Au matin de Noël, nombreux seront les enfants à découvrir des robots « éducatifs » et autres poupées « parlantes » au pied de leur sapin.
Ces jouets dits « connectés » interagissent avec leur utilisateur au moyen de microphones et de hauts parleurs, et sont reliés le plus souvent à une application installée sur un smartphone.
Or, suite à une alerte donnée par une association de consommateurs, la CNIL[1] a épinglé une société hongkongaise, distributrice de jouets interactifs, qui ne respectait pas les dispositions de la loi informatique et libertés[2].
En effet, les jouets connectés collectent de nombreuses données à caractère personnel, notamment les conversations entre les jouets et les enfants, les conversations « en présence » du jouet, ou encore les informations données lors de l’installation de l’application permettant le fonctionnement du jouet (nom, âge, adresse…).
C’est dans ce contexte que la CNIL a pu constater que ces jouets n’étaient pas sécurisés, de sorte que toute personne disposant d’un équipement Bluetooth dans un rayon de 9 mètres pouvait parvenir à se connecter à l’appareil en cause et donc accéder aux données sensibles collectées par celui-ci, et ce à l’insu des utilisateurs.
Ces données dites sensibles étaient par conséquent susceptibles d’être utilisées à des fins publicitaires voire même, d’être détournées par des individus malveillants, pouvant entraîner des usurpations d’identité ou des faits de harcèlement.
En outre, la CNIL a également constaté que les utilisateurs n’étaient pas informés de la collecte de leurs données, et encore moins du transfert de celles-ci vers des prestataires de services situés en dehors de l’Union européenne.
Compte tenu de la gravité des manquements constatés, la CNIL a donc adressé deux courriers de mises en demeure à la société hongkongaise en cause, l’enjoignant de respecter les dispositions en matière de protection des données à caractère personnel en France.
Si ces missives n’ont pas de caractère contraignant, elles ont été rendues publiques afin de sensibiliser les consommateurs aux risques que peuvent comporter l’utilisation de ces appareils.
En effet, à l’heure du numérique, il est recommandé aux utilisateurs, et notamment aux parents, de procéder à quelques vérifications avant l’utilisation de ces jouets.
A titre d’exemple, il convient de régler le paramétrage de ces jouets, en limitant les modes de connexion à l’appareil, en communiquant le moins d’information possible lors de l’installation de l’application mobile liée au jouet, ou enfin, en éteignant le jouet après usage.
Si l’intérêt pour la protection de la vie privée numérique émerge à peine auprès du grand public, cette question sera sans nul doute au centre de l’année 2018, notamment grâce à la mise en place du nouveau règlement européen sur la protection des données.
[2] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460