Parmi les cadeaux prisés sous le sapin de Noël, les Smartphones, tablettes et autres objets connectés (bracelet, montre, jouets, électroménager intelligent…). Ces appareils électroniques permettent de mesurer ses performances sportives, de surveiller sa santé, de déclencher la climatisation ou le chauffage à distance, etc. Mais les jouets connectés permettent aussi aux enfants de communiquer avec leurs poupées par exemple. Ainsi, de nombreuses données personnelles sont amenées à être collectées via les connexions Wi-Fi et Bluetooth comme le nom, l’âge, le courriel et la nature des activités effectuées chaque jour. L’utilisateur s’expose alors à deux risques : l’utilisation commerciale et le piratage de ses données personnelles.
La vigilance est particulièrement de rigueur avec les enfants. L’UFC Que choisir avait déjà saisi la Cnil (Commission nationale de l’informatique et des libertés) en 2016, dénonçant alors des lacunes quant à la sécurité et la protection des données personnelles des enfants utilisateurs de la poupée connectée « Mon amie Cayla » et du robot connecté « i-Que ». En 2017, les peluches de Spiral Toys ont été victimes d’une grave faille de sécurité, rendant accessibles plus de 200 000 enregistrements vocaux d’enfants !
Il n’y a cependant pas de dispositions légales spécifiques aux jouets connectés en France pour le moment. L’article 34 de la loi informatique et libertés prévoit que le fabricant « est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Toutefois, le nouveau règlement européen sur la protection des données personnelles (dit RGPD), applicable à compter du 25 mai 2018, prévoit des dispositions propres aux mineures.
Pour éviter les risques de récupération des données, la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) conseille, avant l’achat d’un objet connecté, de s’informer sur son fonctionnement et ses interactions avec les autres appareils électroniques. Il faut également désactiver le partage automatique sur les réseaux sociaux, effacer ses données lorsqu’on n’utilise plus un service, créer une adresse de messagerie et des identifiants différents pour chaque objet et utiliser au maximum des pseudonymes au lieu des véritables nom et prénom.