L'association de consommateurs UFC-Que Choisir tire la sonnette d'alarme : une étude menée par l'association norvégienne Forbrukerradet dénonce « des lacunes quant à la sécurité et la protection des données personnelles des enfants utilisateurs de la poupée connectée Mon amie Cayla et du robot connecté i-Que » à cause d'une faille de sécurité du Bluetooth intégré. Et ces jouets connectés sont disponibles chez de nombreux vendeurs en France.
Et l'association pointe aussi les conditions d'utilisation qui « autorisent sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au strict fonctionnement du service ». Et « ces données peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiés ». De plus, « les données sont aussi transférées hors de l’Union européenne, sans le consentement des parents ». L'UFC-Que Choisir annonce donc qu'elle va saisir la Commission nationale de l'informatique et des libertés (CNIL) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
Dans son article sur la mise en garde d'UFC-Que Choisir, le site Next Inpact résume : « il convient de rappeler que la prudence doit être de mise avec les jouets connectés, car le problème n'est certainement pas isolé. Une mise en garde que l'on peut finalement étendre à tous les objets connectés ».
Déjà en 2015, un pirate avait réussi à déjouer la sécurité des serveurs de la société hongkongaise VTech (qui vend des tablettes et des peluches connectées) et « à voler des données parfois sensibles de parents et d’enfants » rapporte le journal Le Monde.
C'est le site Motherboard qui a révélé cette affaire grâce à un hacker anonyme qui les a contacté pour leur indiquer « la disponibilité de téléchargement de ces données, qu'il a pu récupérer aisément » explique L'Expansion en ajoutant : « des millions de noms, de mails, de mots de passe, d'adresses IP, de dates de naissance de plus de 200 000 enfants pourraient être entre les mains d'hackers ».
Le fabricant Vtech a admis que sa base de données n'était « pas aussi sécurisée qu'elle aurait dû » dit le site ZDNet dans son article « offrir un jouet connecté : une mauvaise idée cadeau pour Noël » car ces fabricants sont « novices sur la sécurité et la confidentialité ».
Alors, « le Père noël sera-t'il une ordure » cette année ? 😀
Agrandissement : Illustration 1
