Toutes vos conversations de la journée sont stockées sur des serveurs situés aux États-Unis, en Inde ou en Roumanie. Pas dans un tiroir, pas sur un disque dur local : dans le cloud d’Amazon ou de Google, potentiellement pour toujours. C’est ce que découvrent, stupéfaits, les utilisateurs d’enceintes connectées qui prennent la peine d’ouvrir l’application et d’aller regarder leur historique vocal.
La réalité de ces appareils est connue des spécialistes, mais reste largement ignorée du grand public. Toutes les interactions avec Alexa sont enregistrées, liées au compte utilisateur, et sauvegardées dans une base de données Amazon pour toujours. Pas juste vos commandes intentionnelles. Tout ce que le micro a capté après avoir cru entendre le mot-clé.
À retenir
- Les assistants vocaux se déclenchent accidentellement jusqu’à 19 fois par jour sans que vous le sachiez
- Des employés d’Amazon écoutent jusqu’à 1 000 enregistrements privés par jour pour améliorer le service
- Vos invités, enfants et prestataires sont enregistrés sans jamais avoir signé les conditions d’utilisation
Une oreille qui ne dort jamais vraiment
Ces enceintes fonctionnent sur un modèle simple : elles écoutent en permanence un mot-clé d’activation (“Alexa”, “OK Google”), puis enregistrent ce qui suit. Sur le papier, propre. En pratique, bien plus flou. Le problème connu, documenté depuis plusieurs années, c’est le taux de faux positifs : l’appareil se déclenche occasionnellement sans que vous l’ayez sollicité. Une conversation privée peut alors être captée et envoyée dans le cloud sans que vous en ayez conscience.
Des chercheurs de l’université de Northeastern ont quantifié le phénomène. Les assistants se mettent en marche accidentellement jusqu’à 19 fois par jour. C’est autant de fois que les micros des assistants ont pu comprendre à tort leur commande d’activation. Dix-neuf fois. Dans une journée ordinaire où vous regardez une série, téléphonez à votre mère ou discutez de votre bilan médical. À chaque déclenchement, l’assistant cherche à capter ses commandes durant au moins six secondes et jusqu’à 43 secondes dans certains cas. Soit presque une minute de votre vie intime aspirée vers un datacenter.
Le cas le plus édifiant reste celui d’une habitante de Portland, aux États-Unis. Elle avait installé des appareils Echo et des ampoules intelligentes dans chaque pièce de sa maison, acceptant les affirmations d’Amazon selon lesquelles elles ne violaient pas sa vie privée. Alexa a enregistré une conversation privée entre elle et son mari et l’a envoyée à une personne de leur carnet d’adresses sans leur permission. Amazon a qualifié ça de dysfonctionnement isolé. Mais ce type d’incident illustre une architecture poreuse.
Des humains qui écoutent, légalement
Le morceau le plus dérangeant de cette histoire, ce n’est pas le bug. C’est la pratique normale. Des employés d’Amazon qui travaillent à améliorer son assistant vocal écoutent les enregistrements vocaux de ce qui se dit dans les maisons et les bureaux des propriétaires d’Echo. Ces employés peuvent écouter jusqu’à 1 000 enregistrements par jour.
Des salariés d’Amazon et des collaborateurs ponctuels travaillant notamment aux États-Unis, en Roumanie, en Inde ou encore au Costa Rica utilisent ces enregistrements pour améliorer la compréhension d’Alexa. Les échanges vocaux sont retranscrits, annotés et viennent enrichir l’algorithme si nécessaire. La marque annonce faire ça pour “améliorer l’expérience utilisateur”, mais en pratique, Amazon n’a pas été très correct puisque la société, dans ses documents de marketing et de politique de confidentialité, ne dit pas explicitement que les humains écoutent des enregistrements de certaines conversations captées par Alexa.
Amazon reste dans la légalité puisque cette pratique est mentionnée dans ses conditions d’utilisation, que personne n’a le temps de lire. C’est le grand paradoxe de ces appareils : consentement en théorie, opacité totale en pratique. Selon Simon Descarpentries, membre de La Quadrature du Net, “rien n’empêche” que des humains puissent écouter des requêtes envoyées innocemment à votre enceinte. “Dans la mesure où ces appareils fonctionnent avec des logiciels tenus secrets, il est difficile de s’assurer de ce qu’ils font.”
Et les données ne restent pas forcément circonscrites aux serveurs des géants tech. Aux États-Unis, des banques et des compagnies d’assurance ont fini par accéder à ces informations. “Ces informations vont pouvoir permettre aux compagnies d’assurance d’adapter votre prime si elle estime que vous n’êtes pas un bon client.” Un scénario qui n’existe pas encore formellement en France, mais qui donne une idée précise de la valeur marchande de ces enregistrements.
Ce que vous pouvez faire concrètement
Bonne nouvelle : le RGPD, en vigueur en Europe depuis mai 2018, vous donne des droits concrets sur ces données. Vous avez le droit d’exiger de la part de Google ou d’Amazon de savoir ce qu’ils ont sur vous. Ils doivent pouvoir vous donner une copie des données de tous les enregistrements qui ont été pris grâce à Votre enceinte connectée. Exercer ce droit d’accès prend dix minutes et réserve parfois de vraies surprises.
Pour Alexa, dans l’application Alexa, suivez le chemin : Paramètres > Alexa et vos informations personnelles > Voir l’historique vocal. Il est possible d’effacer automatiquement votre historique vocal Alexa en vous rendant dans Paramètres > Alexa et vos informations personnelles > Gérer vos données Alexa > Supprimer automatiquement les enregistrements. Vous indiquez ensuite pendant combien de temps vous souhaitez les conserver (3 ou 18 mois). Pour stopper spécifiquement la lecture humaine, choisissez “Gérer vos données Alexa”, puis décochez l’option “Utiliser les enregistrements vocaux pour améliorer les services Amazon”.
Côté Google, connectez-vous à votre compte Google, cliquez sur “Données et personnalisation”, puis allez dans “Gérer les commandes relatives à l’activité”. Décochez “Inclure les enregistrements audio et vocaux” si vous ne voulez pas que Google enregistre ce que vous dites à votre assistant.
La CNIL recommande de couper le micro ou de débrancher l’enceinte lorsque vous ne l’utilisez pas. Conseil basique, mais efficace à 100%. Un bouton physique de coupure du micro existe sur la quasi-totalité des enceintes du marché, et il hardware la chose : même si le logiciel voulait écouter, il ne peut pas. Concernant les enfants, la CNIL recommande d’encadrer voire d’interdire les interactions entre les enfants et l’appareil. Un cadre qui mérite réflexion dans tous les foyers, pas seulement ceux avec des mineurs.
L’angle mort que personne ne mentionne
La question du consentement pour une personne qui ne serait pas en possession d’une enceinte, mais se trouvant dans un lieu où un smart speaker est allumé, a suscité de nombreux débats. Si un individu dispose d’un de ces appareils connecté actif, il a lu et accepté les conditions d’utilisation. Cependant, un vide juridique se crée dès lors que le foyer comporte plusieurs personnes. Vos invités du week-end, votre enfant, le plombier que vous avez fait entrer : aucun n’a signé quoi que ce soit, et pourtant leurs voix sont potentiellement archivées sur des serveurs américains.
Apple se distingue sur ce terrain. Dans ses conditions générales, Apple affirme que les enregistrements vocaux sont systématiquement anonymisés et supprimés au bout de 6 mois. Le HomePod est un appareil moins pratique et moins polyvalent, mais il est plus sûr et beaucoup plus privé. Un arbitrage assumé entre confort d’usage et protection des données, le genre de choix que chaque utilisateur devrait pouvoir faire en connaissance de cause, pas par défaut.
Le marché des enceintes connectées regroupe aujourd’hui des dizaines de millions d’appareils actifs en Europe. Ces micros ouverts 24h/24 génèrent une masse de données vocales dont la valeur économique est colossale pour les plateformes qui les collectent. Le vrai luxe, à l’ère du tout-connecté, c’est peut-être de savoir exactement ce que votre salon murmure dans le dos.
Sources : franceinfo.fr | phonandroid.com