IoTrust - Parrot drone

Parrot drone

La collecte de données personnelles en cas de création d’un compte n’est pas limitée à ce qui est nécessaire, et les utilisateurs sont amenés à communiquer des informations non pertinentes. Néanmoins, il n’est pas obligatoire de créer un compte pour utiliser le drone.

Les utilisateurs du drone manquent d’informations, entraînant une potentielle perte de gouvernance de leurs données personnelles, accentuée par les risques liés aux transferts de données personnelles vers un pays tiers pouvant présenter un niveau de protection plus faible que celui des Etats membres de l’Union européenne.

Des risques de violations des données personnelles des utilisateurs sont également à craindre en raison de l’absence de limitation de la conservation des données, associée à des mesures de sécurité insuffisantes.

Le fonctionnement de l'objet connecté ne permet pas de répondre aux exigences essentielles en matière de protection des données personnelles et de respect de la législation s'y référant.

x

Résultats techniques

L'application requiert plusieurs droits afin de fonctionner normalement. La demande d'accès à la liste des contacts du téléphone semble tout de même non justifiée au vu des fonctionnalités proposées par l'application.

Le drone Parrot Bebop 2 est utilisable sans obligation de création de compte, par conséquent, aucune données personnelles ne peut être envoyées par défaut. Une création de compte est cependant possible, dans ce cas, les données personnelles transitent au travers d'un canal de communication non sécurisé.

L'objet connecté n'implémente pas de chiffrement ni au niveau du stockage des informations sur le téléphone, ni au niveau des communications entre l'application et le serveur.

Résultats juridiques

Les utilisateurs du drone Parrot Bebop 2 ne sont pas suffisamment informés, au regard des exigences du RGPD, de l’utilisation qui est faite de leurs données personnelles. Les durées de conservation des données ne sont pas définies de manière précise, ni même les différents destinataires envisagés.

Certaines données collectées par le drone sont transférées aux Etats-Unis, or les utilisateurs ne sont informés ni de l’existence de ces transferts vers un pays tiers ni des garanties mises en place en matière de sécurité des données.