Dans une décision du 20 novembre 2017[1], la CNIL a mis en demeure le fabriquant de deux jouets connectés commercialisés en France de se conformer aux règles applicables en matière de données personnelles. Les jouets en cause sont des objets connectés répondant aux questions qui leurs sont posées par les enfants grâce à des micros et haut-parleurs associés à une application. La CNIL a décidé de rendre cette mise en demeure publique[2] le 4 décembre, afin de mettre en garde tout responsable de traitement de données, notamment face à l’entrée en vigueur prochaine du RGPD[3].
1/ Manquement à l’obligation de respect de la vie privée :
La première défaillance relevée par la CNIL résulte de la possibilité pour toute personne se trouvant dans un rayon de plusieurs mètres autour des jouets de s’y appairer via Bluetooth, lui permettant ainsi d’écouter toutes les conversations échangées entre le jouet et son utilisateur. La Commission considère qu’une telle possibilité viole la Loi « Informatique et Libertés », dont l’article premier reconnait pour quiconque le droit de déterminer l’usage de ses propres données personnelles.
2/ Manquement au devoir d’information :
La CNIL considère que les conditions d’utilisation et les politiques de confidentialité sont incomplètes. Aucune information relative aux traitements des données personnelles collectées (prénom, nom de l’école ainsi, lieu d’habitation, voix, adresse IP…) n’a été communiquée. Les conversations entre les jouets et les utilisateurs étant transmises aux Etats-Unis, la CNIL déplore aussi l’absence d’information sur l’existence d’un transfert des données à destination d’un Etat non membre de l’Union Européenne. Le fabriquant aurait dû préciser la nature des données transmises, la finalité du transfert, les catégories de destinataires et le niveau de protection offert par le pays destinataire.
L’ensemble de ces manquements constituent une violation grave des obligations d’information détaillées de façon exhaustive à l’article 32 de la Loi « Informatique et Libertés ».
3/ Manquement à l’obligation d’assurer la sécurité et la confidentialité des données :
Enfin, la CNIL a considéré que la transcription écrite des conversations échangées ne faisait pas l’objet d’une sécurisation suffisante, violant ainsi l’obligation établie en ce sens par l’article 34 de la Loi.
En conclusion, si la mise en demeure de la CNIL à l’égard du fabriquant n’est pas surprenante au regard du droit applicable, il convient de noter que la communication officielle de cette décision relève d’une volonté certaine.
Les trois points que la CNIL a soulevés constituent les grands axes du Règlement Général pour la Protection des Données du 27 avril 2016 et y sont abondamment abordés. Son entrée en vigueur courant 2018 imposer une mise en conformité rigoureuse pour les entreprises[4], sous peine de sanctions pouvant atteindre 20 millions d’euros. Il faut donc voir dans cette décision une piqure de rappel supplémentaire quant aux enjeux du Règlement et l’expression de la détermination de la CNIL quant à sa bonne application.
Charlotte GALICHET
[1] Décision n° MED-2017-073 du 20 novembre 2017 mettant en demeure la société GENESIS INDUSTRIES LIMITED
[2] Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2017-295 du 30 novembre 2017 décidant de rendre publique la mise en demeure n° MED-2017-073 du 20 novembre 2017 prise à l’encontre de la société GENESIS INDUSTRIES LIMITED
[3] Règlement Européen n° 2016/679, dit règlement général sur la protection des données (RGPD)
[4] Pour en savoir plus sur ce sujet : http://avocatspi.com/2017/08/22/les-grands-principes-du-reglement-europeen-sur-la-protection-des-donnees-personnelles/