BFM Business

Pour la Cnil, ces deux jouets connectés peuvent espionner les enfants

La CNIL met en demeure la société GENESIS INDUSTRIES de procéder à la sécurisation de jouets connectés: la poupée My Friend Cayla et le robot I-QUE.

La CNIL met en demeure la société GENESIS INDUSTRIES de procéder à la sécurisation de jouets connectés: la poupée My Friend Cayla et le robot I-QUE. - Leon Neal-AFP

Une poupée et un robot d'origine chinoise ont été épinglés par la Cnil (Commission nationale de l'informatique et des libertés). Celle-ci met en demeure leur fabricant chinois de corriger les failles de sécurité qui permettent un espionnage à distance et la collecte de données.

Attention à certains jouets connectés. Alors que les achats de cadeaux battent leur plein à l'approche des fêtes de fin d'année, la Cnil met en garde contre le robot "I-QUE" et la poupée "My Friend Cayla" de la société Genesis Industries Limited, originaire de Hong Kong. Alors que la Cnil n'a pas le pouvoir d'interdire ces jouets à la vente, la poupée Cayla avait été carrément interdite en Allemagne en février 2017, mais pas son alter ego masculin I-QUE.

Ces jouets répondent aux questions posées par les enfants sur divers sujets tels que des calculs mathématiques ou encore la météo. Ils sont équipés d’un microphone et d’un haut-parleur et sont associés à une application mobile téléchargeable sur téléphone mobile ou sur tablette. La réponse est extraite d’Internet par l’application et donnée à l’enfant par l’intermédiaire des jouets.

Le fabricant collecte des données à l'insu des enfants

Alertée en décembre 2016 par l'association de défense des consommateurs UFC-Que Choisir sur les risques d'espionnage que présentaient ces jouets, la Cnil a procédé à divers contrôles et a interrogé le fabricant Genesis Industries Ltd, basé à Hong Kong.

"Ces vérifications ont permis de relever que la société collecte une multitude d'informations personnelles sur les enfants et leur entourage: les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom...), mais également des informations renseignées dans un formulaire de l'application My Friend Cayla App", a-t-elle constaté.

L'espionnage du jouet peut se faire en mode Bluetooth

Premier grief: en descendant dans la cour de la Cnil, des contrôleurs de la Commission ont pu constater qu'une personne située à l'extérieur, à 9 mètres de distance, pouvait connecter sans fil son smartphone en bluetooth aux jouets sans avoir à s'identifier.

Cette personne a été ainsi en mesure d'entendre et d'enregistrer les paroles échangées entre l'enfant et le jouet, mais aussi d'espionner tout ce qui se passe autour. Il est même possible de diffuser des sons via l'enceinte grâce à la fonction dictaphone du jouet voire d'appeler le téléphone connecté au jouet avec un autre mobile pour parler avec l'enfant. La Cnil considère donc que cette absence de sécurisation des jouets porte potentiellement atteinte à la vie privée et à l'intimité des utilisateurs.

La société Genesis Industries a 2 mois pour rectifier le tir

Deuxième grief: alors que des informations personnelles sont traitées par la société, les contrôleurs de la Cnil ont constaté que "les utilisateurs des jouets ne sont pas informés des traitements de données mis en œuvre par la société. De plus, ils ne sont pas informés du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne".

À la suite de la mise en demeure lancée par la Cnil, la société a deux mois pour remédier aux défauts constatés et se mettre en conformité, faute de quoi une procédure de sanction sera engagée contre elle.

Frédéric Bergé avec AFP