Des modèles de Furby connectés lors d’une présentation à Tokyo, en septembre 2012.

Des modèles de Furby connectés lors d’une présentation à Tokyo, en septembre 2012. / YOSHIKAZU TSUNO / AFP

Tablettes, robots, peluches, jeux de société… Difficile de ne pas trouver une catégorie de jouets dont un ou plusieurs modèles n’aient pas une version connectée. De récents scandales montrent que le secteur n’est pas encore tout à fait au point pour que les plus jeunes puissent s’amuser en toute sécurité. En sept questions, Pixels fait le tour de cette tendance et des précautions à prendre pour que Noël ne tourne pas à une mise sur écoute.

Qu’est-ce qu’un jouet connecté ?

Il n’existe pas de définition universelle du jouet connecté. On peut donc le reconnaître aux technologies ou aux fonctionnalités qu’il comporte :

  • il peut se connecter à Internet en Wi-Fi ;
  • il peut se connecter à un autre appareil, qui peut, lui, être relié au Web (un smartphone par exemple). Cela se fait le plus souvent par Bluetooth ;
  • il est accompagné d’une application sur tablette ou smartphone. Il nécessite d’ouvrir un compte utilisateur sur un site en ligne ;
  • il permet la géolocalisation ;
  • il dispose d’un système de reconnaissance vocale ou faciale ;
  • il comporte une caméra, un appareil photo ou un microphone ;
  • il stocke des données en ligne (dans le cloud) ;

  • il recueille des informations personnelles à l’enregistrement : nom, adresse, date de naissance, adresse mail, téléphone, goûts de l’utilisateur…

Il faut distinguer les jouets connectés des jouets contenant de l’électronique. Un robot ou un livre interactif, par exemple, ne sont pas forcément des jouets connectés.

Y en a-t-il beaucoup dans les foyers français ?

Les professionnels du jouet le constatent, les jouets connectés s’invitent de plus en plus dans les rayons des magasins. Et les appareils électroniques se retrouvent en nombre dans les lettres adressées au Père Noël. Pour autant, « les ventes restent marginales, dit Franck Mathais, porte-parole de JouéClub, la technologie renchérit le prix du produit et cela peut être dissuasif ».

« Dans les rapports de test qu’ils nous remettent, les parents sont sceptiques quant à la pertinence de certaines fonctionnalités », souligne Isabelle Cussac-Mazarguil, créatrice d’Approuvé par les familles, un label qui récompense depuis cinq ans des produits ou services pour enfants offrant une expérience de qualité en se fondant sur un panel de cinq mille foyers testeurs bénévoles. « Ils pointent la nécessité de clarifier les modes d’emploi et la prise en main mais aussi de mieux déterminer la tranche d’âge ; les jouets s’avèrent souvent compliqués pour les enfants ciblés. »

D’après Approuvé par les familles, les parents renoncent aussi aux jouets connectés parce que la plupart requièrent un accompagnement de leur part. Or, ils préfèrent les jouets qui laissent de l’autonomie à l’enfant. « La plupart des jouets dont les enfants ne se servent plus au bout d’un an sont “technologiques”. Or les parents cherchent de plus en plus à rationaliser et à faire des achats pérennes », avance Isabelle Cussac-Mazarguil, qui remarque toutefois que les parents cèdent plus volontiers quand l’enfant entre au collège, l’âge du premier smartphone.

Quels problèmes posent les jouets connectés ?

Les problèmes relatifs à la sécurité des jouets sont pratiquement les mêmes que pour l’ensemble des objets connectés. Mais la question des données privées qui concernent des mineurs inquiète plus, à l’instar de celles qui touchent la santé ou les données bancaires.

Lire aussi : Données personnelles : les Français de plus en plus inquiets

Si l’on considère les jouets connectés au regard de la loi informatique et libertés, plusieurs questions s’avèrent importantes :

  • le fabricant informe-t-il de façon claire les utilisateurs (en tout cas les parents) sur le fait que le jouet enregistre des données ? Recueille-t-il clairement leur consentement ? Le jouet ou l’appli invitent-ils bien les parents à réaliser cette étape importante au lieu de laisser l’enfant passer rapidement dessus ?

  • est-il pertinent et nécessaire pour le fabricant de récupérer ces données ? Par exemple, est-il utile de demander l’adresse postale ou le nom complet d’un enfant pour faire fonctionner un jouet ? A quoi peuvent servir ces données au fabricant ?

  • s’agissant de la sécurité de ces données : un mot de passe fort est-il requis ? Comment les données sont-elles chiffrées, où sont-elles stockées, et pendant combien de temps ? Qui peut y accéder ?

Les fabricants font-ils attention ?

Difficile de répondre puisque les fabricants ne sont mis en défaut que lorsqu’un problème de protection des données ou de vulnérabilité du jouet surgit, souvent bien après la commercialisation du produit.

En ce qui concerne la France, certains fabricants consultent en amont la Commission nationale informatique et libertés (CNIL) pour s’assurer d’être en conformité avec la loi. D’autres sont moins scrupuleux par souci d’économies. Ils utilisent par exemple des composants standards, parfois peu sécurisés, pour que le jouet ne soit pas trop cher.

Il y a aussi une limite technique. Si, après la mise sur le marché, un fabricant souhaite apporter une correction, il peut le faire sur une application ou un logiciel mais pas sur le jouet lui-même. Il faudrait rappeler le produit.

Y a-t-il des jouets interdits en France ?

Contrairement à l’Allemagne, la France n’a pas interdit la vente de certains jouets connectés. En ce qui concerne la sécurité des données privées, la CNIL dispose de pouvoirs de contrôle et de sanction des fabricants ou éditeurs d’application. Elles ne sont pas forcément rendues publiques et à ce jour, aucune sanction publique n’a été infligée à un fabricant de jouets.

Quels sont les jouets dont il faut se méfier ?

En Europe et aux Etats-Unis, plusieurs associations se sont inquiétées de la commercialisation de certains jouets connectés et ont alerté sur leur vulnérabilité.

En France, l’association UFC-Que choisir a saisi la CNIL fin 2016 arguant notamment que deux jouets, le robot I-Que et la poupée Mon amie Cayla, tous deux fabriqués par Genesis Toys, disposaient d’un système de connexion non protégé.

De fait, un tiers pourrait, sans connaissance particulière en informatique, prendre le contrôle par Bluetooth des jouets via son smartphone et espionner l’enfant. Il pourrait non seulement écouter ce qu’il dit mais aussi communiquer avec lui par l’intermédiaire du jouet.

En janvier, deux ans après sa commercialisation, l’Allemagne a interdit la poupée Cayla à la vente. La CNIL, en cours d’enquête sur ces deux produits, n’a pas rendu de conclusions.

Jouets connectés : alerte sur la sécurité et les données personnelles !
Durée : 01:25

Lire aussi : Critiqué, Mattel renonce à une enceinte connectée pour les enfants

Plus récemment, les associations de consommateurs britannique Which? et allemande Stiftung Warentest ont mené des tests sur plusieurs jouets connectés et révélé que certains pouvaient être problématiques : de même que pour Cayla et I-Que, le Furby Connect (Hasbro), l’ourson Toy-Fi Teddy et les peluches CloudPets permettent à une personne de pirater simplement le jouet avec un smartphone (les connexions ne requièrent pas de mot de passe ou d’authentification) et de communiquer via le jouet avec l’enfant.

En novembre, la Bundesnetzagentur, l’agence fédérale de réglementation d’Internet en Allemagne, a interdit à la vente les montres connectées pour enfants disposant d’une fonctionnalité d’écoute à distance. Pour l’agence, ces objets sont assimilables à des « outils de surveillance ».

Lire aussi : Des montres connectées pour enfants interdites en Allemagne

Enfin, il faut rester prudent concernant les fabricants qui stockent des données personnelles. En 2015, VTech a été la cible d’un piratage de grande ampleur concernant 4,8 millions de clients. Le pirate avait mis la main sur des noms complets, des adresses postales, des dates de naissance, des e-mails et des numéros IP (l’adresse de l’ordinateur concerné) de clients.

Lire aussi : Ce que l’on sait sur le piratage de données des clients du fabricant de jouets VTech

Quelles précautions faut-il prendre ?

Le consommateur peut prendre quelques précautions au moment de l’achat et surtout lors de l’utilisation de l’appareil. Une prudence qui vaut pour l’ensemble des objets connectés.

A l’achat :

  • rechercher en ligne et consulter les avis concernant le jouet ou le fabricant ;
  • regarder la provenance du jouet pour des achats en ligne. Certains ne sont pas proposés dans les magasins français, ce qui peut mettre en doute leur fiabilité ;
  • se demander si l’on a vraiment besoin des fonctionnalités connectées de l’appareil et voir si une alternative sans connexion existe.

Comment choisir un bon mot de passe
Durée : 04:01

A l’utilisation :

  • à la première utilisation, il est préférable que ce soit l’un des parents qui règle les paramétrages ;
  • vérifier que le jouet est relié à un réseau ou à un smartphone lui-même sécurisé. Ne renseigner qu’une adresse e-mail protégée par un mot de passe fort ;
  • s’assurer qu’au moment de la première utilisation, le paramétrage est accompagné d’explications claires, mais aussi d’une demande de consentement de l’utilisateur ;
  • donner le moins d’informations personnelles possible sur l’enfant lors de l’enregistrement : inscrire un surnom, ne renseigner que l’année de naissance par exemple ;
  • faire les mises à jour de logiciel et d’application dès qu’elles sont proposées : c’est par ce moyen que le fabricant corrige certaines failles éventuelles ;
  • si le jouet requiert un mot de passe, mieux vaut en inscrire un fort et unique (ne pas remettre celui d’un autre jouet ou un mot de passe générique) ;
  • dès que l’enfant ne se sert plus du jouet, il est conseillé de l’éteindre. Il est aussi préférable que l’enfant utilise un jouet connecté sous la surveillance des parents.