Samsung a récemment défrayé la chronique avec ses Smart TVs. Les nouvelles télévisions Samsung sont en effet équipées d’un système de commande vocale, et à des fins d’amélioration du système, les voix des utilisateurs sont captées et envoyées à une agence de communication qui les retranscrit textuellement.
C’est sur son blogue que le géant coréen a partagé la recommandation de ne pas tenir de conversations à caractère privé ou sensible à proximité de ses appareils puisque ces conversations pouvaient être transmises parmi le flot à l’agence qui les traite.
“Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party.”
Cette nouvelle a suscité une grande inquiétude chez les consommateurs. Les inquiétudes portent sur l’usage de ces données par l’agence de communication, sur la sécurisation de celles-ci et les éventuelles intrusions qui pourraient engendrer une fuite d’informations confidentielles. L’Electronic Frontier Foundation a d’ailleurs émis une mise en garde sur son site à ce sujet par la voix de son président :
“If I were the customer, I might like to know who that third party was, and I’d definitely like to know whether my words were being transmitted in a secure form.”
Collecte de renseignements personnels, une pratique réglementée
De telles pratiques mettent en jeu des problématiques de protection de la vie privée et des données personnelles. La collecte de ces données, couplée avec des informations telles que la localisation, le type d’appareil et la voix peuvent aisément permettre au détenteur des données d’identifier spécifiquement une personne. On parle alors de renseignements personnels tels que définis dans l’article 2 de la Loi sur la protection des renseignements personnels dans le secteur privé.
Il s’agit une de la loi au Québec qui régit les règles d’application « à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise ».
Samsung a-t-il donc une pratique non conforme à la législation concernant les renseignements personnels? Les utilisateurs sont-ils en droit de se méfier de ce nouveau service?
Conformément aux articles 8, 10 et 13 de la Loi sur la protection des renseignements personnels dans le secteur privé, il faut que la collecte de renseignements personnels soit faite à des fins pertinentes, qu’elle se fasse de manière consentie, et que le consommateur soit informé de la destination de ses données. De plus, l’entreprise se doit de « prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits ». Les articles 20, 28 et 29 de cette même loi disposent que, en cas de transfert des données à une tierce partie, l’entreprise doit prendre des mesures nécessaires pour que n’aient accès aux données que les personnes concernées, que puisse être supprimé un dossier, et informer les consommateurs de l’emplacement de son dossier.
Samsung met au clair ses politiques de confidentialité
Dans sa politique de confidentialité, Samsung précise qu’ils pourraient recueillir :
« Des renseignements vocaux – par exemple, des enregistrements de votre voix que nous prenons (et que nous pourrions stocker sur nos serveurs) lorsque vous utilisez des commandes vocales pour contrôler un Service. (Veuillez prendre note que nous faisons affaire avec un fournisseur de services tiers qui fournit des services de conversion parole texte en notre nom. Ce fournisseur pourrait recevoir et stocker certaines commandes vocales.) »
Suite à la polémique née de l’avertissement partagé par Samsung, le géant coréen a publié sur son blogue quelques éclaircissements concernant sa gestion des données.
“We employ industry-standard security safeguards and practices, including data encryption, to secure consumers’ personal information and prevent unauthorized collection or use.”
Dans son communiqué, il spécifie également que la retranscription des renseignements vocaux se fait à des fins d’amélioration du système, et qu’elle ne se fait que lorsque le client active la reconnaissance vocale. Le consommateur active donc cette fonctionnalité en connaissance de cause. Samsung précise également la firme de communication à qui il soustraite la retranscription des renseignements : Nuance communications inc.
Samsung a donc bien explicité dans sa politique d’utilisation les conditions de collecte et d’utilisation des renseignements personnels. De plus, la possibilité de désactiver la commande vocale devrait en rassurer certains. On peut cependant se demander la pertinence de la retranscription par écrit dans le processus d’amélioration du service, et se questionner sur la politique de confidentialité de l’agence Nuance communications inc. Celle-ci se devra, tout comme Samsung, de prendre les dispositifs nécessaires à la protection de ces renseignements et répartir l’accessibilité des fichiers aux seules personnes nécessaires.
Si Samsung a pris ses précautions juridiques pour rassurer ses détracteurs, il n’est pas forcément à l’abri d’une fraude ou d’une fuite informatique qui pourraient avoir de graves conséquences sur la vie privée de ses consommateurs.