La poupée connectée Mon amie Cayla, déjà interdite en Allemagne en raison d’inquiétudes liées au respect de la vie privée, est désormais sous surveillance en France ; où l’agence nationale de protection des données a adressé au fabricant un avertissement concernant les risques de sécurité inhérents au produit.
Cayla n’est pas le seul jouet connecté à avoir attiré l’attention de la Commission Nationale de l’Informatique et des Libertés (CNIL). i-Que, un robot conçu pour interagir avec les enfants, est dans le même cas. Ces deux objets sont produits par Genesis Industries Ltd qui, selon la Commission, collecte par leur intermédiaire des contenus audio susceptibles de contenir des informations personnelles (noms, adresses, etc.).
Ces jouets connectés sont équipés d’un microphone et d’un haut-parleur ; et ils utilisent le Bluetooth pour recevoir les commandes d’une application mobile. Mais cette connexion n’est pas sûre : l’authentification et la validation de l’appareil appairé ne sont pas requises. Cayla et le robot i-Que fonctionnent comme des haut-parleurs Bluetooth. Cela veut dire que si un téléphone s’y connecte, son utilisateur peut entendre et enregistrer ce que l’enfant dit au jouet et les conversations environnantes.
La CNIL affirme que l’appairage fonctionne à une distance allant jusqu’à 9 mètres, même lorsqu’il y a des obstacles entre le téléphone et le jouet. L’agence relève aussi qu’il est possible de communiquer via le jouet ; soit en diffusant des messages précédemment enregistrés, soit en utilisant le jouet comme un kit main libre. Il suffit alors d’appeler le téléphone connecté à Cayla ou i-Que.
Selon un article publié par la CNIL cette semaine, les défauts de sécurité constatés sur ces produits contreviennent à la loi Informatique et Libertés pour deux raisons. D’abord, les deux jouets n’assurent pas la protection des conversations privées, car ils établissent une connexion avec un appareil sur lequel le Bluetooth est activé sans préalablement demander une validation. Ensuite, ces objets ne demandent pas aux utilisateurs d’autoriser le traitement des données personnelles par le vendeur ou le transfert de contenus audio à un prestataire de service situé hors de l’Union européenne.
L’autorité de régulation française accorde donc deux mois au fabricant pour se conformer à la loi Informatique et Libertés. L’article premier de cette loi stipule que l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Si l’entreprise ne se conforme pas à cette mise en demeure dans le délai imparti, la CNIL pourra prononcer des sanctions d’ordre financier ou autre.
Depuis la fin de l’année dernière, les risques liés aux défauts de sécurité de la poupée Mon amie Cayla et du robot i-Que ont été signalés dans plusieurs pays. En 2016, quatre associations de consommateurs ont déposé plainte auprès de la Commission américaine du commerce pour faire part de leurs inquiétudes quant au respect de la vie privée. Le Conseil norvégien des consommateurs a publié à la même époque une vidéo indiquant que ces deux jouets connectés pouvaient être utilisés comme dispositif d’espionnage.
Les jouets connectés peuvent effectivement être une menace pour le respect de la vie privée, mais les utilisateurs sont en mesure de minimiser ce risque. Ils doivent veiller à appairer un seul appareil à la fois, et à bien se connecter à celui qu’ils ont utilisé en dernier. Pour garantir que la liaison est établie avec le bon appareil, il convient d’activer le Bluetooth d’abord sur le téléphone ou la tablette, puis sur le jouet. Enfin, les parents doivent s’assurer que les jouets sont éteints quand les enfants ne les utilisent pas et que les dernières mises à jour sont bien installées sur tous leurs appareils connectés.
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024