Quels sont les risques des jouets connectés et comment s’en prémunir ?

Si les fêtes de fin d’année font la joie des adultes, c’est une période surtout attendue des enfants, impatients de découvrir leurs nouveaux jouets. C’est un marché dynamique qui s’élève à plus de 3 milliards d’euros chaque année en France. Et les attentes évoluent ; pour s’adapter aux 90 % d’enfants de moins de deux ans qui maîtrisent déjà une tablette ou un smartphone, les fabricants s’inspirent des tendances qui plaisent aux adultes et proposent maintenant des objets connectés. Il y en aura plus de 26 milliards en 2020, soit en moyenne 10 par foyer. Le nombre de jouets connectés vendus dans le monde lui, a été estimé à 224 millions d’unités en 2017. Le chiffre d’affaires de ces ventes pourrait tripler d’ici 2022 pour atteindre 15,5 milliards de dollars, contre 4,9 milliards en 2017.
Munis de capteurs permettant de mesurer des données biométriques ou d’environnement, de systèmes de géolocalisation, de reconnaissance vocale via microphones, ou encore de caméras, ces jouets se connectent au web et à leurs propres applications via wifi et Bluetooth. Leur contrôle nécessite souvent l’ouverture d’un compte utilisateur en ligne permettant le stockage des données captées et enregistrées. Drones, engins roulants contrôlables ou poupées intelligentes, s’ils peuvent majoritairement être de précieux outils participant à l’éveil des enfants tout en veillant sur leur santé, ils suscitent tout de même l’inquiétude des parents, soucieux à 57 % que leurs enfants soient trop souvent connectés, et craignant dans 20 % des cas des répercussions sur leur santé. Des inquiétudes qui, dans quelques cas, ne s’avèrent pas totalement infondées…

Quelques cas inquiétants

La CNIL a récemment mis en demeure la société hongkongaise GENERAL INDUSTRIES LIMITED de procéder dans un délai de deux mois à la sécurisation de ses deux jouets connectés “Mon amie Carla” et robot “I-QUE”, suite à différents tests révélant leur sécurisation insuffisante. N’importe quel smartphone dans un rayon de 9 mètres pouvait en effet s’y connecter pour les utiliser en tant que microphones ou haut-parleurs.
L’application Nuance, requise pour toute interaction avec ces modèles, enregistrait chaque conversation en plus de collecter les informations lors des inscriptions. Des données potentiellement transmises à des tiers ou utilisées à des fins commerciales dans l’ignorance totale des utilisateurs.
Mais, loin d’être isolés, de tels cas semblent même fréquents depuis deux scandales ayant éclaté en 2015 : la sortie très contestée de la poupée “Hello Barbie” de Mattel, dont la moindre interaction avec un enfant était stockée sur un serveur et exploitée à diverses fins. Second esclandre, le piratage de serveurs de l’entreprise hongkongaise VTech, fabricante de consoles éducatives, victime d’un vol de données concernant 200 000 enfants.
Aux États-Unis, la société Mattel fut d’ailleurs réprimandée une seconde fois en 2017, au point de devoir abandonner un projet d’enceintes connectées pour enfants sous la pression de l’opinion publique et d’une pétition recueillant plus de 15 000 signatures.
À l’inverse de la France, qui n’a pour l’instant procédé à aucune interdiction de tels jouets, l’Allemagne a prohibé le 17 novembre 2017 la commercialisation de montres connectées destinées aux enfants de 5 à 12 ans et équipées de fonctionnalités d’écoute à distance.
Même des sites de vente en ligne comme Ebay ou Amazon se sont montrés intransigeants en retirant de la vente les peluches connectées de la marque Cloudpets après la découverte de bases de données stockant des informations de plus de 800 000 de leurs utilisateurs, accessibles sans aucun mot de passe. Les peluches en elles-mêmes pouvaient en plus être facilement piratées pour servir de mouchards.
De tels mésusages, qui ne concernent évidemment pas tous les modèles de jouets connectés commercialisés, ne sont pas anodins et peuvent avoir de graves implications…

Sécurité mise en jeu

Si l’ensemble de ces enregistrements et données mettent en péril la vie privée de tous les possesseurs de jouets connectés, les parents eux-mêmes peuvent s’en servir pour surveiller et localiser abusivement leurs enfants, au point de porter atteinte à leur vie privée en multipliant les intrusions, jusqu’à parfois écouter les professeurs.
Les publicitaires s’y intéressent également pour proposer des offres toujours plus personnalisées.
Utilisées de manières détournées, ces informations peuvent facilement aider au kidnapping, au harcèlement ou aux fraudes : des données précises concernant un enfant valent entre 30 et 40 dollars sur le marché noir, contre seulement 20 dollars pour un profil d’adulte. Une étude de l’université de Carnegie Mellon a révélé que 10 % des numéros de sécurité sociale d’enfants dérobés étaient associés à la fraude, 10 fois plus que ceux des adultes.
Comme le souligne un récent rapport de la commission britannique de la protection de l’enfance : “nous n’avons aucune idée de ce que toutes ces informations auront comme conséquences sur la vie de nos enfants”, il est donc important d’utiliser de tels objets avec précaution, mais aussi de bien les choisir pour être à l’abri de toute défaillance.

Quelques recommandations

Lors du choix du jouet connecté :
– Un bouton d’accès physique ou un mot de passe sécurise-t-il sa connexion ?
– Un voyant lumineux s’allume-t-il lorsqu’il enregistre et transmet des informations ?
– Est-il déjà connu pour une faille, ou mal réputé ? Se renseigner.
– Peut-on y effacer les données et enregistrements régulièrement ?
– La mention “CE” figure-t-elle sur le jouet, ou sur son emballage ?
– Est-il adapté à l’âge de l’enfant ?
– Avez-vous pris le temps de vous informer en lisant la notice et le mode d’emploi ?

Pour une prise en main sécurisée :
– Protéger sa connexion wifi et l’accès à son smartphone à l’aide d’un mot de passe.
– Modifier les paramètres et mots de passe par défaut du jouet. Toujours utiliser des codes d’accès différents et complexes.
– S’inscrire en utilisant des pseudonymes, de fausses dates de naissance, donner le moins d’informations possible et créer une adresse e-mail dédiée à l’utilisation des jouets.
– Désactiver les fonctions inutiles, comme le partage sur les réseaux sociaux.
– Effectuer régulièrement les mises à jour de sécurité.
– Accompagner l’enfant dans la prise en main du jouet.

Durant l’utilisation :
– Ne pas laisser l’enfant prendre en photo quelqu’un sans son consentement.
– Ne pas laisser l’enfant utiliser le jouet connecté sans surveillance.
– Bien l’éteindre après son utilisation.
– Le ranger convenablement, ne pas le laisser traîner dans les pièces communes.
– Effacer totalement les données et les enregistrements lorsqu’il n’est plus utilisé.

Évidemment, les jouets connectés sont loin de constituer les seules menaces pour les données personnelles des plus jeunes. En avril, une étude américaine de l’International Computer Science Institute a mis en avant la tendance d’environ 57 % des applications pour enfants proposées sur la plateforme Google Play à récupérer les données personnelles des utilisateurs sans qu’aucun consentement éclairé n’ait été recueilli. Un rapport du Bureau anglais du Commissaire à l’enfance révèle également la surexposition des jeunes sur les réseaux sociaux, due en partie aux parents qui diffusent en moyenne 1300 photos de leurs enfants avant leurs 13 ans.
En attendant que les enfants soient eux-mêmes en âge de protéger leur vie privée, c’est aux parents de rester vigilants et de prendre les précautions nécessaires. Il ne faut pas oublier non plus qu’un droit à l’effacement des données peut être exercé à tout moment. Bref, comme c’est un bon réflexe de ranger sa chambre après y avoir joué, c’est aussi un bon réflexe de mettre de l’ordre dans ses données personnelles. Pour de bonnes fêtes qui restent en famille !