Les lignes directrices du CEPD : les assistants virtuels vocaux

Contexte, de quoi parle-t-on ?

Les assistants vocaux virtuels (VVA Virtuel Voice assistants) sont des programmes informatiques conçus pour interagir avec les utilisateurs par le biais de la parole ou de la voix capables de comprendre les commandes vocales et de fournir des réponses ou d'exécuter des tâches en fonction des demandes de l'utilisateur. Les VVA composante essentielle de l'intelligence artificielle et de la technologie de reconnaissance vocale, peuvent être intégrés dans des appareils tels que les smartphones, les enceintes intelligentes, les applications, les sites web, les véhicules connectés et d'autres systèmes informatiques. Ces assistants virtuels sont capables de réaliser une variété de tâches.

Cependant, leur utilisation soulève des préoccupations en matière de protection des données et de la vie privée, ce qui a conduit le CEPD (Comité Européen de la Protection des Données) à publier en septembre 2021 des lignes directrices sur les assistants vocaux qui visent à fournir une orientation claire et détaillée sur la manière de concevoir, développer et exploiter ces technologies conformément au règlement général de la protection des données.

Comment fonctionnent les VVA ?

Les VVA permettent à l'utilisateur de dialoguer de manière naturelle, en utilisant le langage oral. Un VVA peut être subdivisé en modules pour effectuer diverses tâches, telles que :

• La capture audio

• La transcription automatique de la parole en texte 

• Le traitement du langage

• L’accès aux ontologies 

• La génération de langage.

• Réaliser des actions ou des informations…

Les VVA facilitent l'interaction avec l’utilisateur pour réaliser des actions ou obtenir des informations. Ils fonctionnent selon 4 grandes étapes :

1. Réveil du VVA par mot-clé avec ou sans reconnaissance biométrie vocale

2. Formulation de la demande par l’utilisateur

3. Retranscription puis interprétation pour apporter une réponse à l’utilisateur

4. Passage en mode veille (repos) du VVA

Les traitements des données des personnes concernées

Toute interaction d'une personne avec un VVA implique le traitement de données à caractère personnel, comprenant des données primaires (enregistrements vocaux), observées (journaux d’activités) et déduites (profil des utilisateurs).

Les catégories de données personnelles sont multiples et peuvent concerner des données particulières qui sont de principes interdits à l’exception notamment d’un traitement reposant sur le consentement de la personne concernée.

Parmi les personnes concernées, plusieurs utilisateurs sont identifiés tel que l’acheteur/ créateur de compte, le premier utilisateur autre que l’acheteur, le(s) utilisateur(s) courants et les utilisateurs « accidentels » n’ayant pas conscience d’avoir enclenché le réveil du VVA en mode actif. Autant de données personnelles traitées qui se multiplient en fonction du nombre de personne et des traitements associés.

Les responsables de traitement

Un VVA implique la participation de nombreux acteurs et intermédiaires tout au long de son processus d'exécution. En général, jusqu'à cinq acteurs distincts peuvent être identifiés en fonction des modèles commerciaux et des décisions technologiques :

• Le fournisseur ou concepteur

• Le développeur

• L’intégrateur

• Le propriétaire

• L’utilisateur

Chacun de ces acteurs peut potentiellement être responsable de traitement s’ils déterminent les moyens et finalités du traitement ou bien sous-traitant dès lors qu’ils agissent pour le compte du responsable de traitement. Conformément au RGPD, il est nécessaire que les rôles et les obligations de chaque partie soient clairement identifiés et définies dans un contrat compte tenu du fait qu’un acteur tel qu’un concepteur peut être responsable de traitement pour une finalité mais également sous-traitant pour un autre tel qu’un développeur et que chacun est susceptible de transférer des données à d’autres acteurs de la chaîne de traitement.

L’identification du responsable de traitement est primordiale pour la personne concernée afin que cette dernière puisse maîtriser ses données personnelles et exercer librement ses droits auprès du responsable.

Obligation de transparence dans la collecte et le traitement des données

Comme évoqué précédemment les VVA traitent un grand nombre de données personnelles et doivent donc respecter les exigences de transparences vis-à-vis des personnes concernées.

Face à la multitude des utilisateurs, la complexité de la chaîne des traitements des VVA et de la spécificité de l’interface vocale, les recommandations pour les responsables de traitement sont les suivantes :

• Formaliser une politique de confidentialité distincte pour le traitement VVA dans le cas de compte lié à d’autres services

• Transmettre une information exacte et précise aux utilisateurs sur les données collectées et traitées

• Le statut actif ou fermé du VVA doit être clair et accessible à tout moment ainsi qu’adapté aux personnels et spécifiquement pour les personnes en situation de handicap

• Préciser de manière claire avec une attention particulière quant à l’ajout de fonctionnalités qui engendrerait le transfert de données.

Obligation du respect d’une collecte de donnée pour une finalité déterminée

L’utilisation de VVA permet plusieurs finalités telles que la mise en œuvre des demandes des utilisateurs et le paramétrage d’un compte utilisateurs. Ces finalités reposent majoritairement sur l’exécution d’un contrat. Toutefois d’autres finalités telles que l’amélioration de la performance du VVA par apport de données utilisateurs ou bien l’identification par données vocales reposeraient quant à elle plutôt sur un consentement libre, éclairé et univoque de l’utilisateur.

Il est recommandé que l’utilisateur soit informé de chaque finalité du traitement de ses données personnelles ce qui implique que lors d’un éventuel consentement, l’utilisateur puisse accepter ou refuser séparément chaque finalité associée.

Cas des données dites particulières :

Certaines solutions VVA peuvent traiter des données de santé (ex : application cycle d’ovulation par commande vocale) mais également des données biométriques (Authentification par reconnaissance vocale). L’empreinte vocale de l’utilisateur lors d’une identification biométrique vocale nécessite un comparatif avec d’autres voix de personnes environnantes non informées. Ce qui oblige les fournisseurs à mettre en œuvre des systèmes d’identification extrêmement précis permettant ainsi d’associer la donnée vocale à la bonne personne sans risque de confusion.

Le CEPD recommande également que toutes les opérations liées à la création, au stockage et à l'utilisation de ces modèles vocaux doivent se produire localement, sur l'appareil de l'utilisateur, et ne doivent pas être effectuées sur des serveurs distants ou sur Internet. Par ailleurs l’application de norme telle que la norme ISO 24 745 sur la protection des informations biométriques est fortement recommandée.

L'objectif principal de cette recommandation est de renforcer la confidentialité et la sécurité des données vocales afin de minimiser les risques liés à la divulgation non autorisée des données vocales.

Obligation du respect du principe de minimisation des données

Les VVA collectent un très grand volume de données personnelles, il est nécessaire que chaque finalité soit analysée afin de déterminer les durées de conservation desdites données. À l’issue de l’exécution d’une commande exécutée, si une base juridique n’impose pas de durée de conservation spécifique, les données personnelles traitées devraient être immédiatement effacées ou anonymisées.

Selon le principe de privacy by default, les concepteurs de VVA devraient intégrer dans leur paramétrage dès la conception un stockage minimum de données mais également des systèmes de suppression automatiques de données captées. Ce principe est notamment primordial en raison d’un grand nombre de données collectées notamment des informations contextuelles de fond audibles mais non utile pour la finalité poursuivie telle qu’une localisation par exemple.

Obligation de sécuriser les données personnelles

L’écosystème des VVA (multi-utilisateurs) et la voix (par sa portée) sont des facteurs augmentant le risque pour la sécurité des données tant sur la confidentialité que l’intégrité ou la disponibilité.

Il est donc essentiel que les moyens d’authentification des utilisateurs aux VVA soient adaptés en prenant en compte, non seulement, le fait que plusieurs personnes peuvent être utilisateurs au sein d’un même espace, que d’autres services peuvent y être connectés mais également, le fait que la voix ne permette pas une authentification secrète et confidentielle dans un tel contexte. Il appartiendra aux concepteurs d’adapter leurs technologies d’authentification aux différentes vulnérabilités auxquelles les VVA sont exposées.

VVA et respect des droits des utilisateurs

Conformément au RGPD, chaque responsable de traitement doit informer les personnes concernées et respecter les droits qui leur en sont conférés. Par conséquent, les concepteurs et développeurs devraient mettre en place des systèmes permettant aux utilisateurs une maîtrise permanente de leurs données que ce soit en ce qui concerne l’accès, la rectification, la portabilité ou bien même l’effacement. Les demandes d’exercice de droit pourraient, au regard du contexte des VVA, prendre la forme d’une simple démarche vocale confirmée par l’utilisateur. Les réponses apportées doivent néanmoins être tout aussi accessibles, claires et compréhensibles.

En conclusion

Les lignes directrices du Comité européen de protection des données sur les assistants vocaux sont une réponse essentielle aux préoccupations croissantes concernant la protection de la vie privée et des données personnelles des utilisateurs. Ces directives sont nécessaires en raison de l'intégration croissante des assistants vocaux dans nos vies, de la complexité technique de ces systèmes et des exigences établies par le Règlement général sur la protection des données. La complexité technique des assistants vocaux exige une meilleure compréhension de la manière dont les données sont collectées, utilisées et téléchargées, et les lignes directrices du CEPD apportent cet éclairage et de riches recommandations. Elles visent à garantir la transparence, le consentement éclairé et le respect des droits des utilisateurs, tout en encourageant l'innovation technologique dans le domaine des assistants vocaux. Par ailleurs, la CNIL a publié en septembre 2020 un livret blanc intitulé « A votre écoute » ayant pour objectif d’accompagner les différents acteurs à mieux comprendre les enjeux techniques et ethniques mais également à fournir via des fiches pratiques des recommandations tant pour les professionnels que pour les utilisateurs.