Nos smartphones et enceintes connectées nous écoutent-ils ?

C’est une histoire banale pour tous les propriétaires de smartphones : voir apparaître sur son écran une publicité ciblée pour un produit, juste après avoir parlé de ce même produit quand son GSM se trouvait dans la même pièce.

Le phénomène n’est pas récent et s’amplifie avec l’apparition de nouveaux objets numériques et connectés, tels que les assistants vocaux.

Cet utilisateur d’une borne connectée raconte son expérience sur Twitter :

Comme beaucoup d’autres usagers (ici, là ou là), celui-ci se pose cette question : est-on écouté par son smartphone ou enceinte connectée à des fins publicitaires, ou est-ce juste une coïncidence ?

La réponse n’est ni l’un ni l’autre. D’abord, votre téléphone ou enceinte connectée ne vous écoute pas directement. Et si vous voyez une publicité ciblée, ce n’est pas non plus le fruit du hasard.

"A priori, il n’existe pas d’indications concrètes qui pourraient montrer qu’un téléphone 'nous écoute'", explique Aurélie Waeterinckx, porte-parole de l’Autorité de Protection des Données (APD) en Belgique.

En revanche, ajoute cette dernière, "plusieurs facteurs peuvent favoriser l’impression que le GSM 'a écouté' les personnes et leur a ensuite envoyé une publicité sur base de leur conversation. Nous laissons partout des traces derrière nous, des 'données personnelles' qui agrégées peuvent donner une idée parfois très précise de nos intérêts. C’est sur ce profil que vous recevez des publicités sur mesure quand vous surfez sur internet".

Cette publicité qui apparaît sur votre écran n’est donc que "le résultat d’une récolte intensive de données des utilisateurs par une myriade d’applications installées sur votre téléphone" répond Fabrice Epelboin, spécialiste des médias sociaux.

Comment cette récolte de données s’opère-t-elle ? Le téléphone en soi ne décide pas de vous écouter, ce sont les applications que vous avez téléchargées dessus qui le font via un ensemble de logiciels.

"Par exemple, si vous installez une application mobile qui a une fonction de dictaphone, elle va donc devoir accéder à votre microphone", ajoute Fabrice Epelboin. Le microphone n’est donc qu’un des multiples outils du téléphone à disposition des applications pour collecter des données personnelles de leur utilisateur.

Outre le microphone, les voies d’accès aux données personnelles sont aussi multiples que la variété et la quantité des données collectées sont grandes : partage de l’historique de navigation, accès à la caméra, à sa géolocalisation, etc.

C’est aussi grâce aux cookies, "ces petits fichiers textes", que différentes "solutions marketing" (telles que Google Analytics) récoltent des données personnelles, explique Youssef Jlidi, consultant en transformation numérique, dans son ouvrage “Google Analytics. Analysez votre trafic pour booster vos actions marketing”.

Google Analytics, le service d’exploitation des données de la société américaine Google, est un outil de mesures des audiences sur le Web et il est utilisé par un grand nombre de gestionnaires de sites.

Il permet notamment, la collecte et l’analyse des données sur ses visiteurs (par exemple : sites de provenance, âge moyen, centres d’intérêt, support utilisé…). Au 20 juin 2022, cet outil serait utilisé par 55,7% de l’ensemble des sites web, selon une étude.

Comment ce marché des données est-il régulé ? Dans la foulée du scandale Cambridge Analytica, du nom de ce "courtier en données" qui opérait comme intermédiaire pour Facebook, la Commission européenne a adopté un nouveau cadre légal - le Règlement général sur la protection des données (RGPD) – sur le traitement des données personnelles en Europe et le consentement de la personne concernée.

Depuis le 25 mai 2018, si la collecte de données personnelles est autorisée en Europe, celle-ci n’est possible que si l’utilisateur l’a accepté. "Il est impossible que la collecte de données se fasse à l’insu du consommateur si l’on respecte le RGPD", indique Aurélie Waeterinckx de l’APD.

Concrètement, cette mise en conformité s’est traduite notamment par la mise en place de fenêtres contextuelles de consentement aux cookies dès que l’on accède à un site web.

Quant aux applications, les utilisateurs doivent désormais donner leur autorisation pour que celles-ci puissent accéder à leurs photos, leur position ou leur microphone. Pour se faire, les systèmes d’exploitation (tels qu’Apple et plus récemment Android) demandent automatiquement l’autorisation d’accéder à ces fonctionnalités dès la première utilisation, mais informent également lorsque celles-ci sont en cours d’utilisation via des voyants, comme c’est le cas pour iOS14.

Comme l’impose le RGPD, "le consommateur doit pouvoir comprendre lorsqu’il achète un appareil connecté/un système connecté pour sa maison quelles données sont collectées par ce système, comment elles sont utilisées, comment elles sont stockées, si elles sont transférées à des organisations tierces, et/ou dans un pays dit 'tiers' (à savoir un pays hors de la zone UE où les données sont protégées par le RGPD)" souligne Aurélie Waeterinckx de l’APD.

L’ensemble des informations relatives au traitement des données personnelles est précisé dans les Conditions Générales de Vente, à l’image de celles de l’enceinte connectée d’Amazon Alexa, que le client est en droit de consentir ou pas.

Dans tous les cas, si une infraction est constatée, "les sanctions sont relativement dissuasives" indique Antoine Delforge qui précise que le montant de l’amende peut ainsi "aller jusqu’à 20 millions d’euros pour les petits acteurs, et pour les plus gros, jusqu’à 4% de son chiffre d’affaires mondial".

Récemment, c’est Amazon qui a été condamné par le Luxembourg à payer 750 millions d’euros pour violation des règles relatives à l’exploitation des données personnelles.

En Belgique, ce sont les lois du 3 décembre 2017 et du 30 juillet 2018 - "cette dernière étant en cours de révision sur certains points" indique Antoine Delforge - qui complètent les dispositions du droit européen.

Bien que la transparence soit l’un des principes du RGPD, le consentement à l’utilisation des données personnelles n’est pas toujours clair. "La plupart du temps, explique Antoine Delforge, les gens acceptent la collecte de leurs données d’une manière plus ou moins consciente ce qui pose un problème. Les applications ou sites internet ne respectent pas clairement la législation européenne en ce qu’il ne doit pas seulement y avoir un consentement mais il doit s’agir d’un vrai consentement relativement accessible. Dans certains cas, ces derniers demandent l’autorisation d’accéder aux enregistrements vocaux afin d’améliorer leur service, ce qui n’indique pas clairement quel usage en sera fait a posteriori".

Les termes et conditions sont ainsi rarement lus par les utilisateurs et le cas échéant, elles ne sont pas suffisamment précises sur l’usage qui sera fait des données collectées.

C’est ce qu’ont conclu des chercheurs de l’université de Northeastern à propos des pratiques commerciales de l’enceinte connectée "Echo" d’Amazon. Les résultats de l’étude indiquent que non seulement les données de l’enceinte sont collectées à la fois par Amazon et par 41 services collaborateurs de publicité et de suivi), mais que ces derniers partagent ces données avec 247 autres tiers, dont des services publicitaires.

Toujours selon cette étude, seules dix de ces tiers (2,2% de l’échantillon) présentent clairement les pratiques de collecte de données dans leurs politiques de confidentialité, et plus de 70% d’entre elles ne mentionnent pas Amazon dans leurs mentions légales.

Outre l’absence de transparence sur l’utilisation des données vocales par les enceintes connectées et autres assistants vocaux, se pose la question de la confidentialité des écoutes, parfois non désirées.

En règle générale, pour qu’une borne connectée ou un assistant vocal traite la demande d’un utilisateur, il faut que celui-ci l’active en prononçant un mot-clé tels que "OK Google" ou "Bonjour Alexa". "Toute la journée, votre enceinte est attentive à l’apparition du mot, donc elle vous écoute", explique Antoine Delforge du CRIDS, qui ajoute : "En principe, l’enceinte vous écoute mais ne vous enregistre pas, ce serait probablement trop chronophage et volumineux".

Il arrive cependant parfois qu’une enceinte s’active par erreur après avoir mal interprété un mot, qu’elle a compris comme la formule clé pour activer l’enregistrement et traiter la demande. Dans le cas d’Amazon, il est précisé dans ses conditions générales que l’entreprise dispose alors "d’une équipe de scientifiques et d’ingénieurs de renommée internationale qui se consacrent constamment à améliorer (sa) technologie de détection des mots d’activation et à prévenir les activations non désirées".

Afin d’améliorer son service, Amazon explique ainsi utiliser un processus apprentissage automatique supervisé. En d’autres termes, qu’ils s’agissent Amazon ou d’autres entreprises d’assistants vocaux tels qu’Apple, des employés sont chargés d’écouter un échantillon d’enregistrements afin d’améliorer les retranscriptions automatiques de l’outil.

L’un d’entre eux, Thomas Le Bonniec, employé de la marque à la pomme en Irlande a dénoncé à l’hiver 2021 les méthodes d’écoutes de Siri, l’assistant vocal d’Apple. Il raconte avoir notamment pour mission "d’annoter des mots-clés qui pouvaient intéresser Apple tels que la musique, les contacts, les lieux, les numéros de téléphone", soit un ensemble de "choses particulièrement intimes sur l’utilisateur" affirmait-il au micro d’Europe 1 en mars 2021.