La poupée trop connectée, une Toy’s Story qui dérape

Publié le 13/07/2018

Imaginez une poupée qui vous écoute, vous enregistre et transmet le tout à une société en Chine. Ajoutez à cela qu’elle peut être piratée par un tiers pouvant ainsi entendre vos conversations et s’adresser directement à votre enfant à travers elle. Est-ce le scénario d’un nouvel épisode de la série Black Mirror ? Pas du tout, il s’agit d’une situation bien réelle à laquelle a dû faire face la Commission nationale de l’informatique et des libertés (Cnil), le 4 décembre 2017.

Au croisement du film d’horreur et du roman d’espionnage, la Cnil a procédé à la mise en demeure d’un fabricant de poupées connectées, la société chinoise Genesis Industries Limited, pour atteinte grave à la vie privée en raison d’un défaut de sécurité. Elle lui demande de se conformer à la loi1 dite Informatique et libertés dans un délai de 2 mois.

La violation de la vie privée. Les poupées connectées « Mon amie Cayla » et « I-QUE » collectent un nombre important d’informations relatives aux enfants et à leur entourage en écoutant les conversations via un micro situé à l’intérieur de la poupée. Plus encore, l’entreprise n’est pas la seule à pouvoir recueillir ces informations. Toute personne équipée d’un téléphone portable situé à moins de 9 mètres de la poupée, même à l’extérieur d’un bâtiment, peut s’y connecter par Bluetooth sans avoir à s’authentifier et peut ainsi écouter et enregistrer les conversations se déroulant à proximité du jouet.

De plus, une fois connectée, cette même personne peut prendre le contrôle de la poupée jusqu’à 20 mètres de distance et utiliser le haut-parleur de la poupée pour communiquer avec l’enfant. Le processus peut être indirect, en diffusant des sons ou des propos enregistrés au préalable dans le téléphone par le biais de l’enceinte de la poupée. Il peut également être plus direct, en appelant, avec un autre téléphone, celui connecté au jouet : la personne parle dans le premier téléphone et le deuxième « parle » à l’enfant par l’enceinte du jouet via le Bluetooth. Il est à noter qu’il est aussi possible pour une personne de se connecter à la poupée par le système Wi-Fi sur lequel la poupée est synchronisée dans le cas où il ne serait pas ou serait mal sécurisé.

Les conséquences de ce défaut sont multiples et très préoccupantes. Lorsqu’il s’agit d’un tiers à la famille, « l’espion » se rapprochant de l’enfant de cette manière constitue incontestablement un danger pour sa sécurité. Faut-il oser imaginer le nombre de scénarios possibles dans lesquels un enfant pourrait être leurré par sa poupée piratée ? À l’inverse, il peut tout à fait être envisagé que l’espion ne soit ni plus ni moins qu’un parent qui souhaite surveiller son enfant en se connectant à la poupée pour l’écouter à distance. Bien que l’on comprenne que le parent souhaite, à l’origine, protéger son enfant, cette démarche soulève la question du droit de l’enfant à son intimité. Quel impact une telle immixtion peut-elle avoir sur la relation parent-enfant ? Privé du secret des confidences faites à son « doudou », comment l’enfant va-t-il se construire vis-à-vis d’un parent omniscient ?

Face à ces risques flagrants, la Cnil ne peut que constater qu’un tel défaut de sécurité constitue une violation de la vie privée des personnes et est, de ce fait, contraire à l’article 1er de la loi Informatique et libertés.

La mise en conformité de la poupée. Avec l’entrée en vigueur du règlement n° 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (ci-après, le « RGPD ») – applicable depuis le 25 mai 2018 dans tous les États membres de l’Union européenne et transposé en France dans la loi Informatique et libertés – les objets connectés, catégorie d’objets à laquelle appartient la poupée, doivent répondre à de nouvelles obligations en matière de sécurité des données à caractère personnel.

Conformément à l’article 25, paragraphe 1, du RGPD, ces objets doivent, dès leur conception et pour la durée de leur utilisation, respecter les principes de protection des données en prenant « des mesures techniques et organisationnelles appropriées ». Intitulé : « Privacy by Design », ce principe novateur introduit par le RGPD signifie que la poupée doit être conçue de manière à apporter la sécurité requise par le règlement aux traitements de données à caractère personnel qu’elle effectue en interagissant avec l’enfant. La sécurisation de la poupée doit donc avoir lieu au moment de sa fabrication et au regard « de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (…) que présentent le traitement pour les droits et libertés des personnes physiques (…) ».

En l’espèce, les utilisateurs étant des enfants et compte tenu du fait que la poupée se trouve souvent au cœur du foyer – et donc de l’intimité – des personnes concernées, l’accès à la poupée devrait être sécurisé par un mot de passe et les données traitées devraient être chiffrées. La distance d’émission du signal Bluetooth pourrait également être revue. Il conviendrait aussi de s’assurer de l’existence d’un bouton pour déconnecter la poupée et limiter ainsi les risques d’intrusion.

La poupée connectée doit également être conforme au principe de Privacy by Default, prévu par l’article 25, paragraphe 2, du RGPD, c’est-à-dire être configurée, par défaut, de manière à ce qu’elle soit la moins intrusive possible pour la vie privée des enfants et de leur entourage. Ce paramétrage initial minimal pourra ensuite être modifié par les parents à leur gré.

En outre, il apparaît qu’au regard des caractéristiques du traitement et des risques pour les droits et libertés des enfants et de leur entourage, la mise en place d’une analyse d’impact, au sens du RGPD, par la société responsable de traitement s’avère indispensable. Celle-ci permettra d’évaluer les risques encourus et de présenter les mesures envisagées pour y faire face, notamment les mesures de sécurisation du traitement mentionnées ci-dessus.

Le défaut d’information de l’utilisateur du jouet. En l’espèce, le fabricant n’a fourni aucune information aux utilisateurs des jouets, ou plus précisément à leurs parents, quant aux traitements des données à caractère personnel opérés, notamment concernant le transfert de ces données dans un État tiers. Or l’information de l’utilisateur du jouet est aujourd’hui une obligation importante prévue et renforcée, par les articles 13 et 14 du RGPD. Ces derniers prévoient la mention obligatoire de plusieurs éléments, en particulier les finalités et la base juridique du traitement, l’énonciation des droits des personnes dont les données sont collectées et la durée de conservation de ces données.

Il s’agit de souligner la gravité du cas puisque l’activité touche des enfants. En effet, outre l’atteinte portée à la vie privée, c’est notamment la particulière vulnérabilité du public concerné et la nécessité d’informer les personnes de cette absence de sécurisation qui ont motivé la Cnil à rendre publique cette mise en demeure.

Les suites de la mise en demeure. La procédure de mise en demeure en elle-même n’est pas une sanction : si la société se conforme à la loi dans le délai imparti, elle ne sera pas inquiétée. Cependant, à l’heure où ces lignes sont écrites, la procédure ne semble pas avoir été clôturée, alors que la poupée est interdite à la vente en Allemagne depuis février 2017 !

Dans le cas où la société ne se conformerait pas à cette mise en demeure, la formation restreinte de la Cnil chargée de réprimer les manquements à la loi pourra infliger des sanctions conséquentes. Ces dernières se sont fortement durcies et étoffées avec l’entrée en vigueur du RGPD. Il est notamment possible de prononcer une injonction de mise en conformité assortie d’une astreinte de 100 000 € maximum par jour de retard, la limitation ou l’interdiction du traitement, ou encore la suspension des flux de données adressées à un destinataire situé dans un pays tiers.

La Cnil pourrait également dénoncer les pratiques en cause au procureur de la République. Elles sont punissables de 300 000 € d’amende et de 5 ans d’emprisonnement. Enfin, la violation des dispositions du RGPD est sanctionnée d’une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaires, le montant le plus élevé étant retenu. Sûrement n’en fallait-il pas moins pour sécuriser le coffre à jouets des enfants connectés.

Notes de bas de pages

  • 1.
    L. n° 78-17, 6 janv 1978.
LPA 13 Juil. 2018, n° 137v2, p.5

Référence : LPA 13 Juil. 2018, n° 137v2, p.5

Plan