Gare aux jouets connectés à Noël : la Cnil vient d'adresser une mise en garde publique à un fabricant qui vend deux produits insuffisamment sécurisés. En outre, la façon dont les données personnelles sont collectées et traitées est très insatisfaisante au regard de la loi.

Attention aux jouets que vous comptez offrir à vos enfants pour Noël : vous risqueriez d’avoir une vilaine surprise au pied du sapin. Outre ceux qui ne vont peut-être pas leur plaire, certains cadeaux présentent en effet un grave risque pour leur sécurité. C’est le cas en particulier de certains produits vendus par Genesis Industries Limited, une société basée à Hong Kong.

Si la liste au Père Noël de votre charmante progéniture comporte le robot I-Que et la poupée My Friend Cayla, mieux vaut vous abstenir et prendre autre chose : la Cnil (commission nationale de l’informatique et des libertés) a en effet adressé une mise en demeure publique contre la firme chinoise pour « plusieurs manquements » à loi Informatique et Libertés.

Selon les contrôles menés par la Cnil, il a été possible de connecter un smartphone à l’un de ces jouets en étant à une distance de 9 mètres, par Bluetooth, sans qu’aucun mot de passe ne soit demandé ni aucun bouton d’appairage ne soit actionné. En théorie, la portée du signal est suffisante pour qu’un pirate puisse rester à l’extérieur du foyer ou du centre pour enfants dans lequel le jouet se trouve.

Écouter, enregistrer, diffuser

Plus problématique encore, la distance peut être beaucoup plus grande une fois la première connexion effectuée : les agents de la Cnil ont ainsi réussi à prendre le contrôle de ces jouets alors qu’ils étaient éloignés de 20 mètres. Et une fois la liaison établie, le pirate a la possibilité d’entendre et d’enregistrer toutes les paroles échangées entre l’enfant et le jouet ou toute conversation se déroulant à proximité.

L’inverse est aussi possible : le pirate a la possibilité de communiquer avec l’enfant ou la personne située non loin du jouet, soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains mobiles, soit en passant les jouets en « kit main libre », en appelant le smartphone connecté au jouet avec un autre mobile, explique la Cnil.

Données personnelles

L’enquête de la Cnil a par ailleurs mis en lumière le fait que le groupe « collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) ». Sont aussi pointées du doigts les éléments collectés via un formulaire contenu dans l’application « My Friend Cayla ».

Or, les clients de ces appareils « ne sont pas informés des traitements de données mis en œuvre par la société » ni ne sont prévenus « du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne », et dont le pays dans lequel il est situé ne propose pas le même niveau d’exigence sur la protection des données personnelles.

Deux mois pour rentrer dans les clous

Les vérifications de la Cnil se sont décomposés en deux contrôles, un janvier et un autre en novembre, et un questionnaire qui a été adressé en mars à Genesis Industries Limited. Elles font suite à la mise en garde d’une association de consommateurs, l’UFC-Que Choisir, sur le défaut de sécurité de ces deux jouets. De son côté, Why ?, une association britannique, a tiré la sonnette d ‘alarme en novembre.

Désormais, Genesis a deux mois pour se conformer aux exigences de la Cnil sinon une sanction pourra être décidée. Ce n’est en tout cas pas la première fois que le groupe a des ennuis. En février, il a dû retirer de la vente en Allemagne le jouet Mon amie Cayla à cause de ses risques de piratage facile. Les contrôles réalisés en novembre par la Cnil laissent à penser qu’aucun changement de fond n’a eu lieu depuis.