enfants

Jouets connectés : la CNIL intervient au sujet des poupées « Cayla » et du robot « i-Que »

En décembre 2016, l’association de consommateur « UFC-Que-Choisir » écrivait à la CNIL au sujet de la poupée « My Friend Cayla » et du robot « i-Que », deux jouets connectés présentant d’importantes failles techniques. La CNIL, par un rapport du 04 décembre 2017 , a mis en demeure la société à l’origine des produits.

On peut définir l’objet connecté  comme celui dont « la connexion à un réseau plus large, que ce soit directement par Wi-Fi par exemple, par l’intermédiaire du smartphone de l’utilisateur (souvent via une connexion Bluetooth) ou grâce à des protocoles de communications qui leur sont propres » va permettre de « répondre » à l’usager en cherchant la réponse adéquate sur ces réseaux.

Les jouets connectés « Cayla » et « i-Que », comme l’indique la CNIL, « répondent aux questions posées par les enfants […] sont équipés d’un microphone et d’un haut-parleur et sont associés à une application mobile. La réponse est extraite d’Internet par l’application et donnée à l’enfant par l’intermédiaire des jouets? ».

Néanmoins, les informations issues des échanges vocaux entre l’enfant et le jouet connecté, ou encore celles issues du formulaire d’inscription de l’application « My Friend Cayla App » sont des données qui sont récoltées par la société basée à Hong-Kong. Il s’avère que l’entreprise n’a intégré aucun dispositif de sécurité quant à l’usage de ces jouets connectés par les consommateurs.

La question se pose donc de savoir quels risques fait encourir l’usage des jouets connectés « Cayla » et « i-Que » aux enfants et à leurs parents, aussi bien au regard de leur propre sécurité (I) qu’au regard de la confidentialité de leurs données (II).

I. Le risque d’un usage détourné des jouets connectés lié au défaut de sécurité

Le risque réside ici dans l’usage détourné des fonctionnalités des jouets (A), sans qu’aucun système sécuritaire ne puisse prévenir une telle manœuvre (B).

A) Un risque lié au détournement des fonctionnalités du produit

Pour rappel, une application mobile  permet d’interagir avec les jouets, par le biais de commandes vocales auxquelles les jouets vont répondre, par le biais d’une connexion Bluetooth établie.

Cependant, il s’avère qu’une connexion aux jouets peut être établie à plus de 9 mètres. La présence d’obstacles, comme un mur ou une fenêtre, ne pose d’ailleurs aucun souci à un tel appariement.

Le domicile, tout autant que les lieux publics, demeure donc un lieu à risque, au regard de cette distance d’accessibilité du produit.

La CNIL a également pu constater que l’application permettait non seulement l’enregistrement des « conversations », mais aussi de dialoguer directement avec l’enfant par le biais de messages enregistrés ou par l’utilisation du jouet en « kit mains libres ».

Ces atteintes constituent une atteinte grave à la sécurité et la vie privée  des personnes concernées, « ?L’absence de sécurisation des jouets, permettant à toute personne de possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter, à l’insu des enfants ou des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical (…)? »? », comme l’indique le rapport de la CNIL.

Ces questions de sécurité se posent d’autant plus que l’entreprise fabricante n’a pas pris soin de doter ses produits de systèmes d’authentification.

B) Un risque accru par manque de système d’authentification

Aucun dispositif d’identification n’est rattaché aux jouets en question, si bien que « l’intrusion » dans le système sera la plupart du temps indétectable pour l’enfant comme pour les parents.

Les contrôleurs de la CNIL constatent ainsi « qu’une personne peut connecter un téléphone mobile aux jouets […] sans avoir à s’identifier (par exemple, avec un code PIN ou un bouton sur le jouet) ».

Aujourd’hui le nombre d’objets connectés est en forte croissance, et la question reste entière de savoir si un enfant en bas-âge s’avère capable ou non de discerner le fonctionnement « normal » du robot de l’utilisation « malveillante » qui peut en être faite.

À la vue de ces risques, l’Allemagne avait d’ailleurs interdit la commercialisation de ces jouets sur le territoire . En France, la présidente de la CNIL a « mis en demeure la société GENESIS INDUSTRIES LIMITED de procéder à la sécurisation [des] jouets connectés à destination d’enfants ».

Par ailleurs, la CNIL a également soulevé le « défaut d’information des utilisateurs des jouets ».

II. Le risque d’un usage détourné des données collectées par les jouets en question

La collecte des données à l’insu des consommateurs constitue non seulement une violation des dispositions en vigueur concernant la protection des données (A), mais également un risque du fait de la fragilité de la protection accordée à ces données (B).

A) Le problème de la collecte et de la gestion des données à l’insu des consommateurs

L’association de consommateurs, dans son rapport du 06 décembre 2016, soulignait que « les conditions contractuelles autorisent [les fabricants], sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au strict fonctionnement du service ». Elle soutient également que « ces données peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiés (…) hors de l’Union européenne, sans le consentement des parents ».

De plus, les jouets en question sont également utilisés à des fins de publicités ciblées par l’entreprise, prononçant « ?régulièrement des phrases préprogrammées, faisant la promotion de certains produits […] les conditions contractuelles [supposant] que le simple fait de visualiser une publicité ciblée constitue un accord express à recevoir de telles publicités ciblées? ».

Toutes ces informations violent évidemment et non seulement la loi Informatique et Libertés, mais également le Règlement général sur la protection des données, nouveau grand texte européen en la matière, amené à entrer en vigueur en mai prochain.

B) Le problème du vol des données à l’insu des entreprises

En effet, quand on sait qu’aucun système de traitement des données n’est complètement sécurisé, et à l’heure où de grandes compagnies basant leur modèle économique sur la donnée (Uber par exemple) font l’objet de fuites massives, le souci d’une gestion fiable de nos données par des entreprises aussi peu soucieuses de la sécurité et des lois en vigueur se pose.

Des produits similaires ont déjà fait l’objet de fuites : en début d’année 2017, l’entreprise américaine « Spiral Toys » a été victime d’une cyberattaque à l’origine du vol de plus de 800?000 messages vocaux enregistrés par les poupées « Cloudpets » sur deux bases de données  non sécurisées.

Cette affaire ne manque donc pas d’alarmer au regard des problèmes posés par la poupée Cayla et du robot i-Que, et porte à s’interroger sur la façon dont le droit français pourrait venir réguler ces questions.
L’association de consommateur précitée a, en 2016, saisi la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (« DGCCRF ») dans le but d’obtenir des sanctions « pour tout manquement aux dispositions légales et réglementaires ».
La mise en demeure de la CNIL est un premier pas en ce sens. Reste à voir comment les entreprises à l’origine de ces produits réagiront non seulement face à cette alerte, mais aussi et surtout dans les faits face à l’exploitation de plus en plus récurrente de ces failles.

Pour lire l’article sur les jouets connectés en version plus complète

SOURCES :

https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/

Divorce ou séparation : pension pour les enfants

Mon ex-concubin me verse spontanément une pension alimentaire pour notre fils. Dois-je la déclarer aux impôts ?
Oui, si votre ex-concubin demande au fisc que cette pension soit déduite de ses revenus. Si vous devenez imposable du fait de cette déclaration, vous allez pouvoir profiter des réductions d’impôts pour garde d’enfant ou pour emploi d’une salariée à domicile dont vous ne pouviez bénéficier auparavant.
Vous garderez votre demi-part supplémentaire, soit deux parts en tout (une pour vous et une pour l’enfant).
La Cour d’Appel de Bordeaux a précisé dans son arrêt du 13 novembre 2007 : Un contribuable ne peut pas déduire de son revenu brut global les sommes qu’il a versées spontanément à son épouse antérieurement au prononcé de leur divorce au titre de sa contribution à l’entretien et à l’éducation de leurs enfants mineurs. La contribution à l’entretien des enfants doit être versée en vertu d’une décision justice. Le requérant ne pouvait donc pas déduire les sommes versées spontanément à ce titre à son épouse antérieurement au prononcé de leur divorce (dans le même sens : CA Versailles, 3e ch., 30 mai 2006). Dans ce cas, le montant de la contribution à l’entretien des enfants était donc imposable entre les mains de leur mère indépendamment du fait que cette contribution n’était pas déductible du revenu brut global de leur père.

Pour lire la suite, cliquez sur ce lien 

Divorce et séparation : résidence des enfants

Selon les termes du jugement de divorce, j’aurais dû avoir mes enfants pendant les vacances de Pâques, mais ma femme s’y oppose, sous prétexte que, cette année, elle n’a pas pu obtenir de congés à Noël. En conséquence, elle a décidé qu’elle les garderait également pendant cette période. A-t-elle le droit de me refuser le droit de visite pour cette raison ?
Quels que soient les motifs invoqués par le parent chez qui réside l’enfant, la loi est formelle : on ne peut supprimer de soi même un droit de visite et d’hébergement.
L’article 373-2-1 du Code Civil précise que le droit de visite et d’hébergement ne peut être refusé que pour des motifs graves, laissés à l’appréciation du Juge aux Affaires Familiales. Selon l’article 373 du Code Civil, seul est privé de l’exercice de l’autorité parentale le père ou la mère qui est hors d’état de manifester sa volonté, en raison de son incapacité, de son absence ou de toute autre cause.

Pour lire la suite, cliquez sur ce lien

Enfants : résidence

Quel est celui des parents qui obtient plus facilement la résidence des enfants  à son domicile ?
En général, le juge confirme les situations de fait, sauf cas exceptionnel. Ceci veut dire que si vous partez avec vos enfants, que vous soyez un homme ou une femme, il y a de fortes chances pour que le juge vous les confie par la suite, sous réserve que l’enquête éventuelle d’une assistante sociale confirme bien que vous êtes un « bon » parent.

Pour lire la suite, cliquez sur ce lien