Assistants vocaux à l’attention des enfants : quels risques pour la vie privée des utilisateurs ?
« Les utilisateurs sont pour deux tiers environ à déclarer craindre pour la confidentialité de leurs données personnelles (62 %) et à estimer que les enceintes connectées constituent une menace pour leur vie privée (61 %) »[1]

Le 7 septembre dernier, la CNIL publiait son Livre Blanc sur les assistants vocaux[2], ayant pour objectif d’alerter tant les utilisateurs que les professionnels à l’origine de ces produits sur leurs dangers au quotidien et déterminer une liste de bonnes pratiques permettant de limiter les risques.
Si les assistants vocaux sont aujourd’hui très présents au sein de nos foyers, voitures, ou encore smartphones, les enfants, très demandeurs de ces produits qui permettent un accès rapide à un panel de service très divers de manière simplifiée, constituent également une cible importante. Néanmoins, les produits proposés à leur attention ne sont pas toujours adaptés à leur âge, et peuvent être sources d’atteintes à leur vie privée s’ils n’offrent pas de garanties de sécurité suffisantes lors du traitement de données à caractère personnel. Le RGPD considère notamment que « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel »[3].
Les premières technologies vocales des années 70 ont connu une évolution considérable jusqu’à nos assistants vocaux actuels, mais l’utilisation par la voix demeure leur caractéristique principale. Ainsi, la CNIL définit un assistant vocal comme étant « une application logicielle offrant des capacités de dialogue oral avec un utilisateur en langage naturel » c’est-à-dire disposant d’une sémantique propre au langage humain, par opposition au langage dit « formel », disposant quant à lui d’une sémantique fixée afin de ne pas être ambiguë, en vue du développement d’un programme informatique.
La voix est donc au cœur de l’utilisation des assistants vocaux. Or, si ces derniers sont dotés de technologies d’intelligence artificielle permettant de répondre aux différentes requêtes formulées par leur utilisateur, celle-ci reste tout de même limitée car il ne s’agit pas d’une intelligence artificielle autonome dite « forte ». Il appartient alors à l’utilisateur de s’adapter au niveau de compréhension de l’assistant vocal, en formulant notamment des phrases courtes et facilement compréhensibles par l’appareil.
En effet, l’assistant vocal est en permanence en écoute, toutefois il ne déclenche une écoute dite « active » que lorsqu’une action physique est effectuée ou le plus souvent lorsque le mot-clé préalablement configuré est prononcé : « ce n’est que lorsque le mot-clé a été reconnu que les enregistrements audio sont traités pour interprétation et exécution de la commande, ce qui se traduit dans de nombreux cas par un envoi à des serveurs distants via Internet »[4]. Cependant, il existe une marge d’erreur : il arrive que l’appareil ne détecte pas le mot-clé alors que celui-ci a effectivement été prononcé (faut rejet), ou à l’inverse que l’assistant vocal déclenche l’enregistrement permettant le traitement de la requête alors que le mot-clé n’a pas été prononcé par l’utilisateur (fausse acceptation).
« 53 % des utilisateurs réguliers notent en effet qu’il arrive aux enceintes connectées de « se déclencher » toutes seules, sans qu’ils les aient sollicitées »[5]
Il convient alors de déterminer un seuil raisonnable entre ces deux valeurs, afin de garantir une expérience d’utilisation optimale de l’assistant vocal, sans pour autant porter atteinte à la sécurité des données personnelles traitées à cette occasion. Dans ce cadre, il est notamment important de respect le principe de minimisation des données, qui suppose que « les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »[6].
Ainsi, cette procédure est par exemple applicable aux appareils de la marque Apple : « pour reconnaître « Dis Siri », nous traitons les données audio uniquement sur votre appareil, en les soumettant à de multiples phases d’analyse, afin de déterminer si les mots prononcés correspondent à « Dis Siri ». Ce n’est que lorsque l’appareil reconnaît « Dis Siri » que vos données audio sont transmises au serveur ».
« 69 % des enfants entre 8 et 14 ans qui y ont accès dans leur foyer l’utilisent pour écouter de la musique, plus de la moitié « blaguent » avec l’enceinte (56 %) et 44 % l’utilisent pour les devoirs »[7]
Se pose alors la question de l’utilisation par les enfants de telles technologies vocales. En effet, une mauvaise prononciation du mot clé pourrait augmenter le risque d’erreur de détection de la part de l’assistant vocal. Or, une fausse acceptation peut être à l’origine de la transmission au serveur externe de la conversation enregistrée, ce qui pourrait augmenter le risque inhérent au traitement de données personnelles, notamment sensibles, non souhaitées qui pourraient être divulguées à cette occasion. Ainsi, l’utilisation de ce type de produits par des enfants pourrait les rendre davantage intrusifs.
Nous pouvons également évoquer en parallèle la problématique du transfert de données hors Union Européenne. En principe, toute détection du mot clé préalablement configuré pour l’assistant vocal a pour conséquence l’enregistrement et le transfert de la conversation de l’utilisateur vers des serveurs externes. Or, les GAFAM sont à l’origine d’un grand nombre de ces produits, ce qui suppose un transfert important de données à caractère personnel vers des serveurs situés aux États-Unis, dans un contexte où de telles opérations sont compromises du fait de l’invalidation de l’accord international « Privacy Shield » en juillet dernier par la CJUE[8]. Ces sociétés ont donc dû réagir et se mettre en conformité avec ladite décision, en fondant notamment leurs traitements sur les clauses contractuelles types de la Commission Européenne qui ont été validées à cette occasion. Or, cette modification n’a pourtant pas été effectuée par certaines d’entre elles, qui continuent aujourd’hui de se prévaloir du Privacy Shield malgré son invalidation rendant ces transferts de données illégaux, ou invoquent lesdites clauses contractuelles types sans pour autant justifier de garantie de sécurité suffisante, ce qui constitue pourtant une condition substantielle de ce mécanisme.
De ce fait, une détection erronée de la part de l’assistant vocal, du fait d’une mauvaise prononciation du mot clé de la part de l’enfant, pourrait être à l’origine d’un transfert important de données à caractère personnel vers des serveurs externes situés aux États-Unis, traitements qui de surcroit ne répondraient pas toujours aux exigences de sécurité imposées par le RGPD. La multiplication de données personnelles traitées à cette occasion pourrait donc avoir de graves conséquences quant à la vie privée des utilisateurs de ces produits.
Certaines sociétés telles que Amazon ont donc créé des enceintes connectées à l’attention exclusive des enfants, avec un design plus ludique, et des services adaptés à leur jeune âge. Ainsi, l’assistant vocal « Amazon Echo dot Kids » peut par exemple lire des histoires, raconter des blagues ou encore répondre à des questions de culture générale posées par l’enfant.
Toutefois, ce produit, commercialisé le 9 mai 2018 aux États-Unis à ce jour non disponible en France, a fait l’objet le 9 mai 2019 d’une plainte[9] formulée par une vingtaine de groupes de défense des enfants et de la vie privée déposée auprès de la Commission Fédérale du Commerce, sur le fondement de la loi « COPPA » (Children's Online Privacy Protection Act)[10]. Aussi, les problématiques de durée de conservation et de suppression des données personnelles collectées par l’assistant vocal ont notamment été évoquées : selon ladite plainte, la société Amazon conserverait de manière indéfinie les données à caractère personnel, et la procédure de suppression ne serait pas suffisamment explicite pour les enfants utilisateurs de ce produit. A ce sujet, la rubrique du site internet de cette société intitulée « Alexa, appareils Echo et vos informations personnelles »[11] énonce que lors de la suppression des enregistrements vocaux par l’utilisateur associés à son compte, les enregistrements vocaux et les transcriptions textuelles de sa demande sont supprimées. Cependant, il est en outre précisé que d’autres enregistrements des interactions de l’utilisateur avec Alexa peuvent être conservés, y compris les enregistrements d’actions qu'Alexa a prises en réponse aux requêtes formulées, ce qui peut être constitutif d’indices considérables relatifs à la requête initiale.
Par ailleurs, la question d’un consentement licite au regard de la législation précitée constitue également l’un des éléments principaux décrits dans la plainte, car « la règle de la Commission mettant en œuvre la COPPA, en vigueur depuis avril 2000, oblige les sites Web (…) à informer directement les parents de leurs pratiques de collecte d'informations et à obtenir un consentement parental vérifiable avant de collecter des informations personnelles sur leurs enfants [individu âgé de moins de 13 ans] ou de les partager avec d'autres ». Or, cet assistant vocal ne vérifierait pas la source du consentement recueilli lors de l’utilisation : rien ne permettrait d’établir qu’il s’agirait effectivement d’un consentement parental. Cette allégation a été démentie par la société Amazon qui considère que ce système de contrôle parental est tout à fait conforme à la loi COPPA[12].
Pour rappel, la règlementation française prévoit quant à elle que « lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur »[13].
« Les jeux prennent également une part importante dans l’utilisation des enceintes »
Pour pallier aux problématiques de mauvaises détection du mot-clé configuré de la part des assistants vocaux, la société Amazon a également imaginé un nouveau type de produit en association avec la société KidKrafts : un jeu de cuisine et marché relié à l’enceinte connectée Alexa[14]. Cependant, afin d’éviter les prononciations hasardeuses d’enfant du mot-clé pouvant augmenter les risques de mauvaise détection, ce produit ne prévoit non pas une activation vocale, mais physique : les différents éléments composant le jouet comprendraient des capteurs que l’enceinte connectée pourrait détecter, afin d’interagir avec l’enfant au gré de son utilisation. Ainsi, l’objectif serait de limiter les risques d’atteintes à la vie privée des utilisateurs, en créant un produit davantage adapté à ce public.
Or, la CNIL a pu précédemment démontrer que les jouets dits « connectés »[15], ne présentaient pas toujours des garanties de sécurité suffisantes au regard des données à caractère personnel traitées, pouvant entrainer des atteintes graves à la vie privée des utilisateurs[16]. En effet, elle a pu démontrer qu’un jouet pouvant interagir vocalement avec un enfant peut par exemple faire l’objet de piratage de la part d’individus malveillants, pouvant porter atteinte aux droits et libertés fondamentaux des utilisateurs de l’appareil. Ladite institution a donc déterminé une liste de bonnes pratiques de sécurisation de ces produits[17], à l’attention des utilisateurs mais également des concepteurs de ces jouets connectés sur le fondement des principes de Privacy by Design et by default permettant « la prise en compte de la protection des données dès la conception du service ou du produit et par défaut »[18].
[1] Etude HADOPI et CSA « Assistants vocaux et enceintes connectées : l’impact de la voix sur l’offre et les usages culturels et médias », Mai 2019, page 45 https://www.csa.fr/Informer/Collections-du-CSA/Thema-Toutes-les-etudes-realisees-ou-co-realisees-par-le-CSA-sur-des-themes-specifiques/Les-etudes-corealisees-avec-le-CSA/Etude-HADOPI-CSA-Assistants-vocaux-et-enceintes-connectees [2] CNIL, Livre Blanc « Exploration des enjeux éthiques, techniques et juridiques des assistants vocaux » https://www.cnil.fr/sites/default/files/atoms/files/cnil_livre-blanc-assistants-vocaux.pdf [3] Considérant 38 du RGPD https://www.cnil.fr/fr/reglement-europeen-protection-donnees [4] CNIL, Livre Blanc « Exploration des enjeux éthiques, techniques et juridiques des assistants vocaux », page 32 https://www.cnil.fr/sites/default/files/atoms/files/cnil_livre-blanc-assistants-vocaux.pdf [5] Etude HADOPI et CSA « ASSISTANTS VOCAUX ET ENCEINTES CONNECTÉES : l’impact de la voix sur l’offre et les usages culturels et médias », Mai 2019, page 45 https://www.csa.fr/Informer/Collections-du-CSA/Thema-Toutes-les-etudes-realisees-ou-co-realisees-par-le-CSA-sur-des-themes-specifiques/Les-etudes-corealisees-avec-le-CSA/Etude-HADOPI-CSA-Assistants-vocaux-et-enceintes-connectees [6] https://www.cnil.fr/fr/definition/minimisation [7] Etude HADOPI et CSA « ASSISTANTS VOCAUX ET ENCEINTES CONNECTÉES : l’impact de la voix sur l’offre et les usages culturels et médias », Mai 2019, page 42 https://www.csa.fr/Informer/Collections-du-CSA/Thema-Toutes-les-etudes-realisees-ou-co-realisees-par-le-CSA-sur-des-themes-specifiques/Les-etudes-corealisees-avec-le-CSA/Etude-HADOPI-CSA-Assistants-vocaux-et-enceintes-connectees [8] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf [9] https://www.echokidsprivacy.com/ [10] https://www.ftc.gov/sites/default/files/documents/rules/children’s-online-privacy-protection-rule-coppa/coppasurvey.pdf [11] https://www.amazon.fr/gp/help/customer/display.html?nodeId=GA7E98TJFEJLYSFR [12] https://www.theverge.com/2019/5/9/18550425/amazon-echo-dot-kids-privacy-markey-blumenthal-ftc [13] Article 45 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés https://www.cnil.fr/fr/la-loi-informatique-et-libertes [14] https://www.lesnumeriques.com/assistant-domotique/kidkraft-un-jouet-pour-enfant-2-en-1-relie-a-amazon-alexa-n147487.html [15] « Les jouets connectés prennent la forme d’objets d’apparence anodine (poupées, robots, montres connectées, babyphones, consoles, etc.) qui collectent des informations et les envoient par ondes radio (Bluetooth, Wi-Fi) et sur Internet ». [16] [Infographie] Il était une fois l'ours connecté mal sécurisé https://www.cnil.fr/fr/infographie-il-etait-une-fois-lours-connecte-mal-securise [17] CNIL : Jouets connectés : quels conseils pour les sécuriser ? https://www.cnil.fr/fr/jouets-connectes-quels-conseils-pour-les-securiser [18] https://www.cnil.fr/fr/les-enjeux-pour-2018-1-accompagner-les-professionnels-dans-leur-transition-au-reglement-jusquau-25
réf. : BENNICHE (M.), "Assistants vocaux à l’attention des enfants : quels risques pour la vie privée des utilisateurs ?'", Doctrin'Actu octobre 2020, art. 144