À l’approche de Noël, la Commission nationale de l’informatique publie des recommandations sur les jouets connectés, qui connaissent un succès croissant. De plus en plus populaires, les jouets connectés soulèvent de nombreuses questions, notamment concernant l’importance des données collectées auprès des enfants et leur sécurisation. La CNIL vous aide à faire le point. Quelques règles simples permettent de sécuriser leur usage.

 

Qu’est-ce qu’un jouet connecté ?

Les jouets connectés prennent la forme d’objets d’apparence anodine (poupées, robots, montres connectées, babyphones, consoles, etc.) qui collectent des informations et les envoient par ondes radio (Bluetooth, Wi-Fi) et sur Internet.

Y-a-t-il un enjeu pour la vie privée ?

Comme pour tout objet connecté, l’utilisation mal contrôlée ou non sécurisée d’un jouet connecté peut confronter son utilisateur à diverses problématiques. Les communications et les données collectées par un jouet connecté peuvent potentiellement être :

  • utilisées à des fins de ciblage publicitaire ;
  • détournées par un individu malveillant, par exemple à des fins d’escroquerie, d’usurpation d’identité ou de harcèlement.

Le «jardin secret» de l’enfant est-il remis en question ?

Certains jouets offrent une plateforme sur laquelle les parents peuvent écouter, voire réécouter les conversations que les enfants ont avec leurs objets. Si les parents peuvent ainsi mieux contrôler les données qui sont stockées en ligne, ils peuvent aussi écouter toutes les confidences de leurs enfants. Une pratique qui peut potentiellement nuire à la vie privée de l’enfant ou affecter le rapport de confiance qu’il entretient avec ses parents.

Comment sécuriser son jouet avant de le donner à l’enfant ?

Être très vigilant concernant les possibilités de connectivité offertes par le jouet : 

  • vérifier a minima que le jouet ne permet pas à n’importe qui de s’y connecter, par exemple en vérifiant que son appairage avec un smartphone ou sur Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe ;
  • changer le paramétrage par défaut du jouet (mot de passe, code PIN, etc.) ;
  • sécuriser l’accès à votre smartphone et à votre box internet au moyen d’un mot de passe ;
  • sécuriser l’accès au compte en ligne attaché au jouet par un mot de passe fort et différent de vos autres comptes ;
  • vérifier que l’objet dispose d’un voyant lorsqu’il est en écoute ou en transmission d’informations sur Internet ;
  • se renseigner pour vérifier que le jouet ne présente pas de vulnérabilités déjà connues et facilement accessibles ;
  • effectuer régulièrement les mises à jour de sécurité.

En dire le moins possible au moment de l’inscription : si l’ours en peluche ou la poupée rassurent visuellement les parents, ses capteurs peuvent néanmoins collecter des données sensibles comme des photos ou des conversations intimes.

  • Dès l’inscription, ne communiquer que le minimum d’informations nécessaire au service (par exemple, donner une date de naissance aléatoire si le système a besoin de déterminer un âge) ;
  • créer une adresse mail spécifique pour les jouets utilisés par l’enfant ;
  • utiliser au maximum des pseudonymes au lieu du nom/prénom ;
  • n’activez que les fonctions dont vous avez réellement besoin.

Déconnecter le jouet / effacer les données :

  • éteindre le jouet quand il ne sert pas ou pour éviter de capter des données sensibles ;
  • s’assurer de la possibilité d’accéder aux données et de les supprimer ;
  • désactiver le partage automatique sur les réseaux sociaux ;
  • effacer ses données sur le jouet et sur le service en ligne associé lorsqu’il n’est plus utilisé.

Les fabricants ont-ils des obligations en termes de sécurité ?

Les fabricants ont une obligation de sécuriser les informations collectées. L’article 121 de la loi informatique et libertés prévoit que le fabricant « est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Quels conseils avant d’acheter ?

S’informer avant d’éventuellement acheter un tel dispositif :

Méfiance sur les montres à bas coût ! Un jouet connecté proposé à faible coût peut faire passer la vie privée au second plan et proposer des solutions techniques peu ou mal sécurisées. Consultez notre infographie sur les problèmes de sécurité que peuvent poser certains jouets connectés.

Transparence sur les données collectées et leur hébergement. Les conditions d’utilisations sont-elles en français et compréhensibles ? Les données sont-elles réutilisées à d’autres fins ou transmises à des partenaires ? Les données sont-elles hébergées en Europe ou dans un pays tiers moins disant en matière de protection des données ? Existe-t-il des coordonnées ou une adresse de contact du fabricant pour exercer ses droits concernant les données personnelles ?

La sécurité avant tout ! Peut-on contrôler les données collectées, désactiver certaines fonctions comme la géolocalisation ? Peut-on protéger l’accès à l’appareil et aux services associés (application mobile, site web) grâce à un mot de passe solide ou un mode d’authentification complémentaire ?

En cas de doute, préférez un achat physique auprès de vendeurs spécialisés en mesure de vous faire tester et de vous conseiller techniquement. Consultez également les bancs d’essais proposés par les associations de consommateurs, les commentaires des internautes dans les magasins d’application et plus largement les forums d’utilisateurs.

Source : CNIL