Cnil : mise en demeure publique d’un fabricant de jouets connectés
La Cnil met publiquement en demeure, pour atteinte grave à la vie privée en raison d’un défaut de sécurité, la société Genesis Industries Limited de procéder à la sécurisation de jouets connectés à destination d’enfants.
La Cnil met publiquement en demeure, pour atteinte grave à la vie privée en raison d’un défaut de sécurité, la société Genesis Industries Limited de procéder à la sécurisation de jouets connectés à destination d’enfants.
Après avoir été alertée en 2016, par une association de consommateurs sur le défaut de sécurité de deux jouets dits “connectés”, le robot “I-QUE” et la poupée “My Friend Cayla”, la Présidente de la Commission nationale de l’informatique et des libertés (Cnil) a réalisé des contrôles en ligne en 2017 et adressé un questionnaire au fabricant situé à Hong-Kong.
Ces contrôles ont permis de relever que la société collecte des informations personnelles sur les enfants et leur entourage (informations pouvant révéler des données identifiantes comme une adresse ou un nom) mais aussi des informations renseignées dans un formulaire de l’application “My Friend Cayla App”.
Une série de manquements à loi Informatique et Libertés ont été constatés dont principalement : – le non-respect de la vie privée des personnes en raison d’un défaut de sécurité. Les contrôleurs ont constaté qu’une personne se trouvant à 9 mètres des jouets à l’extérieur d’un bâtiment, peut à l’aide d’un système de communication Bluetooth s’y connecter, à l’insu des enfants et des propriétaires des jouets, peut aussi communiquer avec les enfants se trouvant à proximité des jouets, et peut avoir accès aux discussions échangées dans un cercle familial ou amical ;- le défaut d’information des utilisateurs des jouets. Les contrôleurs de la Cnil ont constaté que les utilisateurs des jouets ne sont pas informés des traitements de données mis en œuvre par la société, d’autant plus que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne.
En ce sens, la Présidente de la Cnil a décidé, en précisant qu’il ne s’agissait pas d’une sanction, de mettre en demeure la société Genesis Industries Limited de se conformer à la loi Informatique et Libertés dans un délai de deux mois, précisant. Si elle ne se conforme pas à cette mise en demeure dans le délai imparti, un rapporteur sera désigné et proposera de prononcer une sanction.
– Communiqué de presse de la Cnil du 5 décembre 2017 – “Jouets connectés : mise en demeure publique pour atteinte grave à la vie privée en raison d’un défaut de sécurité” – https://www.cnil.fr/fr/jouets-connectes-mise-en-demeure-publique-pour-atteinte-grave-la-vie-privee-en-raison-dun-defaut-de
– Décision n° MED-2017-073 du 20 novembre 2017 mettant en demeure la société GENESIS INDUSTRIES LIMITED – https://www.cnil.fr/fr/jouets-connectes-mise-en-demeure-publique-pour-atteinte-grave-la-vie-privee-en-raison-dun-defaut-de
– Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2017-295 du 30 novembre 2017 décidant de rendre publique la mise en demeure n° MED-2017-073 du 20 novembre 2017 prise à l’encontre de la société GENESIS INDUSTRIES LIMITED – https://www.cnil.fr/fr/jouets-connectes-mise-en-demeure-publique-pour-atteinte-grave-la-vie-privee-en-raison-dun-defaut-de