Pourquoi les appareils à commande vocale nous enregistrent-ils ? Quels en sont les risques ?
Alors que le déploiement sécurisé des réseaux 5G vient d’être adopté par la France (loi « anti-Huawei »), les polémiques fleurissent autour des assistants vocaux (sans oublier votre Xbox) convertis en véritables « mouchards ». A la suite de lanceurs d’alerte, plusieurs médias ont ainsi révélé l’étendue des enregistrements accidentels (non déclenchés par l’utilisateur) et surtout l’envoi de tous les enregistrements à des sous-traitants dont les salariés écoutent vos moments les plus intimes.
Google Home, Apple Siri, Amazon Echo et Xbox, fabricants de ces dispositifs reposant sur l’intelligence artificielle ont en effet recours à des sociétés extérieures pour analyser les requêtes. C’est acceptable, mais là où cela devient glissant, c’est que les salariés peuvent écouter les enregistrements des voix des membres du foyer et des personnes qui les visitent et sont à portée de voix.
La commande vocale est en réalité profondément infiltrée dans votre vie privée. Au-delà des assistants vocaux ce sont bien sûr le téléphone, un casque audio, les équipements ménagers, jusqu’à votre chambre d’hôtel, et demain les véhicules autonomes qui fonctionnent grâce à cette technologie. Il est donc temps de découvrir ce que les fabricants enregistrent, pourquoi, et quels sont les risques pour les utilisateurs.
Espion du quotidien
Contrôler des objets connectés, utiliser des services de divertissement tels sont les fonctions des assistants personnels à commande vocale : répondre à une question, jouer un morceau de musique, donner la météo, descendre les stores, diminuer la température… un vrai valet à votre service !
Tous les appareils connectés se trouvent dans le foyer ou sont portés par leurs utilisateurs. Le volume des données qu’ils génèrent est donc très important et reflète parfaitement le mode de vie de la famille depuis l’heure du lever. Réglage du chauffage, goûts culturels, achats passés, centres d’intérêt… rien de leur échappe. Le profil commercial de chaque membre de la famille est affiné en toute discrétion puisque la voix qui commande l’appareil ne laisse aucune « trace ». En effet, vous souvenez-vous des requêtes formulées hier ? La semaine dernière ? Ou depuis l’achat de cet assistant ? Et qu’en est-il des interactions de vos enfants ou de leurs amis avec cette machine ? L’appareil lui, ne perd pas une miette du moindre mot et s’empresse de l’analyser pour peaufiner la technologie de reconnaissance vocale et, au passage, la publicité ciblée.
Le fonctionnement est tellement simple que l’appareil se déclenche au bruit d’une simple fermeture éclair ! Siri s’est aussi déclenché en plein discours du Secrétaire à la Défense Gavin Williamson qui s’adressait aux députés au sujet de la Syrie. Le même assistant s’active aussi en concordance avec l’Apple Watch. Or, le taux de déclenchement accidentel de cette montre connectée est très élevé et il peut enregistrer jusqu’à 30 secondes de son. Des négociations d’affaires aux rapports sexuels, en passant par des transactions illicites et des consultations médicales, l’objet des enregistrements est identifiable en un rien de temps.
Le motif invoqué par les fabricants pour justifier ces enregistrements est l’amélioration de la technologie de reconnaissance vocale : « améliorer la qualité langagière » selon Amazon et Google. Les sociétés précisent qu’elles permettent à l’utilisateur de s’opposer à certaines utilisations de ces enregistrements par une option d’« opt-out » (pour ce faire, il faudra vous immerger dans les paramètres de votre appareil…). Apple a pour sa part expliqué que l’analyse porte sur moins de 1 % des requêtes et qu’elle se fait moyennant des garanties : les données sont anonymisées (elles ne peuvent pas être rattachées à l’identifiant d’un client) et les personnes chargées de l’analyse ont signé un engagement de confidentialité. Devant le tollé provoqué par ces révélations, la firme a décidé d’introduire une option de consentement pour les utilisateurs.
Données personnelles
Si ces enregistrements « accidentels » et leur envoi pour analyse et écoute à des sous-traitants alimentent la polémique, c’est parce que les utilisateurs n’en étaient pas informés par les fabricants. Leur manque de loyauté et de transparence vis-à-vis de leurs clients est donc condamnable, sans compter l’absence de sécurité et de confidentialité s’agissant des enregistrements communiqués aux médias. Ces enregistrements comprennent l’historique des requêtes audio et la transcription des requêtes. Ils sont accompagnés de données de localisation, données de contacts et détails des applications qui servent à vérifier si la réponse à une requête a été donnée, plus les méta-données (date, heure, utilisateur…).
De surcroît, d’innombrables cas d’enregistrements portent sur des discussions privées entre médecins et patients, des négociations commerciales, des transactions apparemment criminelles, ou encore de rencontres sexuelles, etc.
Or, les données contenues par ces enregistrements sont des données à caractère personnel puisqu’il s’agit d’informations se rapportant à une personne physique identifiée ou identifiable. Rappelons que la personne physique peut être identifiée indirectement par référence à un identifiant (nom, numéro d’identification, données de localisation) ou à un ou plusieurs éléments spécifiques propres à son identité qu’elle soit physique, économique, culturelle ou sociale.
Nombre de ces données sont qualifiées de sensibles : celles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données de santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Le RGPD interdit le traitement de ces données sauf consentement explicite de la personne et dans certaines hypothèses strictement définies (art. 9). Or, dans de tels cas, les équipes qui analysent les enregistrements ont pour toute consigne de rapporter un « incident technique », sans plus. Aucune procédure n’est mise en place pour ces données très sensibles !
Au-delà de la publicité ciblée, les risques sont le partage ou la commercialisation des données, le piratage et l’utilisation par des tiers non autorisés (usurpation d’identité, arnaques, ransomware, etc.). Ces risques sont bien réels car la détection de la voix humaine n’est pas infaillible. Lors du Super Bowl 2017, une publicité TV sur Google Home avait déclenché les appareils des téléspectateurs car les personnages lançaient le fameux « OK Google ». De nombreux utilisateurs d’Amazon Echo ont reçu à leur domicile une maison de poupée qu’ils n’avaient pas commandée ! La commande vocale est donc la grande vulnérabilité de ces nouvelles technologies.
Paroles… paroles… paroles…
L’utilisation des assistants à commande vocale se révèle donc à haut risque pour la vie privée de ses utilisateurs. Leurs propriétaires sont en premier lieu affectés ainsi que toute personne se trouvant à portée de voix de l’appareil, même s’il n’en a pas forcément conscience. Plusieurs principes du RGDP ne sont sans doute pas observés. Celui de licéité, loyauté et transparence tout d’abord, puisque ces enregistrements et leur envoi à des sous-traitants ont eu lieu en dehors de toute information des personnes aisément accessible, facile à comprendre et formulée en termes clairs et simples. La minimisation de l’usage des données est aussi mise à mal car ces sociétés traitent des données qui ne sont ni adéquates, ni pertinentes au regard des requêtes des usagers.
Ensuite, rappelons qu’en vertu du principe de limitation des finalités, la ou les finalités doivent répondre à trois qualités. Être « déterminées » préalablement ce qui signifie qu’il est interdit de collecter des données à des fins préventives. Ces finalités doivent être « explicites », c’est-à-dire communiquées à la personne concernée (droit à l’information) et enfin, être légitimes par rapport à l’activité du responsable de traitement.
Quant à la limitation de la conservation, aucune durée n’est spécifiée par les CGU de Google si ce n’est que les enregistrements sont conservés jusqu’à ce que les utilisateurs les suppriment. Comment faire ? Ici encore, tout repose sur la vigilance de la personne et sa persévérance, à défaut de protection par défaut et dès la conception de la part de Google (accédez ici à votre activité sur la page de Google pour tenter de supprimer vos enregistrements).
Sur certains produits, il est possible de paramétrer plusieurs profils d’utilisateurs, dans ce cas les enregistrements permettent l’identification de la personne (biométrie vocale) et les données sont rattachées à chaque profil. S’agissant de données biométriques, elles sont qualifiées de sensibles au sens du RGPD et ne peuvent être traitées que sur la base d’un consentement explicite.
Détournements
En cas d’utilisation des données pour une finalité autre que celles spécifiées dans les conditions d’utilisation de ces services, les sociétés peuvent voir leur responsabilité engagée pour détournement de finalité. La CNIL a récemment mis en demeure des sociétés des groupes Humanis et Malakoff-Médéric de cesser d’utiliser pour de la prospection commerciale des données personnelles collectées exclusivement afin de payer les allocations retraite.
Avec l’entrée en application du RGPD, les amendes administratives pour violation des principes de base d’un traitement, y compris les conditions applicables au consentement, peuvent atteindre vingt millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).
L’autorité de protection des données allemande a justement ouvert une procédure d’enquête en août dernier enjoignant Google de cesser ses analyses des enregistrements pour une durée de 3 mois dans l’Union européenne.
Que faire ?
Les détenteurs de ces assistants peuvent tout d’abord exercer leurs droits d’accès à leurs données à caractère personnel pour savoir quelles écoutes ont été faites, et ensuite en demander la suppression. En attendant que des sanctions soient prises, les conseils de la CNIL sont les suivants :
- Privilégier l’utilisation d’enceintes équipées d’un bouton de désactivation du microphone.
- Couper le micro/éteindre/débrancher l’appareil lorsque vous ne souhaitez pas être écouté. Certains dispositifs n’ont pas de bouton on/off et doivent être débranchés.
- Avertir les tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités).
- Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux).
- Vérifier qu’il est bien réglé par défaut pour filtrer les informations à destination des enfants.
Enfin, si vous possédez l’appareil Alexa d’Amazon, il est possible de désactiver l’option d’enregistrement dans : Paramètres > Alexa et vos informations personnelles > Gérer comment vos données contribuent à améliorer Alexa > Contribuer à améliorer les services Amazon et à développer de nouvelles fonctionnalités.
Cet article a initialement été publié sur le site The Conversation.