Le 7 septembre 2020, la Commission nationale de l’informatique et libertés (CNIL) a publié un livre blanc intitulé « à votre écoute », relatif aux enjeux éthiques, techniques et juridiques des assistants vocaux. Ainsi, il fait office de guide pratique à destination des professionnels comme des utilisateurs, c’est-à-dire ceux qui les développent, les façonnent, les déploient ou encore les utilisent.
Sur le plan juridique, la CNIL propose, dans ce livre blanc, des indications quant à la protection des données à caractère personnel à l’égard de ces assistants vocaux.
L’assistant vocal est défini comme « un ensemble de ressources logicielles permettant de réaliser les traitements de la voix et du langage afin de répondre à la requête d’un utilisateur »[1]. C’est une prestation numérique réalisée par différentes machines ou appareils, et qui sont désormais de plus en plus présents dans notre vie courante : voitures, montres, enceintes, balances, réfrigérateurs. C’est une fonctionnalité de plus en plus utilisée au fur et à mesure que la technologie évolue, à l’image du tactile, qui était une révolution au départ, mais que l’on retrouve désormais dans tous nos objets du quotidien. « À l’été 2019, il était fait état d’environ 1,7 million d’assistants vocaux sur enceinte connectées et d’un usage de l’assistant vocal du smartphone par 16 à 20 millions d’utilisateurs en France »[2].
Pour appréhender le sujet, la CNIL va définir 5 grandes étapes du fonctionnement des assistants vocaux : tout d’abord, l’assistant s’éveille à la prononciation par l’utilisateur d’un mot clé prédéfini, il le reconnait ou pas (donc dispositif de reconnaissance facultatif), l’utilisateur énonce sa requête, la requête est retranscrite en texte par l’assistant qui va alors interpréter la requête et donner une réponse adaptée et enfin (et pas des moindres) l’assistant repasse en mode veille.
La CNIL a donc émis des recommandations sur comment le RGPD peut être mis en pratique dans le cas des assistants vocaux, en prenant plusieurs cas de figures. Les étapes classiques de mise en conformité au RGPD que la CNIL énonce sont : tout d’abord déterminer si des données personnelles sont traitées (dans le cas des assistant vocaux, c’est évident, la voix est traitée donc donnée personnelle), définir le traitement ainsi que son responsable (donc ici le concepteur de l’assistant vocal puisqu’il détermine les moyens et les finalités du traitement) et sa base légale. Le choix des données collectées et la durée de leur conservation. Informer les personne et garantir leur droit et enfin mettre en place des mesures de sécurité adaptées.
Les assistants vocaux possèdent aussi un dispositif de reconnaissance de la voix de l’utilisateur, l’assistant pourra alors réagir uniquement à la voix de son propriétaire. Il faut alors pour cela une prise de la voix, et une conservation de la donnée par la machine. Il faut rappeler que la reconnaissance par la voix d’un individu est un traitement de donnée biométrique car la reconnaissance de la voix permet une identification unique de la personne. C’est une donnée répertoriée dans les « données sensibles », et le traitement de ces donnée est interdite par le RGPD (article 9). Le RGPD prévoit cependant des exceptions tel que le consentement de l’utilisateur, pour une ou plusieurs finalités spécifiques. On comprend alors que les assistant vocaux peuvent recourir à ce traitement, à condition de recueillir le consentement de l’utilisateur. Ce consentement peut par exemple être pris par un terminal externe (un ordinateur lié à l’assistant) avec un contrat écrit.
Pour finir, on peut constater que les assistants vocaux font l’objet de controverses. Une grande partie des non-utilisateurs de ces services pointent son caractère inutile et accessoire. Une autre partie, celle des utilisateurs du service, affirment son caractère innovant. En tout cas, « force est de constater que parmi les individus ayant utilisé ces dispositifs, 46% des personnes interrogées ont déjà procédé un paramétrage de leur assistant vocal en vérifiant sa configuration ou encore en supprimant l’historique des commandes vocales passées. Cette information constitue un indice éloquent de l’essor de la sensibilisation des utilisateurs à la protection de leurs données à caractère personnel »[3].
[1] www.CNIL.fr, « le fonctionnement des assistant vocaux en 5 étapes »
[2] Livre blanc CNIL, « à votre écoute », p.21
[3] www.lettredunumérique.com, « la CNIL publie un livre blanc relatif aux enjeux des assistants vocaux », dernier paragraphe