La Commission nationale de l'informatique et des libertés (Cnil) a épinglé lundi un fabricant chinois de deux jouets connectés, qu'elle a mis en demeure de procéder à la sécurisation de la poupée "Mon amie Cayla" et du robot "I-Que".
"Collecte d'une multitude d'informations". La poupée et le robot répondent à des questions simples des enfants. Equipés d'un micro et d'un haut-parleur, ils fonctionnent en tandem avec un mobile ou une tablette par connexion bluetooth. Mais la Cnil leur reproche notamment de pouvoir servir éventuellement pour espionner les enfants et ce qui les entoure. Alertée en décembre 2016 par l'association de défense des consommateurs UFC-Que Choisir, la Cnil a procédé à divers contrôles et a interrogé le fabricant Genesis Industries Ltd, basé à Hong Kong.
"Ces vérifications ont permis de relever que la société collecte une multitude d'informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom...), mais également des informations renseignées dans un formulaire de l'application" liée, a-t-elle constaté.
Accessible pour des étrangers. Premier grief : en descendant dans la cour de la Cnil, des contrôleurs ont pu constater qu'une personne située à l'extérieur, à 20 mètres, pouvait connecter son portable aux jouets sans avoir à s'identifier. Un étranger est ainsi en mesure d'entendre et d'enregistrer les paroles échangées entre l'enfant et le jouet, mais aussi d'espionner tout ce qui se passe autour. Il peut aussi parler à l'enfant via le jouet. La Cnil considère donc que cette absence de sécurisation des jouets, qui permet de s'y connecter à l'insu des enfants et des propriétaires et d'avoir accès aux conversations dans la pièce, méconnaît la Loi informatique et liberté de 1978, car elle porte potentiellement atteinte à la vie privée et à l'intimité des utilisateurs.
Sécurité insuffisante. Deuxième grief de la Cnil : les jouets connectés n'utilisent pas de canal chiffré pour garantir la sécurité et la confidentialité des données personnelles. Enfin, la Cnil a constaté que les utilisateurs ne sont pas informés des traitements des données mis en oeuvre par Genesis Industries Ltd, ni du transfert du contenu des conversations hors de l'Union européenne (en l'occurrence aux Etats-Unis).
Vers une sanction ? La Cnil n'a pas le pouvoir d'interdire ces jouets. Mais sa présidente Isabelle Falque-Pierrotin a sommé la société chinoise de se mettre en conformité, faute de quoi une procédure de sanction sera engagée. La poupée "espionne" Cayla avait déjà été interdite en Allemagne en février, mais pas son alter ego masculin I-Que.