find jurigeek on
twitter
linkedIn
contact@juri-geek-cie.fr
> S'enregistrer> Connexion espace membre

Tag Cloud

Your browser doesn't support the HTML5 CANVAS tag.

  • Internet des objets
  • données personnelles
  • télémédecine
  • hacking
  • nouvelles technologies
  • données de santé
  • google
  • épidémie
  • GAFA
  • sécurité
  • Amazon
  • domotique
  • RGPD
  • mégadonnées
  • vie privée
  • COVID-19
  • cnil
  • coronavirus
  • Apple
  • big data
jurigeek et compagniejurigeek et compagnie
  • Expertise en Droit du Numérique
  • Chronique Juri-Geek
  • Formations
    • Boostez vos talents du numériques
  • Qui suis je ?
  • Mon espace membre
  • Audit de conformité RGPD++JuriGeek&Cie

    Biométrie

    • Accueil
    • Chronique Juri-geek
    • Biométrie
    • Pourquoi les appareils à commande vocale nous enregistrent-ils ? Quels en sont les risques ?

    Pourquoi les appareils à commande vocale nous enregistrent-ils ? Quels en sont les risques ?

    • posté par Nathalie DEVILLIER
    • Thèmes Biométrie, Données à caractère personnel, RGPD
    • Date 28 novembre 2019

    Alors que le déploiement sécurisé des réseaux 5G vient d’être adopté par la France (loi « anti-Huawei »), les polémiques fleurissent autour des assistants vocaux (sans oublier votre Xbox) convertis en véritables « mouchards ». A la suite de lanceurs d’alerte, plusieurs médias ont ainsi révélé l’étendue des enregistrements accidentels (non déclenchés par l’utilisateur) et surtout l’envoi de tous les enregistrements à des sous-traitants dont les salariés écoutent vos moments les plus intimes.

    Google Home, Apple Siri, Amazon Echo et Xbox, fabricants de ces dispositifs reposant sur l’intelligence artificielle ont en effet recours à des sociétés extérieures pour analyser les requêtes. C’est acceptable, mais là où cela devient glissant, c’est que les salariés peuvent écouter les enregistrements des voix des membres du foyer et des personnes qui les visitent et sont à portée de voix.

    La commande vocale est en réalité profondément infiltrée dans votre vie privée. Au-delà des assistants vocaux ce sont bien sûr le téléphone, un casque audio, les équipements ménagers, jusqu’à votre chambre d’hôtel, et demain les véhicules autonomes qui fonctionnent grâce à cette technologie. Il est donc temps de découvrir ce que les fabricants enregistrent, pourquoi, et quels sont les risques pour les utilisateurs.

    Espion du quotidien

    Contrôler des objets connectés, utiliser des services de divertissement tels sont les fonctions des assistants personnels à commande vocale : répondre à une question, jouer un morceau de musique, donner la météo, descendre les stores, diminuer la température… un vrai valet à votre service !

    Tous les appareils connectés se trouvent dans le foyer ou sont portés par leurs utilisateurs. Le volume des données qu’ils génèrent est donc très important et reflète parfaitement le mode de vie de la famille depuis l’heure du lever. Réglage du chauffage, goûts culturels, achats passés, centres d’intérêt… rien de leur échappe. Le profil commercial de chaque membre de la famille est affiné en toute discrétion puisque la voix qui commande l’appareil ne laisse aucune « trace ». En effet, vous souvenez-vous des requêtes formulées hier ? La semaine dernière ? Ou depuis l’achat de cet assistant ? Et qu’en est-il des interactions de vos enfants ou de leurs amis avec cette machine ? L’appareil lui, ne perd pas une miette du moindre mot et s’empresse de l’analyser pour peaufiner la technologie de reconnaissance vocale et, au passage, la publicité ciblée.

    Le fonctionnement est tellement simple que l’appareil se déclenche au bruit d’une simple fermeture éclair ! Siri s’est aussi déclenché en plein discours du Secrétaire à la Défense Gavin Williamson qui s’adressait aux députés au sujet de la Syrie. Le même assistant s’active aussi en concordance avec l’Apple Watch. Or, le taux de déclenchement accidentel de cette montre connectée est très élevé et il peut enregistrer jusqu’à 30 secondes de son. Des négociations d’affaires aux rapports sexuels, en passant par des transactions illicites et des consultations médicales, l’objet des enregistrements est identifiable en un rien de temps.

    Le motif invoqué par les fabricants pour justifier ces enregistrements est l’amélioration de la technologie de reconnaissance vocale : « améliorer la qualité langagière » selon Amazon et Google. Les sociétés précisent qu’elles permettent à l’utilisateur de s’opposer à certaines utilisations de ces enregistrements par une option d’« opt-out » (pour ce faire, il faudra vous immerger dans les paramètres de votre appareil…). Apple a pour sa part expliqué que l’analyse porte sur moins de 1 % des requêtes et qu’elle se fait moyennant des garanties : les données sont anonymisées (elles ne peuvent pas être rattachées à l’identifiant d’un client) et les personnes chargées de l’analyse ont signé un engagement de confidentialité. Devant le tollé provoqué par ces révélations, la firme a décidé d’introduire une option de consentement pour les utilisateurs.

    Données personnelles

    Si ces enregistrements « accidentels » et leur envoi pour analyse et écoute à des sous-traitants alimentent la polémique, c’est parce que les utilisateurs n’en étaient pas informés par les fabricants. Leur manque de loyauté et de transparence vis-à-vis de leurs clients est donc condamnable, sans compter l’absence de sécurité et de confidentialité s’agissant des enregistrements communiqués aux médias. Ces enregistrements comprennent l’historique des requêtes audio et la transcription des requêtes. Ils sont accompagnés de données de localisation, données de contacts et détails des applications qui servent à vérifier si la réponse à une requête a été donnée, plus les méta-données (date, heure, utilisateur…).

    De surcroît, d’innombrables cas d’enregistrements portent sur des discussions privées entre médecins et patients, des négociations commerciales, des transactions apparemment criminelles, ou encore de rencontres sexuelles, etc.

    Or, les données contenues par ces enregistrements sont des données à caractère personnel puisqu’il s’agit d’informations se rapportant à une personne physique identifiée ou identifiable. Rappelons que la personne physique peut être identifiée indirectement par référence à un identifiant (nom, numéro d’identification, données de localisation) ou à un ou plusieurs éléments spécifiques propres à son identité qu’elle soit physique, économique, culturelle ou sociale.

    Nombre de ces données sont qualifiées de sensibles : celles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données de santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Le RGPD interdit le traitement de ces données sauf consentement explicite de la personne et dans certaines hypothèses strictement définies (art. 9). Or, dans de tels cas, les équipes qui analysent les enregistrements ont pour toute consigne de rapporter un « incident technique », sans plus. Aucune procédure n’est mise en place pour ces données très sensibles !

    Au-delà de la publicité ciblée, les risques sont le partage ou la commercialisation des données, le piratage et l’utilisation par des tiers non autorisés (usurpation d’identité, arnaques, ransomware, etc.). Ces risques sont bien réels car la détection de la voix humaine n’est pas infaillible. Lors du Super Bowl 2017, une publicité TV sur Google Home avait déclenché les appareils des téléspectateurs car les personnages lançaient le fameux « OK Google ». De nombreux utilisateurs d’Amazon Echo ont reçu à leur domicile une maison de poupée qu’ils n’avaient pas commandée ! La commande vocale est donc la grande vulnérabilité de ces nouvelles technologies.

    Paroles… paroles… paroles…

    L’utilisation des assistants à commande vocale se révèle donc à haut risque pour la vie privée de ses utilisateurs. Leurs propriétaires sont en premier lieu affectés ainsi que toute personne se trouvant à portée de voix de l’appareil, même s’il n’en a pas forcément conscience. Plusieurs principes du RGDP ne sont sans doute pas observés. Celui de licéité, loyauté et transparence tout d’abord, puisque ces enregistrements et leur envoi à des sous-traitants ont eu lieu en dehors de toute information des personnes aisément accessible, facile à comprendre et formulée en termes clairs et simples. La minimisation de l’usage des données est aussi mise à mal car ces sociétés traitent des données qui ne sont ni adéquates, ni pertinentes au regard des requêtes des usagers.

    Ensuite, rappelons qu’en vertu du principe de limitation des finalités, la ou les finalités doivent répondre à trois qualités. Être « déterminées » préalablement ce qui signifie qu’il est interdit de collecter des données à des fins préventives. Ces finalités doivent être « explicites », c’est-à-dire communiquées à la personne concernée (droit à l’information) et enfin, être légitimes par rapport à l’activité du responsable de traitement.

    Quant à la limitation de la conservation, aucune durée n’est spécifiée par les CGU de Google si ce n’est que les enregistrements sont conservés jusqu’à ce que les utilisateurs les suppriment. Comment faire ? Ici encore, tout repose sur la vigilance de la personne et sa persévérance, à défaut de protection par défaut et dès la conception de la part de Google (accédez ici à votre activité sur la page de Google pour tenter de supprimer vos enregistrements).

    Sur certains produits, il est possible de paramétrer plusieurs profils d’utilisateurs, dans ce cas les enregistrements permettent l’identification de la personne (biométrie vocale) et les données sont rattachées à chaque profil. S’agissant de données biométriques, elles sont qualifiées de sensibles au sens du RGPD et ne peuvent être traitées que sur la base d’un consentement explicite.

    Détournements

    En cas d’utilisation des données pour une finalité autre que celles spécifiées dans les conditions d’utilisation de ces services, les sociétés peuvent voir leur responsabilité engagée pour détournement de finalité. La CNIL a récemment mis en demeure des sociétés des groupes Humanis et Malakoff-Médéric de cesser d’utiliser pour de la prospection commerciale des données personnelles collectées exclusivement afin de payer les allocations retraite.

    Avec l’entrée en application du RGPD, les amendes administratives pour violation des principes de base d’un traitement, y compris les conditions applicables au consentement, peuvent atteindre vingt millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).

    L’autorité de protection des données allemande a justement ouvert une procédure d’enquête en août dernier enjoignant Google de cesser ses analyses des enregistrements pour une durée de 3 mois dans l’Union européenne.

    Que faire ?

    Les détenteurs de ces assistants peuvent tout d’abord exercer leurs droits d’accès à leurs données à caractère personnel pour savoir quelles écoutes ont été faites, et ensuite en demander la suppression. En attendant que des sanctions soient prises, les conseils de la CNIL sont les suivants :

    • Privilégier l’utilisation d’enceintes équipées d’un bouton de désactivation du microphone.
    • Couper le micro/éteindre/débrancher l’appareil lorsque vous ne souhaitez pas être écouté. Certains dispositifs n’ont pas de bouton on/off et doivent être débranchés.
    • Avertir les tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités).
    • Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux).
    • Vérifier qu’il est bien réglé par défaut pour filtrer les informations à destination des enfants.

    Enfin, si vous possédez l’appareil Alexa d’Amazon, il est possible de désactiver l’option d’enregistrement dans : Paramètres > Alexa et vos informations personnelles > Gérer comment vos données contribuent à améliorer Alexa > Contribuer à améliorer les services Amazon et à développer de nouvelles fonctionnalités.

     

    Cet article a initialement été publié sur le site The Conversation.

    Étiquette:Amazon, Apple, domotique, données personnelles, GAFA, hacking, Internet des objets, mégadonnées, nouvelles technologies, objets connectés, RGPD, vie privée

    • Partager:
    Nathalie DEVILLIER
    Nathalie DEVILLIER
    Nathalie DEVILLIER est la fondatrice de JuriGeek& Cie. Docteur en droit, elle appartient au Groupe d'Experts de la Commission européenne sur la Responsabilité et les Nouvelles Technologies. Son expertise est recherchée par les médias et institutions européennes et internationales.

    Post précédent

    Pour des principes juridiques de responsabilité adaptés à l'intelligence artificielle
    28 novembre 2019

    Post suivant

    Obtenir un arrêt de travail en un clic?
    9 janvier 2020

    Vous pourriez aussi aimer

    D6h2MMIWwAAvbHL (1)
    Trois clés pour garantir une transition éthique et sûre vers les mobilités sans conducteur
    21 septembre, 2020
    covid retour
    Préserver le secret des données du patient suspect ou confirmé d’infection à coronavirus COVID-19: le cas des transports sanitaires
    24 mai, 2020
    Foule à Hong Kong © Getty / MR.Cole_Photographer
    Backtracking : comment concilier surveillance du Covid-19 et respect des libertés ?
    5 avril, 2020

    Rechercher sur le blog

    Thèmes d’actualités

    • Biométrie (1)
    • coronavirus (2)
    • COVID-19 (2)
    • Cyber sécurité (1)
    • Données à caractère personnel (7)
    • épidémie (2)
    • éthique (1)
    • Fake News (1)
    • Intelligence artificielle (4)
    • mobilité (1)
    • Municipales 2020 (1)
    • recherche et innovation (1)
    • RGPD (7)
    • Santé connectée (3)
    • télémédecine (2)
    • Travel (1)
    • uber (1)
    • union européenne (1)
    • véhicule autonome (1)

    Articles récents

    • Trois clés pour garantir une transition éthique et sûre vers les mobilités sans conducteur
    • Préserver le secret des données du patient suspect ou confirmé d’infection à coronavirus COVID-19: le cas des transports sanitaires
    • Backtracking : comment concilier surveillance du Covid-19 et respect des libertés ?
    • Les réseaux sociaux peuvent-ils vraiment améliorer leurs modèles ?
    • Obtenir un arrêt de travail en un clic?

    Commentaires récents

      Archives

      • septembre 2020
      • mai 2020
      • avril 2020
      • mars 2020
      • janvier 2020
      • novembre 2019
      • avril 2019
      • février 2019
      • janvier 2019
      • novembre 2018

      Catégories

      • Biométrie
      • coronavirus
      • COVID-19
      • Cyber sécurité
      • Données à caractère personnel
      • épidémie
      • éthique
      • Fake News
      • Intelligence artificielle
      • mobilité
      • Municipales 2020
      • recherche et innovation
      • RGPD
      • Santé connectée
      • télémédecine
      • Travel
      • uber
      • union européenne
      • véhicule autonome

      Méta

      • Inscription
      • Connexion
      • Flux des publications
      • Flux des commentaires
      • Site de WordPress-FR

      Tag Cloud

      Your browser doesn't support the HTML5 CANVAS tag.

      • sécurité
      • télémédecine
      • COVID-19
      • big data
      • RGPD
      • vie privée
      • épidémie
      • hacking
      • nouvelles technologies
      • données personnelles
      • domotique
      • mégadonnées
      • Apple
      • Internet des objets
      • données de santé
      • google
      • Amazon
      • cnil
      • coronavirus
      • GAFA

      Nous joindre

      contact@juri-geek-cie.fr

      Expertise en Droit du Numérique

      Accès rapides

      • Qui suis je ?
      • Contact
      • Mon espace membre

      Thèmes de cours

      • Santé connectée

      © 2019 Jurigeek & Cie - Tous droits réservés

      • Mentions obligatoires
      • Conditions d’Utilisation
      • Politique de Confidentialité
      • Contact
      • création eyenet
      No apps configured. Please contact your administrator.

      Connectez-vous avec votre compte sur le site

      No apps configured. Please contact your administrator.

      Mot de passe perdu?

      Pas encore membre? S'inscrire maintenant

      Enregistrer un nouveau compte

      Êtes vous membre? Connecte-toi maintenant

      En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites
      AccepterRefuser En savoir plus
      Politique de confidentialité

      Privacy Overview

      This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
      Nécessaire
      Toujours activé

      Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

      Non nécessaire

      Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.