Confidentialité : merci pour le cadeau ! À quelques semaines des fêtes, les chercheurs de Mozilla ont découvert que de nombreux appareils high-tech compromettent plus que jamais notre vie privée

Le constat du guide annuel d’achat *Confidentialité non incluse publié à l’approche de Noël est sans appel. Il révèle que les entreprises protègent de moins en moins la confidentialité et les données de leurs utilisateurs·trices. Le pire dans tout ça ? Celles qui fabriquent des jouets et gadgets connectés pour enfants figurent parmi les plus mal notées.

Amazon et Microsoft se distinguent cette année, mais pas pour les bonnes raisons. Les deux entreprises ont en effet accepté de verser 45 millions de dollars à la FTC (note : l’équivalent américain de la DGCCRF) pour mettre un terme à des poursuites judiciaires portant sur des allégations de violation de la vie privée.

(SAN FRANCISCO, ÉTATS-UNIS | 15 NOVEMBRE 2023) — Ils savent quand vous dormez, où vous allez et ce que vous aimez : non, ce ne sont pas des elfes du père Noël dont nous voulons parler, mais bien des cadeaux high-tech connectés, dont beaucoup collectent et partagent plus de données que jamais. Des données de plus en plus privées.

Et ce n’est même pas le plus inquiétant : d’après l’édition 2023 du guide d’achat pour les fêtes *Confidentialité non incluse de Mozilla, les jouets et applications connectés pour enfants, qui collectent et réutilisent d’impressionnantes quantités de données, figurent parmi les pires de leur catégorie. Les produits qui utilisent Alexa d’Amazon, par exemple, ont été critiqués en 2023 parce qu’ils conservaient et utilisaient pendant des années les paroles prononcées par des enfants. Et le robot AI Moxie de la société Embodied Inc, qui n’est pas sans évoquer la fiction Black Mirror, enregistre et transmet ses « échanges » avec les enfants à Google et OpenAI, le créateur de ChatGPT.

En parallèle, les politiques de confidentialité des entreprises deviennent de plus en plus opaques et trompeuses. Celle d’Embodied Inc conseille par exemple aux parents d’apprendre à leurs enfants à ne pas partager d’informations personnelles avec leur robot Moxie, alors que dans le même temps, les contenus promotionnels du produit incitent les enfants à s’en servir pour développer des compétences émotionnelles comme la confiance en soi. D’autres entreprises commercialisent des montres connectées aux parents d’enfants trop jeunes pour avoir leur premier téléphone. Mais là aussi, nos chercheurs ont identifié de nombreux problèmes préoccupants en matière de confidentialité. L’Angel Watch, par exemple, collecte des données confidentielles comme la localisation, l’audio, la vidéo et les appels cellulaires, sans oublier certains signes vitaux. Pire encore : l’entreprise qui la fabrique ne semble même pas avoir pris la peine de rédiger une politique de confidentialité pour la montre connectée ou son application, ce qui en fait tout simplement l’un des produits les plus inquiétants jamais passés en revue par l’équipe de *Confidentialité non incluse.

Pour couronner le tout, plusieurs entreprises que les chercheurs de Mozilla avaient précédemment évaluées positivement, comme Sonos, Eufy et Bose, ont été épinglées cette année, et ont même écopé d’avertissements pour leurs pratiques en matière de confidentialité. Quant à celles qui avaient déjà reçu des avertissements, comme Amazon, Samsung, Wyze et Microsoft Xbox, elles ont encore aggravé leur situation, en collectant, utilisant et partageant des informations de façon plus préoccupante que jamais. Wyze a connu plusieurs failles de sécurité majeures qu’elle a mis du temps à corriger ces dernières années, et la marque Bose indique désormais qu’elle pourrait vendre des données concernant les mouvements de la tête effectués par les utilisateurs·trices lorsqu’ils·elles utilisent ses écouteurs. Les récentes accusations et amendes émises par la FTC à l’encontre d’Amazon et de Microsoft ont confirmé les inquiétudes des chercheurs concernant les violations de la vie privée de leurs produits, notamment en ce qui concerne leur utilisation par les enfants.

L’édition 2023 du guide pour les fêtes *Confidentialité non incluse a passé au crible plus de 150 produits high-tech populaires répartis dans six catégories, allant de la maison intelligente aux jeux et jouets en passant par les appareils connectés. Cette année, nous nous sommes notamment penchés sur les Xbox de Microsoft, les enceintes de Sonos, les appareils de suivi de l’état de forme Garmin, les Apple Watches, les Fitbit, les vélos Peloton, les sonnettes Amazon Ring, les aspirateurs iRobot, les trackers Tile, les écouteurs Bose et le Tamagotchi Uni. Les chercheurs de Mozilla consacrent en moyenne huit heures à étudier chaque produit figurant dans le guide, ce qui implique un examen approfondi des antécédents des entreprises mais aussi l’analyse minutieuse des politiques de confidentialité et des dépôts réglementaires, ainsi que la prise de contact avec chaque entreprise pour poser des questions.

Le guide de cette année dévoile également comment Microsoft et Amazon ont été sanctionnées par la FTC pour avoir supposément enfreint une loi sur la vie privée des enfants en ligne. Microsoft devra ainsi payer 20 millions de dollars pour avoir selon toute vraisemblance collecté et conservé des informations personnelles d’enfants enregistrées dans son système de jeu Xbox sans avoir informé ni obtenu le consentement de leurs parents. Et Amazon, de son côté, devra débourser 25 millions de dollars en raison d’accusations selon lesquelles elle aurait conservé des informations sensibles collectées auprès d’enfants via les enregistrements vocaux d’Alexa pendant plusieurs années. Circonstance aggravante : Amazon aurait en plus fait la sourde oreille aux demandes de suppression des parents et aurait même parfois utilisé les données pour former son propre algorithme.

Jen Caltrider, responsable de la recherche pour *Confidentialité non incluse, confirme la tendance de cette année : « La confidentialité et la sécurité de nos applications et de nos gadgets préférés se sont détériorées dans l’ensemble, en particulier en ce qui concerne les produits destinés aux enfants. Les entreprises qui respectent la vie privée de leurs utilisateurs·trices ont toutes un point commun : elles commencent par ne collecter aucune donnée. T’as entendu ça Alexa ? ».

*Confidentialité non incluse est un guide d’achat axé sur la confidentialité plutôt que sur le prix ou les performances techniques. Lancé en 2017, ce guide a passé en revue des centaines de produits et d’applications. Il fournit aux acheteurs·euses les informations nécessaires pour protéger la vie privée de leurs amis et de leur famille, tout en encourageant les acteurs du secteur technologique à en faire plus pour protéger les consommateurs·trices.

La multitude de produits connectés disponibles sur le marché complique la tâche des consommateurs·trices qui cherchent à savoir quels sont ceux qui traitent leurs données personnelles avec soin et quels sont ceux qui ne le font pas.

Jen Caltrider conclut : « En définitive, si vous souhaitez offrir des cadeaux qui protègent et respectent la vie privée de vos proches pour les fêtes de fin d’année, vous devriez peut-être songer à vous tourner vers un bon vieux livre. »

__________

D’autres découvertes issues du rapport de cette année :

Les organismes de régulation sont de plus en plus actifs pour protéger les consommateurs·trices. La FTC a redoublé d’efforts pour mettre les entreprises aux pratiques médiocres en termes de confidentialité et de sécurité des données face à leurs responsabilités. Amazon, Amazon Ring, les consoles Xbox de Microsoft ainsi que l’application de santé mentale BetterHelp ont tous été pointés du doigt et ont dû rendre des comptes.

Les avancées technologiques entraînent une augmentation encore plus importante du nombre de données collectées et partagées. L’application de domotique Wyze demande par exemple l’autorisation de lire vos SMS. Les écouteurs de Bose peuvent suivre les mouvements de votre tête et la marque se réserve la possibilité de vendre ces données. De nombreux appareils connectés conçus pour s’entraîner à domicile recueillent des données détaillées sur l’activité, mais Lululemon Studio va encore plus loin et enregistre les séances d’entraînement sous forme de fichiers audio et vidéo.

L’intelligence artificielle gagne du terrain. Les jouets pour enfants équipés de chatbots basés sur une IA deviennent de plus en plus courants, et de nombreux cadeaux, toutes catégories confondues, font appel à cette technologie ou recueillent et partagent des données pour entraîner des programmes d’IA. Embodied Inc. contraint par exemple les parents à consentir à la collecte de données pour que son robot Moxie puisse fonctionner. Sa politique de confidentialité précise : « Un parent peut également révoquer son consentement au sein de l’application parentale pour empêcher Embodied de collecter les données de son enfant via Moxie, mais cela aura pour conséquence de rendre Moxie inutilisable. ».

Heureusement, il existe encore quelques produits dignes de confiance. Et certains se sont même améliorés depuis l’année dernière. Après que *Confidentialité non incluse a signalé à Garmin (qui fabrique des montres connectées et des navigateurs GPS) que tous ses utilisateurs·trices n’avaient pas le même droit de suppression de leurs données, l’entreprise a modifié sa politique de confidentialité pour indiquer clairement que tous les utilisateurs·trices, quelles que soient les lois sur la confidentialité auxquelles ils·elles étaient soumis, disposaient des mêmes droits en matière de suppression des données. Enfin, le Tamagotchi Uni, un célèbre animal de compagnie virtuel, a reçu les félicitations du jury pour la faible quantité d’informations personnelles qu’il recueillait, ce qui reste à ce jour la meilleure manière de préserver un niveau élevé de confidentialité.

Contacts presse :

Amérique du Nord | Helena Dea Bala, [email protected]

Europe | Tracy Kariuki, [email protected]