À l'approche des fêtes de fin d'année, la CNIL n'a pas seulement averti les futurs possesseurs d'enceintes connectées, elle a également mis en demeure un fabricant de jouets connectés basé à Hong Kong : Genesis Industries Limited. Pour comprendre cette action, nous avons interrogé Maître Catherine Chabert, avocat spécialisé dans les nouvelles technologies.
Genesis Industries Limited commercialise en Europe et en France deux jouets connectés : la poupée My Friend Cayla et le robot I-Que. Interdite en Allemagne, la poupée avait inquiété le FBI qui a depuis rédigé une série de recommandations aux parents souhaitant se procurer de tels objets connectés pour leurs enfants.
Deux jouets connectés controversés
De son côté, la CNIL signale les défauts de ces produits non conformes à la loi Informatique et Libertés. Prévenu par une association en 2016, l'organisme signale que My Friend Cayla et I-Que présentent “plusieurs manquements” à ce cadre législatif français.
En effet, la poupée My Friend Cayla et le Robot I-Que sont des dispositifs capables de répondre aux questions des enfants. Mathématiques, météo, recettes de cuisine, jeux, etc. Pratiquement tout ce qu'un assistant vocal peut faire est à la portée des deux jouets connectés.
Des manquements graves à la protection des données personnelles
Cela implique qu'ils soient équipés d'un microphone, qu'ils enregistrent les phrases des enfants pour ensuite les analyser dans le Cloud. Il faut donc un niveau de sécurité suffisant afin d'éviter que des pirates informatiques en prennent le contrôle à des fins malveillantes. Le fabricant doit d'autant plus se préoccuper du respect et la protection des données privées des utilisateurs. Des critères non remplis par Genesis Industries selon la CNIL :
[…] “La société collecte une multitude d'informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l'application « My Friend Cayla App”.
Le non-respect de la vie privée des personnes en raison d'un défaut de sécurité est le premier élément de cette mise en demeure. En effet, une personne qui se trouve dans un rayon de 10 mètres peut très bien se connecter en Bluetooth aux jouets connectés. Il lui suffit d'utiliser son smartphone. Aucun code d'identification ne lui sera demandé. Il peut ensuite communiquer avec l'enfant par le biais de messages préenregistrés. La mise en place d'un tel scénario peut paraître compliquée. Il faut se tenir très proche du jouet et de l'enfant visé. Néanmoins, il existe un risque de piratage.
Ce risque, la CNIL ne veut pas le faire courir aux parents des enfants souhaitant acquérir des jouets connectés pour Noël. L'organisme déplore par ailleurs le défaut d'information des utilisateurs. Genesis Industries Limited n'attire pas l'attention sur les risques encourus et n'explique pas non plus la façon dont est effectué le traitement des données recueillies. Enfin, Elle n'informe en aucun cas que “des contenus de conversations” sont transférés auprès d'un prestataire de services localisé en dehors de l'Union européenne.
Genesis Industries Limited doit prendre en compte les remarques de la CNIL dans un délai maximum de deux mois.
Que risque Genesis Industries ?
Pour mieux comprendre cette affaire, nous avons demandé à Maître Catherine Chabert, avocat au barreau de Lyon spécialisé dans le droit des nouvelles technologies le déroulement d'une procédure de mise en demeure :
“La mise en demeure liste les manquements qui sont reprochés à l'entreprise. Dans un deuxième temps, on lui donne un délai pour se conformer à la Loi. Soit la société s'y conforme et dans cette hypothèse, la procédure s'éteint. Soit tel n'est pas le cas et la CNIL désigne un rapporteur qui, au sein d'une commission restreinte, pourra proposer une sanction.”
Catherine Chabert précise que cet avertissement s'applique aussi aux entreprises situées en dehors de la France : “Il suffit qu'un produit pénètre dans l'espace européen et qu'il soit commercialisé en France pour être éventuellement concerné par les demandes de la CNIL ».
Si la société ne prend pas compte la mise en demeure, elle risque une amende d'un montant maximum de 150 000 euros qui passe à 300 000 euros en cas de récidive. “Cette sanction peut être rendue publique, voire être diffusée dans la presse aux frais de la société concernée”, rappelle Catherine Chabert.
À cette sanction pécuniaire peut s'ajouter : une injonction de cesser le traitement des données et le retrait de l'éventuelle autorisation accordée préalablement de la CNIL .
En cas d'urgence, l'organisme peut décider d'interrompre la mise en oeuvre du traitement, d'émettre un avertissement, voire même de verrouiller des données concernée pendant 3 mois.
Cette mise en demeure va sans doute permettre aux acheteurs potentiels de jouets connectés de réfléchir à deux fois avant l'acte d'achat les potentiels acheteurs des jouets connectés pourraient y réfléchir à deux fois. De leur côté, “les parents ayant acheté un des jouets connectés peuvent se rapprocher d'une association de consommateurs pour tenter de solliciter en justice une annulation de la vente”, explique l'expert juridique.
Les jouets connectés sortent des cadres légaux
Le marquage CE, qui permet à un produit de pénétrer sur le territoire européen et d'y être commercialisé ne prend pas en compte la dimension connectée d'un jouet. N'est-ce pas illogique ? Nous avons pu nous procurer librement sur Internet les déclarations de mise en conformité CE du robot I-Que et de la Poupée My Friend Cayla. S'il est question de la qualité des plastiques utilisés, du risque d'inflammation du produit, des normes d'émissions d'ondes et de champs magnétiques, il n'est fait à aucun moment mention de la protection ou de l'utilisation des données collectées par les jouets connectés.
Maître Catherine Chabert pointe du doigt la complexité juridique :
“il faut souligner la complexité que représentent ces produits pour la Loi. Il n'y a pas de disposition spécifique concernant les jouets connectés. D'un côté, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) veille à ce que le jouet assure la sécurité des utilisateur et ne porte pas atteinte à leur santé. D'une part, par le biais de contrôles portant sur le respect des engagements nécessaires à l'apposition du marquage CE. De l'autre, la CNIL met en place les contrôles nécessaires concernant le traitement des données de ces mêmes jouets dès lors qu'ils sont connectés. Ne pourrait-on pas imaginer un groupe de travail commun aux deux organismes qui permette de contrôler tout à la fois la sécurité matériel et la sécurité des données ?”
Le RGPD changera-t-il la donne ?
Le règlement général sur la protection des données (RGPD) qui entrera en vigueur en mai 2018 annonce une ère de changement. Les concepteurs d'objets connectés quel qu'ils soient devront fournir les documents expliquant les modalités du traitement des données personnelles recueillis par le biais de leur produit. Ils devront également appliquer le principe de Privacy by Design, c'est-à-dire prévoir des normes de sécurité dès la conception d'un produit afin d'assurer aux utilisateurs une protection “décente” contre le piratage.
Selon Maître Chabert, une fois le RGPD appliqué, “les différentes autorités de contrôle en matière de données personnelles seront vraisemblablement de plus en plus intransigeantes et veilleront le plus possible à diminuer ces risques de piratage. Les entreprises devront intégrer dès la conception de leurs produits la protection des données personnelles, elles pourront moins facilement justifier d'un manquement au règlement.”
- Partager l'article :
