L a CNIL vient de rendre différents rapports pointant du doigt les jouets connectés, pourtant stars des fêtes
Les jouets connectés
Ce sont des jouets à priori ordinaires (téléphone, poupée…) à la différence près qu’ils sont liés à internet et permettent la communication de données.
Une crainte justifiée
Les jouets connectés étant à destination des enfants, ils devraient faire l’objet d’une sécurisation particulière, pourtant les constructeurs semblent avoir été négligeants à ce sujet… En 2015 l’entreprise de jouets connectés Vtech avait été victime d’un piratage massif des données de ses jeunes clients, la plupart mineurs [1]https://siecledigital.fr/2015/12/01/vtech-se-fait-hacker-les-donnees-de-200-000-enfants/.
Images dérobées lors du piratage de Vtech
Par chance le hacker n’était qu’un lanceur d’alerte et a déclaré lui même ne pas faire commerce ni diffuser ces données [2]http://motherboard.vice.com/read/hacker-obtained-childrens-headshots-and-chatlogs-from-toymaker-vtech :
“Ça me rend franchement malade d’avoir pu récupérer tout ça. Je peux accéder à un compte Kid Connect au hasard, regarder les données liées, accéder à leur réseau d’amis ainsi qu’aux parents inscrits. J’ai les informations personnelles des parents avec leurs photos de profil, emails, mots de passe, et pseudonymes de chaque personne dans leurs contacts Kid Connect.”
C’est notamment sur la base de ce précédent que la CNIL fait désormais preuve d’une attention particulière à l’égard de ces jouets connectés.
La mise en demeure d’une société productrice de jouets connectés
Dans sa décision du 20 novembre[3]https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036142140&fastReqId=606052286&fastPos=2, la CNIL met en demeure la société GENESIS INDUSTRIES LIMITED de procéder à sa mise en conformité aux obligations de sécurité concernant des jouets, dont une poupée :
La poupée Cayla, un des deux jouets produits par la société
La société est ainsi mise en cause concernant :
Une collecte d’une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l’application ‘My Friend Cayla App’
Infographie de la CNIL pour illustrer ce cas – CNIL.fr
Est également mis en cause la défaillance du système bluetooth du jouet facilement piratable comme le démontre l’infographie précédente. Est également visé le manquement à l’obligation d’informer les consommateurs et à l’obligation d’assurer la sécurité et la confidentialité des données sur le fondement de l’article de la Loi Informatique et Libertés disposant :
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
La société a désormais 2 mois pour se mettre en ordre suite à cette mise en demeure sous peine de sanctions prononcées par la CNIL.
Reférences
| ↑1 | https://siecledigital.fr/2015/12/01/vtech-se-fait-hacker-les-donnees-de-200-000-enfants/ |
|---|---|
| ↑2 | http://motherboard.vice.com/read/hacker-obtained-childrens-headshots-and-chatlogs-from-toymaker-vtech |
| ↑3 | https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036142140&fastReqId=606052286&fastPos=2 |
