Comment sécuriser les jouets connectés des enfants ?

A l'approche des fêtes de Noël, la Cnil conseille aux parents de sécuriser les jouets connectés avant de les offrir aux enfants. Poupées, robots, montres connectées, babyphones, consoles... Certains produits peuvent en effet collecter des données personnelles.

Comment sécuriser les jouets connectés des enfants ?
© Natalia Davydova-123rf

Robots, drones, peluches connectées et autres jouets high-tech figurent de nouveau dans le top des jouets de Noël cette année ! Les enfants raffolent de ces jouets connectés et interactifs qu'ils peuvent gérer à distance. Sous forme de poupées, de robots, de montres connectées, de babyphones ou de consoles de jeux vidéos... Ces appareils peuvent néanmoins collecter des informations personnelles envoyées par Wi-fi ou Bluetooth et sur Internet. La Cnil recommande donc aux parents de sécuriser tout objet connecté avant de l'offrir à leurs enfants pour les fêtes de Noël. "L'utilisation mal contrôlée ou non sécurisée d'un jouet connecté peut confronter son utilisateur à diverses problématiques. Les communications et les données collectées par un jouet connecté peuvent potentiellement être utilisées à des fins de ciblage publicitaire ou détournées par un individu malveillant, par exemple à des fins d'escroquerie, d'usurpation d'identité ou de harcèlement" prévient la Cnil dans un communiqué. En outre, si l'ours en peluche semble attachant et rassurant, ses capteurs peuvent aussi collecter des photos ou des conversations enregistrées.

Les recommandations de la Cnil pour sécuriser les jouets connectés des enfants

  • Vérifier que le jouet ne permet pas à n'importe qui de s'y connecter, par exemple en vérifiant que son appairage avec un smartphone ou sur Internet nécessite un bouton d'accès physique au jouet ou l'usage d'un mot de passe,
  • Changer le paramétrage par défaut du jouet (mot de passe, code PIN, etc.)
  • Sécuriser l'accès à votre smartphone et à votre box internet au moyen d'un mot de passe ainsi que l'accès au compte en ligne attaché au jouet par un mot de passe fort et différent de vos autres comptes
  • Vérifier que l'objet dispose d'un voyant lorsqu'il est en écoute ou en transmission d'informations sur Internet
  • Vérifier que le jouet ne présente pas de vulnérabilités déjà connues et facilement accessibles
  • Effectuer régulièrement les mises à jour de sécurité.
  • Dès l'inscription, ne communiquer que le minimum d'informations nécessaire au service (par exemple, une date de naissance aléatoire si le système a besoin de déterminer un âge)
  • Créer une adresse mail spécifique pour les jouets utilisés par l'enfant
  • Utiliser au maximum des pseudonymes au lieu du nom/prénom
  • Activer uniquement les fonctions dont vous avez réellement besoin
  • Éteindre le jouet lorsque votre enfant a fini de jouer
  • Effacer ses données sur le jouet et sur le service en ligne associé lorsqu'il n'est plus utilisé.

Quels jouets connectés acheter ?

Avant d'acheter un jouet connecté, il revient aux parents de prendre en compte certains critères. La Cnil conseille de se méfier des montres connectés à petits prix qui pourraient faire passer la vie privée au second plan. Privilégiez également les jouets Made in France, dont les conditions d'utilisations sont compréhensibles et vérifiez que les données soient hébergées en Europe. En cas de doute sur la sécurité du jouet, n'hésitez pas à demander conseils auprès des vendeurs spécialisés, ou de tester le produit en magasin.

Les jouets connectés déjà pointés du doigt

L'UFC-Que Choisir avait déjà alerté les parents en 2016 sur la poupée "Mon amie Cayla" et le robot "i-Que". La Cnil s'était également prononcé sur ces deux jouets en mettant en demeure la société Genesis Industries, pour "atteinte grave à la vie privée en raison d'un défaut de fabrication" et avait dénoncé le défaut d'information des utilisateurs des jouets. Suite à des contrôles menés en 2017, la Cnil avait précisé que "ces vérifications ont permis de relever que la société collecte une multitude d'informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…) mais également des informations renseignées dans un formulaire de l'application "My Friend Cayla App".  Rappelons que deux associations de consommateurs Which ?, au Royaume-Uni, et Stiftung Warentest, en Allemagne, s'étaient inquiétées à leur tour du manque de sécurité. Parmi les modèles vendus en France, les deux associations pointaient du doigt les créatures Furby Connect, les robots i-Que, les petits chiens Toy-Fi Feddy et les CloudPets. Pour ces quatre jouets, aucun mot de passe n'est demandé lorsqu'on tente de relier le jouet à un appareil électronique (smartphone ou tablette). Ainsi, n'importe qui pourrait hacker le jouet à distance (en moyenne à 10 mètres) et entrer en communication avec l'enfant, via son robot par exemple. L'association Which conseillait aux parents de ne pas laisser leurs enfants jouer sans surveillance, de la même manière que lorsqu'ils jouent avec un smartphone.