Parents, devons-nous nous inquiéter de Cayla, la poupée connectée plébiscitée par les enfants ?

Elle est blonde, avec de grands yeux bleus. Visage poupin, joues joufflues. L’air si gentil. Elle veut être l’amie des petits. Elle leur parle, et répond à leurs questions. Méfiance, méfiance. La poupée Cayla est peut-être un espion qui avance masqué. L’Allemagne, par exemple, vient de la retirer du marché. Car Cayla, la jolie poupée, pourrait souffrir d’un dédoublement personnalité : elle espionnerait les enfants, voire les inciterait à acheter des produits via de la publicité déguisée. 

Cayla est en effet une poupée connectée. Commercialisée par l’américain Genesis Toys, distribuée en Europe par le britannique Vivid toy Group, elle est contrôlable à distance via un téléphone portable. Elle discute avec les enfants, leur raconte des histoires. Mais si cette poupée est aussi autonome, c’est parce qu’elle est équipée d’un microphone intégré qui se connecte par Bluetooth à une application mobile. Et c’est bien là que réside le problème.  Car ce système présenterait de grosses failles de sécurité. C’est une association de consommateurs norvégienne, Forbrukerradet, qui, en décembre dernier a la première alerté, après avoir mené une petite enquête technique. 

"Il n’y a aucun code d’accès pour connecter le jouet à un téléphone, et les parents ne reçoivent aucune notification, si quelqu’un est connecté", explique à LCI Justine Massera juriste de l’association UFC Que Choisir. "Ce qui signifie qu’il est très simple, pour un tiers, d’entendre ce que dit l’enfant à la poupée, et même de parler à l’enfant à travers la poupée." Et ce, jusqu’à 20 mètres de distance dans une même pièce, ou 10 mètres à travers une fenêtre et même un mur en béton. Une démarche d’autant plus facile que le nom du Bluetooth, "Cayla" permet très facilement d’identifier les poupées. 

En décembre dernier, l’UFC a saisi la Cnil, Commission nationale de l'informatique et des libertés  sur ce problème. D'autant qu'une autre question surgit : que deviennent les données collectées par la poupée, et répandues sur internet ? Pour Justice Massera, il n'y a pas de doute. "Les conditions contractuelles autorisent les société fabricantes à collecter ces données vocales, qui peuvent être ensuite transmises, notamment à des fins commerciales, à des tiers", explique la jurisite. "Les données sont aussi transférées hors de l’Union européenne, sans le consentement des parents". Une poupée Cayla qui est donc potentiellement un vrai petit cheval de Troie. L’UFC a aussi saisi un autre service, la DGCCRF, la direction des fraudes, sur un autre problème : la publicité déguisée. Les poupées Cayla répèteraient ainsi régulièrement des phrases programmées, faisant la promotion de certains produits... notamment des produits Disney ou des dessins animés de Nickelodeon… Sournoisement malin.

Après les résultats de l’étude de Forbrukerradet, une vingtaine d’associations de défense des consommateurs dans 15 pays européens et aux Etats-Unis ont porté le dossier devant les autorités concernées. En France, la Cnil n’a pas encore fait de retour sur le sujet. Mais le dossier est dans ses priorités, assure-t-elle. "Nous menons actuellement des vérifications sur la sécurité et la protection des données, en coordination avec nos homologues européens", réunis au sein du G29, le groupe des Cnil européennes, précise à LCI le service de presse de la Cnil. Histoire de voir si ces jouets ne contreviennent pas à l’article 34 de la loi informatique et liberté, relatif à la sécurité de toute opération de collecte des données. 

Une réunion du G29 s’est même tenue début février, portant plus généralement sur la problématique des jouets connectés. Car la poupée Cayla n’est pas la seule. Sont aussi montrés du doigt le robot i-Que, ou encore la poupée Hello Barbie, qui eux aussi écoutent et parlent aux enfants, et qui essaient d’envahir le marché du jouet depuis 2 ans. "Le sujet des jouets connectés est devenu un sujet d’attention majeure qui est traité à l’échelle européenne", précise la Cnil. Sous des dehors  anodins et ludiques, ces poupées, robots, babyphones, collectent en effet des informations et les envoient par ondes radio (Bluetooth, Wifi) et sur Internet. "Il faut être vigilant car il y a un risque que les informations soient volées ou détournées, pour cibler de la publicité, des escroqueries, une usurpation d’identité ou du harcèlement", prévient la Cnil. Et surtout, il faut se méfier de tout : "De simples babyphones connectés ont été piratés pour espionner chez les gens, ou pour faire peur à l’enfant et aux parents en pleine nuit !", rappelle l'institution.

Reste que les vérifications du G29 sur la poupée Cayla, et donc d’éventuelles sanctions, prendront sans doute du temps, et qu’une éventuelle interdiction n’est donc pas à l’ordre des prochains jours, ni en France, ni dans les autres pays européens. Car si l’Allemagne a si vite interdit ces poupées c’est, explique la Cnil, parce que la décision a été prise par l’Agence fédérale des réseaux, qui est l’agence qui gère les télécommunications outre-Rhin. En France, son équivalent serait l’Arcep, autorité de régulation des communications électronique et des postes. Contactée, l’institution française explique pourtant n’avoir aucun lien avec ce dossier. "Nous gérons les réseaux publics. Il s’agit ici du domaine privé et de la protection des libertés individuelles, ce qui est donc du ressort de la Cnil", explique à LCI le service communication. 

Difficile de savoir pour l’heure combien de poupées Cayla sont sur le marché en France, même si le distributeur nous précise que les poupées en question "ont été vendues en 2014 et 2015". Problème, le jouet était encore dans les têtes de gondole à Noël, et a même été en rupture de stock dans certaines enseignes en fin d’années. Mais le distributeur Vivid a aussi réagi par un communiqué àa la décision prise en Allemagne, et dénonce des "affriamtions inexactes dans la presse allemande" : "Nous prenons très au sérieux la sécurité de nos produits, ainsi que la conformité aux lois en vigueur sur les marchés où nous opérons", écrivent-t-ils. "Nous travaillons avec nos partenaires allemands pour résoudre cette affaire." En attendant, associations de consommateurs ou Cnil rappellent surtout aux parents des conseils de base : réfléchir à deux fois avant de l’acheter et, si c’est déjà fait, penser à éteindre les objets connectés quand ils ne sont pas utilisés. Le distributeur se veut  plus rassurant. "Il n'y a aucune raison, quelle qu'elle soit, pour que les clients ayant déjà acheté Cayla ne la détruise", esstime-t-il. "Le jouet peut être acheté et utilisé de manière sûre, si l’on s’en tient à la notice."