Jouets connectés : Méfiez-vous des poupées et robots qui violent la vie privée de vos enfants... et la vôtre !


C’est la période des fêtes : le moment est venu de trouver le prochain cadeau de vos enfants ! Les Playmobil et Lego étant un peu trop muets à votre goût, vous penchez cette année pour les jouets dits « connectés », tels la poupée « My Friend Cayla » et le robot « I-QUE ». Méfiez-vous, bien qu’innovants, ces jouets ne respectent pas toujours la vie privée de vos enfants ! Il n’en fallait bien pas moins à la CNIL pour mettre la main dessus…

Source

Qu’est-ce qu’un objet connecté ?


Les objets connectés sont des objets dotés de moyen de communication avec ou sans fil (Wi-Fi, Bluetooth) qui prennent souvent la forme d’objets d’apparence anodine (poupées, robots, etc.) et qui collectent des informations. On les retrouve dans de nombreux domaines, comme la domotique, le sport, le bien-être et la santé, les activités de loisirs, etc.

Ces objets peuvent être autonomes ou peuvent fonctionner avec un smartphone ou une tablette. Ce dernier sert de télécommande pour les contrôler directement ou servir de relais pour échanger des données sur Internet. Ces données sont alors consultables sur l’appareil mobile ou sur le service web de l’éditeur.

Cependant, l’utilisation mal contrôlée ou non sécurisée d’un jouet connecté peut confronter les enfants/utilisateurs à des problématiques importantes.

Qui sont la poupée « My Friend Cayla » et le robot « I-QUE » ?


Ce sont des jouets qui répondent aux questions posées par les enfants sur divers sujets tels que des calculs mathématiques ou encore la météo.

Ils équipés d’un microphone et d’un haut-parleur et sont associés à une app. La réponse est extraite d’Internet par l’application et donnée à l’enfant par l’intermédiaire des jouets.

Mise en demeure publique


En date du 04 décembre, la CNIL (le régulateur des données personnelles en France) a mis en demeure la société GENESIS INDUSTRIES LIMITED (basée à Hong-Kong mais distribuant les objets en France) de procéder à la sécurisation des deux jouets.

Elle a constaté, après certaines vérifications, que cette société « collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l’application ‘My Friend Cayla App’ ».

Plus précisément, les données personnelles visées sont :

  • La voix d’une personne (avis du G29 n° 4/2007 du 20 juin 2007) ;
  • Le contenu des conversations échangées avec les jouets qui est associé aux adresses adresses IP des utilisateurs ; et
  • Le contenu des conversations échangées avec les jouets qui peut révéler les données directement ou indirectement identifiantes des enfants mais aussi de membres de leur entourage, dès lors que les enfants pourraient être amenés dans le cadre du jeu, à confier une multitude d’informations dont par exemple leur nom, prénom, adresse etc.

Plusieurs manquements à loi Informatique et Libertés ont été constatés dont notamment :

Le non-respect de la vie privée et des libertés individuelles


Les contrôleurs de la CNIL ont constaté qu’une personne située à une distance de 9 mètres des jouets à l’extérieur d’un bâtiment, pouvait connecter (ou « appairer ») un smartphone aux jouets via Bluetooth sans avoir à s’authentifier (avec un code PIN ou un bouton sur le jouet).

Elle était également en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci.

Une fois la 1ère connexion effectuée, un deuxième appairage pouvait aussi s’effectuer à une distance de 20 mètres.

La CNIL a également relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet par deux techniques :

  • soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ;
  • soit en utilisant les jouets en tant que « kit main libre ». Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.

Et de conclure que le défaut de sécurisation des jouets constituait bien un manquement à l’article 1er de la loi Informatique et Libertés selon lequel l’informatique « ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Manquement à l’obligation d’informer les personnes


Après l’installation de l’application My Friend Cayla App, un formulaire de demande d’informations relatives à l’enfant s’affiche. Les clients sont amenés à renseigner diverses informations comme  le prénom de l’enfant, celui de ses parents, le nom de son école, son lieu d’habitation, etc.

Cependant, le formulaire ne contenait aucune information relative aux traitements de données à caractère personnel mis en œuvre.

Il ressort également des constats de la CNIL que les conditions d’utilisation et les politiques de confidentialité des applications My Friend Cayla App et iQue Robot app étaient incomplètes en ce qu’elles n’indiquaient notamment pas les transferts de données à caractère personnel à destination des Etats-Unis de l’UE.

En outre, la politique de confidentialité des sites ique-robot.com et myfriendcayla.com ne contenait aucune information relative à la nature des données transférées, à la finalité du transfert, aux catégories de destinataires des données et au niveau de protection offert par le pays destinataire.

Ces faits constituaient immanquablement un manquement à l’article 32-I de la Loi Informatique et Libertés.

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données


Il ressort également des investigations de la CNIL que la transcription en texte des conversations échangées entre les utilisateurs et les jouets est envoyée depuis le serveur de la société vers les applications en cause via le protocole non chiffré HTTP.

Or, dans le cadre des discussions entre les enfants et les jouets, certaines données à caractère personnel seront amenées à être fournies par les enfants et donc traitées par la société et son prestataire.

Par conséquent, la sécurité et la confidentialité des données n’était donc pas assurée à l’occasion des échanges avec la société dans la mesure où il n’existait aucun chiffrement du canal utilisé.

Ces faits constituent eux aussi un manquement à l’article 34 de la Loi Informatique et Libertés qui dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » .

Et maintenant ?


La société GENESIS INDUSTRIES LIMITED doit se conformer à la loi Informatique et Libertés dans un délai de deux mois.

Passé ce délai, si la société ne se conforme pas, la CNIL pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL de prononcer une sanction (la peine d’amende pouvant atteindre 1.500.000 €).

Comments

Post a Comment

Popular posts from this blog

Ethical Coffee Company Sues Nestlé Nespresso For €150m

Image
Fresh and interesting article posted by WIPR  concerning a European patent for a "device for preparing a drink extracted from a capsule", owned by Ethical Coffee Company (ECC). As you all know, Nespresso machines brew espresso from coffee capsules, a type of pre-apportioned single-use container of ground coffee and flavorings. In the case at hand, ECC, a Swiss Company, also creating capsules compatible with Nespresso machines, is suing Nestlé, in Paris, for alleged patent infringement. In other words, ECC is not happy with the way Nestlé modified the Nespresso machines back in 2010, keeping competitors’ capsules out of them and, more importantly, violating the patented "harpoon mechanism". Happy reading! "The man who oversaw  Nestlé’s Nespresso brand of coffee machines  has sued his former employer for alleged patent infringement.   Ethical Coffee Company , which makes coffee capsules that can be used in the Nespresso machine, has claimed that
Read more

A Look Inside The Apple Watch : Intellectual Property Rights And Future Legal Battles

Image
It is not just a watch. It is a masterpiece of intellectual property (IP) rights. It is not just a revolutionary product. It is the next chapter in Apple Inc.’s story. Apple believes in technology designed for the wrist (such as a smartwatch), but also in a strong design patent protection strategy. To protect this wearable, as a result of their investment, Apple applied for and received several design patents. Every detail is protected: the drawer where the watches are shown, the bracelet, the “slide-in” interchangeable strap system mechanism, the digital crown, the display, the charger, the retail box, etc. Future innovations will however continue to copy this kind of consumer products and challenge the Courts. In this context, developing and/or acquiring intellectual property rights may create a solid foundation for growth and success. Indeed, a winning exploitation of IP assets, including but not limited to know-how, patents, trademarks, aligned with your passion for innovati
Read more