Les objets connectés connaissent une popularité sans précédent. Dans un contexte où tout peut maintenant être connecté à internet, des autos aux réfrigérateurs, les objets pour enfants n’échappent pas à la tendance. Attrait de la nouveauté oblige, ces objets sont séduisants pour les parents et les enfants, mais posent leur lot de questionnements d’un point de vue juridique.
Ces questionnements font écho à plusieurs cas médiatisés. Les plus récents, révélés par Rapid7, démontrent les failles de sécurité sur le Fisher-Price Smart Toy et sur la montre connectée HereO, tous deux des jouets destinés aux enfants âgés de 3 ans et plus. Les failles concernaient l’accessibilité des données personnelles des enfants, comme leurs noms et la localisation du domicile familial. D’autant plus inquiétant, il était de surcroît aisé de prendre contrôle à distance du Fisher-Price Smart Toy.
Bien que ces failles soient pour le moment réglées, elles ne font que s’additionner aux autres cas exposés l’année dernière aux États-Unis. Pour rappel, la cyberattaque visant la base de données de producteurs du jeu Vtech Kid Connect exposant l’information personnelle de 5 millions de parents et plus de 20 000 enfants a, sans surprise, considérablement ébranlé plusieurs parents. Puis ce fut au tour de la version connectée de Barbie, Hello Barbie, d’être pointée du doigt pour stocker dans l’infonuagique des informations sensibles sans pour autant avoir les mesures de sécurité suffisantes. La Barbie des temps modernes fait à ce sujet l’objet d’une poursuite en vertu du non-respect du Children’s Online Privacy Protection Act (COPPA).
Dans un contexte où 70 % des dispositifs de l’Internet des objets comporteraient des points faibles de sécurité, il est légitime de se demander comment la vie privée des enfants est protégée au Canada lors de pareilles situations? Regardons dans un premier temps la notion de collecte de renseignements personnels, qui rejoint aussi celle du consentement et de l’usage. Dans un deuxième temps, nous nous attarderons aux mesures de sécurité.
1 – Le consentement, la collecte et l’utilisation des renseignements personnels
D’emblée notons que le Canada n’a pas l’équivalent du Children’s Online Privacy Protection Act, soit la loi fédérale américaine protégeant la vie privée des enfants de 13 ans et moins sur le web et exigeant, entre autres, un consentement d’un des parents soit donné avant la collecte de renseignements personnels.
Évidemment, cela ne signifie pas que la vie privée des enfants n’y soit pas protégée, car comme le rappelle la Charte des droits et libertés de la personne à l’article 5 : « toute personne a droit au respect de sa vie privée ».
De plus, au niveau fédéral, il existe la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Il y a aussi le pendant provincial à la LPRDE, dont les dispositions sont similaires, soit la Loi sur la protection des renseignements personnels dans le secteur privé pour le Québec.
La LPRPDE s’assure que la notion de renseignements personnels ratisse large et la définit comme « tout renseignement concernant un individu identifiable ». En résumé, les principales exigences de la LPRDE ont pour objectifs que les personnes ciblées par la collecte de données en soient informées, que celle-ci soit justifiée et en lien avec les activités de l’organisation et que l’usager y consente.
D’où en découle l’épineuse question : comment un enfant de 3 ans peut-il consentir à la collecte de renseignements personnels à son sujet ? Toujours selon la LPRDE à l’article 6.1 :
« le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti. »
En conséquence, dans le cas du jouet connecté, comme l’enfant ne sait même pas lire, son consentement n’est pas valable et repose directement sur celui des parents qui achètent le jouet. En effet, en achetant le jouet ils sont liés par la notion de contrat de consommation du Code Civil. D’ailleurs, ce sera fréquemment les parents qui seront responsables de configurer l’application, d’ouvrir un compte, de créer un mot de passe et aussi, de consentir aux renseignements collectés.
2 – La sécurité des dispositifs mis en place pour protéger les données collectées
La LPRPDE demande aussi, à l’article 4.7.1, à ce que des mesures de sécurité suffisantes doivent être mises en place pour protéger « les renseignements personnels contre, entre autres, la perte ou le vol ». D’autant plus pertinent dans le cadre qui nous intéresse ici, l’article 4.7.2 vient préciser que « les renseignements plus sensibles devraient être mieux protégés ». Selon la notion de sensibilité telle que présentée à l’article 4.3.4., il nous semble clair que les données personnelles concernant un enfant sont des renseignements plus sensibles et mériteraient une plus grande attention des organisations qui les détiennent. Cette spécificité semble une lacune persistante pour l’ensemble des cas cités plus haut.
Au niveau provincial, La Loi concernant le Cadre juridique des technologies de l’information (LCCJTI) vient également encadrer les mesures de sécurité prises pour éviter toute fuite de renseignements personnels en ligne. Selon l’article 25, les responsables doivent prendre les mesures de sécurité nécessaires pour respecter la nature confidentielle des renseignements.
Conclusion
Avec la popularité exponentielle des jouets connectés chez les enfants, il nous semble important de mettre en place des mesures s’adressant plus spécifiquement à eux. Car, malgré l’existence des lois citées précédemment, beaucoup de chemin reste à faire pour sensibiliser et protéger les enfants à la collecte de renseignements personnels. D’ailleurs, une récente analyse de la Commission à l’accès à l’information du Québec (CAI) concernant différents sites et applications mobiles confirme cette réalité :
- 41% recueillent de renseignements personnels auprès des enfants
- 35% ont mis en place des contrôles efficaces pour limiter la collecte des renseignements personnels auprès des enfants
- Seulement 19% des sites encouragent une implication des parents
- 62% des sites n’offrent pas de moyens simple pour supprimer les renseignements du compte
C’est pourquoi nous accueillons favorablement les nouvelles propositions pour moderniser la LPRPDE qui, rappelons-le, n’a pas connu de changement majeur depuis 1983, soit bien avant que les oursons parlent et enregistrent les préférences des enfants. Espérons que ces nouvelles propositions s’inspireront de la Children’s Online Privacy Protection Act et assurera une réglementation spécifique pour les enfants en s’adressant à la vulnérabilité à laquelle ils s’exposent chaque jour dans le monde d’aujourd’hui.