Enfants et jouets connectés (fr)
France > Droit privé > Droit du numérique (fr) > E-commerce
Murielle Cahen, Avocat au Barreau de Paris
Janvier 2018
En décembre 2016, l'association de consommateur "UFC-Que-Choisir" écrivait à la CNIL au sujet de la poupée "?My Friend Cayla" et du robot "i-Que", deux jouets connectés présentant d'importantes failles techniques, notamment au regard de la sécurité des consommateurs, mais aussi au sujet des données récoltées par les jouets en question. La CNIL, par un rapport du 04 décembre 2017 [1], a mis en demeure la société à l'origine desdits produits.
On peut définir l'objet connecté comme celui dont "la connexion à un réseau plus large, que ce soit directement par Wi-Fi par exemple, par l'intermédiaire du smartphone de l'utilisateur (souvent via une connexion Bluetooth) ou grâce à des protocoles de communications qui leur sont propres?" va permettre de "répondre" à l'usager en cherchant la réponse adéquate sur ces réseaux.
Les jouets connectés "Cayla" et "i-Que", comme l'indique la CNIL, "répondent aux questions posées par les enfants […] sont équipés d'un microphone et d'un haut-parleur et sont associés à une application mobile. La réponse est extraite d'Internet par l'application et donnée à l'enfant par l'intermédiaire des jouets".
Néanmoins, les informations issues des échanges vocaux entre l'enfant et le jouet connecté, entre l'enfant et ses autres interlocuteurs ou encore celles issues du formulaire d'inscription de l'application "My Friend Cayla App" sont des données qui sont récoltées par la société basée à Hong-Kong. De plus, il s'avère que l'entreprise n'a intégré aucun dispositif de sécurité quant à l'usage de ces jouets connectés par les consommateurs.
La question se pose donc de savoir quels risques fait encourir l'usage des jouets connectés "?Cayla?" et "?i-Que?" aux enfants et à leurs parents, aussi bien au regard de leur propre sécurité (I) qu'au regard de la confidentialité de leurs données (II).
Le risque d'un usage détourné des jouets connectés lié au défaut de sécurité
Le risque réside ici en ce que toute personne ayant à disposition un outil permettant une connexion par Bluetooth peut faire usage détourné des fonctionnalités des jouets connectés en question (A), sans qu'aucun système sécuritaire d'authentification ne puisse prévenir une telle manœuvre (B).
Un risque lié au détournement des fonctionnalités du produit
Pour rappel, le point commun dont disposent les poupées "Cayla" et les robots "i-Que" reste que ceux-ci constituent des jouets connectés : une application mobile permet en effet d'interagir avec, par le biais de commandes vocales que les jouets vont réceptionner, et auxquelles ils vont répondre, par le biais d'une connexion Bluetooth établie.
Un premier problème réside, comme a pu le relever la CNIL dans son rapport public, dans les manquements graves à la sécurité qui découlent de cette méthode de connexion.
En effet, après des vérifications effectuées par l'institution elle-même, il s'est tout d'abord avéré qu'une connexion aux jouets peut être établie à une distance de plus de 9 mètres. La présence d'obstacles, comme un mur ou une fenêtre, ne pose d'ailleurs aucun souci à un tel appariement.
De plus, les noms assignés au Bluetooth, reprenant simplement la dénomination du jouet en question, rendent d'autant plus simple leur identification à distance.
Toutes ces remarques font de fait prendre conscience du haut risque lié à la sécurité des enfants, notamment dans le cadre d'un usage dans des lieux publics. Ceci étant, le domicile demeure également un lieu à risque, notamment au regard de la distance d'accessibilité du produit.
Après avoir eu accès aux jouets connectés par ce biais, la CNIL a pu constater par elle-même que l'application permettait non seulement l'enregistrement des "conversations" entre l'enfant et le jouet, mais également de dialoguer directement avec l'enfant par le biais de messages enregistrés ou par l'utilisation du jouet en "kit mains libres".
Ces atteintes, comme a pu le souligner la CNIL, constituent une atteinte grave à la sécurité et la vie privée des personnes concernées. Comme indiqué dans le rapport, "La présidente a considéré que l'absence de sécurisation des jouets, permettant à toute personne de possédant un dispositif équipé d'un système de communication Bluetooth de s'y connecter, à l'insu des enfants ou des propriétaires des jouets et d'avoir accès aux discussions échangées dans un cercle familial ou amical, méconnaît l'article 1er de la loi Informatique et Libertés selon lequel l'informatique "ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques"".
Car ces questions de sécurité se posent d'autant plus que l'entreprise fabricante n'a pas pris soin de doter ses produits de systèmes d'authentification.
Un risque accru par manque de système d'authentification
Il a été constaté par la CNIL, et avant elle par UFC-Que-Choisir [2], qu'aucun dispositif d'identification n'était rattaché aux jouets en question, si bien que "l'intrusion" dans le système sera la plupart du temps indétectable pour l'enfant comme pour les parents.
C'est d'autant plus vrai qu'aujourd'hui le nombre d'objets connectés est en forte croissance, et la question reste entière de savoir si un enfant en bas-âge s'avère capable ou non de discerner le fonctionnement "?normal?" du robot de l'utilisation "malveillante" qui peut en être faite.
Les contrôleurs de la CNIL constatent ainsi "qu'une personne peut connecter un téléphone mobile aux jouets […] sans avoir à s'identifier (par exemple, avec un code PIN ou un bouton sur le jouet)". On comprend donc qu'aucune mesure de contrôle ni de prévention n'ont été adoptées par la firme chinoise, le code PIN ayant pu permettre un contrôle parental quand le bouton, lui, aurait pu obliger une certaine proximité.
À la suite de l'établissement de ces risques, déjà constatés par l'association de consommateur en 2016, l'Allemagne avait interdit la commercialisation de ces jouets sur le territoire [3] . En France, la présidente de la CNIL a "?mis en demeure la société GENESIS INDUSTRIES LIMITED de procéder à la sécurisation [des] jouets connectés à destination d'enfants?".
Par ailleurs, si cette sécurisation constitue un des points forts du rapport rendu par la commission, un autre point est à mettre en lumière au regard de la production de données, souvent sensibles, par l'utilisateur des jouets connectés. La CNIL soulève en effet le "?défaut d'information des utilisateurs des jouets?" : toute la question est donc de connaître le degré de transparence de ces entreprises vis-à-vis de la collecte des données vocales récoltées, ainsi que les risques encourus par le traitement de celles-ci.
Le risque d'un usage détourné des données collectées par les jouets en question
Hormis les problèmes liés à la sécurité des consommateurs, il est également question ici des problèmes liés à la gestion des données collectées par le biais des jouets connectés : cette collecte à l'insu des consommateurs constitue non seulement une violation des dispositions en vigueur concernant la protection des données (A), mais également un risque du fait de la fragilité de la protection accordée à ces données (B).
Le problème de la collecte et de la gestion des données à l'insu des consommateurs
Nécessairement, la question des interactions entre les jouets connectés et leurs interlocuteurs soulève de facto celle de la gestion des données personnelles qui peuvent être fournies par ce biais.
En effet l'association de consommateurs, dans son rapport du 06 décembre 2016, soulignait que "les conditions contractuelles autorisent [les fabricants], sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au strict fonctionnement du service". Elle soutient également que "ces données peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiés. Les données sont aussi transmises hors de l'Union européenne, sans le consentement des parents".
De plus, il fut constaté que les jouets en question sont également utilisés à des fins de publicités ciblées par l'entreprise, prononçant "régulièrement des phrases préprogrammées, faisant la promotion de certains produits […] les conditions contractuelles [supposant] que le simple fait de visualiser une publicité ciblée constitue un accord express à recevoir de telles publicités ciblées".
Toutes ces informations violent évidemment et non seulement la Loi Informatique et Libertés, mais également le Règlement Général sur la Protection des Données, nouveau grand texte européen en la matière, amené à entrer en vigueur en mai prochain.
D'ailleurs, les mots de la CNIL résonnent face à la contradiction d'un tel texte, quand elle rappelle que sa décision de mise en demeure publique "n'est pas une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti".
Le problème du vol des données à l'insu des entreprises
La question épineuse de la collecte des données personnelles contient également une sous-jacente, relative à la protection de ces données collectées.
En effet, quand on sait qu'aucun système de traitement des données n'est sécurisable de manière pleine et entière, et à l'heure où de grandes compagnies basant leur modèle économique sur la donnée (comme Uber, pour ne citer qu'eux) font l'objet de fuites massives, la question d'une gestion fiable de nos données par des entreprises aussi peu soucieuses de la sécurité et des lois en vigueur se pose.
D'ailleurs, des produits similaires ont déjà fait l'objet de fuites : en début d'année 2017, l'entreprise américaine "Spiral Toys" a été victime d'une cyberattaque à l'origine du vol de plus de 800 000 messages vocaux enregistrés par les poupées "Cloudpets" sur deux bases de données non sécurisées. L'association UFC-Que-Choisir rapportait à ce sujet que l'entreprise aurait également reçu une demande de rançon en Bitcoin, pour pouvoir récupérer ses données[4].
Les adresses mail et mots de passe des parents font également partie des données sensibles qui ont été dérobées, preuve de l'importance et de la gravité d'un tel manquement à la sécurité des données des utilisateurs.
À cet égard, et comme le rappelle le spécialiste en sécurité informatique Troy Hunt dans un billet sur son blog du 28 février 2017[5], la simple exigence d'un mot de passe complexe lors de la création des comptes utilisateurs par les parents aurait sûrement suffi à éviter une telle fuite. Cette affaire n'est donc pas sans rappeler celle de la poupée Cayla et du robot i-Que, et porte à s'interroger sur la façon dont le droit français pourrait venir réguler ces questions.
L'association de consommateur précitée écrivait, dans son article relatif au scandale impliquant la société hongkongaise, qu'elle appelait "les parents à réfléchir à deux fois avant d'acheter la poupée Cayla et le robot i-Que" et que "Pour ceux déjà équipés et qui souhaitent le conserver, l'association les invite à n'utiliser le jouet connecté qu'en leur présence, ou à défaut de l'éteindre". Elle a part ailleurs saisit la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes ("DGCCRF") dans le but d'obtenir des sanctions "pour tout manquement aux dispositions légales et réglementaires".
La mise en demeure de la CNIL est un premier pas en ce sens. Reste à voir comment les entreprises à l'origine de ces produits réagiront non seulement face à cette alerte, mais aussi et surtout dans les faits face à l'exploitation de plus en plus récurrente de ces failles.
Sources
- ↑ 1 https://www.cnil.fr/fr/jouets-connectes-mise-en-demeure-publique-pour-atteinte-grave-la-vie-privee-en-raison-dun-defaut-de
- ↑ 2 https://www.quechoisir.org/action-ufc-que-choisir-jouets-connectes-alerte-sur-la-securite-et-les-donnees-personnelles-n23355/
- ↑ 3 http://www.numerama.com/tech/234208-lallemagne-bannit-des-jouets-connectes-qui-pourraient-espionner-les-enfants.html
- ↑ 4 https://www.quechoisir.org/actualite-peluches-connectees-des-milliers-de-comptes-dans-la-nature-n25112/
- ↑ 5 https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/