A l’approche de Noël et face à la multiplication des offres de jouets connectés pour enfants dans les rayons de magasins ou sur Internet, l’UFC-Que Choisir dénonce aujourd’hui, sur la base d’une analyse technique, des lacunes quant à la sécurité et la protection des données personnelles des enfants utilisateurs de la poupée connectée ‘Mon amie Cayla’ et du robot connecté ‘i-Que’ disponibles chez de nombreux vendeurs en France. Sur la base de ces inquiétants constats, l’association saisit la CNIL et la DGCCRF.
L’étude technique commanditée par notre homologue norvégien, Forbrukerradet, souligne que Cayla et i-Que, en apparence inoffensifs, ne garantissent pas le respect de la vie privée et de la sécurité des données personnelles de vos enfants.
Faille de sécurité du Bluetooth intégré
Ces jouets disposent d’un microphone intégré qui se connecte par Bluetooth à une application mobile, préalablement téléchargée par l’utilisateur sur son smartphone ou sa tablette. Le jouet peut alors comprendre ce que lui dit l’enfant et y répondre. Mais, les sociétés fabricantes, ont fait le choix d’implanter dans Cayla et i-Que, une technologie Bluetooth sujette à des risques de failles de sécurité élevées.
En effet, si les sociétés ont fait le choix d’une connexion simple et rapide, aucun code d’accès ou procédure d’association entre ces jouets et les téléphones/tablettes n’est exigé avant la connexion au jouet, ce qui garantirait pourtant que seul le propriétaire puisse s’y connecter. Résultat : un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans même que vous en soyez averti. La connexion peut même se faire à travers une fenêtre ou un mur en béton et le nom du Bluetooth, « Cayla » et « i-Que », permet très simplement d’identifier les poupées. Plus grave encore… Un tiers peut prendre le contrôle des jouets, et, en plus d’entendre votre enfant, communiquer avec lui à travers la voix du jouet.
Conditions contractuelles et utilisation des données personnelles
La protection des données personnelles des utilisateurs français est prévue par la loi Informatique et Libertés mais semble avoir été oubliée par les sociétés fabricantes.
Les conditions contractuelles les autorisent, sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au stricte fonctionnement du service. Ces données peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiés. Les données sont aussi transférées hors de l’Union européenne, sans le consentement des parents: « aux Etats-Unis, ou vers les autres territoires concernés où les lois sur la protection de la vie privée ne sont peut-être pas aussi complètes que celles du pays où vous résidez et/ou dont vous êtes ressortissant»!
Matraquage publicitaire ciblé
Les sociétés fabricantes n’hésitent pas à faire de la publicité ciblée à destination de vos enfants. Les conditions contractuelles supposent que le simple fait de visualiser une publicité ciblée, constitue de votre part, un accord express à recevoir de telles publicités ciblées. L’étude a ainsi révélé que Cayla et i-Que prononcent régulièrement des phrases préprogrammées, faisant la promotion de certains produits – notamment des produits Disney ou des références aux dessins animés de Nickelodeon.
Loin d’être des cas isolés, Cayla et i-Que reflètent un problème général de sécurité et de données personnelles des jouets connectés. En effet, l’étude commanditée par nos homologues norvégiens souligne que la poupée Hello Barbie (pas encore commercialisée en France) est sujette aux mêmes griefs.
Au vu de ces éléments inquiétants, l’UFC-Que Choisir:
appelle les parents à réfléchir à deux fois avant d’acheter la poupée Cayla et le robot i-Que ; rappelle qu’en cas de vente à distance, ils bénéficient d’un délai de rétractation de 14 jours. Pour ceux déjà équipés et qui souhaitent le conserver, l’association les invite à n’utiliser le jouet connecté qu’en leur présence, ou à défaut de l’éteindre.
saisit d’une part la CNIL pour qu’elle diligente sans délai un contrôle du respect de la protection des données personnelles des utilisateurs de la poupée Cayla et du robot i-Que, et d’autre part, la DGCCRF afin que ses services enquêtent sur le niveau de sécurité des jouets connectés et sanctionnent tout manquement aux dispositions légales et réglementaires.