile ou de tout autre équipement terminal de communications électroniques » par un élève est interdite à l’intérieur d’une école. Ainsi, l’utilisation d’une montre connectée est soumise à cette loi, d’autant plus si elle possède les mêmes fonctionnalités qu’un Smartphone, à savoir la connexion à un réseau Wifi ou la simple communication électronique.
De plus, l’utilisation de ces objets connectés d’un point de vue général soulève un problème juridique constant : la question du traitement des données recueillies. Il convient de rappeler que la nature même d’un objet connecté implique de collecter des données sur son utilisateur, en échange d’une efficacité optimale. Ces données se rapportent à des personnes physiques identifiées ou identifiables, et sont donc des données à caractère personnel au sens de l’article 2 de la Loi N°78-17 Informatique et Libertés du 6 janvier 1978.
Puisque le but de la montre connectée est d’échanger des informations sur les réseaux de manière permanente et instantanée, comme l’envoi de la position GPS d’un enfant à ses parents, les données personnelles recueillies devraient faire l’objet d’un traitement sans faille. Or, la sécurisation du fonctionnement des objets connectés n’est pas réputée infaillible, et est susceptible de donner lieu à l’utilisation malveillante de ces données, dont l’usage ultérieur n’est pas connu des utilisateurs.
Un secteur en manque de vigilance : les récents scandales des jouets connectés Robot I-QUE et poupée CAYLA
Les jouets connectés ont fait l’objet de nombreux scandales. C’est le cas du Robot I-QUE et la poupée CAYLA ayant fait leur apparition en 2014, jouets interactifs intelligents, articulés et motorisés. Ces jeux, capables de comprendre les enfants et de leur répondre, ont fasciné leurs jeunes propriétaires qui, à l’aide d’un micro et d’un haut-parleur, peuvent entretenir une conversation avec eux. Force est de constater que de grands risques font surface au cœur de la vente et de l’usage de ces jouets connectés qui, sans véritable garantie de confidentialité, traitent les données de leurs détenteurs via Internet afin de répondre aux questions posées.
C’est pourquoi la Commission nationale de l’informatique et des Libertés (CNIL), dans une décision datant de décembre 2017, vint répondre à cette faille de sécurité du jouet, lorsqu’elle mit en demeure la Société GENERIS INDUSTRIES LIMITED de procéder à la sécurisation des jouets connectés que sont le Robot I-QUE et la poupée CAYLA, pour atteinte grave à la vie privée.
Afin de motiver une telle décision, la CNIL avait relevé d’une part la possibilité de connexion au jouet par un Smartphone étranger et à l’insu de son propriétaire, permettant ainsi l’écoute et l’enregistrement des conversations entre l’enfant et le jouet. Les contrôleurs de la CNIL ont même pu constater qu’il était possible, une fois la connexion établie avec le jouet, de parler à l’enfant via le jouet. De telles fonctionnalités méconnaissaient ouvertement la Loi informatique et liberté de 1978, car elles portaient atteinte à la vie privée et à l’intimité des utilisateurs. D’autre part, la CNIL avait relevé un véritable défaut d’information des utilisateurs s’agissant du mode de traitement des données personnelles recueillies par les jouets litigieux, incluant les nom et adresse des propriétaires.
Il convient de relever que, face à une telle mise en demeure, l’Autorité de régulation des télécommunications allemande a réagit de manière radicale en interdisant la commercialisation des ces deux jouets connectés en Allemagne, allant même jusqu’à ordonner leur destruction. Mais le fabricant des jouets litigieux lui, s’est fait attendre : en effet, suite à sa mise en conformité aux demandes de la CNIL, la clôture de la mise en demeure de cette dernière a eu lieu en juillet dernier seulement.
Le côté attractif de ces nouveaux objets connectés a ainsi tendance à faire passer au second plan les risques auxquels s’exposent les enfants en concernant la protection de leurs données personnelles, mais également en matière de respect de leur vie privée.
Une surveillance parentale potentiellement abusive
Il convient de rappeler que les montres connectées pour enfants permettent avant tout de géolocaliser de l’enfant. Régulièrement mise à jour et envoyée sur les Smartphones des parents qui y sont directement connectés, la fonctionnalité de géolocalisation tient plus du « tracker » que de la surveillance justifiée. Si l’article 6 de la loi Informatique et Libertés du 6 janvier 1978 prévoit que la collecte de données doit avoir une finalité nécessaire et surtout pas excessive, force est de constater qu’une telle intrusion dans la vie privée de son enfant ne pourrait sûrement pas être justifiée par son caractère « nécessaire ».
La CNIL a rappelé à ce propos, dans un avis datant déjà de 2011, que les enfants ne devraient jamais être l’objet d’une surveillance excessive de la part des parents, cachée derrière de multiples excuses dont leur sécurité. De plus, l’article 226-1 du Code Pénal réprime l’atteinte volontaire à la vie privée d’un individu : qu’il soit l’enfant de celui ayant commis l’infraction ne constitue pas une exception à la constitution de cette infraction, à moins que l’enfant n’ai donné son consentement à une telle surveillance.
Notons que la géolocalisation en temps réel présente des risques majeurs si elle se trouve entre de mauvaises mains : dès lors, serait-il plus important pour les parents de connaître la position exacte de son enfant, que de protéger ses informations personnelles susceptibles d’être usées de manière malveillante ?
Des précautions à envisager
Du côté des constructeurs, l’heure est à la vigilance. Souvent négligents sur des aspects qui se sont révélés garants de la pérennité de leurs objets connectés, ils font face à une véritable problématique de sécurisation des jouets connectés susceptibles de porter atteinte à la vie privée des enfants. Mais il convient de préciser que deux mécanismes sont à leur portée afin de se responsabiliser : le Privacy By Design, et le Privacy By Default.
Le Privacy By Design a pour objectif de garantir, pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, le plus haut niveau de protection de ces données de la part des entreprises et autres responsables de leur traitement dès la conception de l’objet ou du programme. Le Privacy By Default garantie quant à lui que ce niveau de protection soit par défaut le plus haut possible. A l’aide de ces mécanismes désormais nécessaires, les industriels ont toutes les cartes en main afin de garantir le respect des règles en matière de protection des données personnelles. De plus, en France, il convient de relever que certains fabricants ont pris l’intelligente habitude de consulter en amont la CNIL, afin de s’assurer de la conformité du fonctionnement de leurs objets avec la loi.
A quelques semaines des fêtes, le contrôle parental est également au rendez-vous. En effet, il est possible de vérifier pour beaucoup de jouets connectés si certaines options sont désactivables, notamment la géolocalisation. De plus, il est possible désormais d’effacer les données connectées dans l’objet, dont il convient de vérifier si la collecte est transparente lors de l’achat.
Contrairement à l’Allemagne, la France n’a pas encore interdit la vente de la montre connectée pour enfants, dont la fonctionnalité d’écoute à distance a motivé l’Agence Fédérale de régulation d’Internet allemande. On se demanderait presque quand la France comptera réagir à son tour face au développement d’un objet qui d’un certain côté se révèle intrusif et risqué, et si elle sera la prochaine à interdire la commercialisation de ces montres connectées destinées aux mineurs.
SOURCES
- Loi N°2018-698 relative à l’encadrement de l’utilisation du téléphone portable dans les établissements d’enseignement scolaire, 3 août 2018, consulté le 26 octobre.
- Loi N°78-17 Informatique et Libertés, 6 janvier 1978, consulté le 26 octobre.
- « Montres connectées pour enfants : quels enjeux pour leur vie privée ? », article de TECHNOLOGIES, 26 septembre 2018, consulté le 13 octobre.
- https://www.cnil.fr/fr/montres-connectees-pour-enfants-quels-enjeux-pour-leur-vie-privee
- Décision N°MED-2017-073 du 20 novembre 2017, mettant en demeure la société GENESIS INDUSTRIES LIMITED, consulté le 25 octobre.
- BIYAKA (L.), « Les enfants monitorés par les objets connectés », ISCPA Paris, 3 avril 2015, consulté le 15 octobre 2018.
- CROQUET (P.), « Ce qu’il faut savoir sur les jouets connectés », Le Monde, 2 décembre 2017. https://www.lemonde.fr/pixels/article/2017/12/02/ce-qu-il-faut-savoir-sur-les-jouets-connectes_5223548_4408996.html, consulté le 25 octobre.
- FOREST (D.), « Droit des données personnelles », Gualino Editeur, Droit en action, 21 juin 2011, consulté le 2 novembre.
- SENECHAL (J.), « La fourniture de données personnelles par le client via Internet, un objet contractuel ? », Dalloz, AJCA 2015, p. 212, consulté le 1er novembre.