<< Retour aux articles
Image Fotolia - Goodmoments

Des jouets trop connectés

Tech&droit - Objets connectés
15/12/2017
Le 4 décembre 2017, la Commission nationale de l'informatique et des libertés (Cnil) a adressé une mise en demeure à une société fabriquant des jouets connectés, pour violation de la vie privée des utilisateurs et défaut d’information. Cette action de la Cnil a permis de mettre en lumière un danger de premier plan quant à l’utilisation exponentielle des objets connectés… L'avis d'Arnaud Touati, avocat associé, co-fondateur du cabinet Alto Avocats, et GaryCohen, collaborateur.
Les objets connectés font désormais partie intégrante de la société et se retrouvent dans tous les aspects de notre vie quotidienne, à tel point que l’on ne se refuse à aucune intimité face à eux, comme s’ils étaient incapables de dévoiler nos secrets.

Encore récemment, Google a lancé son produit « Google Home », sorte de boîtier connecté qui permet de répondre à toutes nos questions, imitant ainsi « Alexa » produit par Amazon. Une interaction proposée également par de nombreux jouets connectés, du type poupée, animal domestique, robot, etc. Attention toutefois à bien prendre conscience des risques que peuvent présenter certains de ces produits.

Les risques identifiés
On peut d’abord s’attacher à la problématique de la gestion des données (notamment le stockage et le transfert des enregistrements audios). En effet, lorsque l’enfant échange avec son jouet connecté, il lui transmet une multitude d’informations, pour la plupart privées, qui sont stockées par le jouet et ensuite transférées. Or, le transfert de données personnelles fait l’objet en France et dans l’Union européenne de règles strictes qui visent à assurer un certain niveau de protection.

Ensuite, la question du cyber espionnage doit être abordée dans la mesure où elle représente un enjeu sécuritaire qui concerne l’intégrité physique des enfants. À partir du moment où il est possible de prendre contrôle de l’objet connecté, d’écouter les communications et même d’en émettre, l’enfant se trouve exposé à un véritable danger.

Enfin, qu’en est-il du matraquage publicitaire ciblé : les fabricants n’hésitent pas à faire de la publicité ciblée à destination des enfants via les jouets connectés, ce qui soulève une problématique d’ordre éthique et même de santé publique : peut-on accepter des publicités qui promeuvent la consommation des produits dits « mauvais » pour la santé ?
Tous ces risques peuvent toutefois être pris en compte et prévenus par l’introduction d’une véritable politique de « security by design », c’est-à-dire la mise en place de normes techniques de sécurité à intégrer dès les processus de conception et de fabrication de l’objet, afin qu’il soit structurellement protégé.

Ces différents objets connectés permettent, on le comprend aisément, de collecter une multitude d’informations sur notre comportement, ne serait-ce que par les échanges verbaux avec l’objet. Cependant, une question fondamentale se dresse immédiatement et concerne la sécurité de la protection de ces données. Comment s’assurer que ma vie privée, que je confie à mon objet connecté, restera effectivement privée ?

Une première mise en garde officielle

Un cas particulier permet au moins de proposer quelques ébauches à cette question. En effet, la Cnil a publié, le 4 décembre 2017, une mise en demeure à l’encontre d’une société Hong-Kongaise pour manquement à nombreuses obligations. La société produisait des jouets connectés à destination des enfants et capables de répondre à certaines questions basiques (météo, mathématiques, par exemple).

Plus précisément, la Cnil reproche à la société, dans un premier temps, d’avoir manqué au respect de la vie privée des enfants et en réalité de tous les utilisateurs de l’objet dans la mesure où la sécurité des données n’était pas assurée. En effet, il était possible pour n’importe qui, se situant à 9 mètres de l’objet, de pouvoir capter les conversations et de les enregistrer. Or, si les adultes ne rechignent pas à dévoiler des éléments privés aux objets connectés, les enfants en ont encore moins conscience et sont beaucoup plus vulnérables (« La Présidente a considéré que l’absence de sécurisation des jouets (…) méconnait l’article 1er de la loi Informatique et Libertés »). Pire encore, il était également possible de communiquer via l’objet connecté. Dès lors, un grave danger était encouru, tant du point de vue de la sécurité physique de l’enfant que du respect de ses droits, son droit au respect de sa vie privée n’étant pas garanti. L’article 1er de la loi informatique et libertés du 6 janvier 1978 (L. n° 78-17, 6 janv. 1978, JO 7 janv., relative à l'informatique, aux fichiers et aux libertés) qui prévoit que l’informatique ne saurait porter atteinte à la vie privée a ainsi été violé.

Dans un second temps, la Cnil relève qu’aucune information n’était transmise aux utilisateurs sur le traitement des données captées par les jouets connectés ni quant à leur transfert dans un pays hors de l’Union européenne. Or, là encore, la loi informatique et libertés, en son article 32-I, prévoit que « La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant : (…) 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne ». En transférant les données aux États-Unis, la société nivelle par le bas le niveau de protection des données personnelles dans la mesure où la protection y est beaucoup moins importante outre atlantique (« (…) les contrôleurs de la Cnil ont constaté que les utilisateurs des jouets ne sont pas informés des traitements de données mis en œuvre par la société. De plus, ils ne sont pas informés du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne »).

Ces violations de la vie privée et du droit à l’information des utilisateurs ont donc conduit la Cnil à mettre en demeure la société de se mettre en conformité à la loi informatique et libertés, dans un délai de deux mois, à défaut de quoi l’autorité pourra prendre des sanctions pécuniaires d’un montant pouvant aller jusqu’à 3 millions d’euros.

Un avertissement pour tous les fabricants concernés : ils doivent proposer une véritable sécurité à des jouets trop connectés.
Source : Actualités du droit