Quels sont les enjeux juridiques qui entourent les enceintes connectées et les assistants vocaux ? En écho à mon enquête sur les humain·e·s derrière les robots, j’ai rencontré l’avocate Nina Gosse, qui intervient principalement en droit de la propriété intellectuelle et les technologies d’information et de communication, au sein du cabinet De Gaulle Fleurance & Associés. Elle travaille notamment sur les problématiques liés à la vie privée et, plus largement, à l’exploitation des données.
Concrètement, quels sont les risques en termes de confidentialité des données pour les utilisateur·trice·s des enceintes connectées ? À quoi s’exposent-ils et elles ?
Les enceintes connectées sont destinées à être pleinement intégrées à nos vies quotidiennes et donc à « connaître » notre intimité. Les points de vigilance concernent la confidentialité des échanges, qu’une enceinte pourrait enregistrer, ainsi qu’une éventuelle utilisation commerciale des données de l’utilisateur, un profilage publicitaire de ce dernier sur la base de ses interactions avec son enceinte. Bien sûr, il ne s’agit là que de « risques » et non d’un constat absolu.
Ce qui est essentiel, en revanche, c’est que les utilisateur·trice·s soient mis en mesure de comprendre l’utilisation qui est faite de leurs données et des paramétrages possibles de leurs enceintes. À cet égard, on observe une prise de conscience progressive au sein du public, qui doit trouver comme réponse une véritable éducation au numérique, tant des pouvoirs publics que des entreprises. La confiance sera toujours source de valeur ajoutée.
Il est essentiel que les utilisateur·trice·s soient en mesure de comprendre l’utilisation qui est faite de leurs données et des paramétrages possibles de leurs enceintes
La sécurité est aussi très importante dans la mesure où il est établi que les objets connectés sont en proie aux risques de piratage : dès lors que se connecter à internet devient une fonction intégrante d’objets du quotidien, les concepteurs de ces équipements doivent faire face aux risques de « cyber » attaques. Des spécialistes de la sécurité ont mis en garde contre ce nouveau type d’attaque après avoir recensé plusieurs milliers d’enceintes connectées contrôlables à distance. Dans le pire des cas, cela permettrait par exemple de contrôler des serrures grâce à une commande vocale intégrée…
Un objet connecté peut aussi être une ressource pour un hacker mal intentionné qui pourrait lui faire envoyer d’énormes volumes de données vers des sites officiels, dont les serveurs tomberaient alors sous le poids des requêtes (attaque par déni de service ou DDoS). Il faut donc sécuriser l’internet des objets pour gagner la confiance des utilisateurs. À cet égard, l’Union européenne est en train de créer un nouveau cadre européen de certification de cybersécurité des produits.
Quel cadre juridique protège les données des utilisateur·trice·s des enceintes connectées ? Le RGPD, entré en application en mai 2018 à l’échelle européenne, est-il applicable à ces objets ? Si oui, comment protège-t-il les Européen·ne·s ?
Les règles applicables en matière de protection des données personnelles ont effectivement vocation à s’appliquer. Le traitement des données vocales sera d’autant plus sensible en présence d’un système de reconnaissance de la voix de l’utilisateur·trice (biométrie vocale). En France, ce droit reposait jusqu’ici essentiellement sur la Loi Informatique et Libertés. Comme vous l’indiquez, il faut aussi compter à présent sur le RGPD, directement applicable dans tous les États membres depuis le 25 mai 2018. Ce dernier concerne tout acteur traitant des données personnelles s’il est (i) établi au sein de l’Union européenne ou, (ii) propose ses produits ou services à des personnes situées dans l’Union ou encore, (iii) suit les comportements sur internet de personnes situées dans l’Union.
Les assistants vocaux peuvent apparaître aux yeux des utilisateur·trice·s comme des « boîtes noires ».
Le RGPD renforce les obligations des fabricants d’enceintes connectées ou de concepteurs de logiciels : par exemple, fournir une information précise et intelligible aux utilisateurs, sécuriser toute la chaîne de traitement des données, notifier les éventuelles failles de sécurité… Le RGPD offre également plus de droits aux personnes sur l’utilisation qui est faite de leurs données. Concernant l’obligation d’information, les assistants vocaux peuvent apparaître aux yeux des utilisateurs comme des « boîtes noires », c’est-à-dire que leur fonctionnement parait opaque (comme beaucoup d’autres technologies innovantes). De manière générale, parvenir à expliquer ce genre d’outils aux personnes est un véritable défi.
À lire aussi | Enceintes connectées : l’IA n’existe pas
Toutefois, il est important de souligner que le RGPD, dans son contenu, ne révolutionne pas le droit applicable. Pour autant, en prévoyant notamment une hausse notable des sanctions et en obligeant les organisations à mettre en place de véritables procédures de gestion des données, il implique des efforts et investissements très importants pour beaucoup d’entre elles. D’autres textes sont pertinents, notamment le futur Règlement européen dit « e-privacy » qui vise à protéger les données de communications électroniques et réguler le tracking sur les terminaux des utilisateurs. On peut aussi penser aux règles protectrices des consommateurs ou celles relatives à la cybersécurité.
Les entreprises qui dominent le marché sont états-uniennes, quels sont les recours juridiques dont les Européen·ne·s bénéficient en cas de contentieux ? Y a-t-il des conflits entre les juridictions ?
Le champ d’application territorial du RGPD fait que celui-ci pourra s’appliquer à des sociétés établies aux États-Unis, soit parce qu’elles ont un établissement au sein de l’Union, soit parce qu’elles s’adressent au marché européen ou encore parce qu’elles « profilent » ses ressortissants. Le RGPD garantit le droit des personnes concernées à un recours au juge et rappelle que ces dernières pourront saisir une juridiction (ou une autorité de contrôle) de l’État Membre dans lequel elles sont établies. Le RGPD introduit, en outre, la possibilité de mener des actions collectives.
Par ailleurs, en droit de la consommation, sont présumées abusives les clauses qui suppriment ou entravent l’exercice d’actions en justice ou des voies de recours par le consommateur. C’est d’ailleurs dans ce sens que s’était prononcée, en 2016, la Cour d’appel de Paris dans l’affaire opposant Facebook à un utilisateur qui avait publié sur son mur une photographie de l’œuvre « L’Origine du monde » de Gustave Courbet. Tout comme le juge en première instance, le 12 février 2016, la Cour d’appel a jugé que la clause attributive de compétence des CGU (conditions générales d’utilisation) de Facebook au juge californien en cas de contentieux était inopposable à ses utilisateurs en France.
On a vu récemment un utilisateur allemand d’Alexa recevoir les informations de connexion d’un autre utilisateur, après avoir réclamé un export des données le concernant. Avez-vous connaissance de cas similaires en France ? Si oui, comment ont-ils été abordés ?
A priori, cet utilisateur a exercé son droit d’accès auprès de la société Amazon pour connaître les données que l’entreprise détenait sur lui (article 15 du RGPD) et Amazon se serait trompée en lui communiquant un fichier d’un autre utilisateur. Il s’agit d’une erreur humaine dont l’écho médiatique démontre à quel point le sujet est devenu sensible et comment, indépendamment de toute sanction, une mauvaise gestion de ces sujets peut entacher l’image d’une marque, a fortiori d’une entreprise innovante.
Je n’ai pas connaissance de cas similaire mais je conseillerais dans un pareil cas de notifier immédiatement la CNIL de cet incident s’il peut entraîner un risque pour la personne concernée voire, auprès de cette dernière, dès lors qu‘il s’agit d’une atteinte à la confidentialité des données (même par négligence) et que cela limitera le bad buzz.
La CNIL est méfiante sur le principe des micros ouverts en permanence, et suggère aux utilisateur·trice·s d’éteindre, voire de débrancher les enceintes lorsqu’elles ne sont pas utilisées. Google, Apple et Amazon précisent que leurs produits sont équipés de boutons permettant d’interrompre manuellement les micros. Qu’en pensez-vous ?
Il est effectivement important de choisir des équipements qui proposent une désactivation. Les enceintes sont programmées pour détecter les mots-clés et enregistrer nos demandes, seule la désactivation permettra d’éviter les enregistrements non souhaités. De manière générale, les fabricants d’objets connectés ont tout intérêt à mettre l’utilisateur en capacité de décider.