Jouets connectés pour Noël : quels risques sur la sécurité des données personnelles ?
Comment fonctionne un jouet connecté
Un jouet connecté a l’apparence d’un jouet traditionnel (peluche, poupée, robot, jeu de carte) ou technologique (montre, drone). Mais c’est en fait un modèle bien plus sophistiqué, connecté par Wi-Fi ou Bluetooth à un autre appareil (smartphone, tablette). Il est même parfois accompagné d’une application mobile disponible sur Android ou iPhone /iPad.
Ce type de jouet nécessite l’ouverture d’un compte en ligne et l’enregistrement d’informations personnelles sur l’utilisateur (nom, adresse, date de naissance, adresse mail, n° de téléphone, goûts, etc).
Le jouet connecté est doté de fonctionnalités interactives : reconnaissance vocale ou faciale, géolocalisation. Il est équipé d’une caméra, d’un appareil photo et/ou d’un microphone. Enfin, les données enregistrées sont stockées dans le cloud (dans des bases de données alimentées via internet).
Poupée, montre, voiture, drone connecté, robot interactif : protégez la vie privée de vos enfants
Sous ses airs de poupée ou robot inoffensif, le jouet connecté peut pourtant présenter un danger pour la vie privée de vos enfants. Le problème : son utilisation n’est pas toujours sécurisée.
Jeux et jouets interactifs : La protection des données personnelles
En France, les données personnelles sont protégées par la loi informatique et libertés : personne n’est autorisé à les divulguer ou les exploiter sans votre accord. Les fabricants de jouets ont comme les autres la responsabilité de sécuriser les données enregistrées par le jouet connecté. Pourtant, certains fabricants peu scrupuleux ne prévoient pas de « verrous » pour sécuriser le jouet, souvent par soucis d’économie.
Début décembre 2017, la CNIL (Commission nationale de l’informatique et des libertés) a sommé la société Genesis Industries Limited de procéder à la sécurisation de la poupée « My Friend Cayla » et du robot connecté « I-Que ». Cette société collecte quantité d’informations personnelles sur les enfants à travers ses jouets (voix, conversations, données d’identification) et cela pose plusieurs problèmes. D’une part les utilisateurs ne sont pas avertis de la collecte de leurs données, et d’autre part, la société transfère les informations chez un prestataire situé hors de l’Union européenne. Rien n’empêche alors qu’elles soient utilisées à des fins commerciales.
En juin 2018, c’est Amazon et Ebay qui décident de retirer de leur site les peluches connectées de la marque CloudPets dont le logiciel comporterait des failles et permettrait d’espionner les enfants et leurs parents.
Le risque de malveillance et d’espionnage des jouets connectés
Les contrôleurs de la CNIL ont également constaté que ces deux jouets intelligents présentaient des risques de malveillance et d’espionnage : dans un rayon d’une dizaine de mètres, un inconnu peut directement se connecter au jouet avec son smartphone sans avoir à s’authentifier. Il est alors en mesure d’écouter et d’enregistrer les conversations de l’enfant, et même de communiquer avec lui.
Autre exemple inquiétant : le bureau européen des unions de consommateurs a récemment constaté que certains modèles de montres connectées commercialisées en Norvège permettaient à n’importe qui équipé d’un téléphone mobile ou d’une tablette de suivre à la trace les utilisateurs et d’enregistrer leurs conversations.
En Mai dernier, le Règlement Général sur la Protection des Données (RGPD) est venu renforcer la protection des données personnelles des personnes, et s’impose également aux fabricants qui sont désormais tenus de s’y conformer sous réserve de peines d’amende considérables.
Le matraquage publicitaire ciblé visant les enfants
Fin 2016, l’association de défense des consommateurs UFC-Que Choisir a démontré que la poupée Cayla et le robot i-Que étaient programmés pour promouvoir certains produits Disney à travers des phrases pré-enregistrées. Et ces deux jouets connectés ne sont malheureusement pas des cas isolés de ciblage publicitaire.
Comment sécuriser les jouets communiquant par bluetooth ou Wi-Fi
Au moment de l’initialisation du jouet connecté
Par prudence, maquillez vos données personnelles et ne donnez qu’un minimum d’informations nécessaires :
- Indiquez une fausse date de naissance pour votre enfant.
- Inventez des pseudonymes au lieu d’utiliser de vrais nom et prénom.
- Créez une adresse mail spécifique pour l’utilisation du jouet.
Avant utilisation du jouet connecté
Quelques recommandations de la CNIL pour éviter le piratage des jouets connectés :
- Vérifiez que la connexion du jouet à votre smartphone ou votre tablette nécessite un mot de passe.
- Modifiez d’emblée les paramètres de sécurité du jouet (mot de passe, code PIN).
- Créez un mot de passe fort (2 lettres dont une majuscule et 6 chiffres par exemple) pour sécuriser l’accès au compte Internet dédié au jouet.
- Pensez à faire régulièrement des mises à jour des paramètres de sécurité.
- Renseignez-vous sur la fiabilité et les éventuelles vulnérabilités du jouet avant même de l’acheter.
Après avoir joué
- Eteignez systématiquement le jouet après utilisation.
- Supprimez les données enregistrées sur le jouet et le compte en ligne après utilisation.
- Désactivez la fonction permettant de partager les informations sur les réseaux sociaux.
A découvrir aussi : Achats de Noël : misez sur la sécurité des jouets |
Problème avec un jouet connecté : quels sont les recours
Que faire si vous constatez qu’un jouet connecté présente des failles dangereuses pour vos enfants ?
Vous pouvez en informer une association de consommateurs (par exemple, UFC-Que choisir). Vous pouvez aussi saisir la CNIL, organisme public ayant notamment pour mission de protéger le consommateur contre tout usage abusif de ses données personnelles, ou la DGCCRF (Direction générale de la concurrence, de la communication et de la répression des fraudes) : elles vérifieront le niveau de sécurité du jouet et pourront mener le cas échéant une action contre le fabricant de jouet.
Dernière possibilité : vous retourner contre le fabricant si vous estimez que le jouet est préjudiciable à la vie privée de vos enfants. Dans ce cas, mieux vaut être bien renseigné sur vos droits. Pour être conseillé efficacement et accompagné dans vos démarches, il peut être bénéfique de souscrire une garantie Protection Juridique .
Cette assurance vous garantira une assistance dans la résolution des litiges. Important à savoir : pour être pris en charge, vous devez avoir souscrit à ce contrat avant que le litige ne soit avéré.
A titre d’exemple, avec le contrat AvoCotes Protection Juridique :
– vous avez un accès illimité aux conseils de 150 juristes experts.
– si vous devez faire appel à un avocat, ses honoraires sont pris en charge jusqu’à 50.000 € (dans les limites et conditions prévues dans le contrat).
Vous souhaitez plus de renseignements sur l’assurance AvoCotés Protection Juridique ? N’hésitez pas à contacter nos conseillers, ils répondront à vos questions !
Que faire si vous constatez qu’un jouet connecté présente des failles dangereuses pour vos enfants ?
Vous pouvez en informer une association de consommateurs (par exemple, UFC-Que choisir). Vous pouvez aussi saisir la CNIL, organisme public ayant notamment pour mission de protéger le consommateur contre tout usage abusif de ses données personnelles, ou la DGCCRF (Direction générale de la concurrence, de la communication et de la répression des fraudes) : elles vérifieront le niveau de sécurité du jouet et pourront mener le cas échéant une action contre le fabricant de jouet.
Dernière possibilité : vous retourner contre le fabricant si vous estimez que le jouet est préjudiciable à la vie privée de vos enfants. Dans ce cas, mieux vaut être bien renseigné sur vos droits. Pour être conseillé efficacement et accompagné dans vos démarches, il peut être bénéfique de souscrire