La Bundesnetzagentur (BNetzA, équivalent allemand de l'ARCEP) a décidé d'interdire la commercialisation des montres dédiées aux enfants, du moins celles enrichies de fonctions d’écoute et de surveillance à distance. Selon le régulateur, plusieurs actions ont déjà été prises à l’encontre de vendeurs en ligne.
Les parents inquiets devront revoir leur prétention à surveiller à distance leurs enfants. Avec de tels équipements, explique Jochen Homann, président de l’agence fédérale des réseaux, « les parents peuvent utiliser ces montres pour écouter l’environnement de l'enfant sans être détectés via une application ». Or, au regard des textes en vigueur, « ces appareils sont considérés comme des équipements de transmission non autorisés ».
Les enquêtes du régulateur allemand « ont révélé, par exemple, que des parents les utilisaient pour espionner les enseignants en cours ». Ces montres, destinées aux jeunes de 5 à 12 ans, sont équipées d’une carte SIM et d’une fonction téléphonie. Avec une application dédiée, le correspondant peut alors surveiller à distance le porteur et ses proches sans qu’ils soient en mesure de détecter cette oreille électronique.
L'heure de la destruction de ces montres connectées
La Bundesnetzagentur demande d’ailleurs aux établissements d’enseignement d’identifier les équipements de ce type au poignet des élèves. Elle recommande même aux acheteurs et parents de détruire ces appareils.
Le paragraphe 90 de la loi sur les télécommunications interdit aussi bien la production, l’importation, la vente ou la possession de ces équipements disposant de capacités d’espionnage ou d’interception, en contradiction avec le respect de la vie privée, un principe très sensible outre-Rhin.
Face à de tels appareils, l’agence a la possibilité de demander, par exemple, aux opérateurs de plateforme de stopper sur le champ ces offres sur le marché, certificat de destruction à la clef. Et inutile pour les distributeurs de s’abriter derrière une clause d’avertissement accompagnant ces appareils connectés : ces facultés de surveillance à distance restent dans tous les cas interdites.
En octobre 2017, le Bureau européen des unions de consommateurs (BEUC) avait déjà mis à l’index ces montres, sous un angle différent puisqu'elles sont aussi accusées de souffrir de plusieurs failles de sécurité.
« Ces montres ne devraient pas se retrouver dans nos magasins. Les parents les achètent pour protéger leurs enfants. Cependant, ils ne savent probablement pas qu'au lieu de les protéger, ils rendent leurs enfants plus vulnérables » : prise de contrôle à distance, impossibilité de supprimer son compte ou ses données personnelles, conditions générales d’utilisation illicites, voire introuvables, possibilité pour un utilisateur distant de se placer parmi les personnes de confiance à appeler, etc.
La poupée Cayla, le robot i-Que...
En février 2017, la Bundesnetzagentur s'en était déjà pris à la poupée connectée Cayla pour des raisons similaires. Deux mois plus tôt, en France, l’UFC-Que choisir avait communiqué sur les dangers de ces jouets bardés d’électronique.
Que ce soit Cayla ou le robot i-Que, les fabricants ont « fait le choix d’une connexion simple et rapide, aucun code d’accès ou procédure d’association entre ces jouets et les téléphones/tablettes n’est exigé avant la connexion au jouet, ce qui garantirait pourtant que seul le propriétaire puisse s’y connecter », relevait l’association.
Conclusion : « un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans même que vous en soyez averti ».
Peu avant Noël, celle-ci avait alors demandé aux parents de « réfléchir à deux fois avant d’acheter » ces jouets. Elle avait dans le même temps saisi la CNIL et la DGCCRF. L’une aux fins de vérifier la question des données personnelles, l’autre, le niveau de sécurité des jouets.
Les recommandations de la CNIL
Le 28 février 2017, la CNIL avait d’ailleurs considéré que ces jouets connectés peuvent « potentiellement nuire à la vie privée de l’enfant ou affecter le rapport de confiance qu’il entretient avec ses parents ». Elle donnait quelques conseils de bon sens : mot de passe solide, mises à jour régulières, donner de fausses informations par exemple sur la date de naissance, éteindre le jouet quand on ne s’en sert plus, etc.
Elle rappelait également aux fabricants le cœur de l’article 34 de la loi de 1978. Le responsable d’un tel traitement de données personnelles est tenu « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
