Après une alerte lancée en décembre 2016 par l’association de défense des consommateurs UFC-Que Choisir, la commission nationale d’informatique et des libertés, CNIL a effectué une vérification technique de deux jouets : le robot « I-QUE » et la poupée « Mon amie Cayla »(« My friend Cayla ») . Comme résultat de ce contrôle, la CNIL a constaté de graves failles de sécurité ; par conséquent la présidente de la commission, Isabelle Falque-Pierrotin, a décidé de mettre en demeure la société Genesis Industries Limited, fabricant de ces jouets connectés, de se conformer à la loi Informatique et Libertés dans un délai de deux mois. Le robot et la poupée sont des jouets connectés, équipés d’un microphone et un haut-parleur, reliés à Internet par une application mobile téléchargeable sur le téléphone mobile ou la tablette. Ils sont capables de reconnaître la voix des enfants et de répondre à leurs questions sur plusieurs sujets, tels que la météo ou des calculs mathématiques, mais en même temps ils collectent des informations personnelles sur les enfants et leur entourage. Les contrôleurs de la CNIL ont vérifié qu’une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment, peut facilement se connecter au jouet par un standard de communication bluetooth sans avoir à s’authentifier, et est aussi en mesure d’entendre et d’enregistrer tout ce que l’enfant échange avec son jouet et sa famille, d’espionner tout ce qui se passe dans son entourage. La commission a constaté aussi qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet de deux façons : en utilisant la fonction dictaphone de certains téléphones, il est possible d’enregistrer des sons et des propos et de les diffuser après via l’enceinte du jouet, ou en appelant au téléphone connecté au jouet, comme un « kit main libre ». En outre, la commission a confirmé que les utilisateurs ne sont pas informés des traitements de la multitude des données mis en œuvre par la société hongkongaise. Les utilisateurs ne sont pas informés du fait que la société transfère les contenus des conversations auprès d’un prestataire de service hors de l’Union Européenne. La Présidente de la CNIL a considéré que l’absence de sécurisation des jouets méconnait l’article 1 de la loi Informatique et Liberté de 1978 selon lequel « ne doit porter atteinte, ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » « La poupée espionne » est interdite en Allemagne depuis février.
ROCIO DURAN
CNIL, THE HUFFINGTON POST, LE MONDE »