Jouets connectés : quels conseils pour les sécuriser ?

28 février 2017

De plus en plus populaires, les jouets connectés soulèvent de nombreuses questions, notamment concernant l’importance des données collectées auprès des enfants et leur sécurisation. La CNIL vous aide à faire le point. 

jouetconnecte

Qu’est-ce qu’un jouet connecté ?

Les jouets connectés prennent la forme d’objets d’apparence anodine (poupées, robots, babyphones) qui collectent des informations et les envoient par ondes radio (Bluetooth, Wifi) et sur Internet.

Y-a-t-il un enjeu pour la vie privée ?

Comme pour tout objet connecté, l’utilisation mal contrôlée ou non sécurisée d’un jouet connecté peut confronter son utilisateur à diverses problématiques. Les communications et les données collectées par un jouet connecté peuvent potentiellement être :

  • utilisées à des fins de ciblage publicitaire,
  • détournées par un individu malveillant, par exemple à des fins d’escroquerie, d’usurpation d’identité ou de harcèlement.

Le «jardin secret» de l’enfant est-il remis en question ?

Certains jouets offrent une plateforme sur laquelle les parents peuvent écouter, voire réécouter les conversations que les enfants ont avec leurs objets. Si les parents peuvent ainsi mieux contrôler les données qui sont stockées en ligne, ils peuvent aussi écouter toutes les confidences de leurs enfants. Une pratique qui peut potentiellement nuire à la vie privée de l’enfant ou affecter le rapport de confiance qu’il entretient avec ses parents.

Comment sécuriser son jouet avant de le donner à l’enfant ?

Être très vigilant concernant les possibilités de connectivité offertes par le jouet : 

  • vérifier a minima que le jouet ne permet pas à n’importe qui de s’y connecter, par exemple en vérifiant que son appairage avec un smartphone ou sur Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe,
  • changer le paramétrage par défaut du jouet (mot de passe, code PIN, etc.),
  • sécuriser l’accès à votre smartphone et à votre box internet au moyen d’un mot de passe,
  • sécuriser l’accès au compte en ligne attaché au jouet par un mot de passe fort et différent de vos autres comptes,
  • vérifier que l’objet dispose d’un voyant lorsqu’il est en écoute ou en transmission d’informations sur Internet,
  • se renseigner pour vérifier que le jouet ne présente pas de vulnérabilités déjà connues et facilement accessibles,
  • effectuer régulièrement les mises à jour de sécurité.

En dire le moins possible au moment de l’inscription : si l’ours en peluche ou la poupée rassurent visuellement les parents, ses capteurs peuvent néanmoins collecter des données sensibles comme des photos ou des conversations intimes.

  • Dès l’inscription, ne communiquer que le minimum d’informations nécessaire au service (par exemple, donner une date de naissance aléatoire si le système a besoin de déterminer un âge),
  • créer une adresse mail spécifique pour les jouets utilisés par l’enfant,
  • utiliser au maximum des pseudonymes au lieu du nom/prénom.

Déconnecter le jouet / effacer les données :

  • éteindre le jouet quand il ne sert pas ou pour éviter de capter des données sensibles,
  • s’assurer de la possibilité d’accéder aux données et de les supprimer,
  • désactiver le partage automatique sur les réseaux sociaux,
  • effacer ses données sur le jouet et sur le service en ligne associé lorsque l’il n’est plus utilisé.

Les fabricants ont-ils des obligations en termes de sécurité ?

Les fabricants ont une obligation de sécuriser les informations collectées. L’article 34 de la loi informatique et libertés prévoit que le fabricant "est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".

Les mots clés associés à cet article