La lumière bleue s’est allumée pendant une conversation à voix basse sur les médicaments d’un proche. Personne n’avait rien demandé. L’enceinte était là, posée entre la planche à découper et le robot culinaire, à faire sa vie. Ce moment de gêne instinctive, ce regard vers l’appareil comme on regarderait quelqu’un surpris à écouter aux portes — pousse finalement à se poser la vraie question : que se passe-t-il vraiment derrière cette petite lumière ?
À retenir
- Ces appareils s’activent accidentellement jusqu’à 19 fois par jour en moyenne, enregistrant vos conversations sans que vous ayez prononcé le mot-clé
- Amazon collecte 28 types de données différentes sur vous, et des humains écoutent manuellement vos enregistrements pour les annoter
- Le vrai coût de ces appareils bon marché se paie en données personnelles : vos habitudes, votre santé, vos disputes familiales
Un micro qui écoute en permanence, même quand on ne parle pas à lui
L’utilisateur et ses proches sont écoutés en permanence, sans que leurs propos ne soient relevés. C’est le principe du mode veille : contrairement à une idée reçue tenace, ces enceintes ne sont pas censées enregistrer et diffuser toutes vos conversations, leur fonctionnement repose sur un principe clé : le mot d’activation, ou “wake word”. Tout le traitement vocal réel se passe dans le cloud : ce moment d’activation ouvre un canal d’enregistrement des sons captés par le micro, qui sera transmis intégralement vers un service d’assistant vocal hébergé sur un serveur tiers, lequel transforme l’enregistrement en texte et réalise une analyse sémantique pour générer une réponse.
Le problème, c’est que ce déclenchement n’est pas infaillible. Une enceinte connectée peut s’activer par erreur, sans que le mot d’activation n’ait été prononcé explicitement, on parle alors de “faux positifs”. Cela peut arriver si un son proche du mot d’activation est détecté dans une conversation, une émission de télévision ou une chanson. Dans ces cas-là, de courts extraits audio peuvent être enregistrés et envoyés aux serveurs. C’est ce type d’incident qui alimente les craintes d’une écoute constante et non désirée. Et la fréquence de ces incidents n’a rien d’anecdotique : une étude réalisée par des chercheurs de l’Imperial College London et de la Northeastern University a mis en lumière que les enceintes intelligentes s’activent accidentellement entre 1,5 et 19 fois par jour en moyenne. Par jour. Sur une semaine en cuisine, avec la radio, les enfants, les conversations téléphoniques en fond sonore, le compteur grimpe vite.
En veille permanente, l’assistant vocal peut s’activer et enregistrer inopinément une conversation dès lors qu’il croit avoir détecté le mot-clé. La CNIL, qui surveille ce sujet depuis plusieurs années, formule ce constat sans détour. La voix peut permettre d’identifier son émetteur et est à ce titre une donnée à caractère personnel, voire une donnée sensible lorsqu’elle est utilisée à des fins biométriques. Ce n’est pas une alarme théorique : ce sont vos discussions du déjeuner, vos commentaires sur votre état de santé, vos disputes familiales du soir qui tombent potentiellement dans le filet.
Ce que les marques font de tout ça
Les enceintes connectées ouvrent une nouvelle voie d’accès à nos données, livrant sur un plateau des informations sur nous et nos habitudes, de notre heure de réveil à la température douillette de notre salon, de nos goûts musicaux à notre marque de yaourts préférée. La formule est élégante pour décrire quelque chose d’assez direct : Amazon, avec son application Alexa, collecte 28 types de données sur 32 identifiés, dont l’ensemble est lié pour créer un profil utilisateur détaillé, chaque information récoltée est croisée avec d’autres pour former une vision globale de vos habitudes, préférences et comportements.
L’app d’Amazon collecte trois fois plus de données que la moyenne des applications de domotique étudiées. Google fait à peine mieux : 22 types de données sont récoltés via l’application Google Home, et là encore, toutes les informations sont reliées pour établir un profil complet. Ce profilage n’est pas passif : les fabricants utilisent les enregistrements vocaux ou les données collectées pour améliorer la reconnaissance vocale, mais aussi pour inférer des intérêts, habitudes ou tendances, qui peuvent être utilisés pour de la publicité ciblée ou d’autres usages commerciaux.
Plus troublant encore : Amazon a reconnu avoir employé du personnel pour écouter et annoter manuellement des enregistrements. Google a admis que des sous-traitants humains écoutent environ 0,2 % des enregistrements pour “améliorer le service”, sur 1 milliard d’utilisateurs Google Home, cela représente potentiellement 2 millions de conversations écoutées par des humains. Le chiffre est petit en pourcentage. La réalité qu’il représente, beaucoup moins.
En Europe, la collecte de données vocales est encadrée par le RGPD et légale si l’utilisateur a donné son consentement, généralement via l’acceptation des conditions d’utilisation. Le problème n’est pas toujours l’illégalité, mais le manque de clarté, la complexité des paramètres et le fait que ce consentement soit souvent implicite ou mal compris. : vous avez signé, mais vous ne savez pas exactement ce que vous avez signé.
Débrancher ne suffit pas, mais c’est un début
Couper le cordon physique reste le geste le plus radical. Il est en général possible de couper l’écoute à travers un bouton prévu à cet effet, qui n’est pas toujours un coupe-circuit physique, mais plutôt une fonction logicielle. La nuance est importante : un bouton “mute” logiciel, c’est une promesse de la marque, pas une coupure hardware vérifiable. Pour ceux qui veulent rester dans l’écosystème vocal sans exposer leur vie intérieure, il est possible de régler le niveau de sensibilité de l’assistant aux commandes d’activation via l’application Google Home pour les enceintes intelligentes et les écrans connectés.
La CNIL elle-même recommande une approche plus structurelle. Elle préconise de privilégier le local au distant, en développant des architectures logicielles qui intègrent le traitement des données directement dans le dispositif, pour les services ne nécessitant pas d’accès distant comme le réveil ou le pilotage de lumières, elle incite à mettre en œuvre des traitements fonctionnant exclusivement de façon locale. Cette orientation pointe vers une alternative qui prend de l’ampleur : les solutions open source. Des solutions comme Home Assistant, Mycroft ou Rhasspy sont généralement plus respectueuses de la vie privée car elles fonctionnent localement, sans envoi systématique de données vers le cloud — elles demandent plus de configuration, mais offrent surtout un avantage clé : vous gardez le contrôle total sur vos données, sans dépendre d’un modèle économique basé sur la collecte d’informations personnelles.
La CNIL rappelle que “les propos tenus face à l’appareil peuvent enrichir votre profil publicitaire” et invite à ne connecter que des services “qui présentent réellement une utilité pour vous, tout en considérant les risques à partager des données intimes ou des fonctionnalités sensibles”. Conseil raisonnable. Mais il suppose d’abord de réaliser que l’enceinte posée sur le plan de travail depuis trois ans n’est pas seulement un haut-parleur : c’est un micro connecté, disponible en permanence, dans la pièce où se déroule une bonne partie de la vie réelle. La lumière bleue qui s’allume toute seule n’est pas un bug. C’est un rappel que le modèle économique derrière ces appareils fonctionne précisément grâce à cette disponibilité permanente, et que le vrai coût de l’appareil à 50 euros se paie autrement.
Sources : nextinpact.com | phonandroid.com