Peu respectueux de la confidentialité de ses utilisateurs, Standard Innovation, fabricant de sextoys connectés, vient de mettre fin à une class action en déboursant 3,5 millions de dollars et en acceptant de ne plus collecter de données sur ce qui fait vibrer ses clients.
Les sextoys connectés sont un segment de l’IoT qui rapporte. Sur un sujet aussi intime, les questions de confidentialité et de protection des données sont essentielles. Force est de constater que tous les constructeurs n’ont pas ce principe à coeur. Et cela peut leur coûter cher. L’entreprise canadienne Standard Innovation vient d’en faire l’expérience.
Lors de l’édition 2016 de la Defcon, un duo de chercheurs a démontré que le protocole Bluetooth de son vibromasseur phare, le WeVibe 4, était affecté de plusieurs vulnérabilités. Des failles permettant de dérober les données de l’application, voire d’en prendre le contrôle... Ils notaient également la gourmandise du constructeur pour les données issues de l’utilisation de ses sextoys, sur la température du produit, l’accélération cardiaque ou encore le niveau de vibration.
Dans la foulée, Standard Innovation se fend d’un communiqué expliquant ne collecter “que certaines données limitées pour nous aider à améliorer nos produits et à des fins de diagnostic. En pratique, nous utilisons ces données sous une forme agrégée, non identifiable”. Nous étions le 12 août 2016. Le 2 septembre, une utilisatrice américaine dépose une plainte contre la société.
La plaignante mettait à mal la défense de l’entreprise, l’accusant de ne pas avoir révélé que ses vibromasseurs transmettaient les données en temps réel à ses serveurs canadiens. La plainte détaillait également quelques autres données collectées, date et heure de chaque utilisation, mode de vibration choisi, le tout lié à l’adresse mail de l’utilisateur.
Une affaire vibrante
Le procès vient de s’achever sur une défaite de Standard Innovation. Faisant face à une class action, la société a accepté de détruire l’ensemble des données collectées et devra indemniser ses clients à hauteur de 4 millions de dollars canadiens (environ 3,5 millions de dollars). Les utilisateurs de l’application pourront réclamer jusqu’à 10 000 dollars.
Entre temps, l’entreprise a changé sa politique de confidentialité, en abandonnant l'identification de ses utilisateurs par la création d’un compte et en leur offrant de désactiver l’envoi anonymisé de données de l’application. Selon le National Post, suite au règlement à l’amiable de cette affaire, Standard Innovation ne collectera plus aucune donnée. Ses clients pourront donc continuer de se faire plaisir sans pour autant avoir à se sentir observés.