La Cnil conseille en substance d’éviter l’achat de deux jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE ». La Cnil met en demeure leur fabricant la société Genesis Industries, située à Hong Kong, de procéder à leur sécurisation sous deux mois. Cette mise en demeure publique intervient pour atteinte grave à la vie privée en raison d’un défaut de sécurité.
Espionnage à tout va
Il faut dire que ces deux jouets sont de véritables espions à domicile, au plus près des enfants. Ils collectent des données d’ordre privé à tout va, les transfèrent en dehors de la communauté européenne, et sont très aisément piratables à l’aide d’un smartphone bluetooth.
Le robot « I-QUE » et la poupée « My Friend Cayla » répondent aux questions posées par les enfants sur des sujets tels que des calculs mathématiques ou la météo. Les jouets sont équipés d’un microphone et d’un haut-parleur et sont associés à une application mobile téléchargeable sur téléphone mobile ou sur tablette. La réponse est extraite d’internet par l’application et donnée à l’enfant par l’intermédiaire des jouets.
Les vérifications de la Cnil montrent que la société chinoise collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets et des informations renseignées dans un formulaire de l’application « My Friend Cayla App ». Les conversations peuvent comprendre des données identifiantes comme une adresse, un nom, …
Piratable à distance
Les contrôleurs de la Cnil ont constaté qu’une personne située à 9 mètres des jouets, même à l’extérieur d’un bâtiment, peut y connecter un téléphone mobile aux jouets en Bluetooth sans avoir à s’authentifier, que ce soit avec un code PIN ou un bouton sur le jouet. La personne à distance est en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci.
La Cnil relève qu’il est possible de communiquer avec l’enfant situé à proximité du jouet en diffusant via l’enceinte des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ; ou en utilisant les jouets en tant que « kit main libre ». Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.
Toute personne possédant un dispositif Bluetooth permet de se connecter aux jouets, à l’insu des enfants et des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical. Ce fonctionnement méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
Transfert des données à l’étranger
De plus, des informations personnelles sont traitées par le fabricant chinois. Les utilisateurs des jouets ne sont pas informés des traitements de données mis en œuvre. De plus, ils ne sont pas informés du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne. La société Genesis Industries doit se conformer à la loi Informatique et Libertés dans un délai de deux mois.
Au regard de l’atteinte portée la vie privée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, le bureau de la CNIL a décidé de rendre publique cette mise en demeure.