Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous
Alors que la parole est généralement associée à une certaine volatilité – ne dit-on pas que les paroles s’envolent et que les écrits restent ? – la généralisation des usages des technologies de traitement automatique de la parole induit un changement de paradigme essentiel pour les utilisateurs. En effet, dans la grande majorité des cas, les assistants vocaux et autres dispositifs audio qui équipent les appareils de type smartphone, enceinte ou téléviseur reposent sur des traitements déportés.
Du respect de la vie privée à la protection des données
C’est en 1890, dans l’ouvrage Right to privacy écrit par les avocats américains Samuel D. Warren et Louis D. Brandeis, que le droit à la vie privée trouve ses origines. Défini à l’époque comme le droit d’être laissé seul ou tranquille, il s’agissait en particulier de se prémunir des pratiques abusives de journalistes. Aujourd’hui, de nombreux textes fondamentaux prennent en compte ce droit : le Code Civil (article 9), la Déclaration universelle des droits de l’homme (article 12), la Convention européenne des droits de l’homme (article 8) ou encore la Charte des droits fondamentaux de l’Union européenne (article 7).
L’article 8 de cette même Charte des droits fondamentaux introduit également la notion de droit à la protection des données à caractère personnel. Les droits à la vie privée et à la protection des données sont deux objets complémentaires, le droit à la protection des données visant à offrir des moyens de contrôle pratiques afin d’assurer le respect de la vie privée des individus. Comme précisé dans l’article 4 du Règlement général sur la protection des données (RGPD), désormais le texte de référence en France et en Europe en matière de protection des données, une donnée à caractère personnel désigne toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement (par exemple nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, etc.). Pour toute utilisation de données personnelles, le RGPD trouve donc à s’appliquer (article 2) !
En fonction de ce à quoi on s’intéresse dans le signal audio, il est possible de manipuler des données de différentes natures. En effet, lorsque nous communiquons, nous extrayons des signaux de parole d’autres informations que le sens factuel du message qui nous est transmis. Comme décrit par Jean-François Bonastre, de nombreuses caractéristiques de notre interlocuteur peuvent ainsi être inférées : identité, âge, sexe, origines géographiques et socioculturelles, physionomie, état de santé et émotionnel, etc. La voix, véhicule privilégié de nos interactions sociales, peut ainsi permettre d’identifier son émetteur mais également de le catégoriser selon différentes modalités. Il s’agit donc d’une donnée personnelle qui, en fonction de l’utilisation qui en est faite, est à « géométrie variable ».
Le RGPD prévoit une interdiction de principe au traitement des données « sensibles » tout en ménageant certaines exceptions. Parmi ces données sensibles, on peut trouver les données biométriques, c’est-à-dire permettant l’identification d’un individu par ses caractéristiques physiques, physiologiques ou comportementales. Appliqué au cas de la voix, on considère donc que la mise en œuvre d’un système ayant pour objectif de reconnaître un locuteur à partir de ses caractéristiques vocales est un traitement de données biométriques et il convient alors de respecter la doctrine de la CNIL à ce sujet. Plusieurs expérimentations ont été autorisées par la CNIL pour l’authentification vocale d’usagers de banques de détail sur les serveurs vocaux. Outre les données biométriques, sont également considérées comme sensibles les données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ou encore les données relatives à la santé ou à la vie sexuelle. Autant d’aspects de la vie privée susceptibles également de se trouver dans des enregistrements audio…
Un équivalent du droit à l’image pour la voix
On considère en France, que chaque individu bénéficie de droits de la personnalité. Ceux-ci constituent l’ensemble des prérogatives juridiques portant sur des intérêts moraux (identité, vie privée, honneur), le corps humain ou les moyens de leur réalisation (correspondances, domicile, image) des personnes. Ces droits ont pour but de protéger la personne dans son individualité. Ils sont les mêmes pour tous et sont extrapatrimoniaux, c’est-à-dire qu’ils n’ont pas de valeur pécuniaire, ne font pas partie du patrimoine et ne sont pas des biens. Parmi ces droits de la personnalité, le droit à l’image a été reconnu par la jurisprudence au XIXème siècle comme un droit qui tend à la protection de l’intégrité morale (par opposition à l’intégrité physique). Lorsqu’on traite du droit à l’image en général, il est fréquent de l’associer à l’image visuelle. Toutefois, comme cela a été précisé par le Tribunal de grande instance de Paris le 19 mai 1982 dans la cadre d’un procès initié par la cantatrice Maria Callas suite à la radiodiffusion sans autorisation expresse et spéciale d’enregistrements de travail, « la voix est un attribut de la personnalité, une sorte d’image sonore ». Le droit à l’image d’une personne physique inclut donc également le droit à sa voix.
Dans ses articles 226-1 et suivants, le Code pénal instaure une protection de la vie privée qui est à rapprocher du secret des correspondances (comme spécifié dans l’article L.33-1 du Code des postes et des communications électroniques). Il s’agit notamment de proposer un cadre qui protège de façon englobante toutes les paroles prononcées dans un cadre privé, les images appartenant à la personne ou la représentant, les informations relatives à son domicile ou aux lieux qu’elle fréquente, les informations relatives à son état de sa santé, ses courriers et ses emails privés, les informations relatives à sa vie familiale ou à sa vie amoureuse ou encore ses opinions politiques, religieuses ou philosophiques. Ainsi, toute personne qui rend publics des éléments appartenant à la vie privée d’une autre sans son consentement encourt des sanctions pour atteinte à la vie privée. La voix étant l’un des vecteurs possibles d’exposition de la vie privée d’une personne, elle est donc concernée.
Différents éléments de jurisprudence existent à ce sujet (voir par exemple ici). En particulier, on s’intéresse souvent au cumul de différents critères pour caractériser l’atteinte à la vie privée, à savoir : le caractère clandestin de l’enregistrement, sa localisation et sa durée. À titre d’exemple, dans son jugement du 9 février 2017, la Cour d’appel de Versailles a considéré que le droit de ne pas rendre publique une conversation ainsi captée constitue une modalité de la protection de la vie privée prévue par l’article 8 de la Convention européenne des droits de l’Homme, la liberté d’expression ne pouvant pas à elle seule justifier la diffusion d’un contenu.
Demain tous écoutés ?
Il semble que de plus en plus d’objets de notre quotidien ont vocation à embarquer des assistants vocaux, parfois à l’insu même des utilisateurs comme l’a prouvé la présence d’un microphone dans les thermostats Nest. Faut-il alors redouter d’être écouté en permanence ?
Un tel risque n’est pas à écarter complètement comme l’ont montré les révélations récentes concernant les modalités d’accès aux enregistrements audio enregistrés par l’assistant Alexa par plusieurs milliers de personnes travaillant dans les équipes de développement d’Amazon. Se pose ainsi la question de l’usage fait de ces données enregistrées. En effet, les flux de paroles transcrits peuvent être particulièrement informatifs. Les assistants vocaux domestiques agissent comme des nœuds de connexion centralisant les accès à différents services tiers. Comme indiqué dans la fiche pratique de la CNIL, l’utilisation de ces assistants peut donc permettre d’inférer de nombreuses informations relatives aux habitudes de vie des habitants d’un foyer (heure du lever, réglage du chauffage, goûts culturels, achats effectués, centres d’intérêt, etc.). Cette question se pose avec d’autant plus d’acuité dans la mesure où, si les assistants vocaux sont encore quasiment exclusivement utilisés pour des usages personnels et/ou domestiques, ces derniers ont vocation à terme à être également déployés dans des environnements plus ouverts et partagés.
Ainsi, Amazon a lancé en 2018 Alexa for Business et Alexa for Hospitality, respectivement à destination des entreprises et du secteur hôtelier (un premier partenariat avec le groupe hôtelier Marriott ayant été inauguré). S’il n’est pas anodin de choisir d’installer chez soi une enceinte équipée d’un assistant vocal, il l’est encore moins de le faire sur le lieu de travail où les questions relatives au droit du travail ainsi qu’au secret professionnel sont d’une grande importance.
Enfin, l’actualité se fait régulièrement l’écho de questionnements relatifs à l’accès à ces données (vocales et transcrites) par les forces de l’ordre dans le cadre de réquisitions judiciaires, comme en 2015 dans le cadre d’un homicide commis aux États-Unis ou encore par diverses agences gouvernementales à des fins de surveillance. Parmi les documents de la série Vault 7 publiée par WikiLeaks à partir de mars 2017, certains ont révélé que la CIA avait développé en collaboration avec le MI5 anglais la suite logicielle Weeping Angel permettant de d’accéder à des téléviseurs Samsung afin de les transformer, même éteints, en dispositifs d’écoute.
De l’importance des réglementations
Nous assistons à une prise de conscience mondiale des problématiques relative à la vie privée. L’invalidation du Safe Harbor, ensemble de règles permettant de transférer des données personnelles de l’UE vers les États-Unis, et son remplacement par un nouveau cadre réglementaire, le Privacy Shield, ont été des faits marquants. Si certaines réglementations récentes telles que le CLOUD Act (acronyme de Clarifying Lawful Overseas Use of Data Act) viennent renforcer la tendance à accroître la capacité des autorités à accéder aux données et à les échanger facilement avec leurs homologues dans le cadre d’accords, le RGPD sert de modèle à différents législateurs à travers le monde pour porter une vision responsable et centrée sur l’individu. Ainsi, comme nous le soulignions il y a quelques mois, des régions aussi fortement tournées vers l’économie numérique et l’innovation que les États-Unis (états de Californie et de New-York), ou encore le Japon, ont récemment proposé des réglementations qui en sont fortement inspirées.
Aussi, si la multiplication des interfaces de collectes de nos voix et la réalisation de traitements effectués en grande partie à distance n’est pas sans poser de question, le droit propose déjà une panoplie de solutions réglementaires permettant d’encadrer ces usages. Il convient néanmoins de demeurer vigilant au regard des enjeux importants que la massification des traitements automatiques de la parole peuvent faire peser sur les individus. Dans notre second article consacré aux droits de la voix, nous étudierons plus particulièrement les questions relatives au droit à l’image et à la propriété intellectuelle à l’heure de la synthèse vocale.
Article rédigé par Félicien Vallet, Ingénieur au Service de l’Expertise Technologique de la CNIL
Source : LINC : Les droits de la voix (1/2) : Quelle écoute pour nos systèmes ?
Sommaire de la thématique « LES ASSISTANTS VOCAUX »
1. Le fonctionnement des assistants vocaux en 5 étapes
2. Les conseils pour configurer et utiliser son assistant vocal
3. Livre blanc de la CNIL sur les assistants vocaux
4. Les droits de la voix (1/2) : Quelle écoute pour nos systèmes ?
5. Les droits de la voix (2/2) – Quelle parole pour nos systèmes ?
6. Quelques articles sur le sujet
Ce contenu est mis à disposition à titre pédagogique par notre organisme de formation « LE NET EXPERT FORMATIONS ». Il entre dans le cadre de formations sur le thème du RGPD que nous proposons. Il ne constitue ni un contenu officiel, ni une liste exhaustive, ni une incitation à des actes malveillants.
Ce document constitue un extrait du support de cours que notre formateur met à la disposition de nos stagiaires.
Notre Formateur/Expert peut aussi être en mesure de vous accompagner pour répondre à une situation ponctuelle.
LeNetExpert Formations