La CNIL publie un livre blanc relatif aux enjeux des assistants vocaux

« A votre écoute » - Livre blanc, CNIL, 7 septembre 2020

La CNIL publie « A votre écoute », un livre blanc relatif aux enjeux éthiques, techniques et juridiques des assistants vocaux à destination des professionnels comme des utilisateurs.

Face à la prolifération des assistants vocaux dans les objets du quotidien, la Commission Nationale de l’Informatique et des Libertés (CNIL) publie « A votre écoute », un livre blanc relatif à leurs enjeux éthiques, techniques et juridiques afin d’accompagner ceux qui les développent, les façonnent, les déploient ou encore les utilisent. En parallèle à la publication de ce livre blanc, la CNIL a mis à jour de nombreux contenus d’accompagnement pour appréhender les dispositifs d’assistance vocale.  

Un assistant vocal est « un ensemble de ressources logicielles permettant de réaliser les traitements de la voix et du langage afin de répondre à la requête d’un utilisateur ». Ce dispositif repose sur une capacité de dialogue avec un utilisateur en langage naturel permettant de lui offrir un service suite à une requête vocale.

Afin d’appréhender cette technologie, la CNIL définit cinq grandes étapes du fonctionnement d’un assistant vocal : 

  • L’assistant vocal s’éveille à la prononciation par l’utilisateur d’un mot clé prédéfini ; 

  • L’assistant vocal reconnait l’utilisateur (optionnel) ; 

  • L’utilisateur énonce sa requête ; 

  • La requête orale de l’utilisateur est automatique retranscrite en texte puis interprétée par l’assistant vocal qui donne une réponse adaptée ; 

  • L’assistant vocal repasse en « veille ».

 

La question de l’encadrement de la protection des données à caractère personnel constitue un élément clé pour ceux souhaitant déployer des assistants vocaux ainsi que pour ceux qui les utilisent. Le livre blanc propose des cas d’usage pour étudier la manière dont la réglementation relative à la protection des données trouve à s’appliquer.

Pour l’ensemble de ces cas d’usage, la CNIL rappelle les principales étapes à réaliser pour garantir la conformité au RGPD du dispositif envisagé. Après avoir déterminé la nature des informations traitées, la CNIL préconise de définir le traitement, son responsable de traitement et sa base légale (1), de caractériser les données traitées et leurs durées de conservation (2), de procéder à l’information des personnes concernées et à la garantie de leur droit (3) et enfin, de mettre en place des mesures de sécurité adaptées (4).

Dans son livre blanc, la CNIL évoque le cas de l’utilisation « des fonctions de base » d’un assistant vocal. Il s’agit de l’usage le plus répandu de l’assistant vocal dit « généraliste » qui vise à répondre aux besoins fonctionnels récurrents des utilisateurs.

Dans cette hypothèse, le concepteur de l’assistant vocal est le responsable de traitement dans la mesure où il détermine les finalités du traitement (la fourniture du service d’assistance vocale) et les moyens du traitement (l’assistant vocal relié à un compte utilisateur). Pour aiguiller le responsable de traitement, la CNIL indique que ce dernier peut fonder son traitement sur l’exécution d’un contrat auquel l’utilisateur est partie. Concernant la durée de conservation des données traitées, la CNIL rappelle que les données ne peuvent être conservées au-delà de la durée nécessaire à la fourniture du service concerné, étant entendu que les données collectées ne doivent pas être traitées pour une autre finalité que celle de la fourniture dudit service. 


D’autre part, concernant l’information des personnes concernées, la CNIL met en lumière le recours à une information vocale qui peut s’avérer pertinente pour les utilisateurs dans l’impossibilité d’utiliser un support écrit.

De surcroit, compte tenu des risques liés à l’utilisation d’un assistant vocal (enregistrement de conservations intimes après l’activation inopinée de l’assistant vocal suite à la prononciation du mot d’activation ou d’un mot s’en rapprochant), la CNIL préconise la mise en place de mesures de sécurité renforcées pour protéger l’espace intime des utilisateurs et des tiers. Dans ce contexte, il apparait que la mise en œuvre d’une analyse d’impact peut constituer un prérequis au déploiement d’un dispositif d’assistance vocale et il convient de systématiquement vérifier les critères de l’analyse d’impact. 

Outre ces dispositifs génériques, notons que certains mettent en œuvre un mécanisme de reconnaissance de l’utilisateur. En effet, certains assistants vocaux proposent à l’utilisateur une option lui permettant de s’identifier à partir de sa voix afin d’accéder à un service. Dans ce contexte, il convient de souligner que la mise en œuvre d’un dispositif ayant pour but de reconnaitre un individu à partir des caractéristiques vocales constitue un traitement de données biométriques. Cette particularité s’illustre notamment au moment de l’étape de reconnaissance par l’assistant vocal de l’utilisateur. 

Rappelons que les données biométriques sont définies par 4.14 du RGPD comme « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettant ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ». Si l’article 9 du RGPD interdit par principe les traitements de données biométriques aux fins d’identifier une personne physique de manière unique, ces derniers sont admis dans certains cas et notamment en cas de consentement explicite des utilisateurs. 

Enfin, il est à noter que livre blanc met en avant les divergences d’opinion liées à l’utilisation d’assistants vocaux. Si les personnes disposants d’assistants vocaux revendiquent leur caractère innovant, celles n’en disposant pas pointent leur inutilité et font part de leurs concernant la protection de leurs données à caractère personnel. Force est de constater que parmi les individus ayant utilisé ces dispositifs, 46% des personnes interrogées ont déjà procédé un paramétrage de leur assistant vocal en vérifiant sa configuration ou encore en supprimant l’historique des commandes vocales passées. Cette information constitue un indice éloquent de l’essor de la sensibilisation des utilisateurs à la protection de leurs données à caractère personnel.


A rapprocher : « A votre écoute », Exploration des enjeux éthiques, techniques et juridiques des assistants vocaux, Livre blanc, CNIL, 7 septembre 2020.

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…