Enceintes et assistants vocaux « connectés à votre vie privée » : les recommandations de la CNIL

La montée en puissance des enceintes connectées et des assistants vocaux pousse la CNIL a publier de premières recommandations : vigilance concernant les services utilisés, l'utilisation par les enfants, ou lorsque vous recevez des invités. Reste à définir les obligations pour rendre cela plus simple au quotidien.

Alors que nous nous interrogions hier sur la pertinence des enceintes connectées comme cadeau de Noël de l'année, la CNIL a décidé de publier ses recommandations sur ces produits.

Comme nous l'avons déjà évoqué, toute leur intelligence est située dans les serveurs des géants du Net, qui ont donc besoin de recueillir vos propos afin de pouvoir les traiter et apporter une réponse. Dans le cas de Google Home, la société vous oblige ainsi à activer votre historique de recherche de manière globale afin de profiter de ses services.

Rien n'est donc géré au niveau local, ces appareils connectés étant plutôt basiques dans leur conception. Une liste de vos différentes requêtes pourra donc être conservée, ces appareils étant désormais capables d'assurer une reconnaissance vocale afin d'attribuer un propos à une personne en particulier.

Notre dossier sur les enceintes connectées :

• [Sondage] Comptez-vous vous acheter une enceinte connectée à un assistant vocal ?
• L'enceinte connectée, la mauvaise idée cadeau de cette fin d'année ?
• Enceintes et assistants vocaux « connectés à votre vie privée » : les recommandations de la CNIL
• On vous a offert un Google Home (Mini) : que faire, comment le configurer ?

« Bien comprendre les enjeux autour de votre vie privée »

Après avoir donné la définition des assistants vocaux et détaillé leur fonctionnement, la CNIL prévient : « Chaque utilisateur doit ainsi intégrer que même si « la parole s’envole », ses requêtes vocales sont enregistrées dans le cloud, de la même manière qu’elles le seraient s’il les tapait au clavier dans certains moteurs de recherche ! ». Ces assistants intègrent en effet toujours plus de sphères de nos vies : smartphone, enceintes, casques, véhicules, etc.

La Commission parle notamment de « monétisation de l’intime » et de besoin de confidentialité des échanges, puisque ces appareils se retrouvent désormais dans nos foyers et sont constamment à l'écoute : « en veille permanente, ces assistants sont susceptibles d’enregistrer vos conversations, y compris celles de tiers lorsqu’ils ont reconnu le mot-clé ». Parfois, ils s'activent même lorsqu'ils pensent avoir reconnu un mot-clé d'activation, même s'il n'a pas été prononcé.

Face à cette réalité, la CNIL conseille notamment de faire attention aux interactions avec vos enfants : « rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux ». De manière plus générale, il est conseillé de « couper le micro ou éteindre l’appareil lorsque l’on ne s’en sert pas, ou lorsqu’on ne souhaite pas pouvoir être écouté ». Un bouton est souvent présent pour cette action, qui peut être contraignante, surtout si vous avez plusieurs appareils. Un dispositif global proposé dans les applications de gestion serait donc bienvenu.

Il en est de même si vous recevez des invités. Comme nous l'évoquions hier, la question du consentement à la récolte des données et des propos peut poser problème. Vous pouvez très bien accepter de voir vos conversations enregistrées par de tels appareils en étant conscients de ce que cela implique. Mais ceux qui vous rendent visite peuvent de leur côté ne pas partager cet avis et doivent au minimum être prévenus.

Garder la main sur ce qui est partagé

La CNIL rappelle au passage que « les propos tenus face à l’appareil peuvent enrichir votre profil publicitaire » et invite à ne connecter que des services « qui présentent réellement une utilité pour vous, tout en considérant les risques à partager des données intimes ou des fonctionnalités sensibles (ouverture porte, alarme…) ». Certaines informations peuvent en effet être exploitées par des personnes mal intentionnées et la possibilité d'un piratage de votre compte n'est jamais à exclure.

« Sans écran, difficile d’avoir un aperçu des traces enregistrées, ni de juger de la pertinence des suggestions, d’en savoir plus ou d’avoir accès à des réponses provenant d’autres sources » constate la Commission. Elle conseille de se rendre régulièrement dans l'outil de gestion « pour supprimer l’historique des conversations et des questions posées et personnaliser l’outil selon vos besoins ».

Là aussi, on apprécierait que les éditeurs systématisent des dispositifs tels que la suppression automatique au bout de quelques jours à quelques mois, selon le choix de l'utilisateur ou même un nettoyage global possible à tout moment.

La CNIL veille, mais les règles restent à définir

Quoi qu'il en soit, la CNIL se dit en contact avec les constructeurs et « réalise des tests sur certains de ces appareils et mène des réflexions sur les moyens à mettre en œuvre afin de garantir que les utilisateurs sont bien informés des données collectées, des usages qui en sont faits et des moyens à leur disposition pour y accéder, les modifier, les supprimer, etc. »

La mise en place du RGPD et d'ePrivacy en Europe en mai prochain devrait notamment venir renforcer le cadre de la collecte et de l'exploitation des données à travers ces appareils. Néanmoins, il faut espérer que les régulateurs n'hésiteront pas à exiger le respect de règles strictes sur la vie privée, alors que ce marché n'en est qu'à ses débuts.

Sous peine de voir les mauvaises habitudes s'installer, comme cela a déjà été le cas sur d'autres secteurs, nécessitant ensuite des années avant de revenir à des comportements plus corrects.