Nouvelle mise en cause de jouets connectés : la Cnil se prononce

Une nouvelle mise en cause de jouets connectés est intervenue avant Noël. L’occasion pour la Cnil de rappeler les lignes directrices applicables.

Dans une délibération du 20 novembre 2017, la Cnil a mis en demeure un fabricant de jouets de procéder à la sécurisation de jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE » (1).

Jouets mis en cause et procédure

Dans cette affaire, étaient en cause des jouets connectés qui répondent aux questions posées par les enfants sur divers sujets. Ces jouets sont équipés d’un microphone et d’un haut-parleur. Ils sont associés à une application mobile téléchargeable sur téléphone mobile ou sur tablette, la réponse à la question posée par l’enfant étant extraite d’internet par l’application et la réponse étant communiquée via le jouet.

À la suite d’une plainte de l’association UFC Que Choisir, la Cnil a réalisé des contrôles et a opéré des vérifications sur les mécanismes permettant le fonctionnement de ces jouets. Ces vérifications ont permis de démontrer plusieurs manquements à la loi Informatique et libertés.

Manquements constatés

Le non-respect de la vie privée des personnes en raison d’un défaut de sécurité a d’abord été constaté. Les contrôleurs de la Cnil ont découvert qu’une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment, pouvait connecter un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier (sans mot de passe ou identification préalable de l’utilisateur).

Ils ont également relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet par deux techniques :

• soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ;
• soit en appelant le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.

La Cnil a considéré que l’absence de sécurisation des jouets, permettant à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter, à l’insu des enfants et des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical, méconnait l’article 1er de la loi Informatique et libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Le défaut d’information des utilisateurs des jouets a ensuite été constaté, les utilisateurs des jouets n’étant pas informés :

• des traitements de données mis en œuvre par la société ;
• du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne.

Au regard de tous ces éléments, la Cnil a donc décidé de mettre en demeure le fabricant de jouets de se conformer à la loi Informatique et libertés dans un délai de deux mois et de rendre publique cette mise en demeure.

Effets de la mise en demeure

Cette mise en demeure ne constitue pas une sanction. Si la société se conforme à la loi dans le délai imparti, aucune suite ne sera donnée. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

En revanche, si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Cnil pourra désigner un rapporteur qui proposera le cas échéant à la formation de prononcer une sanction.

Lignes directrices de la Cnil

Afin de garantir la sécurité des utilisateurs des jouets et objets connectés, la Cnil diffuse des mises en garde s’agissant des jouets et plus généralement des objets connectés à travers plusieurs lignes directrices publiées sur son site (2).

La Cnil recommande ainsi aux utilisateurs d’objets connectés de (3) :

• vérifier a minima que l’objet ne permet pas à n’importe qui de s’y connecter, par exemple en vérifiant que son appairage avec un smartphone ou depuis Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe ;
• changer le paramétrage par défaut de l’objet (mot de passe, code PIN, etc.) ;
• sécuriser l’accès par un mot de passe l’écran de déverrouillage du smartphone (ou de la tablette) et le réseau WiFi utilisé avec l’objet connecté ;
• être d’autant plus vigilants sur les aspects de sécurisation lorsque les objets produisent des données sensibles, sur la santé ou sur les enfants ;
• être attentif concernant sa propre vie privée et celle des autres si l’objet connecté est associé à des réseaux sociaux, notamment en désactivant le partage automatique des données ;
• s’assurer de la possibilité d’accéder aux données et de les supprimer ;
• éteindre l’objet quand il ne sert pas ou pour éviter de capter des données sensibles.

La Cnil avait déjà dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 janvier 2017 (4).

Lexing Alain Bensoussan Avocats
Lexing Droit de l’internet des objets

(1) Décision de la Cnil n° MED-2017-073 du 20-11-2017 mettant en demeure la société Genesis Industries Limited.
(2) « Il était une fois l’ours connecté mal sécurisé », Infographie de la Cnil du 4-12-2017.
(3) « Objets connectés : n’oubliez pas de les sécuriser ! », Article de la Cnil du 4-12-2017.
(4) N. Plouviet et C. Van Mol, « Faut-il déconnecter les jouets connectés des enfants ? », Alain Bensoussan.com, 3-3-2017.