La Cnil demande au fabricant de la poupée Cayla et du robot I-Que de sécuriser ses jouets connectés, capables d'enregistrer tout ce que dit dans la maison. Un an après les premières alertes.

Des poupées connectées Cayla dans un magasin de jouets, en 2014.
Des poupées connectées Cayla dans un magasin de jouets, en 2014. © Maxppp / Joel Philippon

Et si un inconnu était capable d'entendre tout ce qui dit chez vous, sans même avoir à traverser la rue ? Le scénario n'est plus réservé aux films d'espionnage, et le micro n'est plus forcément caché dans la lampe. La Commission nationale de l'informatique et des libertés (Cnil) nomme même les suspects directement : la poupée Cayla et le robot I-Que, deux jouets connectés fabriqués par Genesis Industries Ltd, une société basée à Hong Kong.

Très (trop) facile de se connecter

L'alerte a été donnée avant Noël 2016. L'UFC-Que Choisir, en France, et plusieurs associations à l'étranger, avaient déjà souligné les risques éventuels qu'il y avait à offrir à ses enfants la poupée Cayla. Le jouet, équipé d'un micro et d'un haut-parleur, est capable de répondre aux questions. En effet, la poupée va chercher ses réponses sur Internet. Le robot I-Que fonctionne sur le même modèle : les jouets connectés sont reliés à un téléphone ou à une tablette via une connexion bluetooth. Et, selon la Cnil, il est très facile de se connecter.

Des contrôleurs ont ainsi pu constater qu'une personne située à l'extérieur, à vingt mètres de distance, pouvait connecter son portable aux jouets sans avoir à s'identifier. À partir de là, n'importe qui peut donc entendre tout ce qu'enregistre le micro de la poupée : ce que disent les enfants, mais plus largement tout ce qui se raconte dans la pièce où se trouve le jouet. 

Dans un reportage réalisé en février 2017 par la BBC (vidéo en anglais), un expert en cyber-sécurité montre comment Cayla est capable d'ouvrir une porte à commande vocale, simplement en lui faisant répéter le code. Car oui, une fois connecté, n'importe qui peut faire dire ce qu'il veut à la poupée, même des insultes, comme dans la vidéo ci-dessous.

La question des données personnelles

La charge contre Genesis Industries Ltd ne s'arrête pas là. La Cnil explique également que les vérifications faites sur la poupée Cayla et le robot I-Que "ont permis de relever que la société collecte une multitude d'informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations (qui peut révéler des informations identifiantes comme une adresse, un nom...), mais également des informations renseignées dans un formulaire de l'application". Des données qui, selon la Cnil, sont traitées et transférées aux Etats-Unis, sans que les utilisateurs en soient informés.

"Avec ces objets connectés, on assiste à une extension des logiques des plateformes numériques, avec les problématiques de recueil extensif des données personnelles, de forçage du consentement", analyse Sophie Jehel, maître de conférences en sciences de l'information et de la communication à l'université Paris-8.

Que faire ? En février dernier, l'Allemagne a interdit la vente de Cayla, la poupée espionne, mais pas du robot I-Que. La Cnil n'a pas le pouvoir d'interdire ces jouets. Mais sa présidente, Isabelle Falque-Pierrotin, a sommé la société chinoise de se mettre en conformité, "au regard de l’atteinte portée la vie privée". Sophie Jehel, pour sa part, rappelle les recommandations faites par l'ARPP en ce qui concerne la publicité digitale. Celle-ci en particulier : "Il est essentiel (...) de ne pas collecter par le biais d’un enfant les données à caractère personnel d’un tiers."

Sur son site internet, la Cnil met également à disposition des parents toute une série de conseils pour préserver leurs enfants des risques liés aux jouets connectés. Il est par exemple conseillé d'en dire "le moins possible au moment de l'inscription" ou d'"éteindre le jouet quand il ne sert pas pour éviter de capter des données sensibles".

Ce contenu n'est pas ouvert aux commentaires.