Décision de la CNIL n° MED-2017-073, 20 Novembre 2017

Plusieurs secteurs importants de l’économie ont déjà été révolutionnés par l’internet des objets (termes désignant la connexion des objets à un réseau plus large, de manière directe ou grâce à un intermédiaire de type téléphone mobile ou protocole de communication spécifique et permettant aux objets de communiquer entre eux). L’internet des objets a logiquement fini par apparaître dans l’industrie des jouets, entrainant l’apparition d’un contentieux en matière de données à caractère personnel particulièrement sensible, du fait de la présence de données relatives à des personnes mineures. C’est dans ce contexte que la CNIL a mis en demeure la société Genesis de mettre en conformité ces jouets à la loi Informatique et Libertés dans une décision en date du 20 novembre 2017.

En l’espèce, à la suite d’une alerte par une association de consommateurs sur le défaut de sécurité de deux jouets dits « connectés » commercialisés par la société Genesis, basée à Hong-Kong, la CNIL a réalisé des contrôles en ligne en janvier et novembre 2017 avant d’adresser un questionnaire à cette dernière. A l’issue de ces vérifications, la CNIL a constaté plusieurs manquements à la loi Informatique et Libertés.

  • Manquements relatifs à la sécurisation des jouets

La CNIL a constaté un défaut de sécurité d’une importante gravité. Une personne à une distance de 9 mètres des jouets en cause (donc potentiellement à l’extérieur du bâtiment où est localisé le jouet) pouvait se connecter par le biais d’un téléphone mobile via la technologie Bluetooth sans qu’aucune procédure d’identification ne soit prévue.

Cette connexion permettait à la fois d’entendre et d’enregistrer les sons captés par le microphone du jouet mais également de communiquer avec l’enfant en diffusant via les enceintes du jouet des propos enregistrés préalablement sur le téléphone mobile ou en utilisant le jouet en tant que « kit main libre » du téléphone connecté.

En conséquence, la CNIL a considéré que la société Genesis contrevenait à l’article 1er de la loi Informatique et Libertés à travers cette absence de sécurisation des jouets pouvant conduire à une atteinte à la vie privée des utilisateurs et des propriétaires des jouets en cause.

  • Manquements relatifs à l’obligation d’information des utilisateurs des jouets

Les différents contrôles réalisés ont également permis à la CNIL de constater que la société Genesis traitait des données à caractère personnel à travers ces jouets, mais également à travers l’application mobile reliée aux jouets, sans en informer les utilisateurs, contrevenant encore une fois à la loi. Plus particulièrement, la CNIL a relevé que les utilisateurs n’ont pas été informés que ces données étaient transférées hors de l’Union européenne.

En conséquence, la CNIL a mis en demeure la société Genesis de mettre en conformité ces jouets et les traitements qui y sont rattachés dans un délai de deux mois. Du fait de la gravité de l’atteinte portée à la vie privée (implication de personnes mineures), la CNIL a décidé de rendre cette mise en demeure publique.

Même si la CNIL a rappelé classiquement que cette mise en demeure n’était pas une sanction au sens juridique du terme, il n’en demeure pas moins que sa publication un mois avant les fêtes de fin d’année, période cruciale pour toute entreprise de l’industrie du jouet, a les effets d’une véritable sanction économique pour la société Genesis.