Jouets connectés : la Cnil publie une mise en demeure pour atteinte grave à la vie privée

La Commission nationale de l'informatique et des libertés a publié le lundi 4 décembre 2017 une mise en demeure publique de la société Genesis Industries Limited pour atteinte grave à la vie privée en raison d’un défaut de sécurité. Une affaire qui renforce les doutes sur la cybersécurité des jouets connectés.

Partager
Jouets connectés : la Cnil publie une mise en demeure pour atteinte grave à la vie privée

Certains jouets connectés ressemblent fortement à des cadeaux empoisonnés. A l’approche de Noël, l’Allemagne a déjà décidé d’interdire certaines montres intelligentes pour enfants. Ce lundi 4 décembre 2017, c’est la Commission nationale de l'informatique et des libertés (Cnil) qui met en demeure l’entreprise Genesis Industries Limited pour “atteinte grave à la vie privée en raison d’un défaut de sécurité".

A la suite de contrôles en ligne menés cette année et d'un questionnaire adressé à la société basée à Hong-Kong, la Cnil a relevé que “la société collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l’application ‘My Friend Cayla App’.”

Plusieurs garanties prises par la société...

Les deux jouets concernés, la poupée "My Friend Cayla" et le robot "I-que" peuvent donner la météo aux enfants, résoudre des calculs mathématiques pour eux et répondre à des questions diverses. Les réponses données par les robots sont extraites de l’Internet et les deux jouets contiennent un microphone et un haut-parleur.

Il y a de multiples garanties mises en place pour rendre l’internet de [la poupée] sans danger”, peut-on lire sur le site de la poupée Cayla. “Le système logiciel de Cayla, Violet, bloque toute conversation impliquant des vilains mots ou des sujets inappropriés.” Par ailleurs, les parents peuvent ajouter s’ils le souhaitent une liste de mots sensibles.

...Mais des failles de sécurité majeures repérées

Malgré tout, les deux jouets présentent deux manquements majeurs à la loi Informatique et Liberté selon l’autorité administrative : le non-respect de la vie privée des personnes en raison d’un défaut de sécurité et le défaut d’information des utilisateurs des jouets.

Selon les contrôleurs de la Cnil, une personne située à 9 mètres d’un des deux jouets, même à l’extérieur d’un bâtiment, pourrait connecter son téléphone mobile à l’objet en Bluetooth, sans même devoir saisir un code ou appuyer sur un bouton du jouet. Potentiellement, cette personne pourrait écouter et enregistrer les paroles de l’enfant ou de toute autre personne à proximité. Le hacker de poupée pourrait aussi communiquer avec l’enfant en diffusant des sons enregistrés via l’enceinte du jouet ou en appelant le téléphone connecté au jouet… Par ailleurs, selon la Cnil, les utilisateurs des jouets “ne sont pas informés des traitements de données mis en oeuvre par la société”.

Une sanction possible si l'entreprise ne se conforme pas à la loi

La faille de sécurité va à l’encontre de l’article 1er de la loi Informatique et Libertés qui précise que l’informatique "ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques". Dans une infographie, la Cnil rappelle les bonnes pratiques en matière de jouets connectés (voir en fin d'article).

La mise en demeure n’a pas valeur de sanction mais si l’entreprise ne se conforme pas à la loi dans un délai de deux mois, un rapporteur désigné par la présidente de la Cnil, Isabelle Falque-Pierrotin, pourra prononcer une sanction contre Genesis Industries Limited.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS