Après les webcams qui vous filment à votre insu, votre smart TV à reconnaissance vocale qui vous espionne

Atlantico : Des sites anglo-saxons se sont insurgés contre la politique de confidentialité des téléviseurs connectés Samsung. "Pour vous fournir la fonction de reconnaissance vocale, certaines commandes vocales peuvent être transmises (en complément des informations relatives au terminal, dont son identifiant) à un service tiers qui convertit la voix en texte", précisent les conditions d'utilisation. Concrètement qu'est-ce que cela signifie ?

Gérôme Billois : Le débat a été monté en épingle, la problématique est la même pour tous les systèmes de reconnaissance vocale. Cet opération nécessite une forte puissance informatique pour analyser la voix et reconnaître les actions, le procédé ne peut être réalisé à partir de l'appareil uniquement. La reconnaissance vocale utilise le Cloud, votre voix part sur Internet, est analysée et revient sous une forme compréhensible par l’équipement. C’est le même fonctionnement sur les téléphones, quel que soit leur fabricant, Apple, Google ou encore Microsoft. Si la reconnaissance vocale était réalisée intégralement sur le téléphone, la batterie en serait affectée et le résultat serait moins bon. 

De plus, dans la formulation de ces conditions, Samsung précise que "certaines commandes vocales peuvent être transmises à un service tiers" car beaucoup de fournisseurs de matériel ont recours à des sociétés de sous-traitance. Par exemple, Apple dans le cas de Siri utilise les services de la société Nuance. 

Le vrai risque serait que la télé enregistre sans prévenir les utilisateurs et sans une action préalable de ces derniers. Mais ce n’est pas le cas, en fait l'impact sur la vie privée est le même lorsque vous utilisiez Gmail ou Facebook qui dans leurs conditions générales précisent aussi que les données envoyées peuvent être analysées et transmises à d’autres... Il est possible d’imaginer un scénario plus grave si des cybercriminels découvraient une faille de sécurité dans les téléviseurs qui leur permettraient d’écouter à distance sans alerte visible pour les particuliers. Des logiciels malveillants ayant ce comportement existe déjà pour les PCs qui sont équipés de webcams et de micros. En 2014, des attaques permettant de prendre le contrôle de babyphone pour espionner les domiciles ont aussi été observées mais il s’agissait plus de problème de mot de passe trop simple plutôt que de réelles failles de sécurité. 

En acceptant ces conditions, à quels risques s'exposent les utilisateurs ?

Etienne Drouard : Les utilisateurs donnent leur accord sur le fonctionnement du service de reconnaissance vocale uniquement et non pas pour une utilisation de leurs données à d'autres fins. En Europe et plus particulièrement en France, on ne peut pas imposer que les données de reconnaissance vocale soient utilisées à d'autres fins et qu'elles soient accessibles à d'autres acteurs sans consentement explicite et discrétionnaire qui ne peut résulter que d'une acceptation de conditions d'utilisation. En droit français, accepter des conditions d'utilisation revient à s'informer sur l'usage des données mais n'implique pas un accord pour que votre télévision vous regarde et vous écoute.

Que prévoit précisément la loi à ce sujet ?

Etienne Drouard : Le droit français est particulièrement stricte en ce qui concerne l'enregistrement des conversations qui est encadré par la loi de 1991 dite "loi sur les écoutes". L'accord doit être explicite et libre, ce qui signifie qu'il ne résulter du seul fait de l'acceptation des conditions d'utilisation.

Cela dit un problème similaire avait été soulevé lorsque le service de messagerie Gmail avait déclaré faire de l'analyse automatique des contenus des messageries de ses utilisateurs pour y insérer des publicités adaptées. Google s'en était sorti estimant qu'il ne s'agissait pas d'une lecture intégrale des correspondances. Dans cette situation, on avait admis que les conditions générales d'utilisation de Gmail soumises au droit de l'état de Californie étaient valables.

Le cas de Google en ce qui concerne l'analyse des correspondances est-il transposable aux télés Samsung ?

Etienne Drouard : La reconnaissance vocale est soumise à une règle spécifique du code pénale qui porte sur la sonorisation d'un domicile privé. Dans ce domaine, il y a beaucoup moins de jurisprudence et il n'y a pas de souplesse accordée par les juges face à l'exigence d'un consentement explicite spécifique distinct des conditions générales.

En cas de non-respect de la loi en la matière, le code pénal prévoit (Art. 226.1) une peine pouvant aller jusqu'à un an d'emprisonnement et 45 000 euros d'amende. Le fait d'importer des appareils qui permettent de capter les conversations sans les formes de consentement exigé est passible de 5 ans d'emprisonnement et 300 000 euros d'amende. Faire de la publicité pour un tel dispositif est aussi puni de 5 ans.

Le service SIRI est soumis aux mêmes règles et Apple a pris l'engagement de ne transmettre les données vocales que pour les comparer aux signatures vocales, en analyse automatique afin de permettre la reconnaissance vocale.  

Propos recueillis par Carole Dieterich