La Cnil publie un guide de bonnes pratiques pour les assistants vocaux
La Cnil vient de publier un guide sur les assistants vocaux. L'objectif est d'éclairer les débats juridiques posés par cette technologie mais également de rappeler les principes juridiques applicables. Considérée comme le traitement d'une donnée personnelle, l'utilisation de la voix doit en effet respecter toutes les règles issues du RGPD.
La Commission nationale de l'informatique et des libertés (Cnil) publie son livre blanc sur les assistants vocaux, à destination des professionnels et des particuliers. Cette technologie soulève de nombreuses problématiques juridiques en matière de protection de la vie privée. Car la voix est considérée comme une donnée personnelle et à ce titre son utilisation est strictement encadrée par le Règlement général sur la protection des données (RGPD).
Les assistants vocaux sont peu utilisés
A l'été 2019, 16 à 20 millions de Français utilisaient un assistant vocal sur leur smartphone et 1,7 million via une enceinte connectée. Dans le monde, le cabinet de conseil Roland Berger estime à 3 milliards le nombre d’assistants vocaux, tout support confondu, et estime leur nombre à 8 milliards en 2023. "Ces chiffres pourraient encore augmenter grâce à l’intégration toujours accrue de ces assistants dans des objets du quotidien, à commencer par la voiture connectée", note la Cnil.
Mais, en réalité, les assistants vocaux sont peu utilisés. D’après le Baromètre du Laboratoire d'innovation numérique de la Cnil, en 2019, seuls 33% des internautes français ont utilisé un assistant vocal sur les 12 derniers mois. Le premier usage concerne "la demande de la météo" (78%), suivi de la recherche d'information (73%) puis de l'écoute musicale via une plateforme gratuite (65%).
Ce faible engouement est dû à deux principaux facteurs : le sentiment d'inutilité de ce dispositif mais également des craintes quant à la protection des données personnelles. En d'autres termes, les concepteurs, développeurs et intégrateurs ont tout intérêt à conduire une politique stricte sur la protection de la vie privée. Espérant les aider, la Cnil rappelle que la mise en conformité se déroule en 4 étapes : définir le traitement, son responsable et sa base légale, choisir les données collectées et les durées de conservation, informer les personnes et garantir leurs droits, et enfin protéger et sécuriser.
L'utilisation d'une application bancaire via un assistant vocal
Pour illustrer ses propos, la Cnil prend un cas concret : l'utilisation d'une application bancaire via un assistant vocal. Dans ce cas, deux acteurs interviennent dans le traitement des données personnelles : le concepteur de l'assistant et le développeur de l'application bancaire.
La banque est le responsable de traitement concernant la fourniture du service puisqu’elle détermine les finalités et les moyens essentiels du traitement liés à l’application permettant d’interagir avec l’assistant. En effet, elle propose une application dédiée qui permet à l’utilisateur, client de l’établissement bancaire, de gérer ses comptes à distance. En outre, elle décide des moyens du traitement même si le sous-traitant, le concepteur de l’assistant, joue un rôle important dans la détermination de ces moyens. À titre d’exemple, il peut opérer la plateforme de développement permettant d’intégrer des applications tierces à l’assistant.
La relation entre le sous-traitant (le concepteur de l’assistant vocal) et l’éditeur de l’application n’est donc pas anodine. En effet, le sous-traitant doit indiquer avec précision dans le contrat les garanties qu’il met en œuvre. De son côté, la banque doit supprimer les données – telles que les transcriptions textuelles – une fois qu’elle a répondu à la demande de l’utilisateur, sauf si elle démontre la nécessité de les conserver pour fournir le service ou pour répondre à une obligation légale.
De la même manière, le concepteur de l’assistant devra supprimer les réponses fournies par la banque dès lors qu’elles auront été communiquées à l’utilisateur. Cela doit être effectué indépendamment du fait que l’utilisateur supprime ou non son historique d’activités depuis les paramètres de son compte.
trois principes pour inspirer la confiance
Plus largement, l'autorité chargée de la protection de la vie privée rappellent les bons réflexes à adopter dans une démarche de "privacy by design", visant à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la protection de la vie privée dès la conception du projet. Afin d’instaurer la confiance nécessaire à l’adhésion des utilisateurs aux dispositifs équipés d’assistants vocaux, la Cnil dégage trois principes cardinaux.
Le premier est d'entretenir "les frictions désirables". "Plutôt que de se concentrer sur la mise en œuvre d’une expérience utilisateur absolument sans couture, profiter des moments de frictions pour présenter la réalité des traitements de données aux utilisateurs de manière adaptée", conseille l'autorité.
Le deuxième est de privilégier "le local au distant", c'est-à-dire de mettre en œuvre des modalités et capacités de traitement des données directement dans les dispositifs, ce qui confère à l’utilisateur une bonne maîtrise de celles-ci et constitue un facteur de confiance et d’acceptabilité.
Le troisième est de permettre à l’utilisateur de comprendre et maîtriser les usages qui sont faits de ses données et de paramétrer le fonctionnement du dispositif selon ses choix.
SUR LE MÊME SUJET
La Cnil publie un guide de bonnes pratiques pour les assistants vocaux
Tous les champs sont obligatoires
0Commentaire
Réagir