Deux jouets connectés, dont la poupée Cayla déjà interdite de vente en Allemagne, valent à leur fabricant une mise en demeure de la Cnil. Les deux joujoux ont la fâcheuse tendance à tout écouter, et surtout à être librement accessible en Bluetooth par n’importe qui.
L’une est blonde et petite, l’autre rond et mignon et pourtant, tous deux sont des espions. Il s’agit bien évidemment de jouets connectés, ceux conçus par la société hongkongaise Genesis. En décembre 2016, l’UFC Que Choisir pointait du doigt la poupée connectée « Mon amie Cayla » et le robot connecté « i-Que ». L’association a dans la foulée saisi la Cnil, qui vient d’annoncer la mise en demeure de Genesis.
L’enquête du gendarme des données personnelles a permis de « relever que la société collecte une multitude d’informations personnelles sur les enfants et leur entourage ». Toute voix et toute conversation à portée « d’oreille » des deux jouets est collectée, de même que les informations renseignées dans l’application mobile dédiée de la petite poupée. Or Genesis non seulement n’informe pas les utilisateurs de cette collecte, mais elle omet également des les avertir que les contenus des conversations sont transférés à « un prestataire de service situé hors de l’Union européenne ».
Genesis est Skynet
Pire encore que le défaut d’information, le défaut de sécurisation des deux petits espions. Et on entre là dans le champ de ce qui épouvantera tous les parents. Dans un rayon de 9m autour de Cayla ou d’i-Que, n’importe qui muni d’un smartphone Bluetooth peut communiquer à travers le jouet, sans avoir aucunement besoin de s’authentifier : ni code Pin, ni bouton sur le jouet.
Ce faisant, il sera possible d’intercepter les conversations autour du jouet (ou de l’enfant au jouet), mais aussi de parler par le biais dudit jouet. Votre enfant assure que son jouet lui répond quand il lui parle ? Point de malédiction ou de possession démoniaque : n’appelez pas l’exorciste, mais contactez immédiatement la police. Car un petit malin traînant aux alentours soit diffuse du son pré-enregistré via la fonction dictaphone de son téléphone, soit utilise « les jouets en tant que kit main libre ».
Malgré les atteintes graves à la Loi Informatique et Libertés, la société n’écope que d’une mise en demeure. Elle a désormais deux mois pour se mettre en conformité avec la loi. Toutefois, Cayla avait déjà été épinglé par l’autorité des télécoms allemande, qui en février dernier a fini par interdire la poupée de vente en Allemagne. Force est de constater que les contrôles menés par la Cnil depuis janvier n’ont permis d’observer aucun changement. Il est donc fort peu problable que Genesis, également poursuivie aux Etats-Unis ou encore en Norvège change son fusil d’épaule.