Des poupées connectées émettent des pubs ciblées aux enfants et permettent aux voisins et passants d'écouter

A l’approche de Noël, l’UFC-Que Choisir dénonce des lacunes concernant la sécurité et la protection des données personnelles de la poupée connectée Mon amie Cayla et du robot connecté i-Que vendus en France. Ailleurs, la poupée Hello Barbie, notamment, présente les mêmes lacunes.

Ces jouets disposent d’un microphone intégré qui se connecte par Bluetooth à une application mobile, préalablement téléchargée par l’utilisateur sur son smartphone ou sa tablette. Le jouet peut comprendre ce que dit l’enfant et y répondre.

Les fabricants « ont fait le choix d’une connexion simple et rapide, aucun code d’accès ou procédure d’association entre ces jouets et les téléphones/tablettes n’est exigé avant la connexion au jouet, ce qui garantirait pourtant que seul le propriétaire puisse s’y connecter ».

« Un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans que vous en soyez averti. La connexion peut même se faire à travers une fenêtre ou un mur en béton et le nom du Bluetooth, “Cayla” et “i-Que”, permet très simplement d’identifier les poupées. Plus grave encore… Un tiers peut prendre le contrôle des jouets, et, en plus d’entendre votre enfant, communiquer avec lui à travers la voix du jouet. »

« Les conditions contractuelles les autorisent, sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au strict fonctionnement du service. Ces données peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiés. Les données sont aussi transférées hors de l’Union européenne, sans le consentement des parents : “aux Etats-Unis, ou vers les autres territoires concernés où les lois sur la protection de la vie privée ne sont peut-être pas aussi complètes que celles du pays où vous résidez et/ou dont vous êtes ressortissant” ! »

Les sociétés fabricantes n’hésitent pas à faire de la publicité ciblée à destination de vos enfants. Les conditions contractuelles supposent que le simple fait de visualiser une publicité ciblée, constitue de votre part, un accord express à recevoir de telles publicités ciblées. L’étude a ainsi révélé que Cayla et i-Que prononcent régulièrement des phrases préprogrammées, faisant la promotion de certains produits - notamment des produits Disney ou des références aux dessins animés de Nickelodeon.

Loin d’être des cas isolés, Cayla et i-Que reflètent un problème général de sécurité et de données personnelles des jouets connectés. En effet, l’étude commanditée par nos homologues norvégiens souligne que la poupée Hello Barbie (pas encore commercialisée en France) est sujette aux mêmes griefs. »

« La protection des données personnelles des utilisateurs français est prévue par la loi Informatique et Libertés mais semble avoir été oubliée par les sociétés fabricantes. »

« L’UFC-Que Choisir appelle les parents à réfléchir à deux fois avant d’acheter la poupée Cayla et le robot i-Que ; rappelle qu’en cas de vente à distance, ils bénéficient d’un délai de rétractation de 14 jours. Pour ceux déjà équipés et qui souhaitent le conserver, l’association les invite à n’utiliser le jouet connecté qu’en leur présence, ou à défaut de l’éteindre. »

Elle saisit aussi la CNIL et la DGCCRF.