Est-ce que nos téléphones nous écoutent pour nous envoyer des publicités ciblées ? Cette suspicion, largement partagée par les utilisateurs de smartphones, est cependant infondée. Si les smartphones ne nous écoutent pas directement, les applications qui y sont installées sont potentiellement de véritables chasseuses en quête de nos données personnelles pour affiner notre profil commercial, parfois au point de donner l’impression d’être écouté. Bien que des interrogations se posent dans le cas des enceintes connectées et autres assistants vocaux, la législation européenne interdit la collecte de données personnelles sans le consentement des utilisateurs.
C’est une histoire banale pour tous les propriétaires de smartphones : voir apparaître sur son écran une publicité ciblée pour un produit, juste après avoir parlé de ce même produit quand son GSM se trouvait dans la même pièce.
Le phénomène n’est pas récent et s’amplifie avec l’apparition de nouveaux objets numériques et connectés, tels que les assistants vocaux.
Cet utilisateur d’une borne connectée raconte son expérience sur Twitter :
Comme beaucoup d’autres usagers (ici, là ou là), celui-ci se pose cette question : est-on écouté par son smartphone ou enceinte connectée à des fins publicitaires, ou est-ce juste une coïncidence ?
La réponse n’est ni l’un ni l’autre. D’abord, votre téléphone ou enceinte connectée ne vous écoute pas directement. Et si vous voyez une publicité ciblée, ce n’est pas non plus le fruit du hasard.
L’impression d’être écouté
“A priori, il n’existe pas d’indications concrètes qui pourraient montrer qu’un téléphone ‘nous écoute’“, explique Aurélie Waeterinckx, porte-parole de l’Autorité de Protection des Données (APD) en Belgique.
En revanche, ajoute cette dernière, “plusieurs facteurs peuvent favoriser l’impression que le GSM ‘a écouté’ les personnes et leur a ensuite envoyé une publicité sur base de leur conversation. Nous laissons partout des traces derrière nous, des ‘données personnelles’ qui agrégées peuvent donner une idée parfois très précise de nos intérêts. C’est sur ce profil que vous recevez des publicités sur mesure quand vous surfez sur internet“.
Cette publicité qui apparaît sur votre écran n’est donc que “le résultat d’une récolte intensive de données des utilisateurs par une myriade d’applications installées sur votre téléphone” répond Fabrice Epelboin, spécialiste des médias sociaux.
Les différentes voies d’accès à nos données personnelles
Comment cette récolte de données s’opère-t-elle ? Le téléphone en soi ne décide pas de vous écouter, ce sont les applications que vous avez téléchargées dessus qui le font via un ensemble de logiciels.
“Par exemple, si vous installez une application mobile qui a une fonction de dictaphone, elle va donc devoir accéder à votre microphone“, ajoute Fabrice Epelboin. Le microphone n’est donc qu’un des multiples outils du téléphone à disposition des applications pour collecter des données personnelles de leur utilisateur.
Outre le microphone, les voies d’accès aux données personnelles sont aussi multiples que la variété et la quantité des données collectées sont grandes : partage de l’historique de navigation, accès à la caméra, à sa géolocalisation, etc.
C’est aussi grâce aux cookies, “ces petits fichiers textes“, que différentes “solutions marketing” (telles que Google Analytics) récoltent des données personnelles, explique Youssef Jlidi, consultant en transformation numérique, dans son ouvrage “Google Analytics. Analysez votre trafic pour booster vos actions marketing”.
Google Analytics, le service d’exploitation des données de la société américaine Google, est un outil de mesures des audiences sur le Web et il est utilisé par un grand nombre de gestionnaires de sites.
Il permet notamment, la collecte et l’analyse des données sur ses visiteurs (par exemple : sites de provenance, âge moyen, centres d’intérêt, support utilisé…). Au 20 juin 2022, cet outil serait utilisé par 55,7% de l’ensemble des sites web, selon une étude.
Le marché des données
A quoi sert cette récolte de données ? Tandis que les applications gardent dans une base de données les informations sur leurs utilisateurs qui les intéressent (par exemple des enregistrements vocaux), elles peuvent aussi en revendre certaines sur un “gigantesque marché de données ou Cloud“, selon les termes de Fabrice Epelboin.
Là, elles sont achetées par des régies publicitaires ou des courtiers en données – appelés “data brokers” dans le jargon – puis traitées par un algorithme qui va alors permettre de déterminer le profil commercial de chaque internaute et d’affiner les campagnes publicitaires à leur égard.
“En regroupant les personnes aux profils similaires, cet algorithme va alors estimer que cette personne est sensible à tel ou tel produit” ajoute le spécialiste des médias sociaux. La sensation d’avoir pu être écouté lorsque la publicité ciblée apparaît sur son écran peut être alors déroutante.
S’ils vous écoutent, c’est de votre “plein gré”
Comment ce marché des données est-il régulé ? Dans la foulée du scandale Cambridge Analytica, du nom de ce “courtier en données” qui opérait comme intermédiaire pour Facebook, la Commission européenne a adopté un nouveau cadre légal – le Règlement général sur la protection des données (RGPD) – sur le traitement des données personnelles en Europe et le consentement de la personne concernée.
Depuis le 25 mai 2018, si la collecte de données personnelles est autorisée en Europe, celle-ci n’est possible que si l’utilisateur l’a accepté. “Il est impossible que la collecte de données se fasse à l’insu du consommateur si l’on respecte le RGPD“, indique Aurélie Waeterinckx de l’APD.
Concrètement, cette mise en conformité s’est traduite notamment par la mise en place de fenêtres contextuelles de consentement aux cookies dès que l’on accède à un site web.
Quant aux applications, les utilisateurs doivent désormais donner leur autorisation pour que celles-ci puissent accéder à leurs photos, leur position ou leur microphone. Pour se faire, les systèmes d’exploitation (tels qu’Apple et plus récemment Android) demandent automatiquement l’autorisation d’accéder à ces fonctionnalités dès la première utilisation, mais informent également lorsque celles-ci sont en cours d’utilisation via des voyants, comme c’est le cas pour iOS14.
Comme l’impose le RGPD, “le consommateur doit pouvoir comprendre lorsqu’il achète un appareil connecté/un système connecté pour sa maison quelles données sont collectées par ce système, comment elles sont utilisées, comment elles sont stockées, si elles sont transférées à des organisations tierces, et/ou dans un pays dit ‘tiers’ (à savoir un pays hors de la zone UE où les données sont protégées par le RGPD)” souligne Aurélie Waeterinckx de l’APD.
L’ensemble des informations relatives au traitement des données personnelles est précisé dans les Conditions Générales de Vente, à l’image de celles de l’enceinte connectée d’Amazon Alexa, que le client est en droit de consentir ou pas.
Quel contrôle pour protéger les données ?
Pour s’assurer du respect de la protection des données personnelles en Europe, chaque Etat membre est doté d’une instance compétente – l’APD pour la Belgique – chargé des pouvoirs d’enquête.
“Sachant que c’est l’Etat membre dans lequel l’entreprise a son siège d’exploitation européen qui est compétent pour démarrer une enquête, l’Irlande qui est souvent choisie par les multinationales américaines, est le pays qui en comptabilise le plus“ souligne Antoine Delforge, chercheur au Centre de recherche information droit et société (CRIDS) à l’Université de Namur. En effet, son autorité de protection de la vie privée a reçu près de 400 plaintes à ce titre en trois ans, soit plus de 20% du total des plaintes des Etats membres de l’Union européenne.
“Toutefois, les autorités nationales qui contrôlent n’ont pas les moyens financiers de faire toutes ces enquêtes-là, ce sont des procédures très longues et qui demandes une technicité certaine” ajoute Antoine Delforge.
Dans tous les cas, si une infraction est constatée, “les sanctions sont relativement dissuasives” indique Antoine Delforge qui précise que le montant de l’amende peut ainsi “aller jusqu’à 20 millions d’euros pour les petits acteurs, et pour les plus gros, jusqu’à 4% de son chiffre d’affaires mondial“.
En Belgique, ce sont les lois du 3 décembre 2017 et du 30 juillet 2018 – “cette dernière étant en cours de révision sur certains points” indique Antoine Delforge – qui complètent les dispositions du droit européen.
Un consentement à géométrie variable
Bien que la transparence soit l’un des principes du RGPD, le consentement à l’utilisation des données personnelles n’est pas toujours clair. “La plupart du temps, explique Antoine Delforge, les gens acceptent la collecte de leurs données d’une manière plus ou moins consciente ce qui pose un problème. Les applications ou sites internet ne respectent pas clairement la législation européenne en ce qu’il ne doit pas seulement y avoir un consentement mais il doit s’agir d’un vrai consentement relativement accessible. Dans certains cas, ces derniers demandent l’autorisation d’accéder aux enregistrements vocaux afin d’améliorer leur service, ce qui n’indique pas clairement quel usage en sera fait a posteriori“.
Les termes et conditions sont ainsi rarement lus par les utilisateurs et le cas échéant, elles ne sont pas suffisamment précises sur l’usage qui sera fait des données collectées.
C’est ce qu’ont conclu des chercheurs de l’université de Northeastern à propos des pratiques commerciales de l’enceinte connectée “Echo” d’Amazon. Les résultats de l’étude indiquent que non seulement les données de l’enceinte sont collectées à la fois par Amazon et par 41 services collaborateurs de publicité et de suivi), mais que ces derniers partagent ces données avec 247 autres tiers, dont des services publicitaires.
Toujours selon cette étude, seules dix de ces tiers (2,2% de l’échantillon) présentent clairement les pratiques de collecte de données dans leurs politiques de confidentialité, et plus de 70% d’entre elles ne mentionnent pas Amazon dans leurs mentions légales.
Le cas particulier des assistants vocaux et des écoutes non désirées
Outre l’absence de transparence sur l’utilisation des données vocales par les enceintes connectées et autres assistants vocaux, se pose la question de la confidentialité des écoutes, parfois non désirées.
En règle générale, pour qu’une borne connectée ou un assistant vocal traite la demande d’un utilisateur, il faut que celui-ci l’active en prononçant un mot-clé tels que “OK Google” ou “Bonjour Alexa”. “Toute la journée, votre enceinte est attentive à l’apparition du mot, donc elle vous écoute“, explique Antoine Delforge du CRIDS, qui ajoute : “En principe, l’enceinte vous écoute mais ne vous enregistre pas, ce serait probablement trop chronophage et volumineux“.
Il arrive cependant parfois qu’une enceinte s’active par erreur après avoir mal interprété un mot, qu’elle a compris comme la formule clé pour activer l’enregistrement et traiter la demande. Dans le cas d’Amazon, il est précisé dans ses conditions générales que l’entreprise dispose alors “d’une équipe de scientifiques et d’ingénieurs de renommée internationale qui se consacrent constamment à améliorer (sa) technologie de détection des mots d’activation et à prévenir les activations non désirées“.
Afin d’améliorer son service, Amazon explique ainsi utiliser un processus apprentissage automatique supervisé. En d’autres termes, qu’ils s’agissent Amazon ou d’autres entreprises d’assistants vocaux tels qu’Apple, des employés sont chargés d’écouter un échantillon d’enregistrements afin d’améliorer les retranscriptions automatiques de l’outil.
L’un d’entre eux, Thomas Le Bonniec, employé de la marque à la pomme en Irlande a dénoncé à l’hiver 2021 les méthodes d’écoutes de Siri, l’assistant vocal d’Apple. Il raconte avoir notamment pour mission “d’annoter des mots-clés qui pouvaient intéresser Apple tels que la musique, les contacts, les lieux, les numéros de téléphone“, soit un ensemble de “choses particulièrement intimes sur l’utilisateur” affirmait-il au micro d’Europe 1 en mars 2021.
Se protéger des fuites de données
Face au risque d’utilisation obscure et d’une fuite de données personnelles, Aurélie Waeterinckx de l’APD recommande de “favoriser des systèmes qui enregistrent les données de manière locale et non sur le Cloud. Il est également préférable de favoriser un objet qu’il est possible d’éteindre. Dans le même ordre d’idée, favorisez un objet dont vous pouvez désactiver certaines fonctionnalités si vous n’en avez pas usage (par ex : la géolocalisation ou le partage automatique de données)“.
Par ailleurs, dans le contexte d’une affaire en cours sur une potentielle illégalité dans le transfert des données européennes de Google Analytics vers les Etats-Unis, l’APD recommande de s’assurer que “l’information sur ce qui est fait de nos données et leur transfert vers d’autres organisations ou pays tiers soit suffisamment claire et complète“. “Si la politique de confidentialité ne semble pas claire, mieux vaut s’abstenir” conclut sa porte-parole, Aurélie Waeterinckx.
En résumé, si les données des utilisateurs d’objets connectées sont compilées via une multitude de voies, notamment le microphone, elles ne peuvent pas être collectées et analysées sans l’accord du principal intéressé en Europe.
En cas d’accord, elles sont effectivement utilisées pour dresser un profil commercial spécifique à des fins de ciblage publicitaire, donnant l’impression que son GSM nous écoute.
Enfin, certaines écoutes ont parfois lieu, notamment à des fins d’amélioration de la performance des produits, tels que les assistants vocaux. S’il est recommandé d’être attentif aux données que l’on accepte de partager afin de protéger sa vie privée, cette collecte peut toutefois avoir des effets inattendus et inédits. Ce fut le cas en Allemagne où un meurtrier a été confondu par la justice grâce aux enregistrements de son enceinte connectée.
