La commission nationale de l’informatique et des libertés (CNIL) peut, en application des articles 11 et 45 de la loi dite « informatique et libertés », recevoir toutes « réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informe[r] leurs auteurs des suites données à celles-ci » et mettre en demeure le responsable de traitement incriminé de se mettre en conformité avec ladite loi. La CNIL a récemment fait usage de ces prérogatives s’agissant d’un vendeur de jouets connectés.
La société hongkongaise GENESIS INDUSTRIES LIMITED conçoit et commercialise des jouets connectés.
Le 8 décembre 2016, l’association de consommateurs UFC QUE CHOISIR a adressé une plainte à la CNIL relativement à la commercialisation en France, par la société précitée, de deux jouets connectés, à savoir un robot nommé « I-QUE » et une poupée prénommée « My Friend Cayla », fonctionnant chacun en synchronisation avec une application mobile.
Lesdits jouets, à destination d’enfants d’âge supérieur à cinq ans, permettent notamment aux enfants d’interagir avec leur ami connecté, au moyen d’un microphone et d’un haut-parleur connectés aux applications correspondantes, via un système Bluetooth.
L’association considérait en effet que ces jouets ne présentaient pas un niveau de sécurité suffisant pour assurer le respect à la vie privée et que la société GENESIS INDUSTRIES LIMITED n’informait pas leurs utilisateurs du traitement des données à caractère personnel réalisé par elle.
Après plusieurs échanges peu fructueux entre la CNIL et la société mise en cause, la commission a fait réaliser des contrôles en ligne sur les jouets incriminés qui lui ont permis de faire notamment les constatations suivantes :
- la communication Bluetooth entre les jouets connectés et les applications correspondantes n’était protégée par aucun mot de passe,
- le système de communication pouvait permettre à un tiers d’entrer en communication avec l’enfant et de l’enregistrer. Toutes les communications de l’enfant étaient par ailleurs retranscrites par écrit puis transmises sur un serveur tiers localisé en dehors de l’Union européenne, sans que la législation sur de tels transferts de données ne soit respectée,
- les applications mobiles à télécharger à l’achat desdits jouets nécessitaient de remplir un questionnaire relatif à l’enfant, ce dernier ne respectant pas les obligations d’informations applicables en matière de traitement de données à caractère personnel.
Suite à ce constat, la CNIL a donc, fin 2017, mis en demeure la société GENESIS INDUSTRIES LIMITED, sous deux mois, de mettre en œuvre des dispositifs de sécurité suffisants pour préserver la vie privée des enfants utilisateurs de ces jouets et leur entourage (notamment utilisation d’un code pour sécuriser la connexion Bluetooth et chiffrement du canal de communication des données personnelles) et d’informer correctement ces derniers dans sa documentation contractuelle du traitement de données réalisé (identité du responsable de traitement, finalité de celui-ci, etc.) et de leur transfert hors Europe.
A défaut de se conformer à ce requis, la CNIL désignera un rapporter qui pourra prononcer des sanctions, par exemple pécuniaires, à l’égard de la société hongkongaise (article 45 de la loi « informatique et libertés »).
La suite au prochain épisode…