Faut-il déconnecter les jouets connectés des enfants ?

Quels sont les critères pour que les jouets connectés respectent la sécurité de vos enfants et votre vie privée ?

La réglementation applicable aux objets connectés peut dépendre de la typologie de l’objet et des innovations qu’il apporte.

Les objets connectés évoluent dans un vaste écosystème composé de capteurs, de connexion, de données, de réseaux, de stockage, de logiciels de traitement ou encore de protocoles de sécurité.

Ces éléments doivent s’interconnecter, s’intégrer tout en étant compatibles et sécurisés dans leur utilisation, leur usage, leur environnement mais également pour les données qu’ils peuvent recueillir, conserver ou transférer.

Pour le jouet, comme pour tout objet connecté, cela se complexifie avec notamment la question de la connexion.

En effet, si le secteur des jouets bénéficie d’une réglementation protectrice, leur connexion à des réseaux et le stockage des données récoltées, dans le cloud posent des problématiques complémentaires.

Réglementation applicable aux jouets

Les jouets sont réglementés en France par le décret n° 2010-166 du 22 février 2010 et son arrêté d’application du 24 février 2010. Ces textes transposent la directive européenne 2009/48/CE relative à la sécurité des jouets.

La réglementation prévoit que les jouets ne doivent pas être alimentés par une tension supérieure à 24 volts (Très Basse Tension de Sécurité), par conséquent ils ne peuvent être alimentés que par des piles ou par un transformateur très basse tension.

Or, la connexion au réseau du jouet-objet connecté est très énergivore, et un fabricant par conséquent peut être tenté d’augmenter son autonomie.

Jouet connecté : les précautions de mise sur le marché

Avant de mettre un jouet sur le marché, le fabricant doit procéder à une analyse des dangers que le jouet peut présenter, notamment, en matière chimique, physique, mécanique, électrique, d’inflammabilité, de radioactivité et d’hygiène.

Ainsi, le fabricant doit soumettre son jouet à une procédure d’évaluation de sa conformité.

Selon le type de jouet, il applique, en fonction de la réglementation, une procédure d’autocontrôle ou de contrôle par un tiers, du modèle initial, associé à un contrôle de la production (1).

La procédure de contrôle par un tiers est exigée dans les cas suivants (2) :

lorsque des normes harmonisées couvrant toutes les exigences de sécurité requises pour le jouet n’existent pas ;
lorsque le fabricant n’a pas appliqué ou a appliqué seulement en partie les normes harmonisées ;
lorsqu’une ou plusieurs normes harmonisées ont été publiées assorties d’une restriction ;
ou lorsque le fabricant estime que la nature, la conception, la construction ou la destination du jouet nécessitent une vérification par un tiers.

Le contrôle de conformité par un tiers

Un fabricant de jouets connectés aura, par conséquent, intérêt en l’absence de normes couvrant toutes les exigences de sécurité de se soumettre à ce type d’examen auprès d’un organisme notifié.

Néanmoins, la connexion du jouet peut entraîner d’autres risques qui ne seront pas automatiquement appréhendés dans le cadre de ces contrôles de conformité.

Or, ces risques doivent être pris en compte par un fabricant tant au regard de la réglementation qu’en termes d’image de marque.

Ces risques sont, par exemple, l’exposition aux ondes ou encore la sécurité des données collectées à partir des jouets connectés.

L’exposition aux ondes

A ce titre, l’Agence nationale de sécurité sanitaire (Anses) a publié en juillet 2016 un rapport (3) concernant l’exposition des enfants aux radiofréquences suite à sa saisie par les pouvoirs publics.

Cette étude visait à vérifier si les dispositions réglementaires actuellement en vigueur pour la mise sur le marché des appareils radioélectriques à destination des enfants, étaient suffisamment protectrices en matière de santé et de sécurité.

Elle a ainsi émis une série de recommandations visant à adapter les valeurs limites d’exposition réglementaires afin de réduire l’exposition des enfants aux champs électromagnétiques.

Une évolution de la réglementation est également préconisée :

pour que l’ensemble des dispositifs radioélectriques, et notamment ceux destinés aux enfants (tablettes tactiles, veille-bébés, jouets connectés, etc.), soit soumis aux mêmes obligations réglementaires, en matière de contrôle des niveaux d’exposition et d’information du public, que celles encadrant les téléphones mobiles ;
afin que le respect des valeurs limites d’exposition réglementaires soit assuré, quels que soient les dispositifs émetteurs mobiles utilisés, selon des conditions raisonnablement prévisibles d’utilisation (par exemple positionnement au contact du corps).

Protection de la vie privée et données personnelles

En décembre 2016, l’association UFC-Que choisir (4) a, quant à elle, interpellé la Cnil et la DGCCRF suite à une enquête réalisée par son homologue norvégien, Forbrukerradet (5).

Cette enquête souligne que deux jouets de marques différentes ne garantissent pas le respect de la vie privée et de la sécurité des données personnelles des enfants.

Ont ainsi été mis en évidence :

des failles de sécurité du Bluetooth intégré permettant la connexion de tiers situé à 20 mètres du jouet et la prise de contrôle de ce dernier ;
des conditions contractuelles autorisant sans consentement exprès, à collecter les données vocales enregistrées par lesdits jouets, et ce pour des raisons étrangères au strict fonctionnement du service et pouvant être transférées sans le consentement des parents ;
la promotion de produits par certaines phrases programmées de ces jouets.

Dès lors, UFC-Que choisir souhaite que :

la Cnil diligente sans délai un contrôle du respect de la protection des données personnelles des utilisateurs d’une poupée et d’un jouet robot ;
les services de la DGCCRF enquêtent sur le niveau de sécurité des jouets connectés et sanctionnent tout manquement aux dispositions légales et réglementaires.

Cette affaire fait suite au piratage en octobre 2015 d’un fabricant d’ordinateurs et d’outils pour enfants par lequel des données personnelles de presque cinq millions de parents, et de plus de 6 millions d’enfants avaient été piratées.

Par ailleurs, la commercialisation, aux Etats-Unis, d’une poupée intelligente en 2016, a également mis en exergue les failles d’un tel jouet. En effet par sa connexion à Internet la poupée envoie les demandes de l’enfant dans le cloud. Celles-ci sont ensuite analysées via de l’intelligence artificielle afin d’y apporter une réponse rapidement.

De plus, des failles dans les applications iOS et Android fonctionnant avec la poupée ont également été détectées.

Il a été également constaté que les mots de passe pour vérifier les certificats étaient identiques pour toutes les poupées.

Des piratages peuvent, par conséquent, intervenir à plusieurs niveaux :

par la prise de contrôle du jouet via, par exemple, une connexion non sécurisée ;
par l’accès, le maintien ou l’extraction de données dans des serveurs en cloud.

En complément, la Cnil a dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 janvier 2017 (6),

Elle recommande notamment d’effectuer régulièrement les mises à jour de sécurité et d’utiliser des mots de passes et identifiants spécifiques à l’utilisation du jouet et de communiquer le minimum d’information lors de l’inscription et de la mise en route du jouet.

Pour finir, elle préconise d’éteindre le jouet quand il ne sert pas, de désactiver le partage sur les réseaux sociaux et d’effacer les données lorsqu’on ne se sert plus du jouet.

En conclusion, la réglementation des jouets doit rapidement, à l’instar d’autres réglementations applicables à certains objets, s’adapter et évoluer pour se conformer aux nouveaux usages et surtout à l’écosystème dans lequel l’objet connecté évolue.

A cette occasion, on peut également se demander ce que deviennent les questions que nous ou nos enfants posons à notre jouet préféré : l’assistant vocal de notre smartphone ?

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) La procédure dite « d’examen CE de type » (module B de l’annexe II de la décision 768/2008/CE), combinée à la procédure de « conformité au type sur la base du contrôle interne de la fabrication » (module C de l’annexe II de la décision 768/2008/CE).
(2) Direction générale des entreprises, Article « La réglementation applicable aux jouets », 16-3-2016.
(3) Anses, Avis sur l’exposition aux radiofréquences et santé des enfants, Rapport d’expertise collective, 6-2016
(4) Quechoisir.org, Article « Jouets connectés – Alerte sur la sécurité et les données personnelles ! », 6-12-2016
(5) Forbrukerradet.no
(6) Cnil, Conseils du 28-2-2017

Cookie	Durée	Description
cookielawinfo-checkbox-functional	12 mois	Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels
cookielawinfo-checkbox-necessary	12 mois	Gestion de l'affichage du bandeau d'information.
CookieLawInfoConsent	12 mois	Enregistrement de l'absence d'affichage du bandeau.
viewed_cookie_policy	12 mois	Enregistrement de l’ouverture de la politique cookies.