La Commission nationale de l'informatique et des libertés (CNIL) annonce la mise en demeure du fabricant Genesis Industries Limited basé à Hong Kong. Dans le viseur : la poupée My Friend Cayla et le robot I-QUE.
L'action de la CNIL fait suite à une plainte de l'UFC-Que Choisir fin 2016. L'association avait pointé du doigt ces deux jouets connectés parmi d'autres. La poupée avait déjà été mise en cause par l'Agence fédérale des réseaux en Allemagne.
Équipée d'un haut-parleur et d'un microphone pour écouter des questions, la poupée transmet des données audio à une application sur un appareil mobile. Une conversion de l'audio en texte permet alors de rechercher des réponses en ligne.
Des chercheurs en sécurité avaient estimé que la poupée Cayla pouvait être facilement piratée et la connexion Bluetooth avec le mobile compromise. Un attaquant pourrait enregistrer les données audio via la poupée, voire parler à l'enfant. L'Allemagne avait décidé d'interdire la poupée à la vente.
Grâce à la transmission de messages vers des serveurs distants, le robot I-QUE peut raconter des blagues et proposer des jeux interactifs. " N'importe qui peut y accéder très facilement, même à travers les murs. Un voisin mal intentionné pourrait envoyer un message au robot i-Que et écouter les réponses de l'enfant ", avait écrit l'UFC-Que Choisir.
La CNIL dit avoir constaté plusieurs manquements à la loi Informatique et Libertés. Elle souligne le non-respect de la vie privée des personnes en raison d'un défaut de sécurité, et un défaut d'information des utilisateurs des jouets.
" Une personne située à 9 mètres des jouets à l'extérieur d'un bâtiment peut connecter (ou appairer) un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s'authentifier (par exemple, avec un code PIN ou un bouton sur le jouet) ", écrit notamment la CNIL.
Genesis Industries Limited a deux mois pour régler les problèmes soulevés et se mettre en conformité avec la législation française pour la protection des données personnelles. Seront-ils résolus ? Le cas de la poupée connectée en Allemagne laisse penser que ce n'est pas gagné.
