Le département américain de la Justice a poursuivi le fabricant de jouets Apitor Technology pour avoir prétendument autorisé un tiers chinois à collecter les données de géolocalisation des enfants à leur insu et sans le consentement de leurs parents.
Une plainte déposée par le ministère de la Justice, à la suite d’une notification de la Federal Trade Commission, allègue qu’Apitor a violé la Règle de protection de la vie privée en ligne des enfants (COPPA) en omettant d’informer les parents ou d’obtenir leur consentement avant de collecter les informations de localisation de leurs enfants.
Apitor, qui vend des jouets robotiques pour les enfants âgés de 6 à 14 ans, fournit aux utilisateurs une application Android gratuite qui aide à contrôler les robots jouets. Pour se connecter et utiliser les jouets, les utilisateurs doivent activer le partage de localisation.
Cependant, l’application intègre également JPush, un kit de développement logiciel (SDK) tiers développé par Jiguang (également connu sous le nom d’Aurora Mobile), qui a été utilisé pour collecter les données de localisation précises de milliers d’enfants depuis au moins 2022 à toutes fins, y compris la publicité ciblée.
« Une fois que les utilisateurs d’Android ont activé les autorisations de localisation pour l’application Apitor, l’application commence à collecter leurs données de géolocalisation précises en arrière-plan et à les transmettre aux serveurs Internet JPush », indique la plainte.
« À aucun moment, le défendeur ne divulgue aux utilisateurs que l’application permet à un tiers de collecter des données de géolocalisation précises, ni ne demande le consentement vérifiable des parents pour collecter des données de géolocalisation précises auprès de leurs enfants. »
Dans le cadre d’un règlement proposé, Apitor sera tenu de s’assurer que tout logiciel tiers qu’il utilise est également conforme à la COPPA et de payer une pénalité de 500 000$. Bien que la pénalité soit suspendue en raison des difficultés financières persistantes d’Apitor, l’entreprise devra payer la totalité du montant si elle était malhonnête au sujet de ses finances.
Les exigences supplémentaires incluent la notification des parents avant de collecter des données, l’obtention de leur consentement, la suppression de toutes les informations personnelles collectées et la conservation des données uniquement si nécessaire.
« Apitor a permis à un tiers chinois de collecter des données sensibles auprès d’enfants utilisant son produit, en violation de la COPPA », a déclaré mercredi Christopher Mufarrige, directeur du Bureau de la protection des consommateurs de la FTC.
« La COPPA est claire: les entreprises qui fournissent des services en ligne aux enfants doivent informer les parents s’ils collectent des informations personnelles auprès de leurs enfants et obtenir le consentement des parents—même si les données sont collectées par un tiers. »
Mardi, la FTC a également annoncé que Disney paierait une pénalité civile de 10 millions de dollars pour régler les réclamations selon lesquelles il aurait permis la collecte d’informations personnelles sur les enfants sans leur consentement ou sans en informer leurs parents en étiquetant de manière erronée des vidéos pour enfants sur YouTube.