La Commission Nationale de l’Informatique et des Libertés (CNIL) a été alertée en décembre 2016 par une association de consommateurs que le robot ‘I-QUE’ et la poupée ‘My Friend Cayla’ du fabricant de jouets Genesis Industries Limited souffraient de défauts de sécurité portant préjudice à la vie privée des enfants.
Elle a alors diligenté une enquête.
Ces jouets connectés sont équipés de microphones et de haut-parleurs qui leur permettent de répondre à diverses questions des enfants, par l’intermédiaire d’une application pour téléphone mobile ou pour tablette.
La question est enregistrée, transmise aux serveurs de prestataires de services de l’entreprise, qui renvoient une réponse à la tablette ou au téléphone, et communiquée par le jouet à l’enfant.
La vérification de la CNIL a confirmé que la société collectait une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets, ainsi que des informations renseignées dans un formulaire de l’application ‘My Friend Cayla App’.
La CNIL accuse l’entreprise de :
- Non-respect de la vie privée des personnes en raison d’un défaut de sécurité.
Toute personne située jusqu’à une dizaine de mètres du jouet peut appairer un appareil mobile à ce dernier et entendre et enregistrer toute parole énoncée à proximité. Il est également possible de parler directement à l’enfant en utilisant le haut-parleur du jouet, ou indirectement en appelant le téléphone connecté.
- Défaut d’information des utilisateurs des jouets.
Les utilisateurs des jouets ne sont ni informés des traitements de données mis en œuvre par la société, ni du transfert des contenus de conversations auprès d’un prestataire de services situé hors de l’Union européenne.
Ces défauts sont monnaie courante sur les objets connectés en général, et sur les jouets en particulier.
En décembre 2015, il était révélé que le fabricant de jouets VTech s’était fait pirater les données personnelles de 5,2 millions de clients, tout comme 190 gigaoctets de photos et de correspondances privées.
En février 2017, on apprenait que plus de deux millions de messages sonores d’enfants et de parents étaient exposés à tous à cause de la négligence sécuritaire de CloudPets.com.