Une poupée Cayla dans un magasin de Londres, en novembre 2014. LEON NEAL / AFP

Après les téléviseurs connectés, qui collectent de grandes quantités de données personnelles de leurs utilisateurs, voilà que les jouets se transforment eux aussi en espions de votre vie privée.

La Bundesnetzagentur, l’agence chargée de la régulation des réseaux en Allemagne, a publié, vendredi 17 février, un communiqué dans lequel elle qualifie une poupée connectée, baptisée Cayla par ses fabricants, de « dispositif d’espionnage dissimulé ».

De tels objets intrusifs étant interdits par la loi en Allemagne, le jouet n’est plus disponible à la vente. Quant aux exemplaires déjà vendus, l’agence demande aux parents de les détruire ou, au moins, d’en extraire le dispositif d’enregistrement.

Car ce qui fait la spécificité de Cayla, c’est le micro qui est renfermé dans son petit corps de plastique. Celui-ci enregistre les questions des enfants, qui sont analysées grâce à un logiciel de reconnaissance vocale. Le jouet, que l’on doit connecter à une tablette ou à un smartphone avec le Bluetooth, y répond ensuite directement. Cayla sait résoudre des opérations mathématiques, donner des informations sur un pays ou une célébrité, et même raconter sa vie, qu’elle mène avec ses parents, amis et animaux fictifs.

C’est un étudiant à l’université de Sarrebruck, nommé Stefan Hessel, qui a soulevé en Allemagne la question de la sécurité d’un tel dispositif, en révélant qu’il n’y avait aucun mot de passe pour protéger la connexion. Un intrus situé à moins de 15 mètres de distance du jouet pourrait entendre les conversations à travers le micro de Cayla, mais aussi parler directement aux enfants.

Le distributeur allemand de la poupée a assuré que le jouet n’était pas équipé d’un « logiciel espion » et a promis de contester la décision des autorités en justice. Il n’empêche, Genesis Toys, le fabricant de la poupée blonde, avait déjà, par le passé, été confronté à de telles accusations. Dans une plainte déposée auprès de la commission américaine fédérale du commerce, en décembre 2016, plusieurs associations avaient qualifié Cayla de menace pour la vie privée, non seulement parce qu’elle pouvait enregistrer ce qui se disait autour d’elle, mais aussi parce que les fichiers audio en question étaient transmis à un serveur à distance sans le consentement des parents. D’autres groupements de défense des consommateurs avaient ensuite décidé, eux aussi, de poursuivre le fabricant, aux Pays-Bas, en Belgique, en Irlande, en Norvège et en France.

La poupée Cayla n’est pas la seule à susciter la controverse. Hello Barbie, une poupée connectée en Wi-Fi, commercialisée aux Etats-Unis par Mattel et ToyTalk, avait, en 2015, suscité de nombreuses inquiétudes sur sa vulnérabilité face à un potentiel piratage. Une peur matérialisée fin novembre 2015, avec le piratage des serveurs de VTech, le géant des ordinateurs pour enfants. Des données personnelles sensibles des utilisateurs et de leurs parents avaient alors été volées. Parmi elles, les courriels, archives de forums de discussions, ou photos de cinq millions de comptes.

A la suite de cette affaire, VTech avait modifié ses conditions d’utilisation, y précisant que le consommateur n’était jamais à l’abri d’un piratage, et qu’il reconnaissait en avoir été averti lors de l’achat du produit. Des appels au boycott de ces petits ordinateurs pour enfants avaient alors été lancés.

Selon le Guardian, la Consumer Protection Cooperation Network, qui rassemble les régulateurs européens, devrait réunir, en mars, les autorités de défense des consommateurs, et celles de protection des données personnelles de plusieurs pays européens, afin de discuter plus amplement des applications et risques des jouets connectés.