Assistants vocaux : les bons réflexes pour les professionnels
Des points d’attention doivent être gardés à l’esprit de toute personne impliquée dans la chaîne de responsabilité d’un assistant vocal, de ses développeurs à ses utilisateurs en passant par ses intégrateurs, éditeurs d’applications ou encore ceux qui feraient le choix de déployer de tels dispositifs dans des lieux ouverts au public ou de passage.
Un questionnement méthodique et répété est indispensable dans une démarche de privacy by design, c’est-à-dire visant à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la protection de la vie privée et des libertés fondamentales dès la conception du projet.
Afin d’instaurer la confiance nécessaire à l’adhésion des utilisateurs aux dispositifs équipés d’assistants vocaux, la CNIL a dégagé quatre principes cardinaux :
-
Entretenir les frictions désirables
Plutôt que de se concentrer sur la mise en œuvre d’une expérience utilisateur absolument sans couture, profiter des moments de frictions (c’est-à-dire des moments de choix, de paramétrages nécessitant l’attention de l’utilisateur) pour présenter la réalité des traitements de données aux utilisateurs de manière adaptée.
Pour plus d'informations, consulter le site Données & Design.
-
Privilégier le local au distant
Autant que faire se peut, mettre en œuvre des modalités et capacités de traitement des données directement dans les dispositifs, ce qui confère à l’utilisateur une bonne maîtrise de celles-ci et constitue un facteur de confiance et d’acceptabilité.
-
Assurer les moyens de contrôle
Permettre à l’utilisateur de comprendre et maîtriser les usages qui sont faits de ses données et de paramétrer le fonctionnement du dispositif selon ses choix.
-
S'adapter au média vocal
Se reposer sur des interfaces exclusivement audio soulève d’importants défis en matière de présentation de l’information à l’utilisateur, de recueil de son consentement ou de mise en œuvre de moyens de contrôle. Il est donc nécessaire de mener une réflexion sur les moyens à déployer.
Les règles à respecter
L’utilisation d’un assistant vocal doit répondre aux impératifs de protection des données. Plus spécifiquement, il est nécessaire de s’assurer que tous les grands principes mis en avant dans le RGPD sont bien satisfaits :
- déterminer la finalité et le statut des acteurs ;
- déterminer la base légale ;
- vérifier l'exactitude, la proportionnalité, et la minimisation des données ;
- limiter la durée de conservation des données ;
- assurer la sécurité des données ;
- informer les personnes et garantir la transparence ;
- maîtriser les données et identifier les risques ;
- protéger les données sensibles ;
- respecter les droits des personnes.
Les conseils pour les professionnels
Voici donc, à destination des différents publics impliqués dans la chaîne de valeur, quelques bonnes pratiques relatives au développement, au déploiement ou à l’utilisation des assistants vocaux. Celles-ci doivent être appréhendées comme des pistes d’évolution et d’amélioration pour une meilleure protection des utilisateurs et de leurs données personnelles.
Par ailleurs, comme indiqué dans le livre blanc, en fonction des modèles d’affaires et des choix technologiques, certains acteurs peuvent endosser plusieurs combinaisons de rôles et être ainsi concernés par plusieurs des points d’attention mis en avant ici.
Le respect de ces conseils ne préjuge pas des décisions que la CNIL pourrait prendre à l’égard des acteurs de cette chaîne, notamment dans le cadre de contrôles ou de procédures contentieuses.
Les conseils pour les organismes souhaitant déployer des assistants vocaux