À l’approche des fêtes de Noël, la CNIL a mis en demeure ce lundi 4 décembre 2017, un fabricant chinois de jouets connectés, pour violations de la réglementation sur les données personnelles.
Alertée un an plus tôt par l’association UFC QUE CHOISIR, la CNIL a procédé à des contrôles auprès du fabricant.
Deux jouets connectés sont en cause : la poupée « ayla » et le robot « I-que ».
Ces jouets, équipés d’un micro et d’un haut-parleur, ont la possibilité de se connecter sur internet par l’intermédiaire d’un smartphone.
Concrètement, la CNIL fait état de plusieurs griefs à l’encontre du fabricant chinois.
Elle lui reproche notamment l’absence d’information et de recueil du consentement des parents pour autoriser la collecte de données sur leurs enfants. Les données concernées sont la voix des enfants, les informations renseignées sur l’application en ligne et les conversations échangées qui peuvent être transférées « auprès d’un prestataire de service situé hors de l’Union européenne » comme le précise la CNIL.
Plus inquiétant, la CNIL relève l’existence de plusieurs failles aux conséquences potentiellement importantes. Elle constate ainsi qu’une personne située à l’extérieur d’un bâtiment où se trouverait le jouet (à 9 mètres) a la possibilité d’entendre, d’enregistrer, voire de communiquer avec l’enfant par l’intermédiaire du jouet.
Le manque de sécurisation liée à la connexion Bluetooth de ces jouets a particulièrement retenu l’attention de la CNIL. Ainsi, un tiers serait susceptible, même en l’absence d’authentification, de se connecter au jouet via son smartphone.
La France n’est pas le seul pays inquiet : aux États-Unis, le FBI alertait déjà en juillet dernier des failles et des conséquences possibles du traitement des données via les jouets connectés. L’Allemagne a quant à elle interdit la commercialisation de la poupée Cayla.
La CNIL a mis en demeure le fabricant chinois de se conformer aux dispositions en vigueur dans un délai de deux mois. À défaut, celui-ci risque une sanction financière.
Celle-ci pourrait d’autant plus être importante qu’elle pourrait intervenir après l’entrée en vigueur du RGPD.
