Décision MED-2017-073 du 20 novembre 2017

Décision n° MED-2017-073 du 20 novembre 2017 mettant en demeure la société X

La Présidente de la Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2017-031C du 22 décembre 2016 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tous traitements relatifs à l’objet connecté […], aux domaines […] et […] ainsi qu’aux applications […] et […] (version française) ;

Vu la décision n° 2017-041C du 22 décembre 2016 de la Présidente de la Commission de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification sur place de tous traitements relatifs à l’objet connecté […], aux domaines […] et […], ainsi qu’aux applications […] et […] (version française) ;

Vu les procès-verbaux de contrôle en ligne n° 2017-031/1 et n° 2017-041/1 des 23 et 25 janvier 2017 ainsi que les procès-verbaux n°2017-031/2 et n° 2017-041/2 du 17 novembre 2017 ;

Vu la plainte n°16028097 reçue le 8 décembre 2016 ;

Vu les autres pièces du dossier ;

Constate les faits suivants :

La société X (ci-après la société ), sise […], a pour activité principale la fourniture de jouets innovants pour enfants.

La société fabrique les jouets […] et […] qui sont ensuite distribués par la société Y sous licence exclusive en France.

La société a vendu […] robots […] et […] poupées […] en France.

La Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ) a été saisie, le 8 décembre 2016, d’une plainte de l’association […] attirant son attention sur la vente, en France, de ces deux jouets, fabriqués par la société X et fonctionnant avec deux applications mobiles éditées par la société Z. Elle dénonçait notamment le défaut de sécurité de l’appairage[1] d’un ordiphone avec les jouets, effectué via la technologie Bluetooth.

En application des décisions n° 2017-031C et n° 2017-041C du 22 décembre 2016 de la Présidente de la Commission, une délégation de la CNIL a effectué des contrôles en ligne les 23 et 25 janvier 2017 ainsi que le 17 novembre 2017 des jouets connectés […] et […] ainsi que des sites internet et applications associés.

Ces missions ont notamment eu pour objet de vérifier la conformité à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi Informatique et Libertés ou loi du 6 janvier 1978 modifiée ) des traitements de données à caractère personnel relatifs aux objets connectés […] et […] ainsi qu’aux applications associées.

La délégation a également effectué un contrôle sur pièce auprès des sociétés Z et X en leur adressant un questionnaire par lettres recommandées internationales avec accusés de réception du 13 avril 2017.

En réponse, la société X a adressé un courrier électronique (courriel) à la CNIL, le 26 avril 2017, par le biais d’une collaboratrice française de la société située à […]. Elle sollicitait une traduction anglaise du courrier de notification du questionnaire qui lui avait été envoyé. La délégation de la CNIL a donné suite à la requête de la société, par courriel du 3 mai 2017.

La société a cependant indiqué à la CNIL, par courriel du 16 mai 2017, qu’elle ne distribuait pas les produits en cause en France et que la Commission devait contacter la société W.

Lors d’un appel téléphonique de la CNIL, du 18 mai 2017, la collaboratrice française de la société a indiqué qu’elle répondrait au questionnaire sous quelques jours.

Après relance de la CNIL du 23 mai 2017, la société a répondu au questionnaire relatif au jouet […].

Par courriel du 7 juin 2017, la CNIL a accusé réception de cette réponse et informé la société que le courrier n’était pas signé et que plusieurs réponses étaient imprécises ou manquantes.

Par courriel du 16 juin 2017, la délégation de la CNIL a pris acte, à la suite d’un échange téléphonique avec la société X, de ce que celle-ci produit et développe les jouets et applications liées aux objets […] et […].

Par courriel du 23 juin 2017, la société a indiqué à la CNIL que certaines questions nécessitaient des précisions et qu’elle rencontrait des problèmes de traduction des documents qui lui avaient été transmis par la Commission.

Par courrier envoyé à la CNIL le 4 juillet 2017, la société X a répondu au questionnaire relatif au jouet […].

Puis, par courriel du 10 juillet 2017, la société a de nouveau demandé à la CNIL de lui indiquer parmi les réponses déjà fournies lesquelles nécessitaient d’être détaillées.

Dans le cadre des contrôles en ligne des 23 et 25 janvier 2017, la délégation a constaté que les jouets […] et […] sont des jouets destinés à entretenir une conversation avec les enfants d’au moins cinq ans et à répondre à des questions diverses telles que notamment des calculs mathématiques ou encore la météo. Afin de mettre en œuvre cette fonctionnalité, les jouets sont équipés d’un microphone et d’un haut-parleur et sont associés à une application téléchargeable sur ordiphone iOS et Android.

La délégation a constaté que l’appairage aux jouets […] et […] s’effectue à partir d’un ordiphone, grâce au standard de communication Bluetooth, sans mot de passe ou identification préalable de l’utilisateur. Elle a en outre constaté qu’il était possible grâce à deux ordiphones d’entrer en communication, par l’intermédiaire du jouet, avec l’enfant ou toute autre personne se trouvant à proximité du jouet. Il a également été constaté qu’il était possible, après appairage d’un seul ordiphone, d’entendre et d’enregistrer les entrées audio du jouet grâce à l’application Dictaphone de cet ordiphone.

Il a également été constaté qu’un formulaire contenant des questions relatives à l’enfant utilisant l’application […] est présent au sein de l’application mobile. Ce formulaire ne contient aucune information relative aux traitements des données à caractère personnel mis en œuvre.

En outre, il apparaît que les enfants peuvent être amenés à fournir aux jouets une multitude d’informations les concernant ou concernant des membres de leur entourage. La délégation a constaté qu’une technologie de reconnaissance vocale convertit chaque question ou phrase émise à destination des jouets en texte afin que les applications puissent extraire les réponses de plusieurs sources Internet telles que Google Search, Wikipedia et Weather Underground.

La délégation a constaté que la société XX située […] procède à ce traitement de conversion parole-texte. Pour ce faire, la délégation a relevé que les conversations échangées avec les jouets sont transférées vers un serveur de ce prestataire. La délégation a constaté qu’aucune information relative au transfert de données à destination d’un État non membre de l’Union Européenne n’est fournie au sein des conditions d’utilisation et de la politique de confidentialité des applications […] et […].

La délégation a enfin constaté que les conversations échangées entre les utilisateurs et les jouets sont transmises depuis le serveur de la société XX vers les applications […] et […] via le protocole HTTP.

II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Sur la constitution d’un traitement de données à caractère personnel

Aux termes de l’article 2 de la loi du 6 janvier 1978 modifiée constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction .

Au regard des constats effectués lors des contrôles, il apparaît que des données à caractère personnel sont traitées par la société dès lors que les propos échangés vocalement avec les jouets sont traités par la technologie de reconnaissance vocale développée par la société XX. À cet égard, le groupe de travail de l’article 29 ( G29 ), dans son avis 4/2007 du 20 juin 2007 sur le concept de données à caractère personnel, a indiqué que la voix d’une personne est considérée comme étant une donnée à caractère personnel. En outre, la délégation a constaté que le contenu des conversations échangées avec les jouets est associé aux adresses télématiques IP ( adresses IP ) des utilisateurs qui constituent une donnée à caractère personnel.

Au surplus, il apparaît que le contenu des conversations échangées avec les jouets peut révéler les données directement ou indirectement identifiantes des enfants mais aussi de membres de leur entourage, dès lors que les enfants pourraient être amenés dans le cadre du jeu, à confier une multitude d’informations dont par exemple leur nom, prénom, adresse etc.

Il en résulte que la société traite des données à caractère personnel en application de l’article 2 de la loi du 6 janvier 1978 modifiée.

Un manquement à l’obligation de respecter la vie privée et les libertés individuelles

Lors des contrôles en ligne des 23 et 25 janvier 2017, la délégation a constaté que l’appairage aux jouets connectés […] et […] s’effectue à partir d’un ordiphone, via le standard de communication Bluetooth, sans authentification préalable ou mot de passe.

La délégation a constaté que l’appairage aux jouets ne requiert pas l’installation des applications […] et […] sur son ordiphone.

En outre, il ressort des constats opérés par la délégation de contrôle qu’après appairage de l’ordiphone avec les jouets, un contrôleur de la CNIL était en mesure d’entendre les propos échangés à proximité des jouets par d’autres contrôleurs et d’enregistrer ces propos en utilisant l’application Dictaphone disponible sur l’ordiphone appairé.

Enfin, les tests effectués dans le cadre de ces contrôles ont permis de constater qu’en appairant un premier ordiphone avec les jouets et en appelant celui-ci avec un second ordiphone, les échanges vocaux transitent par le jouet qui s’assimile à un kit main-libre. Dans cette hypothèse, toute personne peut entrer en communication avec un enfant se trouvant à proximité du jouet et dialoguer avec lui.

Au cours du contrôle du 17 novembre 2017, la délégation a constaté qu’un premier appairage s’effectue sans authentification ou mot de passe entre un ordiphone et les jouets, en étant situé à l’extérieur du bâtiment depuis lequel se trouvent les objets, à une distance de 9 mètres de ceux-ci. Elle a également constaté que depuis une telle position, un contrôleur de la CNIL était en mesure d’entendre les conversations se déroulant à proximité du jouet et de communiquer avec l’autre contrôleur se situant dans la même pièce que le jouet.

La délégation a également constaté qu’après désappairage, un deuxième appairage avec les jouets peut s’effectuer en étant situé à 20 mètres de ceux-ci à l’extérieur du bâtiment depuis lequel se trouvent les objets.

Dès lors, il ressort de ces constats que tout dispositif équipé d’un système de communication Bluetooth est en mesure de détecter un jouet allumé et de s’appairer à celui-ci, notamment depuis l’extérieur d’un bâtiment, d’écouter à distance les conversations captées par le microphone des jouets, d’enregistrer celles-ci et de communiquer via le jouet, sans aucune authentification.

En conséquence, il apparaît que l’absence de sécurisation lors d’un premier appairage aux jouets concernés avec un objet disposant de la fonctionnalité Bluetooth (ordiphone, tablette, ordinateur…) permet à n’importe quel tiers d’appairer son propre ordiphone à l’insu des enfants et des propriétaires des jouets, et ainsi d’entendre et de communiquer via ceux-ci avec l’enfant se situant à proximité, ou encore d’enregistrer les conversations échangées avec le jouet ou entre des personnes situées aux alentours.

Le défaut de sécurisation par la société du dispositif de communication Bluetooth porte atteinte à la vie privée des personnes dès lors que tout tiers non autorisé peut avoir accès à des informations relevant de l’intimité de la vie privée des personnes ainsi qu’à leurs comportements alors qu’elles font usage de ces jouets dans un cercle familial ou amical. En outre, l’atteinte à la vie privée est d’une particulière gravité en ce qu’elle concerne un public vulnérable à savoir des enfants.

Ces faits constituent ainsi un manquement à l’article 1er de la loi du 6 janvier 1978 modifiée qui dispose que L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi .

Un manquement à l’obligation d’informer les personnes

En premier lieu, la délégation a constaté qu’après l’installation de l’application […] sur l’ordiphone, un formulaire de demande d’informations relatives à l’enfant s’affiche sur l’ordiphone. Les clients sont amenés à renseigner des informations relatives au prénom de l’enfant et à celui de ses parents, le nom de son école ainsi que son lieu d’habitation, mais aussi les préférences de l’enfant en ce qui concerne les émissions de télévision, le sport, les contes de fée ou encore les princesses. Il apparaît que la combinaison de telles données permet d’identifier directement ou indirectement les personnes. Au surplus, elles seront associées à d’autres données à caractère personnel (voix, adresse IP, contenu des conversations) dans le cadre du traitement opéré par la société. Elles constituent par recoupement des données à caractère personnel au sens de l’article 2 précité.

Cependant, la délégation de contrôle a constaté que le formulaire ne contient aucune information relative aux traitements de données à caractère personnel mis en œuvre.

En second lieu, la délégation a constaté que les conversations échangées entre toute personne et les jouets sont envoyées depuis les applications […] et […] au serveur de la société XX situé […].

Or, la délégation a constaté que les conditions d’utilisation des applications prévoit : En téléchargeant l’application ou en cliquant sur le bouton Accepter , vous acceptez les présentes Conditions, qui vous engageront. Les conditions comprennent notamment notre Politique de Confidentialité ([…])et En téléchargeant l’application, vous acceptez d’être lié par les présentes conditions d’utilisation et par notre politique de confidentialité qui est intégrée aux présentes par référence (disponible ici […]) .

Les conditions d’utilisation et les politiques de confidentialité des applications […] et […] sont incomplètes en ce qu’elles n’indiquent notamment pas les transferts de données à caractère personnel à destination d’un Etat non membre de l’Union Européenne.

En outre, la délégation a constaté que la politique de confidentialité des sites […] et […] ne contient aucune information relative à la nature des données transférées, à la finalité du transfert, aux catégories de destinataires des données et au niveau de protection offert par le pays destinataire.

Ces faits constituent un manquement à l’article 32-I de la loi n°78-17 du 6 janvier 1978 modifiée qui dispose que :

La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre (droits des personnes à l’égard des traitements de données) dont celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

8° De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

Ces faits sont également contraires à l’article 91 du décret n° 2005-1309 du 20 octobre 2005 modifié pris pour application de la loi qui précise que :

Les informations figurant au 7° du I de l’article 32 de la loi du 6 janvier 1978 susvisée que le responsable du traitement communique, dans les conditions prévues à l’article 90, à la personne auprès de laquelle des données à caractère personnel sont recueillies, sont les suivantes :

1° Le ou les pays d’établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données ;

2° La nature des données transférées ;

3° La finalité du transfert envisagé ;

4° La ou les catégories de destinataires des données ;

5° Le niveau de protection offert par le ou les pays tiers :

  1. Si le ou les pays tiers figurent dans la liste prévue à l’article 108, il est fait mention de la décision de la Commission européenne autorisant ce transfert ;
  2. Si le ou les pays tiers ne satisfont pas aux conditions prévues à l’article 68 de la même loi, il est fait mention de l’exception prévue à l’article 69 de cette loi qui permet ce transfert ou de la décision de la Commission nationale de l’informatique et des libertés autorisant ce transfert .

Il est rappelé enfin qu’en application des articles 131-41 et R. 625-10 du code pénal, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

La délégation a constaté que la transcription en texte des conversations échangées entre les utilisateurs et les jouets est envoyée depuis le serveur de la société XX vers les applications […] et […] via le protocole non chiffré HTTP.

Or, dans le cadre des discussions entre les enfants et les jouets, certaines données à caractère personnel seront amenées à être fournies par les enfants et donc traitées par la société et son prestataire.

La sécurité et la confidentialité des données à caractère personnel n’est pas assurée à l’occasion des échanges avec la société XX dans la mesure où il n’existe aucun chiffrement du canal utilisé.

Ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée disposant que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est notamment puni d’une peine d’amende pouvant atteindre 1.500.000 €.

En conséquence, la société X, sise […] est mise en demeure, sous un délai de deux mois (2 mois) à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

  • mettre en œuvre un dispositif ne portant pas atteinte à la vie privée et à l’intimité des utilisateurs des jouets et applications […] et […] et de toute personne se trouvant à proximité des jouets, en procédant à la sécurisation du dispositif de communication BLUETOOTH entre le jouet et l’objet disposant de la fonctionnalité BLUETOOTH(par exemple par la mise en place d’un bouton d’appairage, d’un code PIN ou d’une authentification etc.) ;

  • procéder à l’information de toutes les personnes concernées, dans les conditions prévues à l’article 32 de la loi n° 78-17 du 6 janvier 1978, notamment en :
  • insérant sur le formulaire de collecte de données à caractère personnel de l’application […], une mention d’information relative à l’identité du responsable du traitement, à la finalité poursuivie par le traitement, au caractère obligatoire ou facultatif des réponses, aux droits des personnes ;
  • indiquant, dans les conditions générales des applications et des sites internet, que des transferts de données à destination d’États non membres de l’Union Européenne sont réalisés, la nature des données transférées hors de l’Union européenne, la finalité des transferts, les destinataires des données et le niveau de protection offert par les pays destinataires ;

  • prendre toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées en mettant en œuvre un chiffrement du canal de communication transmettant les données à caractère personnel collectées et émises depuis les applications mobiles (par exemple, en utilisant le protocole HTTPS ) ;

  • justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.

La Présidente

Isabelle FALQUE-PIERROTIN

[1] Couplage de deux appareils via une connexion sans fil

Retourner en haut de la page