Retour aux articles

Enceintes connectées : attention à la protection des données personnelles

Tech&droit - Objets connectés, Données
18/04/2018
Google Home ou encore Amazon Echo, les multinationales américaines se sont récemment lancées dans le florissant business des enceintes connectées. Leur potentiel innovant fascine les consommateurs mais a toutefois été rattrapé par la question de la protection des données. Les explications d’Arnaud Touati, avocat associé, co-fondateur du cabinet Alto Avocats, et Gary Cohen, collaborateur.
Amazon lancera son enceinte connectée « Echo » en France le 23 mai prochain, soit deux jours avant l’entrée en vigueur du Règlement général sur la protection des données (pour Apple, son « HomePod » est prévu courant avril, alors qu’Orange attendra l’automne, peut-être afin d’observer la réaction de la CNIL face aux lancements de ses adversaires). Un timing insolite quand on sait que Facebook a décidé, à la suite de la polémique Cambridge Analytica, de repousser à une date ultérieure le lancement de son propre produit.

Objets connectés : de forts enjeux en matière de données personnelles
Force est de constater que les consommateurs prennent de plus en plus à cœur la question de la protection de leurs données alors qu’il y a encore quelques années, cette problématique ne paraissait que bien trop lointaine pour être prise en compte.

Mais comment alors assurer la protection des données dans le cadre de l’utilisation d’une enceinte connectée ? Cette question est d’autant plus importante, dans la mesure où cette enceinte est susceptible de tout entendre, à n’importe quel moment.

Quid également des cas dans lesquels l’enceinte connectée se déclenche toute seule, pensant avoir reconnu la formule permettant son activation ? Toutes les paroles dites à partir de ce moment sont alors automatiquement transférées et traitées dans le cloud alors même que l’utilisateur n’y avait pas expressément consenti.

Sans compter que l’utilisation systématique du cloud rend compliquée la protection des données. Celui-ci n’est en effet pas infaillible : personne ne peut en garantir l’inviolabilité, que l’attaque provienne d’un hacker malhonnête ou d’un gouvernement tout puissant.
 
Des pistes de solution
Une solution pourrait d’abord passer par l’implémentation des processus de « privacy by design », ce qui revient à intégrer des mesures de protection dès le stade de la conception du produit.

Le recours à « l’edge computing », à savoir le traitement des données au sein même de l’appareil et non dans un cloud, est également une solution envisageable. Difficile alors d’engager la responsabilité du fabricant dans ce cas sur le fondement de l’article 7 du règlement relatif aux conditions applicables au consentement au traitement des données ; à moins d’être en mesure d’apporter la preuve irréfutable d’un déclenchement intempestif de l’appareil.

Dans un même registre, la CNIL avait publiquement mis en demeure une société chinoise fabricant des jouets connectés car des personnes avaient été capables d’intercepter les échanges entre les enfants et leurs jouets et étaient même parvenus à parler directement à l’enfant.

Aussi, l’on espère que le lancement imminent des enceintes connectées en France sera accompagné de mesures dignes d’assurer la protection des données, à moins que les GAFA n’accordent au RGPD qu’un crédit limité, ce qui semble peu probable.

En effet, Facebook a largement communiqué sur la mise en conformité de son application avec le RGPD, notamment par le biais d’une campagne inédite de publicité dans la presse papier. Wait & See.