Jouets connectés : clôture de la procédure de mise en demeure à l’encontre de la société GENESIS INDUSTRIES LIMITED

20 juillet 2018

Le 20 novembre 2017, la Présidente de la CNIL a pris une mise en demeure à l’encontre de la société GENESIS INDUSTRIES LIMITED relative à la sécurisation des jouets connectés « My Friend Cayla » et « I-QUE ». Au vu des éléments de réponse apportés par la société, la Présidente a décidé de clôturer la procédure de mise en demeure. 

Alertée par une association de consommateurs sur le défaut de sécurité des jouets, la Présidente de la CNIL avait adressé un questionnaire à la société située à Hong-Kong et lancé des contrôles de ces jouets et des applications mobiles associées.

Une absence de sécurisation des jouets, permettant à toute personne possédant un dispositif équipé d’un système de communication Bluetooth (par exemple un smartphone) de s’y connecter à l’insu des enfants et des propriétaires des jouets, a conduit la Présidente de la CNIL à mettre en demeure, le 20 novembre 2017, la société GENESIS INDUSTRIES LIMITED de se conformer à la loi « Informatique et Libertés » dans un délai de 2 mois.

Les réponses de la société et les contrôles ultérieurs de la CNIL

Plusieurs réponses ont été apportées par la société GENESIS INDUSTRIES LIMITED à la suite de la mise en demeure. Par ailleurs, de nouveaux contrôles ont été réalisés par la CNIL afin de vérifier les affirmations de la société.

La société a notamment informé la Présidente qu’elle n’avait plus recours à la technologie de reconnaissance vocale dans le cadre de l’utilisation des jouets.

Les contrôles effectués par la CNIL, les 8 et 9 février 2018, ont confirmé que la reconnaissance vocale, nécessaire pour que les jouets répondent aux questions posées par les enfants, n’est plus utilisée par la société. Les propos échangés avec les jouets ne sont plus transférés vers les serveurs d’une société tierce en charge du traitement de conversion parole-texte.

Par conséquent, l’utilisation des jouets ne conduit plus à mettre en œuvre un traitement de données personnelles relevant du champ d’application de la loi « Informatique et Libertés » du 6 janvier 1978. La Présidente de la CNIL a donc dû procéder à la clôture de la procédure de mise en demeure.

Cependant, la CNIL a constaté qu’il était toujours possible de s’appairer aux jouets, avec un dispositif équipé d’un système de communication Bluetooth, sans authentification et que ceux-ci sont toujours commercialisés en France. Compte tenu de ces enjeux de sécurité et de conformité qui persistent en dehors du champ d’application de la loi « Informatique et Libertés », la CNIL a signalé la problématique à la DGCCRF.

Les mots clés associés à cet article