VTech vient d’écoper d’une amende de 650 000 euros. Le fabricant de jouets ludo-éducatifs américain est accusé par la FTC de ne pas avoir été suffisamment explicite quant à la façon dont ses jouets connectés collectaient les données des utilisateurs, et de ne pas avoir suffisamment sécurisé ces données.
L’histoire remonte à 2015. C’est à cette époque que le géant du jouet électronique VTech lance son application mobile Kid Connect. Cette application pour smartphone, compatible avec un grand nombre de jouets éducatifs fabriqués par la firme américaine, sera téléchargée près de 650 000 fois. Tout partait d’une bonne intention, puisque cette application était censée permettre aux utilisateurs de jouets VTech de communiquer entre eux.
Seul bémol, cette application collecte des informations sur les enfants qui l’utilisent, sans demander leur consentement aux parents. Les enfants ne sont pas non plus avertis sur la nature des données collectées et sur la façon dont elles sont utilisées.
VTech : un chercheur en sécurité était parvenu à s’infiltrer sur le réseau
Pour que le scandale éclate, il aura fallu attendre qu’un chercheur en sécurité parvienne à infiltrer le réseau de VTech pour s’emparer d’informations comme le nom des enfants et leur adresse mail. Pire encore, le chercheur a réussi à atteindre une base de données interne regroupant des copies des clés de chiffrement.
En utilisant ces clés, un hacker aurait pu sans difficulté consulter les photos et les fichiers audio téléchargés sur l’application par les enfants et leurs parents. Une idée qui fait froid dans le dos. Il va sans dire que les mesures de sécurité prises par VTech n’étaient clairement pas à la hauteur, compte tenu du caractère sensible des données collectées. Le comble est que VTech ne s’est pas rendu compte que son réseau avait été piraté, avant d’être averti par un journaliste.
VTech est accusé d’avoir collecté les données et de ne pas les avoir sécurisé
Trois ans après cette fuite de données inadmissible, la FTC (Federal Trade Commission) américaine vient enfin de rendre son verdict. VTech écope d’une lourde amende de 650 000 dollars pour ne pas avoir su protéger la confidentialité des enfants qui utilisent ses jouets.
La FTC estime que l’entreprise n’a pas respecté les lois américaines concernant la façon dont les données liées aux enfants sont collectées. VTech est aussi accusé de ne pas avoir pris les mesures nécessaires pour sécuriser ces données.
En plus de cette amende, VTech a promis de se conformer aux lois de protection des données pour le futur. Par ailleurs, VTech a aussi accepté d’améliorer ses pratiques en termes de sécurité. Au cours des 20 années à venir, la firme fera régulièrement l’objet d’audits indépendants sur la confidentialité des données.
VTech n’est malheureusement qu’un exemple parmi d’autres
Comme le souligne Maureen Ohlhausen de la FTC, face à l’essor des jouets connectés, il est désormais capital que les entreprises laissent la possibilité aux parents de savoir comment les données de leurs enfants sont collectées et qu’elles prennent les mesures nécessaires pour sécuriser ces données.
De son côté, VTech assure qu’aucun doute n’était laissé aux parents quant au type d’informations collectées sur les enfants. Les parents pouvaient également décider à qui les enfants parlaient via l’application. La firme rappelle aussi que ces données étaient collectées pour aider les utilisateurs de ses produits à communiquer entre eux, et non pour le marketing.
L’intervention de la FTC est saluée par Marc Rotenberg, président de l’Electronic Privacy Information Center, mais ce dernier déplore la lenteur de cette action. Ce n’est pas la première fois que des jouets pour enfants sont accusés de collecter les données. On peut notamment citer les exemples de la poupée Mattel Hello Barbie, de My Friend Cayla et du i-Que Intelligent Robot. Le danger de la collecte des données d’enfants a d’ailleurs été pointée du doigt par l’UNICEF.
- Partager l'article :