AccueilDroitActualité du droitVoix et machine, une interaction surveillée par le droit

Voix et machine, une interaction surveillée par le droit

La possibilité d'interagir par la voix avec des interfaces numériques se normalise. La première version de Siri, l'application qui comprend les instructions verbales d'Apple, date déjà de 2012. Aujourd'hui, “Dis Siri” se mêle à “Ok Google”, “Hey Cortana” et “Alexa”.
Voix et machine, une interaction surveillée par le droit
@ DR

DroitActualité du droit Publié le ,

D'abord disponibles sur smartphones, ces assistants vocaux sont disponibles dans nos ordinateurs, appareils domestiques et enceintes connectées. Dans un rapport de mai 2019, la Hadopi et le CSA indiquaient qu'en février 2019[1], 1 internaute français sur 10 possédait au moins une enceinte connectée Google Home, Amazon Echo, ou Apple HomePod. L'intérêt de ce type de technologie se trouve dans la possibilité de les commander à distance - comme pour éteindre la lumière sans rien avoir à toucher - ou de poser des questions d'ordre général. Ce pouvoir donné à la voix lors d'interactions avec la machine donne lieu depuis peu à des utilisations pratiques variées. S'il n'est plus question d'écrire, d'appuyer sur un bouton ou d'effleurer un écran, il ne s'agit pas non plus de signer ou de scanner son iris pour se protéger.

Une première étape de ce lien entre voix et interface serait la reconnaissance automatique de la parole. Il s'agit d'une technologie qui permet d'analyser la voix humaine, captée par un micro, pour la retranscrire par la suite sous la forme d'un texte exploitable par une machine. Couplé à un logiciel de reconnaissance vocale, il est ensuite possible de donner des ordres à une interface à l'aide de messages vocaux, ce qu'on appelle la commande vocale. Les meilleurs exemples sont les assistants vocaux, comme Siri ou Alexa. L'efficacité de l'assistant vocal dépend alors grandement de la qualité de la technologie de reconnaissance vocale employée par son fabricant. Il est enfin possible de rajouter une grille de complexité dans l'usage de la voix. Le 27 avril 2017, la CNIL autorisait l'expérimentation de dispositifs biométriques de reconnaissance vocale par des établissements bancaires[2]. L'idée est de pouvoir utiliser sa voix comme mot de passe pour accéder, par exemple, à un compte bancaire ou effectuer des paiements. La voix compte de multiples caractéristiques qui sont propres à chaque individu, comme sa fréquence, ses inflexions et son rythme. Il s'agit donc d'un système d'identification utilisant des caractéristiques mesurables, comme cela existe déjà avec les empreintes digitales, la rétine ou la forme unique de notre visage.

La commande vocale et la biométrie vocale sont installées et faites pour rester. La voix est aujourd'hui un lien fort avec la machine, et qui n'est pas sans droit, ni sans risque.

CADRE LÉGAL EXISTANT

Existe-t-il un droit à la voix ?

La rencontre avec la technologie d'un attribut inhérent à l'être humain vient aujourd'hui réveiller l'adage selon lequel les paroles s'envolent et les écrits restent. La volatilité qui caractérise la voix fait-elle aujourd'hui l'objet d'une protection juridique ? A cet effet, rappelons qu'en France tous les individus sont dotés des droits de la personnalité qui protègent les intérêts moraux des personnes, le corps humain ainsi que les moyens de leur réalisation. La jurisprudence a considéré que le droit à l'image participait à la protection de l'intégrité morale et partant, entrait dans le spectre plus général du droit au respect de la vie privée. Mais quel lien entre droit à l'image et droit à la voix ? La notion de « droit à l'image » renvoie, à tort, au caractère visuel perçu par l'imaginaire collectif mais « l'image » va au delà et inclut toutes les représentations des traits de la personne. Ainsi, la voix a été considérée comme étant « un attribut de la personnalité, une sorte d'image sonore » par la jurisprudence[3]. Le droit à la voix existe donc bien pour les personnes physiques via le droit à l'image, mais qu'en est-il du processus de captation des données transmises par la voix ?

L'expérimentation bancaire pour mieux comprendre

Parmi l'expérimentation de dispositifs de reconnaissance vocale, le Crédit du Nord fait le pari de la biométrie vocale. « L'objectif de ce dispositif, résume la CNIL dans sa délibération précédemment citée, est de sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d'authentification plus confortable que la saisie d'un mot de passe ou la réponse à des questions dites ‘de sécurité' ». L'identification s'opère en quatre étapes : la vérification du numéro de téléphone de l'utilisateur, la saisie manuelle d'un identifiant et enfin la prononciation de la phrase de passe, à l'issue de laquelle l'enregistrement vocal est comparé avec celui stocké sur le serveur d'authentification. Le droit national[4] et européen[5] protège le traitement de la reconnaissance vocale sous le joug du consentement spécifique, libre et éclairé de l'utilisateur qui choisit d'y recourir. A cet effet, la banque permet à ses clients de revenir sur leurs choix d'authentification et de faire supprimer les données biométriques constituées, à tout moment et sans coûts. Souvent sujet à polémique, l'accès aux données personnelles est ici exclusivement réservé au personnel habilité. En outre, les données audio transmises par la biométrie vocale servent uniquement à constituer un gabarit - une suite numérique caractérisant l'élément biométrique - qui est ensuite chiffré et conservé, tandis que les données audio sont effacées. Par conséquent, les données propres à l'utilisateur ne servent que momentanément dans la création du gabarit, évitant ainsi d'avoir l'impression de « vendre » ses données personnelles, puisqu'elles ne sont plus directement exploitées et exposées à un risque de divulgation.

Focus sur le Règlement Général de Protection des Données

Le règlement général de protection des données (RGPD) l'affirme clairement : « l'ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante ». La reconnaissance vocale vient ajouter un canal considérable de captation des données. Il est donc utile de rappeler ce que cela implique. En vertu de l'article 2 du RGPD, le règlement s'applique au traitement de données à caractère personnel. En vertu de son article 4, est une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement notamment par référence à un identifiant, comme par exemple le nom, la localisation ou un élément physique. Or une fois entendue, la voix permet d'identifier un individu, en lui donnant un nom ou un visage. En écoutant bien, il est même possible de déceler des caractéristiques plus ou moins précises comme le sexe, l'âge ou l'accent. De ce fait, la voix est une donnée à caractère personnel concernée par le règlement, l'enregistrement étant une forme de traitement, tout comme la collecte, l'utilisation ou la consultation des données. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d'autrui, ce qui est le cas pour les fabricants d'enceintes connectées par exemple[6]. L'utilisateur doit alors être informé du but de la collecte des données, donner son consentement, pouvoir avoir accès à ses données et bénéficier du droit à l'effacement. Ces informations sont le plus souvent transmises lors de la lecture des conditions générales d'utilisation dans le cas des assistants vocaux et autres appareils connectés. Comme décrit précédemment, lorsque le traitement de données a pour but d'identifier les personnes de manière unique - ici par leur voix - il s'agit d'un traitement de données biométriques, dites
« données sensibles ». Le traitement de ces données sensibles est en principe interdit, sauf exceptions, en vertu de l'article 9 du RGPD. En reprenant le cas des expériences de biométrie dans le milieu bancaire, celles-ci devaient alors répondre à un certain nombre d'exigences imposés par la CNIL afin d'être menées. L'utilisateur devait notamment pouvoir librement choisir d'utiliser le dispositif biométrique ou non[7]. Il faut ajouter à cela que si les données biométriques attachées à la voix même sont des données sensibles, le sont également les données révélant notamment l'origine raciale, les convictions religieuses ou les opinions politiques, sujets de nombreuses discussions en France, et donc d'enregistrement.

L'HOMME ET LA MACHINE, DES RISQUES À DOUBLE SENS

Demain tous écoutés ?

En décembre 2017, une journaliste de San Francisco a tenté l'expérience de la smart-home (« maison connectée ») pendant deux mois[8]. Des éclairages à la brosse à dent, toute la maison était commandée par la voix de ses utilisateurs grâce à la présence d'assistants vocaux dans tous ses appareils. Cette immersion de la machine dans l'intimité d'un foyer montre que la maison intelligente devient un véritable outil d'espionnage, difficilement supportable pour l'humain. Le respect de la vie privée au sein d'une smart-home semble alors mis à mal, tant sur le consentement des utilisateurs, que sur la monétisation de l'intime qui en résulte.

Sans aller jusqu'à la smart-home, de plus en plus d'objets du quotidien comportent des assistants vocaux, et parfois même à l'insu des utilisateurs. N'en déplaise aux GAFAM qui les développent, le consentement des utilisateurs n'est pas toujours établi. En principe, l'assistant vocal ne peut être actif que lorsque l'utilisateur le “réveille” à l'aide d'un mot-clé, du type “Ok Google”, mais demeure en veille permanente. Pour se prémunir contre le risque d'écoute constante, la CNIL recommande d'opter pour des appareils ayant une option de désactivation du microphone, de débrancher l'appareil et de prévenir les tiers de la présence de ces appareils. Avec cette fragilisation du consentement, il ne s'agit plus du consentement personnel de l'utilisateur, mais de celui de toutes les personnes en contact avec l'objet connecté qui ne souhaitent peut être pas que leurs conversations fassent l'objet d'une écoute. Se pose enfin la question du traitement des données enregistrées. Placés au cœur de la vie du foyer, les assistants vocaux permettent à leurs créateurs de mieux cibler leur stratégie marketing. Peut-on dire que les assistants vocaux ouvrent la porte à la monétisation de l'intime ? Rien n'est moins sûr. La meilleure solution reste alors la précaution et un usage raisonnable de ces appareils aussi révolutionnaires qu'intrusifs.

Les risques venant des utilisateurs

S'il n'est pas – pour l'instant - possible de voler notre voix naturelle, il est néanmoins possible de la reproduire. Les conséquences peuvent alors être très graves, particulièrement dans le cas de la biométrie vocale. Que se passe-t-il si nous parvenons à utiliser un enregistrement de la voix d'un individu pour le rejouer à l'interface afin d'avoir accès aux comptes bancaires par exemple ? Selon les experts, les technologies sont aujourd'hui assez fines pour pouvoir différencier une voix naturelle d'une voix enregistrée, ainsi que les imitations. De plus, la technologie d'origine permettant de cloner des voix ne parvient pas encore à le faire de manière aussi efficace. Néanmoins, les questions d'usurpation d'identité et de fraude sont déjà là. Leurrée par une voix synthétique, une entreprise britannique s'est fait dérober 220 000 euros en mars 2019. L'interlocuteur qui demandait le transfert en se faisant passer pour le dirigeant était en fait un deepfake, un trucage numérique réalisé à l'aide d'une intelligence artificielle[9].

Dans la juste continuité de l'évolution des outils numériques, Google annonçait en 2018 la venue d'un nouvel assistant, Duplex[10]. Également commandé par la voix, Duplex a toutefois la particularité de sortir de la relation binaire propriétaire/machine. Cette nouvelle technologie est capable d'effectuer seule des réservations sur commande, en vérifiant notre agenda et en appelant, par exemple, un restaurant pour avoir une table. Disponible de manière très limitée en France, Duplex est aussi concerné par le cadre réglementaire applicable aux assistants vocaux. Il n'est néanmoins plus question d'une interaction privée mais d'une interaction par intermédiaire, qui selon les témoins, semble plus vraie que nature. Une machine pourrait alors, hypothétiquement, se faire passer pour nous. En attendant, pour les plus méfiants qui souhaitent tout de même bénéficier des avantages des assistants vocaux, des ingénieurs de l'Université de Chicago ont récemment créé un prototype de bracelet anti-espionnage projetant des ultrasons afin de brouiller les écoutes[11]. Plus simple et radical encore, il est toujours possible de débrancher l'appareil lorsque vous ne souhaitez pas être écouté, manuellement.

[1] Hadopi et CSA - Assistant vocaux et enceintes connectées, l'impact de la voix sur l'offre et les usages culturels et médias – mai 2019

[2] CNIL – Délibération n°2017-133 du 27 avril 2017 autorisant le Crédit du Nord à mettre en œuvre à titre expérimental un système d'authentification de ses clients par reconnaissance vocale – Demande d'autorisation n°1924353

[3] TGI de Paris, 19 mai 1982

[4] Article 5 - Loi n°78-17 du 6 janvier 1978

[5] Article 4 (11) – Règlement UE 2016/679 du 27 avril 2016

[6] https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

[7] « Biométrie à disposition de particuliers : quels sont les principes à respecter ? » - CNIL – 10 avril 2018

[8] The House that Spied on Me”, Surya Mattu et Kashmir Hill, Gizmodo, 2018, https://gizmodo.com/the-house-that-spied-on-me-1822429852

[9] « Deepfake » : dupée par une voix synthétique, une entreprise se fait dérober 220 000 euros, Moragne Tual, Le Monde, 6 septembre 2019

[10] Nouveau Monde. Google Duplex : derrière l'assistant vocal, des créateurs de personnalité, Jérôme Colobaim, FranceInfo, 3 juillet 2018

[11] https://www.cs.uchicago.edu/news/article/new-york-times-features-uchicago-cs-wearable-jammer-project/

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
L'EDHEC Business School dispose de deux atouts pour contribuer aux réflexions sur ces sujets. D'une part, son centre de recherche LegalEdhec, dont les travaux – reconnus – à l'intersection entre le droit et la stratégie, et portant sur le management des risques juridiques et la performance juridique, l'amènent aujourd'hui à lancer son nouveau projet A3L (Advanced Law, Lawyers and Lawyering). D'autre part, ses étudiants, et en particulier ceux de sa Filière Business Law and Management (en partenariat avec la Faculté de droit de l'Université Catholique de Lille) et de son LLM Law & Tax Management, dont la formation et les objectifs professionnels les placent au cœur de ces enjeux du digital.

Partager :
Abonnez-vous
  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 05 août 2022

Journal du05 août 2022

Journal du 29 juillet 2022

Journal du29 juillet 2022

Journal du 22 juillet 2022

Journal du22 juillet 2022

Journal du 15 juillet 2022

Journal du15 juillet 2022

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?