Fermer×
Rubriques | Vie privée

Jouets intelligents: le loup dans la bergerie

Par : Jean-Benoît Nadeau

On trouve de plus en plus de jouets connectés sous le sapin. Les tout-petits sont emballés, les entreprises qui collectent les renseignements personnels aussi.

Oh ! oh ! oh ! Noël approche et les jouets intelligents – plus de 300 sont en vente au Canada – prennent de plus en plus de place dans la hotte du père Noël. Il y a l’ourson Smart Toy, capable de retenir le nom de l’enfant et de lui raconter des histoires, et le chien-robot Chip, qui reconnaît la voix de l’enfant et qui rapporte la baballe. Quant au très savant dinosaure Dino, il trouve réponse à tout en transmettant par Internet les questions de l’enfant dans une base de données infonuagique.

De vrais petits lutins, quoi ! Certains ont même une vocation éducative. Sauf qu’avec un jouet intelligent, c’est votre enfant qui risque de devenir le jouet de personnes mal intentionnées. Comme le révèle l’étude Enfants sous écoute : la protection de la vie privée dans l’environnement des jouets intelligents, ces appareils électroniques, que l’on connecte à une tablette, un téléphone intelligent ou directement sur le Wi-Fi, présentent tous de sérieux problèmes de protection des renseignements personnels ainsi que de très grosses failles de sécurité.

L’étude mentionne le cas de VTech, un fabricant de tablettes pour enfants. En 2015, des pirates ont forcé les serveurs de l’entreprise et ont pu accéder aux noms, aux dates d’anniversaire, aux photos, aux enregistrements de la voix et à des messages texte de millions de jeunes, dont 316 000 étaient canadiens. Et en 2017, le gouvernement allemand a carrément prié les parents de détruire les poupées Cayla à cause du risque d’espionnage et de manipulation des enfants.

Certains prévoient qu’en 2020, il y aura plus de 20 milliards d’objets connectés dans le monde. En qu’en 2025, il y en aura trois fois plus, dont  d’innombrables jouets intelligents. Dans l’univers nébuleux des objets connectés, les jouets intelligents constituent un cas particulier puisqu’ils s’adressent à une clientèle extrêmement vulnérable : des mineurs souvent en très bas âge, qui ne sont pas en mesure de juger de la situation et de ses conséquences. « Même les parents que nous avons interviewés ne sont pour la plupart pas conscients des risques, dit Alexandre Plourde, avocat à Option consommateurs et coauteur de l’étude. Les deux gros enjeux concernent la transparence et la cybersécurité. »

Pas toujours un cadeau

Un jouet intelligent peut contenir une foule de microprocesseurs et de gadgets : lecteur optique, système de géolocalisation, antenne wifi, gyroscope, caméra, micro. Dans certains cas, le micro et la caméra sont plutôt dans l’appareil mobile auquel ils sont presque toujours connectés. « Ça donne aux entreprises une énorme capacité de collecte de données, poursuit Alexandre Plourde. Où seront stockées ces données ? Dans quel pays ? Qui y aura accès ? Seront-elles vendues ? Qu’est-ce qu’on en fera ? Rien ne le dit. »

Les trois coauteurs, qui sont avocats, ont passé au peigne fin les politiques de confidentialité de dix jouets. Souvent, ces politiques se résument à dire qu’installer l’appli ou le logiciel, c’est consentir à une politique de confidentialité qui peut être modifiée unilatéralement et sans préavis. « Minimalement, l’emballage devrait présenter une information standardisée, un peu comme un tableau nutritionnel sur un produit alimentaire », dit Me Plourde.

Les auteurs se sont évidemment attardés à la question de l’utilisation des données. Quelques politiques affirmaient que les données seraient dépersonnalisées, sans plus de précision. Dans le cas du bulldozer-robot Cozmo, doté d’une caméra, le fabricant Anki prend la peine de dire que « les images captées par la caméra du robot Cozmo et les données biométriques de l’empreinte du visage ne seront pas transférées sur Internet ». Quant au reste, c’est moins clair.

Plusieurs entreprises soutiennent que les données personnelles ne sont pas enregistrées. En l’absence de toute vérification et de toute contrainte, on est bien obligé de les croire. Il n’existe aucune option qui permette de refuser que l’entreprise collecte, utilise ou revende les renseignements, peu importe leur degré de confidentialité. Dans le cas du toutou Furby Connect, le fabricant Hasbro précise qu’il conservera les renseignements personnels tant que le compte restera actif. Mais qui va penser à « supprimer un compte » au moment de se débarrasser d’un jouet devenu inutile ?

Outre la problématique du consentement, qui reste entière, il y a l’enjeu de la cybersécurité. « Ma grosse surprise est venue de nos entretiens avec des spécialistes en cybersécurité, qui m’ont fait réaliser à quel point cet environnement est non sécurisé », dit Alexandre Plourde. Parmi les vulnérabilités les plus criantes, on note l’absence de tout cryptage dans la communication. Même quand il y a chiffrement, bien des entreprises ne se donnent pas la peine d’en bloquer l’accès par un mot de passe.

Un autre problème est la présence de « portes dérobées », une fonctionnalité prévue par les programmeurs pour qu’ils puissent effectuer des tests ainsi que la maintenance à l’insu de l’utilisateur. Mais il suffit qu’un pirate trouve l’accès pour que l’appareil devienne un « cheval de Troie ». Le pirate peut alors s’insinuer dans le reste du système informatique du domicile ou, encore, suggérer des comportements à l’enfant par la voix du jouet.

Dans un contexte où la sécurité est très faible, de tels accès constituent une fort mauvaise pratique. Songez seulement au fait que, sur bien des plateformes, les questions de sécurité qu’on vous pose concernent des souvenirs d’enfance, comme votre premier animal de compagnie, ou encore on vous demande le nom de votre mère ou de votre rue. Si de telles informations recueillies au moyen d’un jouet sont mises en mémoire, une personne mal intentionnée pourrait les trouver et les utiliser. »

Alexandre Plourde, avocat à Option consommateurs et coauteur de l’étude.

Se faire passer un sapin

Le vide juridique n’est pas total. L’esprit de la loi fédérale sur les renseignements personnels et les documents électroniques veut qu’une entreprise mette en place des mesures de sécurité proportionnées à la sensibilité des données. Tout repose sur la notion de consentement, qui est censé être libre et éclairé. Or, un mineur à qui on offre un jouet peut-il raisonnablement avoir consenti à ce que ses informations personnelles soient utilisées par d’autres, toute sa vie ? Le fait que ses parents y aient consenti en son nom, et peut-être sans avoir lu la politique de confidentialité, rend-il ce consentement valable ?

Alexandre Plourde se réjouit que Sonia LeBel, ministre de la Justice du Québec, veuille renforcer la loi provinciale – la dernière mise à jour remonte aux années 1990, la préhistoire du web ! « Le problème fondamental est que la loi est insuffisamment dissuasive. Faire de la bonne cybersécurité exige des investissements, de l’expertise. Or, les sanctions, au Canada, ne sont pas assez lourdes ; il faut que ça devienne très coûteux de ne pas bien faire les choses. »

La plupart des recommandations de l’étude vont dans le sens des nouvelles directives européennes. En plus d’imposer des amendes salées, ces dernières exigent que la protection des renseignements personnels soit intégrée à la conception même des objets, qui devront également être soumis à des tests.

Pour les biens physiques, le gouvernement canadien exige le respect de plusieurs normes concernant la toxicité ou la sécurité physique de tout ce qui est vendu. En ce qui a trait à la sécurité numérique des jouets intelligents et, plus largement, des objets connectés, il n’y a rien, même pas sur les mots de passe. »

Alexandre Plourde

Ce qui sauve tout le monde, pour l’instant, c’est que les jouets sont rarement à la hauteur de leurs promesses. Les auteurs de l’étude ont constaté que la plupart des enfants les délaissent très vite. Certains jouets ne sont que des walkies-talkies en forme d’animal, d’autres formulent des réponses toutes faites sans rapport avec la situation, ce qui décourage bien des petits. Le toutou parlant finit par servir de vulgaire peluche. De plus, comme ces produits fonctionnent tous en anglais, l’interaction avec de jeunes francophones unilingues est loin d’être optimale. Toutefois, les entrevues ont montré que certains enfants développent un lien avec leur jouet intelligent. C’est ce qu’ont fait quelques petits avec le bulldozer-robot Cozmo, capable d’une gamme très variée d’émotions et de comportements. Pour l’un des enfants, l’attachement était si fort que Cozmo est devenu son meilleur ami.

« Grâce à l’intelligence artificielle, ces jouets vont se perfectionner et devenir de plus en plus convaincants ; un peu comme l’assistance vocale personnelle, qui évolue très vite, dit Alexandre Plourde. Ils seront des interlocuteurs crédibles pour les enfants, et ça va soulever de gros enjeux éthiques et psychologiques, en plus de fragiliser la protection des renseignements personnels. »

L’étude

Enfants sous écoute : la protection de la vie privée dans l’environnement des jouets intelligents expose les risques que présentent les objets connectés destinés aux enfants. Ses auteurs, les avocats Valérie Montcalm, Élise Thériault et Alexandre Plourde – les deux derniers travaillent toujours à Option consommateurs –, ont consulté une douzaine de spécialistes (ingénieurs, spécialistes en cryptologie ou en sécurité, psychologue pour enfants). Leur étude compare le cadre réglementaire canadien avec celui des États-Unis et celui de l’Union européenne, et elle analyse dans le détail les politiques de confidentialité des renseignements personnels pour dix jouets. Les auteurs ont également testé les réactions de 20 enfants de 5 à 10 ans devant quatre jouets choisis, en plus de mettre à contribution les parents par une série d’interviews.

L’étude constate de graves failles de cybersécurité auxquelles les jouets exposent les familles et les enfants. De plus, l’existence de ces jouets connectés, même quand ils sont médiocres, soulève de sérieux enjeux quant à la confidentialité des renseignements personnels des enfants, qui peuvent être de nature particulièrement sensible.

Les recommandations des auteurs s’inspirent du Règlement général sur la protection des données de l’Union européenne. Elles réclament davantage de prévention dans la conception et la mise en marché des jouets, une meilleure information des consommateurs et un cadre légal renforcé assorti de sanctions plus sévères.