Assistants vocaux : les recommandations pratiques de la CNIL

Assistants vocaux : les recommandations pratiques de la CNIL

Par Jean Philippe SOUYRIS et Anne Charlotte ANDRIEUX

En 2019, l’Hadopi et le CSA ont présenté une étude commune sur les assistants vocaux et les enceintes connectées démontrant la place croissante que ces nouveaux modes d’interaction prennent dans la vie des consommateurs.

Smartphone, enceintes connectées, casques audio, habitacle de véhicule et même aspirateurs s’intègrent désormais dans tous les gestes de notre quotidien. Le constat du Laboratoire d’innovation numérique de la CNIL est sans appel, les assistants vocaux sont devenus incontournables. Le laboratoire avait déjà eu l’occasion de préciser que la voix, véhicule privilégié de nos interactions sociales, peut permettre d’identifier son émetteur et est à ce titre une donnée à caractère personnel, voire une donnée sensible lorsqu’elle est utilisée à des fins biométriques.

Face au succès grandissant de ces nouveaux compagnons de vie tels qu’Alexa, Google Assistant ou SIRI, la Commission s’est emparée du sujet et a réalisé des tests en coordination avec plusieurs fabricants afin d’identifier les moyens à mettre en œuvre pour garantir le respect de la vie privée des utilisateurs.

En résulte la parution d’un livre blanc comprenant des cas d’usages et des bonnes pratiques à destination :

  • des concepteurs d’assistants vocaux
  • des organismes souhaitant déployer des assistants vocaux dans des lieux partagés
  • des utilisateurs finaux pour les accompagner dans la configuration de leur dispositif

Ce nouveau support tente de démystifier le recours aux assistants vocaux, parfois assimilés à des « robots-espions », pour mieux réaffirmer la nécessité de transparence et de sécurité lors de la phase de conception (privacy by design).

1. Favoriser la relation de confiance by design

La commission identifie 4 grands axes pour favoriser une relation de confiance entre les concepteurs et les consommateurs :

  • Entretenir les frictions désirables: profiter des moments de paramétrage et de choix nécessitant l’attention de l’utilisateur pour l’informer de manière adaptée sur la réalité des traitements de données.

Il est demandé aux concepteurs d’être le plus transparent possible sur le fonctionnement de l’assistant vocal et de délivrer les informations relatives aux traitements de données à caractère personnel avant même l’utilisation du dispositif (mentions d’information sur l’emballage, note d’information).

Si le concepteur a recours à une utilisation ultérieure des données destinée à améliorer ses propres services, il devra informer spécifiquement et clairement l’utilisateur de cet usage, et préciser les commandes et enregistrements qui ont fait l’objet d’une telle utilisation.

  • Privilégier le local au distant: développer des architectures logicielles qui intègrent le traitement des données directement dans le dispositif pour conférer à l’utilisateur une meilleure maîtrise

Pour les services ne nécessitant pas d’accès distant (réveil, pilotage de lumières, etc.), la CNIL incite à mettre en œuvre des traitements fonctionnant exclusivement de façon locale.

Afin de minimiser l’exposition des données personnelles, il est recommandé de mettre en œuvre au maximum les principes de l’informatique en périphérie (edge computing) pour que ne soient transférées sur des serveurs centralisés que les données strictement nécessaires.

  • Assurer les moyens de contrôle: permettre à l’utilisateur de comprendre et paramétrer le dispositif selon ses choix

A titre d’exemple la Commission préconise de mettre en place des modalités de filtrage à destination des jeunes enfants activables par leurs parents en fonction de la criticité des applications possibles.

De manière général, il conviendra d’offrir à l’utilisateur un moyen de désactiver physiquement le microphone du dispositif, ainsi qu’une fonction d’activation manuelle de déclenchement de l’écoute identifiable par un signal sonore au début et la fin des périodes d’enregistrement.

Ces moyens de contrôle devront pouvoir être compréhensibles et utilisables par tout utilisateur et notamment par des personnes en situation de dépendance ou de handicap. A cet égard, un signal lumineux indiquant que l’appareil est en mode d’écoute actif n’est pas approprié pour des personnes mal-voyantes.

  • S’adapter au média vocal: déployer des moyens de présentation de l’information et de recueil du consentement adaptés à la technologie vocale

Les informations relatives au traitement devront être précisées une nouvelle fois sous format audio lors de la première utilisation du dispositif.

Ultérieurement, l’utilisateur devra être en mesure de naviguer aisément dans l’interface de gestion pour trouver l’information dont il a besoin et pouvoir poser des questions orales directement à l’assistant sur les traitements opérés.

2. Pratiquer la transparence dans les environnements partagés

La CNIL souligne une évolution tendancielle forte de déploiement de ces assistants dans des environnements partagés (partenariats avec des chaînes hôtelières, intégration de série dans des véhicules, ligne de produits à destination du monde de l’entreprise, etc.).

Les organismes déployant des assistants vocaux devront notamment veiller à :

  • Informer toutes les personnes susceptibles de voir leurs conversations enregistrées
  • Prévoir des modalités de recueil du consentement et un mode de fonctionnement alternatif (prérequis nécessaire à l’expression d’un consentement libre)
  • Positionner le dispositif d’une manière évidente et visible de tous
  • Prendre des mesures adaptées pour les catégories de personnes vulnérables (enfants, personnes âgées, personnes dépendantes)

3. Permettre aux utilisateurs de contrôler la monétisation de l’intime

Principalement destinés au domicile ou au véhicule personnel pour contrôler des objets connectés et des services de divertissement, les assistants vocaux sont susceptibles d’enregistrer les interactions entre l’utilisateur et l’assistant vocal pour alimenter un profil lié à ce dernier. Les utilisateurs doivent être conscient que les appareils dotés d’un assistant vocal se retrouvent au cœur de leur foyer.

A titre pédagogique, la CNIL rappelle nous rappelle que consommer c’est aussi agir et qu’à se titre il est préférable de privilégier les dispositifs dont le concepteur est facilement identifiable et qui permettent la gestion des paramètres de l’appareil et l’effacement des données via l’interface vocale en plus de l’option via l’écran compagnon ou le compte utilisateur. En parallèle, il est conseillé de se rendre régulièrement sur le tableau de bord de gestion de l’assistant pour personnaliser les fonctionnalités selon ses besoins.

 

Le cabinet HAAS Avocats est spécialisé depuis plus de 20 ans dans le droit des nouvelles technologies, dont notamment le droit de la protection des données personnelles. Le cabinet HAAS Avocats se tient à vos côtés pour vous accompagner dans la mise en conformité de vos collectes et traitements de données à caractère personnel. Contactez-nous ici

 

Jean-Philippe SOUYRIS

Auteur Jean-Philippe SOUYRIS

Suivez-nous sur Linkedin

Catégories

Derniers tweets

Besoin d'une réponse
à vos questions juridiques ?

Demande de devis

Consultation téléphonique