La Cnil recommande aux parents de sécuriser les jouets connectés

A l'approche des fêtes, la Cnil publie une liste de recommandations à suivre pour utiliser un jouet connecté en toute sécurité. En effet, les données collectées par l'objet peuvent potentiellement être utilisées à des fins de ciblage publicitaire ou détournées par un individu malveillant.

 

Partager
La Cnil recommande aux parents de sécuriser les jouets connectés

A quelques jours de Noël, la Commission nationale de l'informatique et des libertés (Cnil) publie un guide pour l'usage des jouets connectés le 16 décembre 2019. Elle rappelle que comme tout objet connecté, les jouets peuvent confronter son utilisateur à plusieurs problématiques. Les données ainsi collectées peuvent potentiellement être utilisées à des fins de ciblage publicitaire ou détournées par un individu malveillant, par exemple à des fins d'escroquerie ou de harcèlement.

Le gendarme de la vie privée fait également remarquer que les jouets connectés peuvent briser le "jardin secret" de l'enfant. En effet, certains d'entre eux offrent une plate-forme sur laquelle les parents peuvent écouter, voire réécouter les conversations que les enfants ont avec leur objet. En pratique, cette option permet aux responsables de mieux contrôler les données stockées en ligne. Mais ils peuvent aussi écouter les confidences de leurs enfants à leur insu. Cette pratique peut "potentiellement nuire à la vie privée de l'enfant ou affecter son rapport de confiance qu'il entretient avec ses parents".

Bouton d'accès physique ou mot de passe

Pour éviter que ce type de situation n'arrive, la Cnil émet un ensemble de recommandations. Premièrement, il faut "être très vigilant concernant les possibilités de connectivité ouverte par le jouet". Cela nécessite de vérifier que l'objet ne permet pas à n'importe qui de s'y connecter. Un bouton d'accès physique ou l'usage d'un mot de passe doit être présent. Les utilisateurs doivent également effectuer régulièrement les mises à jour de sécurité.

Deuxièmement, la Cnil recommande d'en dire le moins possible "au moment de l'inscription" en ne communiquant que le minimum d'informations nécessaire au service. Enfin, les utilisateurs doivent "déconnecter le jouet et effacer les données". Ainsi, ils doivent penser à éteindre l'objet quand il ne sert pas, s'assurer de la possibilité d'accéder aux données ou de les supprimer, désactiver le partage automatique sur les réseaux sociaux et effacer les informations de l'objet.

Lorsque la Cnil sévit

Les fabricants sont tenus par une obligation de sécuriser les informations collectées, selon l'article 121 de la loi informatique et libertés. En vertu de ce texte, ces derniers sont "tenus de prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".

La Cnil va plus loin que de simples recommandations. Elle a déjà mis en demeure plusieurs sociétés fabricantes de jouets connectés. En décembre 2017, l'entreprise Genesis Industries Limited est pointée du doigt pour "atteinte grave à la vie privée en raison d'un défaut de sécurité". Les deux jouets concernés, la poupée "My Friend Cayla" et le robot "I-que" peuvent donner la météo aux enfants, résoudre des calculs mathématiques pour eux et répondre à des questions diverses. Mais surtout, n'importe quelle personne pouvait se connecter au jouet en Bluetooth pour enregistrer ou écouter les paroles de l'enfant. Par ailleurs, selon la Cnil, les utilisateurs des jouets n'étaient pas informés "des traitements de données mis en œuvre par la société".

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS