"Sans écran, il est difficile de savoir ce qui est enregistré." : la CNIL


"Sans écran, il est difficile de savoir ce qui est enregistré." : la CNIL

Geoffrey Delcroix, Chargé d'étude prospective au sein du pôle innovation, étude et prospective de la CNIL.

 

A la CNIL, considérez-vous les objets connectés comme les médias de demain ?

geoffrey-delcroix

 

Le nombre des objets connectés qui nous entoure croît de manière très importante et de nombreux objets du quotidien, de la voiture au téléviseur en passant par des thermostats ou de l’électroménager sont dorénavant connectés. Pour autant, les objets connectés sont avant tout des capteurs reliés à des outils d’actions ou des dispositifs ayant une fonction limitée.

 

Nous sommes un peu revenus des fantasmes autour des frigos sur les portes desquelles on navigue sur internet. Tous les objets connectés peuvent être des capteurs d’information, ils ne sont pas pour autant des diffuseurs. En revanche, certains types nouveaux d’objets connectés à l'instar des enceintes connectées et équipées d’un assistant vocal intelligent sont et seront, au sens étymologique des médias, des moyens de diffusion.



Comment contrôler les publicités qui seront diffusées ?


Si l’on reprend l’exemple des interfaces vocales, on se rend compte que les objets connectés peuvent accroître le flou qui existe déjà parfois sur certains moteurs de recherche ou médias sociaux entre ce qui est éditorial ou « organique » et ce qui est de l’ordre de la proposition commerciale. Tout comme il peut parfois être difficile de savoir aujourd’hui si un « influenceur » sur Instagram parle d’un produit parce qu’il le trouve intéressant ou parce qu’il est rémunéré par la marque, il sera peut-être délicat de savoir si les recommandations ou suggestions d’un objet connecté sont liés à votre intérêt ou à celui du diffuseur…


Les règles à appliquer sont donc celles du Règlement Général à la Protection des Données : transparence, consentement, …
https://www.cnil.fr/fr/le-droit-detre-informe-sur-lutilisation-de-vos-donnees-0
https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes


Par ailleurs, les règles qui prévalent pour la prospection commerciale par voie électronique peuvent également trouver à s’appliquer : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

 


Parmi la multitude d’offres, comment identifier une marque fiable ?

La minimisation des données personnelles collectées doit être assurée par l’usager qui doit adopter des bonnes pratiques.

 

Concernant la confidentialité des échanges, il convient de :

 

Encadrer les interactions de ses enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;

Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;

Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)

Vérifier qu’il est bien réglé par défaut pour filtrer les informations à destination des enfants.

 

 

Concernant la monétisation de l’intime, il convient de :

 

Connecter des services qui présentent réellement une utilité pour vous, tout en considérant les risques à partager des données intimes ou des fonctionnalités sensibles (ouverture porte, alarme…) ;

Etre vigilant sur le fait que les propos tenus face à l’appareil peuvent enrichir votre profil publicitaire ;

Ne pas hésiter à contacter les services supports en cas de questions et, le cas échéant, la CNIL

 

Lorsque l’individu échange vocalement avec un assistant connecté sans nécessairement s’appuyer sur un tableau de bord visuel.

 

Sans écran, il est difficile d’avoir un aperçu des traces enregistrées, de juger de la pertinence des suggestions, d’en savoir plus ou d’avoir accès à des réponses provenant d’autres sources. Dès lors, il convient de se rendre régulièrement sur le tableau de bord pour supprimer l’historique des conversations/questions posées et personnaliser l’outil selon vos besoins.


Le RGPD (Règlement Général sur la Protection des Données) s’applique à tous les acteurs traitant des données personnelles, ils sont donc contraints d’en respecter les dispositions quel que soit leur modèle économique. Pour s’assurer du respect de l’article 5 du RGPD par les acteurs qui traitent les données personnelles collectées et utilisées par les assistants vocaux, la CNIL dispose de pouvoirs de contrôle et de sanction qui ont été renforcés par le RGPD.


Enfin, les droits des personnes concernant leurs données personnelles ont été renforcés et le respect de la nouvelle réglementation dépendra notamment de l’utilisation de ces nouveaux droits par les utilisateurs.

 


La personnalisation et la proximité sont des techniques de communication pour les marques. Comment mettez-vous en garde les marques qui vont trop loin ?


La CNIL dispose de pouvoirs étendus d’investigation, de contrôles et éventuellement dans le cas où elle constaterait des manquements à la loi, de sanctions.
Le contrôle a posteriori constitue un moyen privilégié d’intervention auprès des responsables de traitement de données personnelles. Il permet à la CNIL de vérifier sur place la mise en œuvre concrète de la loi.


La Présidente de la CNIL a la possibilité de mettre en demeure des organismes qui ne respectent pas des dispositions du RGPD ou de la loi de se mettre en conformité dans un délai imparti. Ces mises en demeure peuvent être rendues publiques selon la gravité des manquements constatés ou du nombre de personnes concernées.


Avec le RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

 


Selon vous, quelle est la frontière entre récupération de data/personnalisation versus espionnage ?

 

La frontière réside d’abord dans le fait que les entreprises qui traitent des données doivent respecter la loi, en l’espèce le RGPD, qui reposent sur des principes dont l’objectif n’est pas d’interdire l’utilisation des données, mais de s’assurer que leur utilisation ne porte atteinte, comme le dit l’article 1er de la loi informatique et libertés « ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »


Les traitements de données personnelles doivent être licites, limités à des finalités explicites et légitimes, fondés sur une base légale… Toutes ces règles visent à éviter les dérives de la personnalisation vers l’espionnage.

 

Par exemple, cette frontière va pouvoir s’incarner dans le consentement défini par le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

 

Paradoxalement, certains objets connectés sont perçus positivement dans certains domaines. Prenons l’exemple de la santé et des objets connectés permettant d’accompagner les malades d’Alzheimer par exemple. La marque connaît parfaitement ses clients tout en ayant une influence positive énorme.


Autre exemple pour le secteur de la sécurité avec les alarmes connectées. C’est rassurant pour le client et en même temps un employé malhonnête à l’œil sur vos absence…

 


Comment faire la part des choses sur ces différents sujets à la fois bienveillants et dangereux ?


C’est toujours le cas pour les outils dont nous parlons : les lois françaises et européennes n’encadrent pas ces activités car elles sont par essence mauvaises ou répréhensibles, mais parce qu’elles peuvent être sources de dérives, volontaires ou involontaires, pouvant avoir des conséquences grave à la fois pour les droits des personnes et pour la société (discrimination, …). Cette distinction à faire entre le bienveillant et le dangereux est une des raisons d’être de la création de la CNIL, il y a 40 ans en 1978. Le législateur, national puis européen, a considéré qu’il fallait une régulation active et dynamique de ces sujets, afin de maintenir l’équilibre entre les bienfaits et les risques.

 


A l’instar des réseaux sociaux aujourd’hui, pensez-vous que les objets connectés seront inévitables et encrés dans le quotidien des Français d’ici quelques mois ?


Ils le sont déjà : 75% des Français ont un smartphone, et il devient difficile d’acheter une télévision qui ne soit pas smart ou une voiture qui ne soit pas connectée. Rien ne permet en revanche d’affirmer le succès de chaque gamme de produits : il y a de nombreux objets connectés qui ne trouvent pas leur public et qui disparaissent assez rapidement… Donc oui, les objets connectés sont et seront part de notre quotidien, reste à savoir lesquels et pourquoi…

 



Comment la CNIL parvient-elle à anticiper les évolutions technologiques ?


Dans le cadre de son activité d’innovation et de prospective, la CNIL s’intéresse aux signaux faibles et aux sujets émergents.

Elle participe ainsi à la constitution d’un débat de société sur les enjeux éthiques des données. Elle constitue un point de contact et de dialogue avec les écosystèmes d’innovation du numérique (chercheurs, start-up, labs).
Elle contribue au développement de solutions technologiques protectrices de la vie privée en conseillant les entreprises le plus en amont possible, dans une logique de privacy by design.

 



Quel message souhaiteriez-vous faire passer aux marques qui développent des objets connectés ?

 

D’être en conformité avec la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée notamment par une loi du 21 juin 2018 afin d’intégrer les dispositions du Règlement général sur la protection des données).

C’est un sujet européen, mondial même !