Il peut arriver que les employés d’une entreprise comme Amazon écoutent les conversations des possesseurs de ses assistants vocaux intelligents Alexa. Des employés du géant du commerce l’ont confirmé dans un forum de discussion interne. C’est dire que le fait qu’une société de marketing affirme qu’elle écoute les appareils connectés pour du ciblage publicitaire ne devrait pas surprendre comme on peut le voir dans le cas de Cox Media Group (CMG). Le tableau lance plutôt un débat sur nos responsabilités en tant qu’utilisateurs des différents produits et services à l’heure du « tout connecté. »En effet, CMG s’est vanté de sa capacité à identifier les « conversations pertinentes via les smartphones, les téléviseurs intelligents et d'autres appareils » en mettant à contribution l’intelligence artificielle pour permettre aux entreprises locales de cibler leurs publicités sur ces personnes. Néanmoins, dans une société où certains experts en sécurité informatique ont déjà prévenu que l’Internet des objets pourrait devenir l’Internet des menaces, la sortie de la société de marketing n’a pas manqué de susciter étonnement et indignation.
Ces produits et services connectés sont pourtant accompagnés de conditions d’utilisation. Mais le fait est que les utilisateurs n’en prennent pas connaissance.
Selon Statista, environ 97 % des personnes âgées de 18 à 34 ans ne lisent pas ces conditions. Néanmoins, la raison de cette situation a peut-être moins à voir avec la paresse qu'avec la longueur de ces documents.
Il faut souvent beaucoup de temps pour parcourir l'ensemble du document. L'une des conditions générales les plus courtes appartient à Instagram, et elle contient 2451 mots au total. À une vitesse de lecture moyenne d'environ 240 mots par minute, il faudrait à un internaute environ dix minutes pour parcourir l'ensemble du document. Ce n'est pas beaucoup, mais cela peut le paraître lorsqu’on essaie simplement de créer un compte sur le réseau social.
De plus, Instagram est un peu une exception à cet égard. Facebook, par exemple, a une page de conditions générales d'environ 4100 mots, ce qui prendrait au moins dix-sept minutes à lire à une vitesse de lecture moyenne. C'est beaucoup de temps à passer sur un tel document, mais une fois encore, il s'agit d'une valeur basse, car de nombreuses autres entreprises exigent des temps de lecture beaucoup plus longs.
Le pire exemple en la matière est sans doute Microsoft. L'entreprise possède une page de conditions générales absolument gigantesque qui contient plus de 15 000 mots, soit la taille d'un petit roman. Il faudrait bien plus d'une heure pour lire ces conditions générales, et il est inutile de préciser que personne n'a l'intention de passer une heure à faire quelque chose de ce genre.
Réduire la surface d’intrusion des entreprises ne relève-t-il pas de notre responsabilité en tant qu’utilisateurs ?
De solutions sont disponibles pour l’atteinte de cet objectif. On a par exemple beaucoup parlé des smartphones Linux orientés sécurité et vie privée. On peut en sus citer le Murena One X2. Il s'agit du premier téléphone Android haut de gamme utilisant la bifurcation open-source /e/OS Android à être commercialisé. Le cœur de la confidentialité du Murena One est /e/OS V1. /e/ est un système d’exploitation open source basé sur Android, exempt des produits Google et doté de ses propres services Web (non obligatoires), créé par le développeur de logiciels français et fondateur de la distribution Linux Mandrake, Gaël Duval. Grosso modo, le contexte impose aux utilisateurs de produits et services en ligne de s’intéresser aux solutions respectueuses de leur vie privée. Et à cet effet, le dépôt GitHub Awesome Privacy liste une panoplie d’alternatives gratuites et open source.
« Lorsque vous utilisez des services d'IA dans le nuage, les données que vous saisissez sont souvent collectées et stockées par le fournisseur de services. Il peut s'agir non seulement du contenu de vos demandes, mais aussi de métadonnées, telles que les horodatages ou les adresses IP. Les serveurs tiers peuvent donner accès à vos données à leurs employés, partenaires ou même à d'autres utilisateurs, en fonction de leur politique de confidentialité. Les données peuvent être utilisées à diverses fins, notamment pour la formation des modèles, la recherche ou même les activités de marketing. Vos demandes auprès d'un service d'IA tiers peuvent être liées à vos informations d'utilisateur et à vos détails de paiement, ce qui permet de relier vos données à votre identité », indiquent les mainteneurs qui proposent donc des alternatives au cas par cas.
De plus en plus de lois et règlements viennent désormais encadrer ce pistage en ligne à des fins publicitaires
Il n’est par exemple pas possible de stopper complètement la collecte de données sur son téléviseur connecté, mais l’on peut la limiter en désactivant des fonctions comme ACR. Pour cela, il faut accéder aux paramètres de confidentialité de l’appareil et décocher l’option qui autorise l’utilisation des informations provenant des entrées TV. Cette option varie selon les marques et les modèles. L’utilisateur peut en sus réinitialiser son identifiant publicitaire, qui est utilisé pour compiler des informations sur vous. Enfin, il faut penser à limiter l’utilisation des applications et des navigateurs sur le téléviseur, et privilégier des appareils externes qui offrent plus de contrôle sur les données collectées.
Les données collectées par les appareils connectés sont considérées comme des données personnelles au sens du RGPD.
Selon le RGPD, les fabricants de téléviseurs intelligents qui mettent à contribution des fonctions comme ACR doivent respecter certaines obligations, comme :
- informer les utilisateurs de la finalité et des destinataires des données collectées par l’ACR
- obtenir le consentement des utilisateurs avant d’activer l’ACR
- offrir la possibilité aux utilisateurs de désactiver l’ACR à tout moment
- garantir la sécurité et la confidentialité des données collectées par l’ACR
- limiter la durée de conservation des données collectées par l’ACR
- especter les droits des utilisateurs sur leurs données (accès, rectification, effacement, opposition, etc.)
Si les fabricants de téléviseurs intelligents ne respectent pas ces obligations, ils s’exposent à des sanctions de la part des autorités de contrôle, comme la CNIL en France. Ces sanctions peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Sources : Web archive Cox Media Group, Awesome Privacy
Et vous ?
Partagez-vous l’avis selon lequel de telles approches ne devraient plus surprendre dans une société du « tout connecté » comme la nôtre et qu’il est de la responsabilité des utilisateurs de s’en prémunir ? Ou êtes-vous d’avis que c’est à la loi d’imposer certaines normes en la matière ? Quelles sont les dispositions que vous prenez de façon quotidienne pour vous prémunir ou pour réduire la surface de ce pistage en ligne ? Voir aussi :
Amazon déploie Alexa dans les hôtels, l'assistant numérique permet de commander le service de chambre ou de contrôler les dispositifs connectés Le chiffre d'affaires d'Amazon pour l'ensemble de l'année 2021 a augmenté de 22*% pour atteindre 469,8 milliards de dollars, malgré le passage des clients au multicloud Des attaquants pourraient forcer les haut-parleurs connectés Amazon Echo à déverrouiller des portes, passer des appels téléphoniques, effectuer des achats non autorisés, selon des chercheurs Amazon aurait choisi «*d'entraîner*» l'assistant numérique Alexa par des prestataires à leur insu. Ils devaient poser des questions dans une pièce remplie de prototypes d'Amazon Echo cachés 
