Cayla, la poupée qui espionne les enfants ? Mise en garde de la CNIL contre deux jouets connectés

La CNIL a publié une mise en demeure à l'encontre d'un fabricant hongkongais qui produit deux jouets connectés présentant des failles de sécurité. Après enquête, il a été constaté qu'il était facile de se connecter à ces jouets sans mot de passe.

La Commission nationale de l'informatique et des libertés (CNIL) a annoncé le 4 décembre qu'elle mettait en demeure le fabricant de la poupée Cayla et du robot I-Que. Par cette décision, la CNIL confirme les alertes des associations de consommateurs, à l'instar de l'UFC-Que choisir qui avait porté plainte à la fin de l'année 2016 contre l'entreprise qui fabrique ces jouets, Genesis Industries Limited et dont le siège se trouve à Hong Kong.

Le robot I-Que et la poupée Mon amie Cayla sont deux jouets connectés qui communiquent avec les enfants via des micros et des haut-parleurs, mais qui sont également reliés à Internet.

Se connecter via bluetooth à ces jouets sans mot de passe ? Facile...

Problème, après avoir mené une enquête la CNIL déclare dans un communiqué que ces jouets présentent une grave faille de sécurité : «Les contrôleurs de la CNIL ont constaté qu’une personne située à neuf mètres des jouets à l’extérieur d’un bâtiment, [pouvait] connecter (ou "appairer") un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier (par exemple, avec un code PIN ou un bouton sur le jouet).»

Plus alarmant encore, la commission précise que que «la personne située à une telle distance est en mesure d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci.»

Les données personnelles récoltées sont traitées hors de l'UE

Par ailleurs, la CNIL demande à la société hongkongaise de se mettre en conformité avec la loi française sur le volet du traitement des données personnelles: «Les utilisateurs ne sont pas informés des traitements de données mis en œuvre par la société. De plus, ils ne sont pas informés du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne.»

Le communiqué de la CNIL donne deux mois à Genesis Industries Limited pour se mettre en conformité avec la législation en vigueur avant de «désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer une sanction.» La commission précise également que la mise en demeure a été rendue publique afin d'attirer l'attention des consommateurs sur «cette absence de sécurisation» et eu égard à «la vulnérabilité du public concerné».

En janvier 2017, l’Allemagne avait pour sa part interdit la commercialisation de la poupée Mon amie Cayla.

Lire aussi : Pourquoi les Etats-Unis récoltent-ils les données biologiques des Russes ? Le Pentagone répond