La Cnil s’attaque aux jouets connectés pour “atteinte grave à la vie privée”

La Cnil a décidé de se pencher sur le cas des jouets connectés. Elle a déjà mis en demeure une entreprise fabriquant deux jouets de ce type. Selon elle, ils ne sont pas assez bien sécurisés et facilement piratables. Les jouets connectés sont dans le viseur d'autorités de plusieurs pays, qui les considèrent dangereux pour les enfants. Une mise en garde juste avant Noël…

Les jouets connectés dangereux pour les enfants ? Certains le sont, d'après la Cnil (Commission nationale de l'informatique et des libertés), qui a publiquement mis en demeure la société hong-kongaise Genesis Industries Limited pour “atteinte grave à la vie privée en raison d'un défaut de sécurité”. Dans le viseur de la commission :  le robot i-Que et la poupée Cayla, deux jouets connectés disponibles en France.

Les jouets connectés dans le viseur de la Cnil

Ces jouets sont accusés de recueillir un très grand nombre de données personnelles et d'être vulnérables aux piratages. “Ces vérifications ont permis de relever que la société collecte une multitude d'informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l’application ‘My Friend Cayla App'”, explique la Cnil.

“Une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment, peut connecter (ou « appairer ») un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier”, regrette l'Autorité. Selon elle, une “personne située à une telle distance est en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci”. Elle ajoute aussi “qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones soit en utilisant les jouets en tant que « kit main libre ». Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet”.

La CNIL laisse un délai de deux mois à l'entreprise pour se conformer à la loi Informatique et Libertés. Il s'agit pour l'instant d'un rappel à l'ordre qui n'entraîne aucune sanction, mais une amende voire une interdiction de vente des produits pourraient intervenir en cas de récidive. Les autorités allemandes sont allées bien plus loin. Les ventes de la poupée connectée Cayla ont été interdites et les autorités ont demandé aux parents de détruire celles déjà en leur possession. Pour les mêmes raisons liées à la sécurité des enfants, l’Allemagne a demandé aux parents de détruire certaines smartwatch de leurs enfants.