RGPD et reconnaissance vocale font-ils bon ménage ?

RGPD, GPDR (pour les anglophones), données personnelles, Privacy by Design… Ce sont autant de mots qui ont secoué le paysage médiatique depuis le 25 Mai 2018 : date d’entrée en vigueur du règlement général sur la protection de données de l’Union Européenne.

Les services de reconnaissance vocale, comme d’autres technologies, récoltent et utilisent les données de l’utilisateur à différentes fins. Ce faisant, ils sont directement concernés par les nouvelles disposition en la matière.

Problèmes éthiques, utilisations frauduleuses… comment mettre en accord la reconnaissance vocale et le RGPD ?

A travers cet article, nous allons vous donner les clés pour comprendre les fondements du RGPD et comment bien choisir vos solutions afin de préserver vos informations personnelles ou celles de vos clients.

 

Comprendre le RGPD.

Le RGPD (Règlement Général sur la Protection des Données) est le nouveau cadre Européen régissant le traitement et l’utilisation des données à caractère personnel. Il remplace l’ancienne charte datant de 1995 pour donner un cadre juridique, d’une part général à l’ensemble de l’UE et d’autre part plus contemporain vis-à-vis de l’explosion numérique que nous vivons.

Vous le savez peut-être déjà ou l’avez deviné, l’objectif principal de ce traité est la protection des données personnelles. Ces dernières prennent différentes formes : un nom, une photo, une adresse IP, une adresse mail ou postale, une empreinte digitale, un enregistrement vocal etc. Elles sont particulièrement sensibles car elles peuvent donner lieu à des discriminations ou des préjugés. Dans l’intérêt des utilisateurs, elles doivent faire l’objet d’un traitement particulier, nous y reviendrons juste après.

La portée de cette protection n’est pas seulement territoriale. En effet, sur le sol européen, toutes les entreprises, qu’importe leur taille ou secteur ou domaine d’activité, sont concernées par le nouveau règlement. Afin d’éviter tout abus ou dérive, les entreprises étrangères à l’Union Européenne sont également atteintes par les dispositions du RGPD dès lors qu’elles traitent des données personnelles issues du territoire.

 

Comment bien choisir votre solution ? Nos conseils.

Revenons-en aux grands principes du RGPD auxquels vous devez systématiquement faire attention lorsque vous recherchez une solution ou un prestataire.

Le consentement explicit de l’utilisateur.

Une des règles fondamentales du RGPD (qui était déjà partiellement respectée par les entreprises auparavant) est le consentement de l’utilisateur vis-à-vis de la collecte de ses données. Lorsqu’il s’agit d’un formulaire à remplir,  une case à cocher doit figurer afin de recueillir l’accord de l’utilisateur. Dans le cas des systèmes à reconnaissance vocale, cette information peut prendre différentes formes. Il peut s’agir d’un pop-up sur une application ou bien d’une mention dans les conditions générales d’utilisation. L’idée principale est que l’individu utilisant le système soit en mesure de voir cette mention et de la confirmer ou la refuser.

L’accès de l’utilisateur à ses données.

L’utilisateur doit pouvoir, à n’importe quel moment, avoir accès à l’ensemble de ses informations personnelles. Ces données peuvent prendre différentes formes. Dans l’écosystème de la reconnaissance vocale, elles sont généralement des enregistrements audios et les résultats des traitements en sus qui permettent de déduire des caractéristiques ou des habitudes. En plus de l’accès, il est stipulé qu’il en a le contrôle, tant dans la limitation de leur utilisation que pour leur rectification.

Le droit à l’effacement.

En lien direct avec le précédent élément, le droit à l’effacement est un droit propre à chaque utilisateur. Il permet de réclamer la suppression d’informations personnelles auprès des différents acteurs qui en possèdent ou les utilisent. Ces derniers, afin d’être conforme au RGPD, ont un délai de 30 jours pour répondre à la demande de l’utilisateur et faire valoir son droit.

Le principe du Privacy by Design.

La protection des données personnelles doit être impérativement intégrée dans les différentes solutions technologiques et ce dès leur conception. Il n’est pas question ici de connectivité. Bien que les produits/services fonctionnant de manière locale (sans recours à Internet) sont Private by Design par nature, cela ne prive pas les solutions connectées (au Cloud par exemple) d’adopter des mesures pour préserver les informations personnelles.

Le DPO (délégué à la protection des données).

Pour finir, un DPO doit être nommé au sein de l’organisation lorsque celle-ci :

  • est un organisme public ou une autorité publique effectuant le traitement de données
  • effectue des activités de base, concernant le responsable du traitement ou le sous-traitant, qui consistent en des opérations exigeant un suivi régulier et systématique du fait de leur nature, portée ou finalité.
  • manipule des données sensibles à grande échelle comme des informations de santé, des données biométriques ou des opinions politiques et religieuses.

Ce dernier a pour principales missions :

  • D’éduquer et former les collaborateurs et partenaires au RGPD.
  • Gérer les processus de protection des données et de leur sécurité.
  • Coopérer avec les autorités de contrôle et leur prouver la conformité.
  • Prendre en charge les demandes des utilisateurs.

Avec ces éléments entre vos mains, vous êtes en mesure de définir si une entreprise ou un service est conforme au RGPD. Il est primordial de s’en assurer avant de prendre une décision. La conformité est aujourd’hui fondamentale, que vous soyez une entreprise ou un utilisateur.

En définitive.

La reconnaissance vocale est atteinte par le RGPD, au même titre que toutes les autres technologies ayant attrait aux données personnelles de l’utilisateur. Certains systèmes basés sur le Cloud vont pâtir de ces nouvelles directives, et ce en lien avec les obligations qu’elles amènent.

Par exemple, comme dit précédemment l’utilisateur est en droit de supprimer ses informations personnelles à tout moment. Sachant que les systèmes actuels, pour la plupart, sont basés sur le Machine Learning qui impliquent l’entraînement de l’IA avec les données de l’utilisateur. En retirant cette ressource, le système pourrait manquer d’informations et donc de potentiel.

Cela influence notamment les entreprises à repenser la place ou du moins l’importance des données dans la conception de l’IA et de ses fonctionnalités. D’un côté, l’acquisition de d’informations est plus réglementée donc plus fastidieuse, et de l’autre côté les utilisateurs ont une influence significative sur l’utilisation et le stockage de celles-ci.

Post a Comment