IoTrust - Moulinex Cookeo

Moulinex Cookeo

Le manque d’information des utilisateurs concernant leurs données personnelles peut entraîner des risques pour leur vie privée. En effet, leurs données personnelles sont susceptibles d’être transférées, de manière chiffrée, en dehors de l’Union européenne, notamment vers des serveurs situés aux États-Unis, ce dont les utilisateurs ne sont pas informés.

Les risques peuvent s’avérer d’autant plus élevés que la documentation prévoit une conservation des données jusqu’à la clôture du compte, alors même que les utilisateurs n’ont pas la possibilité de supprimer leur compte eux-mêmes. Il est à craindre que les comptes qui ne sont plus utilisés ne soient jamais supprimés et les données conservées sans limitation de durée.

La bonne pratique serait de limiter au maximum les fonctions connectées de l’objet, puisque l’application peut être utilisée sans s’identifier et sans communiquer de données personnelles.

Le fonctionnement de l'objet connecté répond aux principales obligations réglementaires en matière de protection des données personnelles

d
a
b
c

Résultats techniques

L'emballage de l'objet présente peu d'informations concernant la récupération et l'utilisation des données personnelles de l'utilisateur, mais l’application mobile permet de consulter la politique de confidentialité.

La connexion à un compte sur l’application mobile n'est pas nécessaire pour utiliser l'objet, et l’application demande peu de permissions. La politique du mot de passe peut être renforcée afin d’obliger les utilisateurs à utiliser plusieurs types de caractères pour former leur mot de passe.

Les communications Bluetooth entre l'objet et l'application sont chiffrées, ainsi que les communications entre l'objet et les serveurs distants. L'objet communique avec peu de serveurs différents.

Résultats juridiques

Les données collectées par l’application MonCookeo pour l’utilisation du robot multicuiseur correspondent aux données mentionnées dans la documentation. Seules certaines données sont obligatoires pour la création du compte, les autres données envisagées sont facultatives en fonction de l’utilisation qui est faite de l’objet.

Les utilisateurs sont informés des finalités précises du traitement, ainsi que des durées de conservation des données, mais le reste des informations fournies reste insuffisant. Les coordonnées du service chargé de traiter les réclamations en matière de données personnelles sont communiquées, ce qui permettrait aux utilisateurs de mieux contrôler leurs données s’ils étaient également informés de l’ensemble des droits dont ils disposent.