La poupée trop connectée, une Toy’s Story qui dérape
Imaginez une poupée qui vous écoute, vous enregistre et transmet le tout à une société en Chine. Ajoutez à cela qu’elle peut être piratée par un tiers pouvant ainsi entendre vos conversations et s’adresser directement à votre enfant à travers elle. Est-ce le scénario d’un nouvel épisode de la série Black Mirror ? Pas du tout, il s’agit d’une situation bien réelle à laquelle a dû faire face la Commission nationale de l’informatique et des libertés (CNIL) le 4 décembre 2017 (décision n°MED-2017-073 du 20 novembre 2017).
Au croisement du film d’horreur et du film d’espionnage, la CNIL a procédé à la mise en demeure du fabricant de cette poupée, la société chinoise Genesis Industries Limited, pour atteinte grave à la vie privée en raison d’un défaut de sécurité. Elle lui demande de se conformer à la loi n°78-17 du 6 janvier 1978, dite « informatique et libertés » dans un délai de deux mois.
La violation de la vie privée – La CNIL relève que les poupées connectées commercialisées par l’entreprise collectent un nombre important d’informations relatives aux enfants et à leur entourage en écoutant les conversations via un micro situé à l’intérieur de la poupée. Plus encore, l’entreprise n’est pas la seule à pouvoir collecter ces informations. Toute personne équipée d’un téléphone portable situé à neuf mètres de la poupée, à l’extérieur d’un bâtiment, peut s’y connecter par Bluetooth sans avoir à s’authentifier et peut ainsi écouter et enregistrer les conversations se déroulant à proximité du jouet.
En outre, cette même personne peut utiliser le haut-parleur de la poupée pour communiquer avec l’enfant. De façon indirecte d’abord, en diffusant par le biais de l’enceinte de la poupée des sons ou des propos enregistrés au préalable dans son téléphone. Mais aussi plus directement, en appelant, avec un autre téléphone, le téléphone connecté au jouet : la personne parle dans le premier téléphone, et le deuxième « parle » à l’enfant par l’enceinte du jouet via le Bluetooth.
La CNIL constate qu’un tel défaut de sécurité constitue une violation de la vie privée des personnes et, en ce sens, est contraire à l’article 1er de la loi informatique et libertés.
Le défaut d’information de l’utilisateur du jouet – En outre, la CNIL relève qu’il n’y a aucune information des utilisateurs des jouets, ou plus précisément de leurs parents, quant aux traitements des données personnelles opérés, notamment le transfert de ces données dans un Etat tiers.
Il s’agit de souligner la gravité du cas puisque l’activité touche des enfants. En effet, outre l’atteinte portée à la vie privée, c’est notamment la particulière vulnérabilité du public concerné et la nécessité d’informer les personnes de cette absence de sécurisation qui ont motivé la CNIL à rendre publique cette mise en demeure.
Les suites de la mise en demeure – La CNIL rappelle que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité. A l’heure où ces lignes sont écrites, aucune clôture de la procédure n’a fait l’objet d’une publicité.
Cependant, dans le cas où la société ne se conformerait pas à cette mise en demeure dans le délai imparti, la présidente de la CNIL pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer les sanctions suivantes :
- l’interdiction de mettre en œuvre le traitement ;
- l’avertissement ;
- le verrouillage des données pour trois mois.
La CNIL pourrait également dénoncer les pratiques en cause au procureur de la République. Elles sont punissables de 300 000 euros d’amende et de cinq ans d’emprisonnement.
Auteur
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Benjamin Benezeth, juriste, droit des contrats et protection des données personnelles