Le marché des jouets connectés prend de l’ampleur et leurs fonctionnalités sont de plus en plus innovantes et surprenantes. Tout cela n’est pas sans risques – données personnelles des parents ou des enfants, sécurité du matériel et connexions aux services en ligne des fabricants. Mieux vaut s’informer avant de les utiliser!
Les risques associés peuvent être regroupés en trois catégories :
- ceux d’ordre technique, liés aux choix technologiques permettant la connexion,
- ceux liés au prestataire du service connecté,
- ceux liés aux tiers, prestataires de services ou autres, non liés au fabricant du jouet ni à l’opérateur du service directement associé (par exemple, des éditeurs de jeux tiers vendant leurs logiciels sur une boutique en ligne).
Les risques techniques des jouets connectés
Les jouets connectés sont des ordinateurs malgré eux
Un jouet connecté intègre un certain nombre de composants technologiques lui permettant cette connexion. Cette complexité soulève de nombreuses questions à l’égard de la fiabilité et de la sécurité, tant de la partie matérielle que logicielle. En effet, il est difficile, voire impossible, de procéder à des mises à jour sur un tel matériel. De même, les protocoles de communication choisis peuvent ne pas respecter les normes de sécurité.
Les jouets connectés soulèvent des questions liées à la sécurité du matériel
De nombreux experts en cybersécurité se sont intéressés de près à la question de la sécurité des jouets connectés. Une série de tests a pu démontrer que certains de ces jouets possèdent de nombreuses failles. On peut par exemple citer les critiques qui avaient été faites à certaines poupées intelligentes comme Hello Barbie (Mattel) et Cayla (Vivid Toy Group).
Par exemple, la poupée Hello Barbie a présenté certains problèmes de sécurité importants, tels que : l’autorisation d’utiliser des mots de passe faibles pour l’application mobile ainsi que le site internet de ToyTalk, la possibilité d’envoyer des informations sensibles via un protocole de communication non chiffré, ainsi que plusieurs failles de sécurité dans l’application en ligne “Hello Barbie” sur smartphone.
Les jouets connectés peuvent impacter la santé
Certains jouets sont connectés via des solutions sans fil. Les enfants sont donc exposés à des ondes électromagnétiques. En 2011, l’Organisation mondiale de la Santé a classé les ondes électromagnétiques comme « potentiellement cancérigènes». Ce classement est aujourd’hui encore sujet à débat mais la prudence est recommandée. De même, certains jouets connectés disposent d’un écran mais l’usage par la petite enfance doit en être modéré, eu égard à l’exposition à des écrans et au risque lié au développement des facultés oculaires (surtout dans le cas des casques de réalité virtuelle).
Les jouets connectés peuvent avoir des coûts cachés
Lorsque vous achetez un jouet connecté à votre enfant, il est possible de le faire évoluer ou de lui ajouter des fonctionnalités supplémentaires. Parfois, le fabricant ne donne pas forcément le choix. Par exemple, dans le cas de la poupée Cayla, un crédit de 3000 questions est fourni “gratuitement” lors de l’achat. Lorsque ce quota est dépassé, il faut payer un supplément.
Les risques liés aux prestataires des services connectés
Un décalage entre le discours commercial et la réalité des conditions générales d’utilisation
La grande majorité des jouets connectés va de pair avec une application tierce qui permet une interaction à distance via par exemple un smartphone ou une tablette. Un tel service est souvent nécessaire au fonctionnement du jouet. Or, les conditions générales d’utilisation de ce service de connexion ne sont pas forcément mentionnées sur la boîte du jouet ou même au niveau de sa notice. Ce manque de transparence peut être dommageable pour les utilisateurs. On constate notamment que le traitement des données personnelles des utilisateurs n’est pas réalisé de manière à protéger suffisamment leur vie privée. On observe souvent un décalage entre les promesses du type “la vie privée de nos utilisateurs est notre priorité” et le contenu des conditions générales d’utilisation.
Une garantie sur les jouets connectés, mais pas sur les services web associés
Pour les jouets connectés autant que les biens neufs, la garantie légale de conformité en Europe a une durée minimale de 2 ans. Si un défaut apparaît dans les 6 premiers mois suivants l’achat du produit, le produit devra être réparé, remplacé ou remboursé, sans discussion possible (Code de la consommation luxembourgeois article L. 212 et suivants, directive 99/44/CE du Parlement européen et du Conseil du 25 mai 1999 sur certains aspects de la vente et des garanties des biens de consommation). Cependant, les contrats de licence utilisateurs finaux peuvent être quelque peu problématiques : par exemple dans le cas d’un jouet connecté associé à un service web, la garantie légale de conformité s’appliquera obligatoirement au jouet, mais pas toujours au service web associé.
Les risques liés aux tiers
La question du but final du traitement des données à caractère personnel
Lorsqu’un enfant utilise un jouet connecté, les parents sont amenés à partager un certain nombre de données personnelles comme leur adresse email, leur nom, leur numéro de téléphone, etc. Ces derniers peuvent également être appelés à communiquer des informations liées à leur enfant comme son nom, sa date d’anniversaire, etc. Certains services proposent aussi de lier l’application à des réseaux sociaux (comme Facebook, ou autres). De quelle façon sont utilisées ces données ? Que stipule le contrat de licence utilisateur final sur l’utilisation des données personnelles ? Est-ce que celles-ci sont utilisées pour faire du profilage et ensuite revendues à des tiers ? En clair, les buts du traitement des données ne sont pas toujours explicites. On peut prendre l’exemple de la poupée “Hello Barbie” : l’enfant se confie à ce jouet et les conversations sont enregistrées sur le Cloud du fabricant, ce dernier pouvant accéder à ces discussions privées (tout comme les parents). La notion de vie privée est donc remise en question et cela pourrait même influencer les comportements des utilisateurs, d’autant plus que le fournisseur se réserve le droit d’exploiter les données enregistrées à des fins commerciales. Il en va de même pour les plateformes de messagerie instantanée, les applications de jouets qui se connectent aux comptes Facebook, etc.
Le risque de fuite de données
Étude de casLa fuite de données chez VTECH en 2015. Un attaquant avait eu accès à la base de données du système nommé Explor@Park / Learning Lodge, qui permettait aux consommateurs de télécharger des contenus pour certains jouets VTECH. Cette même personne s’était également emparée de certaines données du service “Kid Connect”, une application de messagerie instantanée permettant aux enfants d’échanger des vidéos, des images et des messages avec leurs parents et leurs amis. Ce sont donc des noms, des adresses, mais aussi des fichiers audio, des vidéos, des photos qui sont concernés. Cet exemple démontre bien qu’un fabricant n’est pas toujours à l’abri d’une fuite de données. Une personne malintentionnée pourrait retrouver ces données personnelles et les exploiter contre les utilisateurs du service. Pour mieux comprendre ce qu’est une fuite de données et quels sont les risques que cette dernière implique, consultez le dossier BEE SECURE : “Fuite de données – tous concernés“. |
|---|
Ce dossier a été rédigé par SECURITMADEIN.LU, en partenariat et/ou avec les conseils du des Centre Européen des Consommateurs (CEC), Foyer Assurances et de l’ Union Luxembourgeoise des Consommateurs (ULC). Son contenu est purement informatif et non exhaustif. Sa diffusion est notamment réalisée dans le cadre de l’intiative gouvernementale BEE SECURE. La rédaction et la coordination sont cofinancées par l’Union Européenne.
Diffusé sous licence Creative Common CC-BY-SA 4.0
