Après avoir été alertée en 2016, par une association de consommateurs sur le défaut de sécurité de deux jouets dits connectés, le robot I-QUE et la poupée My Friend Cayla, la Présidente de la Commission nationale de linformatique et des libertés (Cnil) a réalisé des contrôles en ligne en 2017 et adressé un questionnaire au fabricant situé à Hong-Kong.
Ces contrôles ont permis de relever que la société collecte des informations personnelles sur les enfants et leur entourage (informations pouvant révéler des données identifiantes comme une adresse ou un nom) mais aussi des informations renseignées dans un formulaire de lapplication My Friend Cayla App.
Une série de manquements à loi Informatique et Libertés ont été constatés dont principalement :
– le non-respect de la vie privée des personnes en raison dun défaut de sécurité. Les contrôleurs ont constaté quune personne se trouvant à 9 mètres des jouets à lextérieur dun bâtiment, peut à laide dun système de communication Bluetooth sy connecter, à linsu des enfants et des propriétaires des jouets, peut aussi communiquer avec les enfants se trouvant à proximité des jouets, et peut avoir accès aux discussions échangées dans un cercle familial ou amical ;
– le défaut dinformation des utilisateurs des jouets. Les contrôleurs de la Cnil ont constaté que les utilisateurs des jouets ne sont pas informés des traitements de données mis en uvre par la société, dautant plus que la société transfère des contenus de conversations auprès dun prestataire de service situé hors de lUnion européenne.
En ce sens, la Présidente de la Cnil a décidé, en précisant quil ne sagissait pas dune sanction, de mettre en demeure la société Genesis Industries Limited de se conformer à la loi Informatique et Libertés dans un délai de deux mois, précisant. Si elle ne se conforme pas à cette mise en demeure dans le délai imparti, un rapporteur sera désigné et proposera de prononcer une sanction.