Europe : Apple a-t-elle enfreint le RGPD avec le programme d'écoute de Siri ?

Mickaël Bazoge |

La Commission irlandaise pour la protection des données cherche à savoir si le programme d'écoute des extraits audio de Siri par des sous-traitants contrevient avec les obligations d'Apple en matière de confidentialité. En autorisant des tiers à analyser des échantillons de conversations Siri, le constructeur a peut-être enfreint les règles du règlement général sur la protection des données (RGPD).

C'est du moins ce que les enquêteurs de la Data Protection Commission vont chercher à établir, selon l'Irish Examiner. Un porte-parole de la commission confirme que des discussions ont été engagées avec Apple concernant la gestion des données personnelles « dans le contexte de la retranscription manuelle d'enregistrements audio collectés par [Siri] ». Le RGPD pose un préalable, celui de demander l'autorisation à l'utilisateur pour exploiter ses données. Or, le programme d'écoute de Siri ne comportait aucune option pour accepter ou refuser de se faire écouter.

Les excuses d'Apple ne suffiront donc peut-être pas à calmer l'ire du régulateur. En cas d'infraction, la Pomme risque une amende pouvant aller jusqu'à 20 millions d'euros, ou 4% de son chiffre d'affaires global, ce qui ferait beaucoup plus mal au portefeuille de l'entreprise. Apple a aussi annoncé cette semaine que les utilisateurs auront la possibilité d'accepter (ou pas) le programme d'écoute actuellement mis sur pause, et que les extraits seront traités par des employés en interne.

Les sous-traitants devraient donc passer par pertes et profits, comme c'est le cas en Irlande où 300 employés de Globetech ont été mis sur la touche (lire aussi : Ces oreilles françaises qui écoutaient les enregistrements de Siri).

Tags
avatar MacPlusEtc | 

Mauvaise médecine!

avatar bhelden | 

4% du CA... Cette amende violente quand même 😵 M’enfin faut montrer qu’en Europe on rigole pas et qu’on est des boss !

Yes we can

avatar bibi81 | 

4% du CA... Cette amende violente quand même 😵 M’enfin faut montrer qu’en Europe on rigole pas et qu’on est des boss !

Apple va peut-être arrêter de réclamer un RGPD pour les US du coup !

avatar 0MiguelAnge0 | 

@bhelden

Non: faut arrêter d’être débile et d’infliger des amendes ridicules.
Il n’y a que le montant qui calme.

Et quand les US imposent des amendes à 11 chiffres à des banques, ils le font aussi de raison.

avatar victoireviclaux | 

@0MiguelAnge0

C'est une contravention pour les banques. Donc tout roule. Surtout que certains sont too big, too fail, du coup négociation...

avatar NEWIPHONE76 | 

Leur situation va être délicate à gérer entre prôner la confidentialité à coups de comm’ (cf. Las Vegas) et se la jouer profil bas une fois la main pris dans le pot de confiture pour éviter une amende.

avatar Dev | 

4% du CA d’Apple mdr je sens Tim en sueur pendant que l’Europe se mes bien 😌

avatar FloMo | 

C’est délicat car l’objet de conversation envoyé était théoriquement anonyme. Il y a eu une faille qui a amené à laisser passer des données personnelles mais de manière non intentionnelle, non systématique (de fait) et souvent indirecte.
D’autant que ce traitement est légitime : améliorer le produit et non vendre des choses.
Et le RGPD exige en cas de faille une action et une communication immédiate. Ce qui a été fait en coupant immédiatement les écoutes une fois la faille découverte. Puis communication. Puis action définitive.
Au sens du RGPD, ce serait difficile d’obtenir quoi que ce soit contre Apple.
Mais c’est légitime et équitable de se poser la question.

avatar Fluo | 

@FloMo

C’est ce qui me surprend dans cette histoire.

En cas de manquement à la RGPD, le fournisseur est dans l’obligation d’avertir ses clients de l’intrusion et de la divulgation des données personnelles le plus rapidement possible.

Un mail, un SMS fait l’affaire.

Pour ma part, je n’ai rien reçu. Dois-je donc assumer ne pas avoir été écouté ?

Pour moi, le manquement principal est là.

avatar SyMich | 

Ces éléments de conversation ne sont absolument pas anonymes. Apple l'explique déjà dans le Guide de sécurité iOS: pour que Siri soit plus pertinent dans ses réponses, chaque requête Diri est associée au nom et prénom de l'utilisateur, aux noms et prénom de ses proches (tels que renseignés dans Contacts) ainsi qu'à sa localisation et d'autres renseignements (commentés listes de lectures, sa bibliothèque musicale....). Tous ces éléments sont également mis à disposition des "oreilles humaines" devant s'assurer que Siri a bien traité la demande.

avatar FloMo | 

@SyMich @Fluo

L’article du Canard Enchaîné précise que les données sont anonymes. Mais, en croisant les informations entendues dans les enregistrements audios, on pourrait retrouver la personne concernée.

Le système de protection avait une faille.
Apple semblait persuadée qu’aucune donnée personnelle n’allait fuiter. Mais ce n’est pas le cas.

Du coup, Apple doit maintenant signifier l’usage des données et demander l’accord vu que la faille est avérée.

avatar SyMich | 

Elles sont "anonymes" au sens où Apple l'entend, c'est à dire qu'elles ne sont pas liées à l'appleID de l'utilisateur (mais à un appareil, iPhone, HomePod, iPad... via un code aléatoire) et qu'Apple ne peut pas les associer à l'un de ses clients de façons automatisées.

Sauf que... chaque requête est associée aux nom, prénom, localisation de l'utilisateur, que l'iPhone envoie en même temps, ainsi que des infos puisées dans Contacts (le nom du conjoint, des enfants, parents...)
(Voir le Guide à partir de la page 80:
https://www.apple.com/fr/business/site/docs/iOS_Security_Guide.pdf )
Pour un humain, ces infos permettent parfaitement d'identifier l'auteur de la requête comme confirmé dans l'article de MacG au sujet des "oreilles françaises".

Vous pouvez aussi lire l'article de Mediapart
https://www.mediapart.fr/journal/international/300819/assistant-vocal-d-...
qui a interviewé des employés irlandais de la société qui faisait ces écoutes (aujOurd'hui licenciés). Ils expliquent leur travail et les outils dont ils disposaient pour contrôler Siri, notamment le "user data browser" permettant de fouiller les données utilisateurs: "...le user data browser permet de fouiller dans les données de l’appareil pour vérifier que Siri a utilisé les bonnes informations.
« les données d’utilisateur peuvent être utiles pour comprendre l’intention de l’utilisateur. Par exemple, si l’utilisateur dit : “Montre coucher de soleil horizontal”, cela peut être dur à comprendre. Toutefois, si l’utilisateur a un album photo appelé “Couchers de soleil horizontaux”, ce que l’utilisateur voulait devient clair »."

avatar FloMo | 

@SyMich

Au sens du RGPD, c’est un usage légitime des données personnelles.

Tout comme une assurance a besoin de connaître tes soucis de santé pour t’assurer, Siri a besoin de savoir où tu souhaites aller afin de te proposer un trajet.

Ce n’est pas pour te vendre un truc.

avatar SyMich | 

Il n'y a pas vraiment d'usage légitime ou illégitime des données défini dans le RGPD. Tout est autorisé dès lors qu'il y a eu information transparente de l'usage qui sera fait des données personnelles ET qu'il y a accord explicite de l'individu concerné.

Je ne pense pas qu'Apple soit sanctionné car il n'y avait pas d'intention malveillante ou mercantile d'usage de ces données, et ils ont déjà pris des mesures correctives, mais il y a au moins 3 infractions au RGPD: non information, non obtention de l'accord de l'utilisateur, et transmission à des tiers d'informations personnelles potentiellement sensibles.

avatar FloMo | 

@SyMich

Le caractère de la donnée personnelle n’était pas établi tant qu’Apple ignorait que cette donnée transitait.

Il n’y a pas faute de moyen du fait de l’anonymat des transmissions.

Le RGPD considère par contre qu’en cas de faille de sécurité avérée, tout doit être fait pour combler cette faille et informer les utilisateurs dans un délai raisonnable.

Ce qui a été fait par l’arrêt du service et le communiqué de presse.

avatar SyMich | 

Apple ne pouvait pas ignorer la mise à disposition de ces données à son sous-traitant ! Il fournissait l'outil de récupération des données "user data browser" dont le nom est suffisamment explicite.

avatar pat3 | 

@SyMich

"Vous pouvez aussi lire l'article de Mediapart"

Non, on n’est pas abonné.

avatar Fluo | 

@FloMo

Donc les données ne sont plus anonymes et Apple doit alerter ses clients.

Je viens de poster une plainte sur https://www.apple.com/fr/privacy/contact/ et une autre auprès de la CNIL.

avatar FloMo | 

@Fluo

Tu auras la même réponse que la mienne.

J’ai effectué la démarche pour des sites qui utilisent le pixel Facebook : ils le retire immédiatement et basta.
Alors que le pixel Facebook est explicitement une donnée privée. Et que Facebook informe de la démarche RGPD.

Tant qu’il n’y a pas de fraude volontaire ou pas d’action, la CNIL ne se déplace pas.

avatar Fluo | 

@FloMo

Dans ce cas c’est un peu différent. Il semblerait qu’Apple à volontairement menti dans sa déclaration RGPD. Et pire, la page privacy d’Apple ne parle même pas de Siri, comme s’il n’existait pas...

En tous cas, si d’ici un mois je n’ai pas reçu d’Apple les enregistrements Siri me concernant c’est dépôt de plainte direct.

avatar SyMich | 

Apple ne peut pas fournir les enregistrements Siri car ceux-ci ne sont pas liés à l'appleID (ce qui fait dire à Apple, qu'ils sont "anonymisés")

Il faudrait rechercher tous les enregistrements associés à votre nom et prénom en vérifiant que les autres informations liées (nom de votre père, mère, enfants, tels que saisis dans contacts) vous correspondent bien aussi pour être sûr de ne pas vous envoyer les éléments correspondants à un homonyme.

avatar FloMo | 

@Fluo

Apple va te répondre ça.

Nous ne pouvons savoir si vos données personnelles ont été mises en danger car nous utilisons des identifiants anonymes.

Dès que nous avons appris cette faille, nous avons bloqué immédiatement l’analyse des données audios.

Il y a une chance infime pour que vos données aient été exposées.

Nous menons une enquête interne auprès de nos sous-traitants.

S’il est avéré que vos données personnelles ont été exposées, nous vous en informerons dans les plus brefs délais.

Jamais Apple n’a recueilli ni revendu vos données personnelles.
Si elles ont fuité, c’est dans le cadre d’une analyse sur échantillon afin d’améliorer la qualité de nos services. (Usage légitime des données personnelles au sens de la RGPD)

Afin d’éviter que ce problème ne se reproduise, nous avons ajouté une option pour les futures versions de nos OS.
Pour les versions actuelles, le recueil des données est bloqué.

avatar raoolito | 

@FloMo

Joli ! C'est tout a fait la reponse qui rend caduque toute attaque légale

avatar bibi81 | 

Et le RGPD exige en cas de faille une action et une communication immédiate. Ce qui a été fait en coupant immédiatement les écoutes une fois la faille découverte. Puis communication. Puis action définitive.

Apple a coupé parce qu'on a demandé à Google de couper pendant 3 mois (et donc on allait aussi logiquement demander à Apple d'arrêter)... De plus ce n'est pas une faille, c'est le comportement normal prévu par Apple.

avatar FloMo | 

@bibi81

Sauf que Google vend les données de ses utilisateurs. Et il peut y avoir un doute sur le périmètre concerné.

Concernant Apple, il n’y a aucun doute vu qu’ils ne revendent aucune donnée.

La faille, c’est que des tiers ont pu avoir accès à des données personnelles à partir d’écoutes anonymes.
C’est pour ça qu’ils vont le faire en interne.

Et le risque de déclenchement par erreur a été sous-estimé.
D’où la demande d’autorisation.

avatar SyMich | 

La demande d'autorisation n'est pas liée au déclenchement par erreur... mais à l'usage qui est fait des données transmises lors d'une requête à Siri ou l'usage de la dictée.

Sur le sujet des "écoutes intempestives" ca nécessite une alerte explicite lorsqu'on choisit d'activer Siri (idem pour Google ou Alexa...) indiquant que des déclenchements peuvent se faire par erreur et enregistrer à notre insu.

avatar bibi81 | 

Sauf que Google vend les données de ses utilisateurs.

Non toujours pas, le répéter sans cesse ne le rendra pas vrai. De plus RGPD ne sanctionne pas la vente en particulier...

avatar Bigdidou | 

@FloMo

« Sauf que Google vend les données de ses utilisateurs. Et il peut y avoir un doute sur le périmètre concerné. ‘

Non, elle les exploite directement.

avatar fte | 

@FloMo

"Sauf que Google vend les données de ses utilisateurs. Et il peut y avoir un doute sur le périmètre concerné.

Concernant Apple, il n’y a aucun doute vu qu’ils ne revendent aucune donnée."

Tu as doublement tort.

Google ne vend pas les données privées collectées. Elles ont trop de valeur, et leur exploitation par Google trop profitable pour les filer à d’autres.

Apple vend une partie de nos données privées, les recherches Internet de Safari et de ses systèmes, pour par loin de 10 milliards par an, à Google.

avatar raoolito | 

@fte

Apple vend a google d'etre le moteur de recherche par defaut. Au pire, google ne connait que ton ip internet, c'est toujours ca, mais c'est peu.
Par contre, google peut afficher de la pub dans la recherche.
Apres, si on est loggé, si on autorise google a geolocaliser et si on a l'app google pour valider les acces ou autre, bon, meme uniquement sous Quant Google vous traquerait

Traduction  : arretons de taper sur apple car elle vend le droit d'etre un moteur par defaut. Sinon on rappellera que Mozilla est soutenu financièrement a 80% par... Google ( qui est "oh !" Le moteur de recherche par defaut de firefox)

avatar fte | 

@raoolito

"Apple vend a google d'etre le moteur de recherche par defaut."

C’est ce que je disais. Moteur utilisé par iOS et macOS en général, pas que par Safari.

"Au pire, google ne connait que ton ip internet, c'est toujours ca, mais c'est peu."

Tu sous-estimes Google et ses capacités de tracking.

"Traduction  : arretons de taper sur apple car elle vend le droit d'etre un moteur par defaut."

Certainement pas. Il faut taper et taper jusqu’à ce que ses actions reflètent ses paroles. Tu sais, le machin sur la vie privée et les données qui ne quittent pas le smartphone.

"Sinon on rappellera que Mozilla est soutenu financièrement a 80% par... Google ( qui est "oh !" Le moteur de recherche par defaut de firefox)"

Whataboutisme.

avatar fte | 

J’adorerais quelques violentes condamnations pour Facebook par exemple.

Mais dans le cas d’Apple, j’aimerais en savoir un peu plus pour me convaincre qu’ils travaillent vraiment dans le sens qu’ils annoncent et pour savoir où leur prétendue défense de nos données privées s’arrête.

Une condamnation RGPD du gourou de la protection des données privées me ferait hurler de rire cependant, j’adore l’ironie portée à ce niveau. Excessivement goûteux.

Mais je préférerais savoir. Mais rire c’est bien.

avatar koko256 | 

Je ne suis pas sûr que l'Irlande choisisse de condamner son petit chouchou Apple...

avatar cosmoboy34 | 

Et google Facebook amazon ? Parce que dans ce domaine y’en a pas un pour rattraper l’autre

avatar Ducletho | 

@cosmoboy34

Si les informations ont fuités, ça sera pareil, ils auront droit.
Ce qui est sûr ce qui est sûr « l’iPhone reste sur l’iphone » a été une publicité mensongère

avatar p@t72 | 

@Ducletho
"" Ce qui est sûr ce qui est sûr « l’iPhone reste sur l’iphone » a été une publicité mensongère. ""

Qui en doutait....

avatar bibi81 | 

Qui en doutait....

A lire certains commentaires, il y en a qui y croit encore !

avatar raoolito | 

@bibi81

On peut avoir des doutes..
" ce qui est sur android reste sur android"... la par contre qui ne rigolerait pas sans hésitation ?

avatar blitz | 

RGPD, ou l'hypocrisie élevée à l'état d'art :

"Rien n'est plus important pour nous que la protection de vos données personnelles, c'est pourquoi, nous vous demandons votre consentement pour les partager avec nos 78 partenaires".

Autant dire qu'il est illusoire d’espérer qu'Apple sera condamné.

CONNEXION UTILISATEUR