Cassandra ROTILY
Doctorante en Droit public, Université de Haute-Alsace, CERDACC EA 3992, F-68100 Mulhouse, France
Commentaire de la décision de la CNIL n°2017-073 du 20 novembre 2017
La CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED, par une décision du 20 novembre 2017 (Décision n°2017-073), de renforcer la sécurité et la confidentialité des données personnelles traitées dans le cadre de l’utilisation de deux jouets connectés qu’elle fabrique (robots « I-QUE » et poupées « My Friend Cayla »), distribués en France.
C’est à la suite d’une plainte de l’association de défense de consommateurs UFC-Que Choisir, que la Présidente de la CNIL a chargé le secrétaire général de procéder à une mission de vérification des traitements générés par l’utilisation des jouets connectés « I-QUE » et « My Friend Cayla » ainsi qu’aux applications qui leur sont apparentées et leurs sites internet (Décision n°2017-031C du 22 décembre 2016). Une mission de vérification sur place des traitements relatif à ces objets connectés ainsi que leurs applications et sites internet a été diligentée (Décision n°2017-041C du 22 décembre 2016).
Ce type de jouet est de plus en plus plébiscité par les enfants puisqu’il permet une interaction avec ces derniers. Ainsi, sur les sites internet de vente, la poupée « My Friend Cayla » est présentée comme « la première poupée connectée qui comprend et te répond ». Ces deux jouets fonctionnant avec des applications mobiles par le biais de la technologie Bluetooth, sont munis de haut-parleurs et de microphones, les questions et conversations de l’enfant avec le jouet sont transcrites en texte et traitées, l’application extrait la réponse d’internet et la communique à l’enfant par le biais du jouet.
En Allemagne, la poupée « Cayla » a été interdite par l’Agence fédérale des réseaux (Bundesnetzagentur), qui estime que la poupée revêt le caractère de système de surveillance déguisé. En effet, via la poupée, les criminels et les pédophiles peuvent espionner les enfants. Cette interdiction trouve sa source dans le paragraphe 90 de la loi sur les télécommunications (§ 90 Telekommunikationsgesetz (TKG)[1]). Celui-ci interdit notamment la production, la distribution ou l’importation de matériel de télécommunication déguisé en article d’usage courant et destiné à entendre les communications d’autrui sans être remarqué.
En France, par cette décision, la CNIL dénonce le « défaut de sécurité de l’appairage d’un ordiphone avec les jouets, effectué via la technologie Bluetooth », qui engendre une atteinte à la vie privée (I) et le manque d’information sur le traitement des données collectées vis-à-vis des utilisateurs (II). Il n’existe pas, en droit français, de dispositions spécifiques à l’égard des jouets connectés, pourtant la prise de mesures apparaît nécessaire compte tenu du public particulièrement vulnérable visé. Toutefois, l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose toutefois que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Le non-respect de ces dispositions est sanctionné d’une peine d’amende pouvant atteinte 1. 500. 000€ (articles 226-17 et 226-24 du Code pénal).
I. L’atteinte à la vie privée du fait d’un défaut de sécurité
La CNIL a estimé que l’utilisation de ces jouets connectés engendrait un manquement aux obligations de respect de la vie et des libertés individuelles puisqu’un certain nombre de données à caractère personnel sont collectées et enregistrées (A) et qu’une personne non habilitée peut facilement y accéder à l’aide de la technologie Bluetooth (B).
A. La collecte et l’enregistrement de données à caractère personnel
L’article 2 de la loi du 6 janvier 1978 donne la définition d’une donnée à caractère personnel, il s’agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Ici, il est vraisemblable que l’enfant soit amené à converser avec son jouet et à lui divulguer des informations à son sujet, tel que son nom, prénom, son âge, ainsi que des données liées à ses proches. De plus, l’application connectée apparentée aux jouets contient un formulaire relatif à des questions qui concernent l’enfant et ses préférences.
La délégation de la CNIL a constaté, lors de ses contrôles, que les données à caractère personnel révélées par les utilisateurs du jouet sont traitées par la technologie de reconnaissance vocale de la société GENESIS INDUSTRIES LIMITED (cette technique convertit les questions posées au jouet en texte, pour que les applications extraient la réponse d’internet). Or la voix d’une personne est en soit une donnée à caractère personnel[2].
De même que le traitement des données est associé à des adresses IP, qui constituent également des données à caractère personnel.
L’ensemble des données personnelles, qu’elles soient délivrées par l’enfant ou ses proches via le mécanisme audio ou renseignées dans le formulaire de l’application, constituent un ensemble de données permettant d’identifier directement ou indirectement l’enfant et constituent une atteinte à sa vie privée, en vertu de l’article 1er de la loi Informatique et Libertés selon lequel l’information « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
Au-delà du fait qu’une multitude de données personnelles sont recueillies par la société, n’importe quelle personne peut se connecter au jouet, écouter les conversations aux alentours du jouet, les enregistrer et même communiquer à distance (B).
B. Les possibilités d’écoute, d’enregistrement et de communication à distance par des personnes non habilitées
Toute personne disposant d’un système de communication Bluetooth peut détecter d’autres connexions Bluetooth à proximité et donc détecter un jouet connecté. Cette personne peut se connecter au système Bluetooth du jouet puisqu’aucune authentification via un mot de passe ou un code d’accès n’est requis de la personne.
Ainsi, n’importe quelle personne située à l’extérieur du bâtiment depuis lequel se trouve le jouet, peut s’y connecter à quelques mètres de distance. Ainsi une personne malveillante peut donc avoir accès aux discussions captées par le jouet et les enregistrer. Le contrôle de la CNIL a révélé qu’une personne située à 9 mètres du jouet, à l’extérieur du bâtiment, pouvait s’y connecter sans avoir à s’authentifier. La distance est augmentée jusqu’à 20 mètres maximum, si le pirate prend le contrôle du jouet après une première connection. En effet, la CNIL ayant expérimenté ce système, constate qu’un « contrôleur de la CNIL était en mesure d’entendre les propos échangés à proximité des jouets par d’autres contrôleurs et d’enregistrer ces propos ».
La CNIL relève également qu’il est possible pour une personne d’entrer en communication avec l’enfant par le biais de deux techniques à savoir l’utilisation du jouet en tant que kit main-libre et l’usage de la fonction dictaphone du téléphone.
La première technique qui peut être utilisée est celle où le jouet est assimilé à un kit main-libre ; le fait d’appairer un premier ordiphone avec le jouet et appeler celui-ci d’un autre ordiphone, donne lieu à des échanges vocaux qui transitent par le jouet. La seconde technique pouvant permettre à un individu de communiquer avec l’enfant, est celle qui consiste à diffuser, via le haut-parleur du jouet, une bande sonore préalablement enregistrée avec la fonction dictaphone de l’ordiphone.
En conséquence, quiconque peut communiquer à distance avec l’enfant par le biais du jouet et ainsi lui donner des informations susceptibles de le mettre en danger. Par exemple si une personne détecte la connexion Bluetooth liée au jouet et s’y appaire, elle peut ordonner à l’enfant de se diriger vers sa porte d’entrée et d’ouvrir à un individu malveillant.
C’est à juste titre que la CNIL a donc mis en demeure la société de procéder à la sécurisation du dispositif de communication Bluetooth. Elle recommande la mise en place d’un bouton d’appairage, d’un code PIN ou encore d’une authentification. La CNIL reproche également à la société d’avoir manqué d’informer les utilisateurs de ces jouets connectés (II).
II. Le manquement à obligation d’information des utilisateurs
La CNIL a constaté que les utilisateurs n’étaient pas informés du traitement de leurs données personnelles (A) et que les conversations échangées entre toute personne et le jouet étaient envoyées depuis les applications au serveur d’une société située aux Etats-Unis (B).
A. L’absence d’avertissement des utilisateurs vis-à-vis des traitements de données mis en œuvre par la société
Comme il a été énoncé supra, après l’installation de l’application « My Friend Cayla App » sur le téléphone, un formulaire de renseignements relatifs à l’enfant s’affiche et les parents de l’enfant sont amenés à le compléter. Il n’est pas indiqué si le fait de renseigner ce formulaire revêt un caractère facultatif ou non.
La délégation de contrôle de la CNIL a constaté que le formulaire n’indiquait pas les traitements qui allaient être effectués vis-à-vis de ces données à caractère personnel. On ne connait pas la « finalité du transfert », ni quelles personnes physiques ou morales seront destinataires des données, ni même pour quelle durée ces données seront conservées.
L’ensemble de ces faits constituent un manquement à l’article 32-I de la loi n°78-17 du 6 janvier 1978, qui traite de l’ensemble des éléments dont doit être informée la personne auprès de laquelle sont recueillies des données à caractère personnel par le responsable du traitement ou son représentant.
La CNIL a donc mis en demeure la société GENESIS INDUSTRIES LIMITED de procéder à l’information de toutes les personnes concernées en vertu des conditions posées par l’article précité. La CNIL demande que des mesures relatives à l’identité du responsable du traitement, à la finalité poursuivie par le traitement, au caractère obligatoire ou facultatif des personnes ainsi qu’aux droits des personnes, soient insérées sur le formulaire qui recueille les données personnelles par le biais des applications mobiles.
La CNIL sollicite également l’édiction de mesures d’information auprès des utilisateurs lorsque ces données personnelles sont transférées en dehors de l’Union Européenne (B).
B. Le transfert des données personnelles vers un prestataire de service situé en dehors de l’Union Européenne
Une société, prestataire de service de la société GENESIS INDUSTRIES LIMITED et située aux Etats-Unis procède à un « traitement de conversion parole-texte » (afin de pouvoir permettre de poser une question au jouet et qu’il en trouve la réponse). Les conversations échangées par le biais du jouet sont transférées vers ce prestataire. Or la CNIL a constaté qu’« aucune information relative au transfert de données à destination d’un Etat non membre de l’Union Européenne » n’était délivrée ni dans les conditions d’utilisation ni dans la politique de confidentialité des applications des jouets connectés.
Les faits constatés méconnaissent donc le septième alinéa de l’article 32-I de la loi n°78-17 du 6 janvier 1978 qui traite de l’information des personnes auprès desquelles sont recueillies les données à caractère personnel lorsque leurs données sont transférées « à destination d’un Etat non membre de la Communauté européenne ». Ces faits sont également contraires à l’article 91 du décret n°2005-1309 du 20 octobre 2005 qui précise les informations qui doivent être divulguées par le responsable du traitement, dans le cadre du transfert de données à destination d’un pays en dehors de l’Union européenne. L’article prévoit notamment que les utilisateurs doivent être informés sur le niveau de protection offert, en matière de protection des données personnelles, par le pays destinataire de ces données, ce qui a été méconnu en l’espèce.
C’est pourquoi la CNIL a exigé de la société qu’elle se mette en conformité en indiquant que des données personnelles sont transférées à destination d’Etats non membres de l’Union Européenne, au sein des conditions générales des applications ainsi que des sites internet affiliés aux jouets connectés. La société doit également indiquer la nature des données qui font l’objet d’un transfert hors de l’Union Européenne, la finalité de ces transferts, les destinataires des données ainsi que le niveau de protection offert par les pays destinataires.
La CNIL a également constaté que les conversations échangées entre l’utilisateur et le jouet connecté sont transmises par le serveur du prestataire, vers les applications My Friend Cayla App et iQue Robot app par le biais du protocole HTTP, le canal de communication transmettant les données à caractère personnel collectées et émises depuis les applications mobiles n’est donc pas chiffré. La CNIL met en demeure la société de prendre des mesures pour assurer la confidentialité et la sécurité des données à caractère personnel en procédant au chiffrement de ce canal de communication (notamment par le biais du protocole HTTPS).
Une des solutions qui pourrait offrir aux fabricants le moyen de sécuriser les objets connectés, et plus particulièrement les jouets connectés, résulte dans les infrastructures à clefs publiques (Public Key Infrastructure, PKI). Ces PKI délivrent des certificats numériques qui permettent de sécuriser les échanges en jouant un rôle d’identificateur. Cette sécurisation s’opère à deux niveaux : les certificats numériques permettent aux appareils de s’identifier entre eux et à l’utilisateur de s’identifier auprès de ces appareils. Les PKI chiffrent les flux de données à travers tout type de réseau, ce qui permet de rendre les données indéchiffrables et d’éviter la captation de ces données[3]. L’utilisation de ce type d’innovation permettrait aux fabricants de jouets connectés d’offrir aux consommateurs une plus grande sécurisation de leurs données personnelles.
Les normes en vigueur, notamment le règlement nᵒ 2016/679[4], dit règlement général sur la protection des données entré en vigueur le 25 mai 2018, vont dans ce sens et permettent d’accroitre la protection des données à caractère personnel.
[1] Bundesministerium der Justiz und für Verbraucherschutz (Ministère fédéral de la justice et de la protection des consommateurs), Telekommunikationsgesetz (TKG) (Loi sur les télécommunications)
§ 90 Missbrauch von Sende- oder sonstigen Telekommunikationsanlagen (§90 sur le mauvais usage de la radiodiffusion ou d’autres éléments de télécommunication).
https://www.gesetze-im-internet.de/tkg_2004/__90.html
[2] Groupe de travail de l’article 29 (G29) dans son avis 4/2007 du 20 juin 2007 sur le concept de données à caractère personnel, http://www.cil.cnrs.fr/CIL/IMG/pdf/wp136_fr.pdf
[3] NELSON Mike, Les PKI, la solution de sécurité pour les objets connectés, 06/2018, http://www.globalsecuritymag.fr/Les-PKI-la-solution-de-securite,20180619,79317.html
[4] Règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR