Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf

https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf

 

Rapport d’activité 2015 de la CNIL : une augmentation de 20% des contrôles et de 50% des mises en demeure

Rapport d’activité 2015 de la CNIL : une augmentation de 20% des contrôles et de 50% des mises en demeure

La CNIL a rendu public le 8 avril 2016 son rapport d’activité pour l’année 2015.

Il en ressort que la CNIL, dans le cadre de ses missions de contrôle et de sanction, a réalisé 510 contrôles en 2015, en augmentation de 20% par rapport à l’année précédente. 70% de ces missions concernaient le secteur privé.

Sur les 510 contrôles réalisés, 155 l’ont été en ligne. Pour mémoire, c’est la loi relative à la consommation, dite « loi Hamon » du 17 mars 2014 qui a donné à la CNIL la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Ces constatations sont relevées dans un procès-verbal adressé aux organismes concernés et leur sont opposables. La CNIL peut ainsi facilement et rapidement vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique.

L’année 2015 est également marquée par une hausse du nombre de mises en demeure (93 soit une augmentation de 50 % par rapport à 2014). Il est intéressant de noter que la grande majorité des mises en demeure fait suite à des missions de contrôle (92 % des décisions) dont certaines consécutives à des plaintes reçues.

Le rapport de la CNIL liste les sanctions prononcées en 2015 et notamment les sanctions pécuniaires prononcées à l’encontre de la société OPTICAL CENTER le 5 novembre 2015 (évoquée ici : http://mvm-avocat.fr/cnil-defaut-de-securite-et-confidentialite-des-donnees-sanction-pecuniaire-de-50-000-e-et-publicite-de-la-decision-optical-center/ ), l’avertissement public prononcé à l’encontre de la société PROFIL SENIORS le 21 décembre 2015 (détaillée ici : http://mvm-avocat.fr/externalisation-de-traitements-de-donnees-a-letranger-pas-de-transfert-de-donnees-hors-ue-sans-lautorisation-prealable-de-la-cnil/ ) ainsi que la décision du Conseil d’Etat du 30 décembre 2015 (société ORANGE évoquée ici : http://mvm-avocat.fr/obligations-responsable-de-traitement-matiere-de-traitance-de-donnees-a-caractere-personnel/ ).

Pour prendre connaissance dans le détail du rapport de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/cnil-36e_rapport_annuel_2015.pdf