Assistants vocaux et enceintes connectées: peut-on vraiment protéger nos données personnelles?

Quelques équipements pilotés par l'assistance vocale
2 images
Quelques équipements pilotés par l'assistance vocale - © montage de photos Belgaimage

Les assistants vocaux sont déjà présents dans de nombreux foyers. Et ce n’est qu’un début : le cabinet d’études GFK estime que, d’ici 2022, un tiers des recherches en ligne passera par un assistant vocal. Une étude réalisée par Microsoft révèle que quatre utilisateurs d’assistants vocaux sur dix craignent que leurs conversations soient écoutées par des tiers. Il est déjà arrivé que des discussions privées soient enregistrées et diffusées auprès de personnes à qui elles n’étaient pas destinées.

Parmi les plus connus des assistants vocaux, il y a Alexa d’Amazon, Siri d’Apple, Cortana de Microsoft et Google Assistant. Il peut équiper un smartphone, une tablette ou une enceinte connectée, et piloter toutes sortes d’appareils de domotique (thermostat d’ambiance, réfrigérateur,…). Il peut répondre à des questions de culture générale que vous lui posez, vous aider à faire vos courses, acheter un billet de cinéma ou gérer votre agenda. Classic 21, La Première et Vivacité, les chaînes radio de la RTBF sont présentes sur la plateforme Alexa d’Amazon. Cela permet aux utilisateurs de consulter les infos du jour, la météo, les podcasts et d’écouter la radio en direct.

L’assistant vocal s’active lorsque l’on l’interpelle ("OK Google" ou "Dis Google", "Dis Siri", "Alexa", "Hey Cortana"…). Cela implique que l’enceinte connectée soit en permanence à l’écoute d’un mot clé. En principe, elle n’enregistre rien et ne procède à aucune opération tant qu’elle n’a pas entendu ce mot clé.

Les requêtes de l’utilisateur sont traitées dans le "cloud", autrement dit dans les serveurs de la société. C’est ce que nous a confirmé le porte-parole de Google Belgique, Michiel Sallaets. Cela ne concerne que ce qui est dit après que l’Assistant Google ait entendu le mot clé. Le porte-parole de Google nous assure que ce qui précède le mot clé n’est stocké nulle part, même si, bien sûr il faut que bien que l’Assistant "écoute" la voix pour pouvoir reconnaître le mot clé.

Pour le reste, le porte-parole de Google nous renvoie à la page d’aide de l’Assistant Google qui concerne les informations que l’utilisateur accepte de partager. Il peut alors gérer les paramètres de confidentialité de son compte Google : ses contacts, son agenda, ses applications, sa musique, son activité sur le web, sa localisation.

Les requêtes sont enregistrées afin de permettre à l’utilisateur de consulter ses demandes, et à la société d’adapter ses services, d’améliorer la reconnaissance vocale. Les métadonnées (compte utilisateur, date, heure de la requête,…) sont aussi enregistrées.

Elise Degrave, professeure à l’UNamur et spécialiste du droit des nouvelles technologies, explique que les données collectées par l’assistant vocal sont très larges : on peut savoir quels sont vos centres d’intérêt, quelles sont vos habitudes alimentaires, et même votre état de santé. "Les informaticiens qui travaillent pour les géants du Net affirment qu’ils sont capables, au départ de vos recherches internet, de pouvoir prédire avec 5 ans d’avance certaines maladies".

"L’enceinte ne fait pas quelque chose POUR vous, mais quelque chose DE vous"

"L’objectif de ces collectes de données ce sont les publicités ciblées, puisque les géants du Net vivent de la publicité", explique Elise Degrave. Mais les données restent-elles uniquement dans les serveurs de Google ? Aux Etats-Unis, des banques et des compagnies d’assurance ont fini par accéder à ces informations. "Ces informations vont pouvoir permettre aux compagnies d’assurance d’adapter votre prime si elle estime que vous n’êtes pas un bon client".

"Un problème démocratique majeur"

Que font les géants du Net des données collectées ? Pour l’utilisateur, c’est très difficile de le savoir, poursuit Elise Degrave : mais, comme ce sont des données à caractère personnel, le Règlement général de protection des données (RGPD) s’applique. "Vous avez le droit d’exiger de la part de Google ou d’Amazon de savoir ce qu’ils ont sur vous. Ils doivent pouvoir vous donner une copie des données de tous les enregistrements qui ont été pris grâce à votre enceinte connectée. Et vous avez le droit de demander la suppression de ces informations. Vous avez aussi le droit de demander à Google à qui ces informations ont été transmises, pour quelles raisons elles l’ont été,… Mais Google répondra ce qu’il veut !"

Plutôt que les particuliers, ce sont les autorités nationales de protection des données qui doivent agir auprès des géants du Net pour contrôler ce qui est fait avec les données personnelles : elles peuvent faire des enquêtes, descendre sur les lieux et contrôler les systèmes informatiques afin de voir ce qui se trouve sur les serveurs, selon Elise Degrave, qui regrette le manque de financement de notre Autorité de Protection des Données : "C’est vraiment un problème démocratique majeur de savoir comment on va permettre à ces autorités le rôle de chien de garde qui mord et qui éventuellement impose des amendes aux géants du Net qui abuseraient de nos données".

Risque de piratage

Les géants du Net rappellent que l’utilisateur peut gérer les paramètres de confidentialité : désactiver la géolocalisation, supprimer l’historique des recherches, couper le micro,… "Il faut être sûr que, si on coupe le micro, plus rien n’est enregistré. Des informaticiens ont montré que, sur smartphone, lorsqu’on désactive la fonction de géolocalisation proposée par Google, on est quand même encore géolocalisé par d’autres moyens. Evidemment, lorsque l’on refuse de partager nos données à caractère personnel et d’être tracé, le service est beaucoup moins adapté, c’est moins confortable. Des sociétés travaillent à mettre en place des enceintes open source, dont le code est ouvert à tous et chacun peut en améliorer le système de fonctionnement. Elles essaient d’être assez performantes tout en affirmant ne pas utiliser les données à caractère personnel des utilisateurs" explique encore Elise Degrave.

Plus il y a d’objets connectés reliés une enceinte à reconnaissance vocale, plus il y a de risque de piratage, souligne-t-elle encore.

Nous avons contacté l’Autorité de Protection des Données (APD), l’organisme qui a remplacé l’ancienne Commission de protection de la vie privée, afin de savoir si elle avait déjà émis un avis ou des recommandations aux utilisateurs d’assistant vocal au sujet de la protection de leurs données privées. Ce n’est pas le cas. La porte-parole de l’APD explique que, pour que l’utilisation des données soit conforme au RGPD, il faut que l’utilisateur soit mis au courant de manière transparente et compréhensible de l’utilisation qui sera faite de ses données, que les données collectées le soient pour des finalités déterminées explicites et légitimes et qu’elles ne soient conservées que pour la durée nécessaire au regard de ces finalités. Les données devraient aussi être traitées de manière à garantir une sécurité appropriée. Ce sont quelques conditions (la liste n’est pas exhaustive) à remplir pour être en conformité avec le RGPD.

En France, la Commission Nationale de l’informatique et des Libertés a émis une série de recommandations à destination des utilisateurs d’assistants vocaux qui seraient soucieux de protéger leurs données privées.

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK