Une poupée Cayla dans un magasin de Londres, en novembre 2014. | LEON NEAL / AFP

La Bundesnetzagentur, l’agence en charge de la régulation des réseaux en Allemagne, a publié vendredi 17 février un communiqué, dans lequel elle qualifie une poupée connectée, baptisée Cayla par ses fabricants, de « dispositif d’espionnage dissimulé ».

Puisque de tels objets intrusifs sont interdits par la loi en Allemagne, le jouet se retrouve de fait interdit à la vente. Quand aux exemplaires déjà vendus, l’agence demande aux parents de prendre leurs responsabilités et de les détruire ou, au moins, d’en extraire le dispositif d’enregistrement.

Une connexion jugée peu sécurisée

Car ce qui fait la spécificité de Cayla, c’est le micro qu’elle renferme dans son petit corps de plastique. Celui-ci enregistre les questions des enfants, qui sont analysées grâce à un logiciel de reconnaissance vocale. Le jouet, que l’on doit connecter à une tablette ou un smartphone via Bluetooth, y répond ensuite directement. Cayla sait ainsi résoudre des opérations mathématiques, donner des informations sur un pays ou une célébrité, ou même raconter sa vie, qu’elle mène avec ses parents, amis et animaux fictifs.

C’est un étudiant à l’université de Sarrebruck, nommé Stefan Hessel, qui a soulevé en Allemagne la question de la sécurité d’un tel dispositif, en révélant qu’il n’y avait aucun mot de passe pour protéger la connexion. Un intrus situé à moins de 15 mètres de distance du jouet, pourrait ainsi entendre les conversations à travers le micro de Cayla, mais aussi parler directement aux enfants.

Des conversations stockées sur des serveurs à distance

Par le passé, Genesis Toys, le fabriquant de la poupée blonde, avait déjà été confronté à de telles accusations. La commission américaine fédérale du commerce avait ainsi qualifié Cayla de menace pour la vie privée, non seulement parce qu’elle pouvait enregistrer ce qui se disait autour d’elle, mais aussi parce que les fichiers audio en question étaient transmis à un serveur à distance sans le consentement des parents. Plusieurs associations de défense des consommateurs avaient ensuite déposé plainte contre le fabricant, aux Pays-Bas, en Belgique, en Irlande, en Norvège et en France.

Quant aux autres fabricants, ils ne seraient pas en reste. Hello Barbie, une poupée connectée commercialisée aux Etats-Unis par Mattel et Toy Talk, avait ainsi en 2015 suscité de nombreuses inquiétudes quant à sa vulnérabilité face à un potentiel piratage. Une peur matérialisée à la fin de cette même année, avec le piratage des serveurs de VTech, le géant des ordinateurs pour enfants. Des données personnelles sensibles avaient alors été volées, sur les utilisateurs des objets connectés, et leurs parents.

Selon le Guardian, la Consumer Protection Cooperation Network, qui rassemble les régulateurs européens, devrait rassembler en mars prochain les autorités de défense des consommateurs, et celles de protection des données personnelles de plusieurs pays européens, afin de discuter plus amplement des applications et risques des jouets connectés.