Ils envahissent votre salon, votre cuisine et, surtout, la chambre de vos enfants. Doit-on craindre les jouets connectés? À l'approche de Noël, les discours alarmistes sur la sécurité des poupées et autres robots intelligents se multiplient. Lundi, la Cnil a mis en demeure la société Genesis Industries, fabricant hongkongais de deux jouets connectés, pour «atteinte grave à la vie privée en raison d'un défaut de sécurité». Il s'agit du robot i-Que et de la poupée Cayla, qui sont tous les deux commercialisés en France. «Ces vérifications ont permis de relever que la société collecte une multitude d'informations personnelles sur les enfants et leur entourage: les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire [d'une application]», précise l'autorité. L'entreprise a désormais deux mois pour se mettre en conformité avec la loi française. Si ce n'est pas le cas, elle encourt une sanction financière.

Cette décision intervient un an après la saisine de l'autorité française de protection des données par l'association française UFC-Que Choisir. Elle a aussi saisi la DGCCRF sur le même sujet, qui n'a pas encore rendu sa décision. L'UFC-Que Choisir s'était inspirée d'une initiative de son homologue norvégien, Forbrukerradet, qui avait déjà dénoncé en 2016 les problèmes de sécurité autour le robot i-Que et la poupée Cayla. En Allemagne, cette dernière a même été interdite à la vente par les autorités allemandes. Elles ont aussi suspendu la commercialisation de montres connectées pour enfants, capables de géolocaliser la personne qui les porte. L'Agence allemande de régulation des télécoms a même recommandé de détruire les appareils de ce genre déjà utilisés.

De nombreuses alertes

L'Europe n'est pas la seule à s'inquiéter du sujet. Aux États-Unis, le FBI a alerté en juillet sur les failles potentielles des jouets connectés, trop vulnérables aux attaques informatiques. Un problème de réputation tel qu'il a déjà forcé plusieurs fabricants à abandonner des produits. Mattel a renoncé en octobre à vendre une enceinte intelligente pour les enfants. Baptisée Aristotle, elle était capable de reconnaître les pleurs d'un enfant et de diffuser de la musique, ou d'apprendre une langue étrangère à ses jeunes propriétaires. Une pétition de 15.000 signatures, ainsi que de nombreux articles alarmistes, ont finalement eu raison du projet. Mattel avait déjà fait l'objet de nombreuses critiques en commercialisant fin 2015 une Barbie interactive, capable de discuter avec un enfant et de comprendre ses intérêts. Elle est toujours en vente aux États-Unis.

Hello Barbie Mattel

Les jouets intelligents peuvent poser plusieurs problèmes de sécurité. Comme tout objet connecté, ces derniers doivent être suffisamment protégés pour ne pas être vulnérables aux piratages. Ces failles sont particulièrement inquiétantes lorsque le jouet dispose d'un micro ou d'une caméra qui peut enregistrer l'enfant à son insu. Par exemple, il est reproché au robot i-Que et à la poupée Cayla de ne pas sécuriser la connexion Bluetooth nécessaires pour les faire fonctionner. N'importe qui pouvait utiliser son smartphone pour se connecter au jouet, et donc le contrôler,sans remplir un code d'accès ou un mot de passe. On peut aussi les utiliser pour communiquer avec les enfants, en appelant le téléphone connecté ou en diffusant des sons pré-enregistrés. «Les contrôleurs de la CNIL ont constaté qu'une personne située à 9 mètres des jouets à l'extérieur d'un bâtiment, peut connecter (ou «appairer») un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s'authentifier», note la Cnil. Un enjeu similaire à celui rencontré chez le Furby Connect, fabriqué par Hasbro, qui a récemment inquiété l'association britannique Why?, aux côtés d'autres jouets contrôlables par smartphones.

Autre problème récurrent, une collecte de données trop importante, et sans le consentement des parents, pas forcément bien informés de ce procédé. Ce dernier peut par exemple donner lieu à du ciblage publicitaire. Dans le cas de la poupée Cayla ou du robot i-Que, les propriétaires «ne sont pas informés du fait que la société transfère des contenus de conversations auprès d'un prestataire de service situé hors de l'Union européenne», précise la Cnil.

Des achats éclairés

«Ce ne sont pas des problèmes simples à détecter, c'est difficile de s'en rendre compte soi-même», juge Justine Massera, juriste chez UFC Que-Choisir. Leurs conséquences peuvent pourtant être graves. En 2015, un internaute est parvenu à récupérer les données personnelles de cinq millions de parents et de 6 millions de jeunes propriétaires de jouets fabriqués par VTech. Parmi ces informations personnelles, des photos d'enfants. Plus récemment, en 2017, les peluches de Spiral Toys ont également été victimes d'une grave faille de sécurité, rendant accessibles plus de 200.000 enregistrements vocaux d'enfants.

Le robot i-Que Genesis Industries

En France, il n'existe pas de disposition légale spécifique aux jouets connectés. L'article 34 de la loi informatique et libertés prévoit toutefois que le fabricant «est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» Outre d'interdire les appareils les plus problématiques, certains professionnels de la sécurité militent pour les achats éclairés de jouets connectés. La fondation Mozilla, qui édite le navigateur Internet Firefox, a publié une liste interactive de cadeaux intelligents, en mettant en avant plusieurs critères autour de la confidentialité des données. L'appareil a-t-il accès à la caméra de mon téléphone ou de mon ordinateur? Collecte-t-il ma localisation? Doit-on créer un compte pour l'utiliser? Puis-je supprimer mes données? Côté français, la CNIL a publié en début d'année une liste de bons conseils aux parents souhaitant offrir à leurs enfants une poupée, un robot connecté ou un écoute-bébé. L'autorité française recommande par exemple de donner une fausse date de naissance, des pseudonymes ou une boîte mail créée uniquement pour le jouet connecté. Elle préconise aussi de déconnecter le jouet dès qu'il n'est pas utilisé, et d'effacer régulièrement les données stockées par l'appareil. L'homologue anglais de la CNIL (ICO, Information Commissioner's Office) conseille, elle, de désactiver systématiquement les caméras et les fonctions de géolocalisation des jouets connectés.