Un jouet connecté est un appareil avec une connexion à l’Internet ainsi que Wi-Fi, Bluetooth ou autres capacités. Ces jouets, qui peuvent ou non être jouets intelligents, fournissent une expérience plus personnalisée pour des enfants en utilisant le logiciel intégré, y compris la reconnaissance vocale et les fonctions pour aller sur Internet[1]. En général, un jouet connecté recueille des informations sur les utilisateurs, soit volontairement, soit involontairement[2], ce qui soulève des questions sur la confidentialité et la vie privée. Les données recueillies par les jouets connectés sont généralement entreposées dans une base de données, où les entreprises qui produisent les jouets connectés peuvent les utiliser pour leurs propres usages.

Collecte d’informations

modifier

Les types d’informations qui peuvent être recueillies

modifier

Les jouets connectés pour les enfants peuvent rassembler des informations différentes, y compris des informations sur les parents et les enfants tous deux.

Informations qui peuvent être rassemblées sur les enfants comprennent[3] :

  • Date de naissance, nom et sexe
  • Avatars
  • Messages téléphoniques, SMS et photos envoyés par les enfants
  • Mots de passe
  • Emplacement
  • Historique de conversation et historique de navigation

Informations qui peuvent être rassemblées sur les parents comprennent[3] :

  • Adresse email et adresse postale
  • Sexe
  • Avatars
  • Messages téléphoniques, SMS et photos envoyés par les parents
  • Mots de passe et questions pour les récupérer
  • Références de carte de crédit
  • Numéro
  • Mots de passe de Wi-Fi et adresses IP

Les méthodes courantes de collecte

modifier

La collecte d’informations par les jouets connectés peut se passer soit volontairement soit involontairement. Les méthodes courantes de collecte comprennent [4]:

  • Informations remplies par les utilisateurs en créant un compte
  • Interaction avec les jouets
  • Connexion à Wi-Fi ou réseaux de portables

Problèmes concernant la vie privée

modifier

Des violations de données informatiques précédentes avaient soulevé les soucis que les informations des enfants ne sont pas correctement protégées. Les informations recueillies par les entreprises des jouets connectés peuvent être accédés par le public à cause d’un manque du cryptage dans le logiciel résultant de l’ignorance de la confidentialité d’informations[2].

Les violations de données informatiques précédentes

modifier

La fuite de données chez CloudPets

modifier

En 2017, les jouets CloudPets de l’entreprise Spiral Toys ont subi une fuite grave dans sa base de données. CloudPets garde toutes les informations rassemblées des jouets en peluche dans une base de données sur Internet. Selon Troy Hunt, spécialiste de la cyber-sécurité, plus de 820.000 comptes étaient dévoilés et plus de 2,2 millions messages téléphoniques, des enfants et des parents tous deux, étaient divulgués pendant la fuite. La cause de la fuite était le manque de sécurité pour la base de données utilisée par Spiral Toys pour garder les informations rassemblées. La base de données était facilement accessible par le public avant de la fuite[5].

Bien que la base de données ne soit plus accessible, Spiral Toys n’avait pas informé leurs clients de la fuite, ce qui est une violation de la loi de notification de violation de sécurité en Californie[6].

Le piratage de VTech

modifier

En novembre 2015, VTech a subi une violation de données grave dans son système de stockage informatique, où les hackers ont utilisé une injection SQL, qui est “une attaque où un assaillant exécute les expressions SQL méchantes (aussi connues comme une charge utile méchante) qui contrôlent le serveur de la base de données d’une application sur Internet (aussi connu comme un Système de Gestion de Base de Données - SGBD),” pour obtenir l’autorisation complète à la base de données où se trouvent des informations privées des enfants et des parents[3],[7].

Selon la déclaration publique de VTech, environ 4,8 millions comptes parents et 6,4 millions comptes enfants étaient divulgués mondialement dans plusieurs de leurs produits. Les informations divulguées pendant la fuite comprennent des noms ; des adresses électronique, IP et postale ; des mots de passe et des questions et des réponses pour récupérer les mots de passes. Les références des cartes de crédit et des numéros de sécurité sociale n’étaient pas gardés dans la même base de données[8]. Les États-Unis ont subi le plus à cause de la fuite, avec 2,2 millions de comptes parents et 2,9 millions comptes enfants, suivi par la France, le Royaume-Uni et l'Allemagne. Un homme de 21 ans de Berkshire a été arrêté pour le piratage[9].

Le partage d’informations

modifier

Le partage d’informations entre les fabricants des jouets et les autres entreprises avait soulevé des soucis sur la confidentialité d'informations privées recueillies par les jouets connectés. Les conversations et les interactions entre les enfants et les jouets sont généralement enregistrées par les jouets et envoyées au serveur virtuel du fabricant[1].

L’entreprise qui a produit Mon Amie Cayla (en anglais «My Friend Cayla») et i-Que Bot Intelligent, Genesis Toys, partage les informations de voix avec Nuance Communications pour améliorer sa technologie de reconnaissance vocale. Nuance Communications est connu pour vendre les solutions biométriques aux agences militaires, de renseignements et de police, ce qui met en considération les problèmes de la confidentialité concernant les jouets connectés[10].

De la même façon, Hello Barbie, fabriquée par Mattel Inc., se sert des technologies de reconnaissance vocale fournies par ToyTalk en Californie. Les informations rassemblées par Hello Barbie sont partagées entre Mattel et ToyTalk[1].

La conservation de données

modifier

La conservation de données recueillies par les jouets connectés est aussi un problème. Selon COPPA (Children’s Online Privacy Protection Act, en français «Loi de Protection de la Confidentialité des Enfants sur Internet») aux États-Unis, «un opérateur d’un site Web ou service Internet gardera les informations privées rassemblées sur Internet d’un enfant seulement aussi longtemps que nécessaire pour accomplir l’objectif pour lequel les informations étaient rassemblées. L’opérateur doit effacer ces informations avec des mesures raisonnables pour protéger contre l’accès non autorisé aux informations lié à leur effacement.»[11].

Le Conseil des Consommateurs Norvégien (Forbrukerrådet) a enquêté les conditions d’utilisation et les politiques de confidentialité de Mon Amie Cayla et i-Que Bot Intelligent en 2016. Il a trouvé que les politiques de confidentialité ne mentionnent pas combien de temps les données seront conservées une fois que les utilisateurs arrêtent d’utiliser la service ou ils effacent leur comptes[1]. Plus précisément, la politique de confidentialité de Mon Amie Cayla dit «qu’il n’est pas toujours possible d’effacer complètement toute vos informations de nos bases de données sans les données résiduelles à cause des sauvegardes et des autres raisons.»[12].

Prohibition sur Mon Amie Cayla en Allemagne

modifier

Au début de 2017, Bundesnetzagentur, l’Agence fédérale des réseaux en Allemagne, a interdit la vente et la possession de jouet connecté Mon Ami Cayla produit par Genesis Toys, en déclarant que le jouet est un appareil de transmission des informations dangereux et non autorisés. Mon Amie Cayla était le premier jouet connecté que l’Allemagne a interdit[13]. L’agence a déclaré en outre que n’importe quel jouet qui transmet les données, y compris les fonctions qui enregistrent la vidéo et la voix, sans détection, est interdit en Allemagne. Elle s’est inquiété d’usage possible du jouet comme appareil de surveillance. Le président de Bundesnetzagentur, Jochen Homann, a déclaré que «les objets qui cachent les caméras ou micros et qui peuvent transmettre un signal, et donc peuvent transmettre les données sans détection, compromettent la confidentialité des gens. Ceci s’applique particulièrement aux jouets pour les enfants. La poupée Cayla était interdit en Allemagne. Ceci est aussi pour protéger le plus vulnérable dans notre société.»[14].

L’agence est en train d’enquêter d’autres jouets connectés[14]. Aucune mesure était faite aux familles qui ont le jouet. L’Agence fédérale des réseaux a conseillé les parents de détruire immédiatement le jouet pour éviter le risque de compromettre leurs vies privées[13].

Lois sur les jouets connectés aux États-Unis

modifier

Aux États-Unis, les lois fédéraux qui sont souvent associés avec des jouets connectés comprennent la Children’s Online Privacy Protection Act (raccourcie à COPPA, en français «Loi de Protection de la Confidentialité des Enfants sur Internet») et Section 5 de la Federal Trade Commission Act (en français «Loi de la Commission fédérale du commerce»). Les deux lois sont mis en vigueur par la Commission fédérale du commerce (FTC, en anglais Federal Trade Commission) en ce qui concerne la collecte d’informations privées des enfants[3].

Children’s Online Privacy Protection Act (COPPA)

modifier

Les jouets qui peuvent se connecter à l’Internet sont soumis à la régulation de la Loi de Protection de la Confidentialité des Enfants sur Internet (COPPA, pour le nom anglais). COPPA donne le contrôle aux parents sur les informations collectées de leurs enfants sur Internet. Les sites Web doivent demander la permission vérifiable des parents avant de recevoir n’importe quelle information privée des enfants de moins de 13 ans[15]. Si les données sont transférées à une tierce partie, elle doit suivre la même procédure pour protéger les données[16]. Une violation de COPPA peut entraîner des sanctions civiles jusqu’à 40.654 USD par incident[15].

Il y a des soucis concernant la protection de COPPA pour les jouets connectés, car les jouets achetés dans des magasins de détail ne sont pas directement sous COPPA.

Autres soucis se rapportent à la conformité des entreprises des jouets connectés avec COPPA. Plusieurs organisations, y compris Electronic Privacy Information Center (en), Campaign for a Commercial-Free Childhood (en), Center for Digital Democracy et Consumer Reports (en), ont soumis à la FTC une plainte concernant les violations de COPPA par Mon Amie Cayla et i-Que Bot Intelligent, fabriqués par Genesis Toys. La plainte a mentionné le partage des données entre Genesis Toys et Nuance Communications et le manque de mention de la conformité avec COPPA par Nuance Communications[10].

Section 5 de la Federal Trade Commission Act

modifier

«Les actions injustes ou trompeuses concernant le commerce» sont déclarées illégales par section 5 de la Federal Trade Commission Act[17]. La FTC avait utilisé Section 5 pour protéger les confidentialités et les informations privées des consommateurs. Les entreprises des jouets connectés peuvent violer cette loi en recueillant, gardant et abusant les données ou les informations rassemblés par les jouets[3].

Voir aussi

modifier

Notes et références

modifier
  1. a b c et d ( en ) Forbrukerrådet, «Consumer and Privacy Issues in Internet-Connected Toys.» (consulté 13 avril 2017).
  2. a et b ( en ) O’Shea, Joe. «Toys can be directed to take pictures, video, audio, and you will have no idea it is happening'- Irish cyber security expert warns parents» sur Independent.ie, 3 novembre 2016 (consulté 24 mars 2017).
  3. a b c d et e (en) Bill Nelson, « Children's Connected Toys: Data Security and Privacy Concerns », sur Homeland Security Digital Library, (consulté le )
  4. (en-GB) Samuel Gibbs, « Privacy fears over 'smart' Barbie that can listen to your kids », The Guardian,‎ (ISSN 0261-3077, lire en ligne, consulté le )
  5. (en) « Data from connected CloudPets teddy bears leaked and ransomed, exposing kids' voice messages », sur Troy Hunt, (consulté le )
  6. ( en ) Selena Larson, « Stuffed toys leak millions of voice recordings from kids and parents », sur CNNMoney, (consulté le )
  7. (en-US) « What is SQL Injection (SQLi) and How to Prevent It », sur Acunetix (consulté le )
  8. ( en ) VTech Holdings Limited, «Data Breach On VTech Learning Lodge and Resumption of Trading.» (consulté 13 avril 2017).
  9. (en-US) « FAQ about Cyber Attack on VTech Learning Lodge (last updated: 19:30, January 9, 2018, HKT) » (consulté le )
  10. a et b ( en-US )FEDERAL TRADE COMMISSION Washington, DC 20580 In the Matter of Genesis Toys and Nuance Communications.FEDERAL TRADE COMMISSION Washington, DC 20580 In the Matter of Genesis Toys and Nuance Communications.
  11. ( en-US ) 16 C.F.R 312.10.
  12. ( en ) «Privacy Policy.» My Friend Cayla (consulté 4 mai 2017).
  13. a et b (en-GB) Justin Huggler, « Germany bans internet-connected dolls over fears hackers could target children », The Telegraph,‎ (ISSN 0307-1235, lire en ligne, consulté le )
  14. a et b ( en ) « Bundesnetzagentur - Press - Bundesnetzagentur removes children's doll "Cayla" from the market », sur www.bundesnetzagentur.de (consulté le )
  15. a et b (en) « Complying with COPPA: Frequently Asked Questions », sur Federal Trade Commission, (consulté le )
  16. ( en-US ) 16 C.F.R. § 312.8
  17. (en) « Federal Trade Commission Act », sur Federal Trade Commission, (consulté le )