Accueil / Données personnelles / Un fabricant de jouets connectés dans le viseur de la CNIL

Un fabricant de jouets connectés dans le viseur de la CNIL

Avoir avoir fait constater une atteinte grave à la vie privée en raison d’un défaut de sécurité, la CNIL (Commission Nationale de l’Informatique et des Libertés) met en demeure la société GENESIS INDUSTRIES LIMITED de procéder à la sécurisation de jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE ». 

 

Alertée, en décembre 2016, par une association de consommateurs sur le défaut de sécurité des deux jouets, la CNIL a décidé de réaliser des contrôles en ligne en janvier et novembre 2017. Elle a par ailleurs adressé un questionnaire en mars 2017 à la société située à Hong-Kong.

Ces vérifications ont permis de relever que la société collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l’application « My Friend Cayla App ».

Plusieurs manquements à loi Informatique et Libertés ont été constatés à commencer par le non-respect de la vie privée des personnes en raison d’un défaut de sécurité. Ainsi, les contrôleurs de la CNIL ont constaté qu’une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment, peut connecter (ou « appairer ») un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier (par exemple, avec un code PIN ou un bouton sur le jouet).

La personne située à une telle distance est en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci, précise la CNIL.

La délégation de la CNIL a également relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet par deux techniques : soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ; soit en utilisant les jouets en tant que « kit main libre ». Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.

jouet-connecte-cnil

 

La Présidente de la CNIL a donc décidé de mettre en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi Informatique et Libertés dans un délai de deux mois.

Au regard de l’atteinte portée la vie privée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, le bureau de la CNIL a décidé de rendre publique cette mise en demeure adressée à la société GENESIS INDUSTRIES LIMITED.

La CNIL rappelle que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

En revanche, si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente de la CNIL pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer une sanction.

A lire aussi

compteurs-gazpar-linky

Linky, Gazpar… comment maîtriser la collecte de vos données de consommation par des compteurs communicants

Une nouvelle génération de compteurs d’électricité et de gaz (qui suscite parfois suspicion et controverse chez certains usagers) est en cours de déploiement. Ces appareils peuvent collecter des données plus détaillées sur votre consommation énergétique que les compteurs traditionnels. Quelles sont les mesures prévues pour garantir la maîtrise de vos données ? La CNIL (Commission Nationale de l'Informatique et des Libertés) fait le point.

RGPD-CNIL

Données personnelles / La CNIL alerte les entreprises sur des arnaques à la « mise en conformité RGPD »

A compter du 25 mai 2018, toutes les entreprises de France, mais aussi l'Union Européenne qui collectent ou traitent des données à caractère personnel devront, sous peine de lourdes sanctions financières, s'être mises en conformité avec le Règlement Général sur la Protection des Données (RGPD). Ce Règlement européen vient remplacer la loi Informatique et libertés. Ce texte vise à défendre les droits et libertés des individus par la protection des données personnelles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.