Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Assistants vocaux : derrière leur succès, la CNIL rappelle les risques et le RGPD

Siri je t'aime, Siri je t'adore
Droit 9 min
Assistants vocaux : derrière leur succès, la CNIL rappelle les risques et le RGPD

L’épineux dossier de l’invalidation du Privacy Shield n’est pas la seule actualité tronant sur les tables de la CNIL. Celle-ci publie ce jour un livre blanc sur les enceintes connectés, à quatre mois de Noël. Tour d’horizon.

Un outil utile, pratique, mais aussi une oreille plaquée sur nos intimités. Analyse de la voix, examen des habitudes de consommation, profilage... la CNIL publie aujourd'hui un livre blanc sur les assistants vocaux.  Une synthèse des travaux menés ces dernières années et plusieurs « pistes de réflexion », dixit Marie-Laure Denis, sa présidente.

De fait, des suggestions et autres conseils avisés pour limiter « la casse ». « Notre voix est un miroir de l’âme, capable notamment de chanter, rire, exiger, énoncer, convaincre, pleurer, rassurer, reprocher, implorer, consoler, prévenir, manipuler, jouer et ainsi exprimer ce qui est indicible, trahir des émotions, ou encore caractériser une personnalité » décrit le document… avant d’entrechoquer ces jolis mots aux récifs du RGPD.

Selon les critères vastes imposés par le règlement européen, la voix entre dans le champ des données personnelles. Et même dans celui des données biométriques, celles permettant d’identifier une personne de façon unique et permanente. Elle permet non seulement d’identifier l’émetteur, mais aussi de jauger d’autres éléments que le RGPD juge cette fois particuliers. Les contenus provoqués par ces mouvements d’air peuvent en effet drainer des messages politiques, des opinions religieuses, révéler la sexualité d’une personne, voir l’origine dite « raciale » ou « ethnique » quand ce n’est pas des indices sur l’état de santé d’une personne.

Autant de données sacralisées dans le Saint Texte européen au  titre des « données sensibles ». Et quand elles ne sont pas sensibles, les informations véhiculées peuvent trahir à tout le moins l’état émotionnel. « Les objectifs avancés sont nombreux : permettre à des téléconseillers de connaître et analyser l’humeur de leurs interlocuteurs en temps réel, s’assurer de leur professionnalisme et de la bonne tenue de poste, analyser les postures, attitudes et savoir-être de candidats ayant enregistré lettres de motivations et CV vidéo, autant d’applications dont la mise en oeuvre pose de nombreuses questions » note le livre blanc.

16 à 20 millions d’utilisateurs en France sur smartphone

Amazon Alexa, Google Assistant, Microsoft Cortana, Apple Siri, Huawei Celia… les candidats sont nombreux sur ce marché. « Un assistant vocal n’est pas une enceinte intelligente... mais une enceinte intelligente peut être équipée d’un assistant vocal » rappelle utilement la CNIL. « Un assistant vocal peut être déployé dans un smartphone, une enceinte intelligente, une montre connectée, un véhicule, un équipement ménager, etc. ».

Autre rappel : l’assistant vocal est « en permanence à l’écoute, tout en concentrant éventuellement son écoute sur certaines zones de l’espace, par exemple pour essayer de neutraliser des sources sonores tierces comme un téléviseur (à l’aide la technique de filtrage spatial ou beam forming). Mais, il ne conserve pas les données audio et ne procède à aucune opération tant qu’un mot-clé spécifique n’a pas été entendu ».

Cependant, tempère le livre blanc, « les assistants vocaux demandent l’autorisation expresse aux utilisateurs d’utiliser leur voix pour certains usages prédéfinis et leur offrent la possibilité d’accéder aux données enregistrées et de demander leur suppression ».

« Cela est conforme à la loi, témoigne Emmanuel Vincent est Directeur de Recherche au sein de l’équipe Multispeech (Université de Lorraine, CNRS, Inria), mais ne permet pas aux utilisateurs de contrôler finement les usages qui sont faits de leurs données, dans la mesure où les usages prédéfinis ne sont souvent pas aussi spécifiques que les utilisateurs avertis pourraient le souhaiter ».

L’autorité préfère finalement supprimer l’adjectif « intelligent », tant leurs sources de connaissances proviennent de sources tierces. « Données en libre accès (encyclopédies en ligne), bases de données contenant des informations renseignées par l’utilisateur (son agenda, son carnet d’adresses, etc.), etc. »

Pourquoi un tel succès ? 

Pourquoi des utilisateurs se ruent-ils sur ces outils ? La CNIL identifie plusieurs raisons, avec en tête « la fluidification ou la simplification de tâches », première des motivations pour s’équiper. « Il peut s’agir par exemple de passer/répondre à un appel, lancer un minuteur, etc., en particulier lorsque l’utilisateur a ses mains indisponibles, parce qu’il fait la vaisselle, s’habille ou bricole ».

Autres raisons en lice, la démocratisation de la domotique, sans oublier le cadre professionnel, l’accès à l’information pour les personnes ayant des difficultés avec l’écrit ou souffrant d’un handicap. L’outil peut également être utilisé par la « silver économie », cette génération de personne d’au moins 65 ans pas toujours à l’aise avec l’équipement informatique (écran, smartphone, « mulot »).

« À l’été 2019, il était fait état d’environ 1,7 million d’assistants vocaux sur enceintes connectées et d’un usage de l’assistant vocal du smartphone par 16 à 20 millions d’utilisateurs en France ». La même année, 29 % l’utiliseraient sur smartphone, ordinateur et tablette, 9 % sur les enceintes connectées, selon les chiffres de l’autorité déduits d’un sondage Médiamétrie (contre 26 et 5 % en 2018) et des travaux menés par la Hadopi et le CSA en mai 2019 

Côté éditeurs, les assistants vocaux sont « un levier pour la vente de smartphones ou de logiciels », une base avancée des comparateurs de prix et autres marketplaces, un outil pour le profilage et la publicité. 

En juin 2018, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) avait d'ailleurs estimé que « les smartphones, les assistants vocaux, les voitures connectées et autres terminaux se révèlent être le maillon faible de l’ouverture Internet. Parce qu’ils ne sont donc pas neutres et peuvent limiter la liberté des utilisateurs de choisir les contenus et services sur Internet »

Sur l’angle du RGPD, l’outil pose aussi des questions relatives au droit à l’information, en particulier celui des personnes concernées, situées dans le spectre des 5 mètres (environ) du rayon d’action :

« Comment gérer le fait que des données de tiers puissent être captées sans qu’ils n’en soient nécessairement informés ? Comment sécuriser les informations de l’utilisateur principal si des tiers sont susceptibles d’interagir avec l’objet ? Paradoxalement, l’une des solutions peut consister à utiliser encore davantage de données pour sécuriser et personnaliser certaines interactions avec l’assistant, par exemple en recourant à la reconnaissance du locuteur ».

La CNIL préconise sur ce point l’usage de notices, d’informations fournies vocalement par l’outil, ou encore des données mises en ligne… Le livre blanc n’évite pas d’aborder les scandales nés en 2019, où on apprenait que des enregistrements audio captés par ces assistants avaient été écoutés par des individus, employés ou sous-traitants.

Les risques à l’usage de ces outils sont multiples, et les cas ne manquent pas pour mesurer le niveau de compatibilité avec l’article 25 du RGPD relatif à la protection des données.

Autre problématique : « la saisie par des tribunaux d’enregistrements réalisés par des assistants vocaux lors d’enquêtes criminelles pose également des questions sur les implications juridiques que l’usage d’assistants vocaux pourrait entraîner »

Plusieurs cas d'usages et de nombreuses recommandations

Le document est enrichi de plusieurs cas d’usages pour scénariser l’interaction entre le déploiement d’une telle oreille électronique avec le règlement général du 25 mai 2018.

Celui-ci impose en effet le respect de plusieurs garanties destinées à protéger les données que ce soient l’identification du responsable de traitement, la question de la base légale pour justifier ce traitement, celle de la minimisation des données… Sans oublier l’intervention de la directive eprivacy, compétente s’agissant des opérations menées par les terminaux d’utilisateur.

Ainsi, si des opérations « sont nécessaires à la fourniture du service explicitement demandé par l’utilisateur, le consentement n’est pas nécessaire. À l’inverse, si ces opérations visent à enrichir ou créer un profil publicitaire, par nature non nécessaire à la fourniture du service, alors le consentement de l’utilisateur doit être recueilli pour cette finalité particulière ».

L’une des solutions pour limiter le risque est alors d’utiliser des outils purement domestiques, lesquels bénéficient d’une exemption particulière. « Un assistant vocal non connecté qui permettrait seulement à un utilisateur de mettre en marche ou d’arrêter un équipement électroménager , [échapperait] à l’application du RGPD ».

Le document est riche de plusieurs chaudes recommandations que sont invités à suivre les concepteurs de ces solutions logicielles ou encore les intégrateurs. 

Quelques exemples :

  • « être transparent sur le fonctionnement de l’assistant vocal et, notamment, sur les différentes étapes du traitement depuis la phase de collecte en passant par la retranscription de la voix sous forme de texte pour analyse et réponse à l’utilisateur »,
  • « délivrer cette information avant l’achat du dispositif, soit en portant les mentions d’information sur l’emballage, soit en mettant à disposition des futurs clients une note d’information », 
  • « Permettre à l’utilisateur de poser des questions sur les traitements de données personnelles de l’assistant vocal et fournir des réponses claires par oral », etc.
  • Et évidemment « Mettre par défaut le paramétrage du dispositif dans son fonctionnement le plus protecteur de la vie privée pour son utilisateur. »

La CNIL suggère la mise en ligne d’un tableau de bord permettant de maitriser ses données, notamment par l’effacement de celles qui n’auraient pas dû être traitées.

Elle plaide aussi pour que les fabricants offrent « à l’utilisateur un moyen de désactiver physiquement le microphone du dispositif », et indiquent « à l’utilisateur par un signal sonore le début et la fin des périodes d’enregistrement », ou par un signal lumineux pour les personnes souffrant d’un handicap auditif.

La même commission recommande aussi la réalisation d’une analyse d'impact « afin d’assurer que les mesures techniques et organisationnelles prises sont en adéquation avec les risques que le traitement de données fait peser sur les personnes ». Une telle obligation documentaire est même obligatoire dans certains cas.

Pas d'oreille électronique dans la chambre des enfants

Les utilisateurs sont invités à privilégier les dispositifs réalisant les traitements en local et ceux équipés d’un bouton de désactivation du microphone. Dans la même veine, « si vous ne souhaitez pas que des personnes écoutent vos conversations et que votre dispositif le permet, désactivez l’analyse de vos interactions pour les finalités d’amélioration du produit ». D’autres conseils, de bon sens : « Éviter de déployer ces dispositifs dans les espaces réservés aux enfants (chambre, salle de jeu, etc.) ».

On se souviendra en particulier des failles de la poupée « Cayla » qui permettaient à une personne située à neuf mètres de distance, d’écouter les conversations se déroulant autour du jouet...

7 commentaires
Avatar de gavroche69 Abonné
Avatar de gavroche69gavroche69- 08/09/20 à 05:35:23

Bienvenue dans un monde totalement paradoxal !!
D'un côté on s'insurge et on hurle à la dictature à la moindre loi jugée trop intrusive dans la vie privée, de l'autre on se jette sur les objets connectés.

Et oui, on ne veut plus appuyer sur un bouton pour allumer une lampe, c'est tellement mieux de demander à Google de le faire...

Oh oui, connectons notre frigo, notre chiotte, notre salle de bain, notre chat, notre chien et même nos enfants !!

Ah Google, Alexia, Siri, comment pourrait-on vivre sans vous !! :incline:

Avatar de dvr-x Abonné
Avatar de dvr-xdvr-x- 08/09/20 à 08:34:02

gavroche69 a écrit :

Bienvenue dans un monde totalement paradoxal !! D'un côté on s'insurge et on hurle à la dictature à la moindre loi jugée trop intrusive dans la vie privée, de l'autre on se jette sur les objets connectés.

Et oui, on ne veut plus appuyer sur un bouton pour allumer une lampe, c'est tellement mieux de demander à Google de le faire...

Oh oui, connectons notre frigo, notre chiotte, notre salle de bain, notre chat, notre chien et même nos enfants !!

Ah Google, Alexia, Siri, comment pourrait-on vivre sans vous !! :incline:

Même si je ne suis pas pour les assistants vocaux, ca s'appelle le progrès malgré tout...
Le problème c'est que ce n'est pas encadré. Et vu qu'on est dans un monde de consommation, le moindre gadget à la mode tout le monde saute dessus.

Mais maintenant, tes volets s'ouvrent en appuyant sur un bouton, ta voiture démarre sans clefs, un écran t'indique ta route, ta plaque de cuisson est programmable, ect....
Pourrait-on vivre sans ? Bien sûr que oui. Je ne pense pas que ce soit le problème.

Dans 10 ans on n'aura plus besoin d'apprendre à écrire à ce rythme, on va devenir des assistés... Vive le progrès ! :fou:

En tous cas, c'est bien que la CNIL fasse un rappel, mais je pense qu'elle devrait faire plus.

Avatar de gavroche69 Abonné
Avatar de gavroche69gavroche69- 08/09/20 à 11:47:41
dvr-x

C'est une constante qui s'applique à plein de choses et notamment au "numérique".
Un bon exemple est internet qui est un merveilleux outil pour certains et malheureusement une horrible addiction totalement abrutissante pour plein d'autres.
Les réseaux sociaux au départ c'était plutôt bien en permettant à des gens vivants dans des démocraties "vacillantes" de s'exprimer.
Et petit à petit ils sont devenus des espèces de poubelles mondiales où des "pas finis" viennent déverser leur bile et où sont nées des modes pourries tel le complotisme et autres saloperies.

Bref, là comme ailleurs, le principal problème c'est l'humain avec tout ce qu'il peut avoir de sombre et de contradictoire.
Je suis précise que je suis parfaitement conscient d'en faire partie... :D

Avatar de gavroche69 Abonné
Avatar de gavroche69gavroche69- 08/09/20 à 11:47:54
dvr-x

C'est une constante qui s'applique à plein de choses et notamment au "numérique".
Un bon exemple est internet qui est un merveilleux outil pour certains et malheureusement une horrible addiction totalement abrutissante pour plein d'autres.
Les réseaux sociaux au départ c'était plutôt bien en permettant à des gens vivants dans des démocraties "vacillantes" de s'exprimer.
Et petit à petit ils sont devenus des espèces de poubelles mondiales où des "pas finis" viennent déverser leur bile et où sont nées des modes pourries tel le complotisme et autres saloperies.

Bref, là comme ailleurs, le principal problème c'est l'humain avec tout ce qu'il peut avoir de sombre et de contradictoire.
Je suis précise que je suis parfaitement conscient d'en faire partie... :D

Avatar de Vaark INpactien
Avatar de VaarkVaark- 08/09/20 à 13:41:58

dvr-x a écrit :

En tous cas, c'est bien que la CNIL fasse un rappel, mais je pense qu'elle devrait faire plus.

Ca fait des années, maintenant, que la CNIL est aussi utile que l'ONU : quand elle s'empare d'un sujet (généralement avec des mois/années de retard), elle fait les gros yeux et émet des recommandations qui ne sont même pas suivies... et rien d'autre.

On en est où, concrètement, de la mise en oeuvre du RGPD ?
Pourquoi l'essentiel des sites continue à ne pas me demander avec quels cookies je veux infester ma machine, et pourquoi l'autre moitié fait exprès une page à part pour les centaines d'annonceurs qu'il faut désactiver un par un avec de grands risques d'en louper ?
Parce que la CNIL... :(

Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 08/09/20 à 15:13:18
Vaark

On en est où, concrètement, de la mise en œuvre du RGPD ?

c'est vrai, qu'on s'attendait à mieux de la 'CLNIL' !
(sur le papier : le RGPD en jette, mais...................) :windu:

Avatar de Idiogène INpactien
Avatar de IdiogèneIdiogène- 12/09/20 à 15:05:10
dvr-x

La police peut faire plus que la cnil. Voir le 226-3 du CP.

Et puis tant qu'à en rajouter une couche, l'exercice du droit d'auteur protège aussi les contenus "auto-produits" dans le domicile.

En gros il faut soit :
a) être un gros naze
b) un ingénieur véreux
c) être un voyeur 3.0

pour penser participer à projets d'assistants vocaux reliés à internet.

Sinon... avec la même technologie, on peut piloter la conso d'un bâtiment... et sans internet mais AVEC l’électricien du coin (celui à côté du kiosque à journaux pour les souverainistes numériques sur facebook :dors: ).

Il n'est plus possible de commenter cette actualité.
  • Introduction
  • 16 à 20 millions d’utilisateurs en France sur smartphone
  • Pourquoi un tel succès ? 
  • Plusieurs cas d'usages et de nombreuses recommandations
  • Pas d'oreille électronique dans la chambre des enfants
S'abonner à partir de 3,75 €