La poupée Cayla et le robot I-Que épinglés par la CNIL : ils permettraient d’espionner les enfants

Sécurité

Par Mathieu le

Il y a quinze jours, nous vous parlions de ces smartwatches pour enfants qui étaient bannis en Allemagne, considérées comme des “dispositifs d’écoute illégaux” . Aujourd’hui, ce sont deux jouets qui posent problème, et cette fois-ci, en France.

Un problème de taille

Hier, la CNIL (Commission Nationale de l’Informatique et des Libertés) a ainsi décidé de mettre en demeure le fabricant chinois Genesis Industries Ltd, basé à Hong-Kong, pour deux de ses produits. On parle ici de la poupée “My Friend Cayla” et du robot “I-Que” qui sont équipés d’un micro et d’un haut-parleur et qui fonctionnent en tandem via un mobile ou une tablette par connexion Bluetooth. Problème de taille : selon la CNIL, ce système permettrait à des personnes malintentionnées d’espionner les enfants et leur entourage en hackant, assez facilement, les deux appareils. “Ces vérifications ont permis de relever que la société collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…), mais également des informations renseignées dans un formulaire de l’application” affirme la commission.

Ainsi, des contrôleurs ont pu constater qu’une personne située à l’extérieur et à environ 20 mètres des jouets pouvait aisément se connecter, via son portable, à ces derniers. Le tout sans s’identifier. Si on suit cette logique, un étranger peut donc se connecter à la poupée et au robot et, par la suite, entendre et enregistrer les paroles échangées entre l’enfant, le jouet mais aussi ses parents et les autres personnes alentours. Et cerise sur le gâteau : il sera même possible à l’étranger de parler à l’enfant directement via le jouet.

Une mesure pour bientôt ?

Pour la CNIL, cette absence de sécurisation des jouets transgresse la Loi informatique et liberté de 1978, car elle porte potentiellement logiquement atteinte à la vie privée et à l’intimité des utilisateurs. De plus, la commission précise que ces deux produits n’utilisent pas de canal chiffré qui permettrait de garantie un minimum de sécurité et de confidentialité des données personnelles. Elle a enfin constaté que les utilisateurs ne sont pas informés des traitements des données mis en œuvre par Genesis Industries Ltd, ni du transfert du contenu des conversations hors de l’Union européenne.

Malheureusement, la CNIL ne peut aucunement interdire ces jouets mais a sommé la société chinoise de se mettre en conformité. Si ce n’est pas fait très prochainement, une procédure de sanction sera alors engagée. Notons que l’Allemagne a déjà interdit la Poupée Cayla en février dernier pour les mêmes raisons que les smartwatches. Étrangement, aucune mesure n’a été menée contre le robot I-Que.

Source: Source