Toute personne née dans les années 1980 ou amatrice de films d’horreurs se rappelle forcément de l’inquiétante poupée « Chucky » qui, habitée par un esprit malveillant, terrorisait son entourage. Icône de la culture populaire, Chucky pourrait bien avoir trouvé sa relève dans la poupée « Cayla », incarnation pour certains des dérives d’une société toujours plus connectée.
Ce jouet connecté a en effet été considéré comme représentant un danger pour la vie privée des personnes « vulnérables », c’est à dire des mineurs, par la CNIL. La haute autorité indépendante a mis en demeure le 20 novembre dernier, la société hongkongaise GENESIS Industries Limited commercialisant ladite poupée, de se mettre en conformité avec la loi Informatique et libertés du 6 janvier 1978.
Si la poupée Cayla n’a heureusement pas les ambitions meurtrières de la maléfique Chucky, force est de constater, à l’ère où la criminalité se dématérialise, que son pouvoir de nuisance est réel.
Cette mise en demeure de la CNIL a le mérite de rappeler que l’innovation ne peut se faire au prix de la sécurité.
Dans un communiqué rendu public sur son site internet, la CNIL pointe notamment du doigt les défauts de sécurité du robot « I-QUE » et de la poupée « My Friend Cayla », des jouets connectés ayant vocation à répondre aux questions posées par des enfants à l’instar de l’enceinte Google Home pour les adultes.
Ces objets, équipés d’un microphone et d’un haut-parleur, sont associés à une application mobile. L’enfant pose sa question au jouet qui enregistre et traite la voix afin, par le biais de l’application, de trouver une réponse adéquate.
Il ressort des constatations de la CNIL que la société hongkongaise collecterait une myriade de données personnelles et d’informations en tout genre via les « conversations » tenues entre les utilisateurs et la poupée. Il serait en outre particulièrement aisé pour un pirate de détourner le jouet connecté de ses finalités initiales.
Il est ainsi possible de connecter un téléphone mobile à la poupée via le système de communication Bluetooth sans avoir à s’authentifier, à l’insu de ses propriétaires. Dans ce cas, la personne peut entendre et enregistrer les conversations entre l’enfant et le jouet comme celles de son entourage immédiat.
Plus inquiétant encore, le pirate peut communiquer directement avec l’enfant, soit en diffusant via l’enceinte du jouet, soit en « appelant » le téléphone connecté au jouet avec un autre téléphone
Dans son communiqué, la Présidente de la CNIL alerte sur les violations de ces jouets connectés avec la réglementation en vigueur et notamment l’article 1er de la loi Informatique et Libertés au terme duquel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
A quelques mois de l’entrée en application du règlement européen sur la protection des données à caractère personnel (RGPD), cette mise en demeure est l’occasion de faire le point sur les garanties que doivent présenter toutes nouvelles technologies à destination des mineurs:
1/ Adopter une approche « Privacy By Design » (Protection de la vie privée dés la conception)
Les principes de Privacy by design et Privacy by default[1] innervent l’esprit du RGPD. Ils commandent aux responsables du traitement et sous-traitants d’intégrer en amont d’un traitement et par défaut toutes les mesures techniques et organisationnelles appropriées aux risques encourus.
Concrètement il s’agit pour le concepteur de l’objet connecté d’anticiper les risques inhérents à cette nouvelle technologie sur la vie privée des utilisateurs et de prévoir des garanties adaptées (chiffrement des données, cryptage, etc.) audits risques.
Cette démarche fait directement écho à l’obligation de sécurité prévue à l’article 32 du règlement et mise à la charge du responsable de traitement et du sous-traitant.
L’objectif pour les concepteurs est donc de prendre en compte la sécurité des données personnelles au tout premier stade du développement de l’objet connecté.
2/ Effectuer une étude d’impact (PIA)
De la logique Privacy By Design, découle la nécessité de réaliser une étude d’impact sur la vie privée des personnes (Privacy Impact Assesment, PIA)[2].
Le PIA est un outil permettant de vérifier et de démontrer la conformité d’un traitement de données à caractère personnel au RGPD en testant le dit traitement.
Il est obligatoire d’effectuer une telle étude d’impact lorsqu’en raison du type de traitement, les droits et libertés des personnes sont exposés à un risque élevé. C’est notamment le cas lorsque le traitement est destiné au profilage, à un traitement à grande échelle de données sensibles ou de données relatives aux conditions pénales et aux infractions ou encore à la surveillance à grande échelle d’une zone accessible au public.
Si elle n’est pas obligatoire, elle reste naturellement recommandée dès lors qu’un traitement représente un risque pour la vie des personnes.
Dans le cas où un traitement cible une personne « vulnérable », comme un mineur, il est hautement recommandé de procéder à une telle étude.
La réalisation du PIA permet non seulement d’auditer le système mis en place mais répond également à l’obligation « d’accountability »[3] (responsabilisation) prévue par le RGPD. Tout responsable de traitement doit en effet pouvoir justifier des garanties mises en place pour répondre à ses obligations. Une telle justification se fait principalement via l’élaboration d’une documentation pertinente dont le rapport de PIA est partie intégrante.
3/ Respecter le droit des personnes concernées
Le RGPD renforce les droits existants pour les personnes concernées autant qu’il en consacre de nouveaux.
Dans le cadre de la conception d’un jouet connecté, l’information et le consentement de l’utilisateur prennent une place stratégique.
L’article 12 du RGPD consacre en effet « la transparence de l’information » et exige que celle-ci soit concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, plus spécifiquement lorsqu’elle est destinée à un enfant.
Il est ainsi recommandé l’utilisation d’icônes, de dessins, bandes dessinées ou courtes vidéos permettant aux enfants de prendre pleinement conscience des traitements de données à caractère personnel liés à l’utilisation du jouet connecté.
Par ailleurs, le RGPD prévoit dans son article 8 que le traitement de données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. En dessous de cet âge, le consentement doit être donné ou autorisé par le titulaire de l’autorité parentale. Les Etats membres bénéficient néanmoins d’une marge de manœuvre quant au seuil prévu : ils peuvent prévoir un âge inférieur à 16 ans pour autant qu’il ne soit pas en dessous de 13 ans.
Bien qu’il s’agisse d’une simple obligation de moyens, on peut légitimement soulever les difficultés qu’engendrera en pratique la vérification de l’âge de la personne commandant le jouet connecté.
Les e-commerçants devront vraisemblablement prévoir un processus de receuil du consentement plus abouti que la simple case à cocher.
La commercialisation d’objets connectés à destination des mineurs devra donc respecter les dispositions de la réglementation européenne aux risques pour le responsable de traitement de se voir infliger des sanctions particulièrement lourdes, pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial.
Au delà de l’aspect purement financier, les concepteurs de ces nouvelles technologies ont tout intérêt à faire de la sécurité des données leur priorité afin de gagner en compétitivité.
Pour les autres, les incidents à prévoir et leurs effets sur les données personnelles des mineurs auront pour seul mérite de stimuler davantage l’imagination des réalisateurs de films…déconseillés aux moins de 16 ans.
Pour plus d’informations sur l’entrée en application du RGPD, rendez-vous ici.
[1] Article 25 du RGPD
[2] Article 35 du RGPD
