Les jouets connectés : gare au risque d’espionnage

Les jouets connectésDans le numéro 50 de la revue PLANETE ROBOTS, Alain Bensoussan revient sur les jouets connectés et les risques d’espionnage.

Les robots jouets se développent de plus en plus. Ils ont des fonctionnalités plus ou moins larges allant du jouet éducatif au robot compagnon de jeu à forme animale.

S’agissant de produits utilisés par des enfants, une réglementation spécifique existe avec des obligations de sécurité et des restrictions d’importation essentiellement issues de la directive européenne 2009/48/CE du 18 juin 2009 relative à la sécurité des jouets.

Celle-ci impose le respect d’obligations préalables à sa mise sur le marché et des procédures de contrôle et de tests et prohibe un certain nombre de substances dans la composition du jouet.

Mais en plus de la réglementation relative à la sécurité, les jouets connectés posent d’autres questions comme l’émission de rayonnements qui expose les enfants aux radiofréquences ou encore la protection des données privées collectées et leur sécurité.

L’Agence nationale de sécurité sanitaire (Anses) a publié des recommandations en juin 2016. Elles visent à adapter les valeurs limites d’exposition réglementaires afin de réduire l’exposition des enfants aux champs électromagnétiques.

De son côté, la Cnil a dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 février 2017.

En novembre 2017, la Cnil a mis en demeure un fabricant de jouets de procéder à la sécurisation de jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE ». Cette mise en demeure ne constitue pas une sanction. Si la société se conforme sous deux mois, aucune suite ne sera donnée (1).

Cette affaire n’est pas sans rappeler la poupée qualifiée de « Barbie Stasi » par la presse allemande, avec son comportement mi-internet connecté, mi-robot en devenir.

Alain Bensoussan pour Planète Robots, « Les jouets connectés : gare au risque d’espionnage », n°50, Mars-Avril 2018.

(1) Décision n° MED-2017-073 publiée sur Legifrance.fr.




Nouvelle mise en cause de jouets connectés : la Cnil se prononce

Nouvelle mise en cause de jouets connectésUne nouvelle mise en cause de jouets connectés est intervenue avant Noël. L’occasion pour la Cnil de rappeler les lignes directrices applicables.

Dans une délibération du 20 novembre 2017, la Cnil a mis en demeure un fabricant de jouets de procéder à la sécurisation de jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE » (1).

Jouets mis en cause et procédure

Dans cette affaire, étaient en cause des jouets connectés qui répondent aux questions posées par les enfants sur divers sujets. Ces jouets sont équipés d’un microphone et d’un haut-parleur. Ils sont associés à une application mobile téléchargeable sur téléphone mobile ou sur tablette, la réponse à la question posée par l’enfant étant extraite d’internet par l’application et la réponse étant communiquée via le jouet.

À la suite d’une plainte de l’association UFC Que Choisir, la Cnil a réalisé des contrôles et a opéré des vérifications sur les mécanismes permettant le fonctionnement de ces jouets. Ces vérifications ont permis de démontrer plusieurs manquements à la loi Informatique et libertés.

Manquements constatés

Le non-respect de la vie privée des personnes en raison d’un défaut de sécurité a d’abord été constaté. Les contrôleurs de la Cnil ont découvert qu’une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment, pouvait connecter un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier (sans mot de passe ou identification préalable de l’utilisateur).

Ils ont également relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet par deux techniques :

  • soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ;
  • soit en appelant le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.

La Cnil a considéré que l’absence de sécurisation des jouets, permettant à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter, à l’insu des enfants et des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical, méconnait l’article 1er de la loi Informatique et libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Le défaut d’information des utilisateurs des jouets a ensuite été constaté, les utilisateurs des jouets n’étant pas informés :

  • des traitements de données mis en œuvre par la société ;
  • du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne.

Au regard de tous ces éléments, la Cnil a donc décidé de mettre en demeure le fabricant de jouets de se conformer à la loi Informatique et libertés dans un délai de deux mois et de rendre publique cette mise en demeure.

Effets de la mise en demeure

Cette mise en demeure ne constitue pas une sanction. Si la société se conforme à la loi dans le délai imparti, aucune suite ne sera donnée. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

En revanche, si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Cnil pourra désigner un rapporteur qui proposera le cas échéant à la formation de prononcer une sanction.

Lignes directrices de la Cnil

Afin de garantir la sécurité des utilisateurs des jouets et objets connectés, la Cnil diffuse des mises en garde s’agissant des jouets et plus généralement des objets connectés à travers plusieurs lignes directrices publiées sur son site (2).

La Cnil recommande ainsi aux utilisateurs d’objets connectés de (3) :

  • vérifier a minima que l’objet ne permet pas à n’importe qui de s’y connecter, par exemple en vérifiant que son appairage avec un smartphone ou depuis Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe ;
  • changer le paramétrage par défaut de l’objet (mot de passe, code PIN, etc.) ;
  • sécuriser l’accès par un mot de passe l’écran de déverrouillage du smartphone (ou de la tablette) et le réseau WiFi utilisé avec l’objet connecté ;
  • être d’autant plus vigilants sur les aspects de sécurisation lorsque les objets produisent des données sensibles, sur la santé ou sur les enfants ;
  • être attentif concernant sa propre vie privée et celle des autres si l’objet connecté est associé à des réseaux sociaux, notamment en désactivant le partage automatique des données ;
  • s’assurer de la possibilité d’accéder aux données et de les supprimer ;
  • éteindre l’objet quand il ne sert pas ou pour éviter de capter des données sensibles.

La Cnil avait déjà dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 janvier 2017 (4).

Lexing Alain Bensoussan Avocats
Lexing Droit de l’internet des objets

(1) Décision de la Cnil n° MED-2017-073 du 20-11-2017 mettant en demeure la société Genesis Industries Limited.
(2) « Il était une fois l’ours connecté mal sécurisé », Infographie de la Cnil du 4-12-2017.
(3) « Objets connectés : n’oubliez pas de les sécuriser ! », Article de la Cnil du 4-12-2017.
(4) N. Plouviet et C. Van Mol, « Faut-il déconnecter les jouets connectés des enfants ? », Alain Bensoussan.com, 3-3-2017.