La Cnil conseille d’éviter l’achat de jouets connectés à destination d’enfants, en l’occurrence  la poupée « My Friend Cayla » et le robot « I-QUE » ; elle  met en demeure le fabricant la société Genesis Industries, située à Hong Kong, de procéder sous deux mois à leur sécurisation.

Une mise en demeure publique qui intervient pour atteinte grave à la vie privée en raison d’un défaut de sécurité.

Ces deux jouets sont de véritables espions à domicile à proximité des enfants en  collectant activement des données d’ordre privé et en les transférant  hors de la communauté européenne.

Ils  sont très facilement piratables à l’aide d’un smartphone bluetooth.

Le robot « I-QUE » et la poupée « My Friend Cayla » répondent aux questions posées par les enfants sur des sujets tels que des calculs mathématiques par exemple. Ils sont équipés d’un microphone et d’un haut-parleur et sont associés à une application mobile téléchargeable sur téléphone mobile ou sur tablette.

La réponse extraite d’internet par l’application est donnée à l’enfant par l’intermédiaire des jouets.

Les vérifications de la Cnil montrent que la société chinoise collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, la teneur des conversations échangées avec les jouets et des informations renseignées dans un formulaire de l’application « My Friend Cayla App ».

Les conversations peuvent comprendre des données identifiantes comme une adresse, un nom …

Les enquêteurs de la Cnil ont constaté qu’une personne située à 9 mètres des jouets, même à l’extérieur d’un bâtiment, peut y connecter un téléphone mobile aux jouets en Bluetooth sans avoir à s’authentifier, que ce soit avec un code PIN ou un bouton sur le jouet.

La personne à distance est en capacité d’écouter  et d’enregistrer les paroles échangées entre l’enfant et le jouet  mais aussi toute conversation à proximité de celui-ci.

La Cnil  souligne qu’il est possible de communiquer avec l’enfant situé à proximité du jouet en diffusant, via l’enceinte, des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones , ou en utilisant les jouets en tant que « kit main libre ».

Il est alors possible d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant se situant à proximité du jouet.

Toute personne possédant un dispositif Bluetooth peut se connecter aux jouets, à l’insu des enfants et des parents des jouets et d’avoir accès aux discussions échangées dans un cercle familial.

Une infraction à la loi Informatique et Libertés

Ce fonctionnement, indique la CNIL , méconnait l’article 1er de la loi selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

De plus, ces informations collectées sont traitées par le fabricant chinois et les gardiens des jouets ne sont pas informés des traitements de données mis en œuvre.

Ils ne sont pas, non plus, informés que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne.

La société Genesis Industries est donc mise en demeure de se conformer à la loi Informatique et Libertés dans un délai de deux mois.

Compte tenu de l’atteinte  à la vie privée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, le bureau de la CNIL a rendu publique cette mise en demeure.