Quels principes Privacy by Design pour l’usage des assistants vocaux bancaires ?
L’European Data Protection Board (EDPB) vient de publier le nouveau guide de référence pour interpréter l’article 25 du RGPD pour les principes Data Protection By Design and by Default (DPbDD) ; le guide vise aussi à en définir les modalités de mises en œuvre ainsi qu'à recommander les bonnes pratiques. Cette version (V2.0) fait suite à la V1.0 après prise en compte des commentaires recueillis dans le cadre de la consultation lancée en novembre 2019. Ce guide concerne tous les acteurs (responsables de traitement de toutes tailles et sous-traitants) pour la conformité RGPD de leurs traitements actuels ou futurs et s’applique de facto au secteur bancaire et aux cas d’usage des assistants vocaux.
La CNIL vient de publier un guide de « bons réflexes » pour tous les professionnels, pour l’usage d’assistants vocaux en ligne avec ces principes DPbDD. Dans son livre blanc sur les assistants vocaux, la CNIL détaille un cas d’usage d’accès au compte bancaire par assistant vocal.
NOTRE DECRYPTAGE
Un préambule sur les principes DPbDD
Que signifie Privacy by Design ?
Des mesures techniques et organisationnelles appropriées doivent être prévues dès la conception et mises en œuvre de manière efficace pour atteindre l’objectif du respect des droits des personnes et de leur liberté, conformément à la Charte Européenne des Droits Fondamentaux. Un élément rationnel et fondamental qui est à prendre en compte pour démontrer l’efficacité est l’état de l’art actualisé, pour une évaluation dynamique et continue des mesures non seulement technologiques mais aussi organisationnelles.
Que signifie Privacy by Default ?
By Default concerne les choix de valeurs de paramétrage, les options de process qui sont établis ou prescrits pour un système de traitement tel qu’une application software, un service ou un équipement, ou toute procédure manuelle de traitement, et qui peuvent affecter le volume de données collectées, la portée du traitement, la période de stockage et son accessibilité. Le respect du Privacy by Default repose en particulier sur le principe de la minimisation des données, de la portée du traitement, de la durée de stockage et de l’accessibilité aux données par des tiers.
Quels sont les principes DPbDD à respecter et à démontrer ?
- Transparence, conformité légale, équité, limitation de la portée, minimisation des données, données exactes, limitation du stockage, intégrité et confidentialité, et « accountability »...
- ...et cela durant toutes les étapes de traitement, dès la conception, y compris durant les phases d’achat, d'appels d’offre, de contractualisation avec la sous-traitance, de développement, de support, de maintenance, de tests, de stockage, de suppression etc...
Dans son livre blanc sur les assistants vocaux, la CNIL détaille le cas d’usage suivant : l’accès au compte bancaire par assistant vocal.
Pour avoir accès à ce service, l’utilisateur doit disposer dans la majorité des cas d’un compte utilisateur associé à son assistant. Une fois celui-ci crée, il va procéder à l’appairage de son compte bancaire avec l’assistant vocal.
Exemple de parcours :
- s’authentifier sur l’espace client de sa banque ;
- autoriser l’appairage entre les deux comptes et valider les conditions générales d’utilisation du service ;
- une fois l’appairage réalisé et un jeton d’accès délivré, l’utilisateur client de la banque peut utiliser le service à sa guise, (en prononçant la phrase d’activation de ce service : « se connecter à (nom de la banque) ».
La CNIL rappelle les bases juridiques de la relation entre la banque et le concepteur de l’assistant vocal : C'est la banque qui est le responsable de traitement concernant la fourniture du service puisqu’elle détermine les finalités et les moyens essentiels du traitement liés à l’application permettant d’interagir avec l’assistant, même si le sous-traitant, le concepteur de l’assistant, joue un rôle important dans la détermination de ces moyens. La banque doit donc appliquer les principes DPbDD suivants :
- principes d’exactitude, de proportionnalité, de minimisation des données et de durée de stockage des données ;
- limiter les durées de conservation des données. Ex : une fois qu'elle a répondu à la demande de l'utilisateur, supprimer les données (telles que les transcriptions textuelles, les intentions identifiées, ainsi que les journaux ou logs, horodatage, etc.), sauf si elle démontre la nécessité de les conserver pour fournir le service ou pour répondre à une obligation légale ou encore pour des besoins probatoires, conformément aux délais de prescription des actions en justice.
- principes d’information et de transparence et respect effectif des droits des personnes ;
- garantie de la sécurité des données, en particulier par le contrôle des accès aux données bancaires par des utilisateurs autres que la personne détentrice du compte, ou par le concepteur de l’assistant aux données. Ex : instaurer une durée limitée de l’appairage entre les comptes et l’assistant, des notifications régulières et des rappels des moyens de révocation des jetons d’accès, de manière à protéger sur la durée les échanges entre les serveurs du concepteur de l’assistant et la banque. L’authentification forte est un moyen de sécuriser le contrôle de ses accès. En l’absence d’une telle authentification, et compte tenu de la sensibilité des données bancaires et de la confidentialité de ces informations, il est conseillé aux utilisateurs d’éteindre leur assistant dès lors que des personnes extérieures se trouvent à proximité de celui-ci.
Les traitements réalisés sur les données des personnes pour une finalité autre que la fourniture du service demandé et attendu par l'utilisateur (par exemple pour le sous-traitant) doivent faire l’objet d’une analyse distincte et disposer de leur propre base légale.
De façon constante le RGPD interdit la réutilisation de données bancaires (ou métadonnées) entre autres pour des offres personnalisées qui sortent du cadre de la finalité première du traitement à laquelle la personne a souscrit par contrat ou avec son consentement spécifique.
- Dès 2019, la banque ING avait fait l’objet de la part de l’autorité de protection des données néerlandaise d’un rappel à la loi dans ce sens. La société Experian vient de faire l’objet d’une injonction par l’autorité de protection des données britannique (ICO) pour cesser au plus tard en janvier 2021 tout traitement d’offres commerciales personnalisées en réutilisant les données d’évaluation de crédit des personnes, sans avoir leur consentement ni même les en informer. Elle est également susceptible d’une sanction à hauteur de 4 % de son chiffre d'affaires.
- L’autorité de protection des données (DPA) de la Suède vient de se saisir également du cas similaire d’un assureur, Folskam, qui rendait accessible les données personnelles (y compris opérations bancaires, numéro de sécurité sociale…) à Facebook, Google, Microsoft et sa filiale LinkedIn.
Dans le cas des assistants vocaux, c’est à la banque de faire également respecter les principes DPbDD au fournisseur de l’assistant vocal (équipement, plateforme et serveurs logiciels associés…) ; et ceci dans le cadre de sa relation contractuelle, mais aussi par des revues régulières et le suivi d’indicateurs de conformité DPbDD tout le long du cycle de vie du traitement.
« Lorsque l’utilisateur interroge son assistant, sa voix transite sur les serveurs du concepteur de l’assistant vocal pour être retranscrite sous forme de texte et interprétée. Ensuite, la réponse formulée par la banque est enregistrée dans le système d’information du concepteur de l’assistant pour être synthétisée. Dès lors, ce dernier peut accéder aux informations qui circulent à travers ses serveurs afin de répondre à l’interrogation formulée par l’utilisateur. Ces informations ne doivent en aucun cas être exploitées par le concepteur de l’assistant pour son propre compte et à des fins qui lui sont propres, dans la mesure où il agit pour le compte de la banque, en tant que sous-traitant. »
Concrètement :
« Le sous-traitant (le concepteur de l’assistant) devra supprimer les réponses fournies par la banque dès lors qu’elles auront été communiquées à l’utilisateur. Cela doit être effectué indépendamment du fait que l’utilisateur supprime ou non son historique d’activités depuis les paramètres du compte utilisateur. »
POUR EN SAVOIR PLUS sur les "bons réflexes préconisés" par la CNIL :
Ils sont en ligne avec le respect du DPbDD :
Entretenir les frictions désirables : Plutôt que de se concentrer sur la mise en œuvre d’une expérience utilisateur absolument sans couture, profiter des moments de frictions (c’est-à-dire des moments de choix, de paramétrages nécessitant l’attention de l’utilisateur) pour présenter la réalité des traitements de données aux utilisateurs de manière adaptée.
→ Respecte les principes DPbDD de transparence : L’information doit être claire, avec une sémantique accessible, contextuelle, pertinente, compréhensible pour le public ciblé, multicanale et granulaire.
Privilégier le local au distant : Autant que faire se peut, mettre en œuvre des modalités et capacités de traitement des données directement dans les dispositifs, ce qui confère à l’utilisateur une bonne maîtrise de celles-ci et constitue un facteur de confiance et d’acceptabilité.
→ Respecte les principes DPbDD d’intégrité et confidentialité :
- Exigences de security by design dès la conception ;
- Sécuriser le stockage des données en évaluant les risques de stockage centralisé ou décentralisé par type de données, et en mettant en place si nécessaire le silotage des données ;
- A chaque étape de traitement, ne donner accès qu’aux attributs de données utiles pour l’opération ;
- Siloter les traitements de données pour éviter qu’un employé puisse accéder à l’ensemble des données d’une personne ;
- Eviter les failles de données et les accès à des personnes non autorisées.
Assurer les moyens de contrôle : permettre à l’utilisateur de comprendre et maîtriser les usages qui sont faits de ses données et de paramétrer le fonctionnement du dispositif selon ses choix.
→ Respecte les principes DPbDD d’équité suivants :
- Respect de l’autonomie la plus élevée de contrôle de la personne sur l’usage de ses données ;
- Facilité d’interaction avec le responsable de traitement pour exercer ses droits ;
- Le traitement doit correspondre aux attentes raisonnables de service de la personne ;
- Libre choix de l’utilisateur qui ne doit pas être enfermé dans un choix propriétaire ;
- Equilibre de pouvoir dans la relation personne responsable de traitement ;
- Pas de transfert de risque de l’entreprise à la personne ;
- Respect des droits fondamentaux de la personne ;
- Donner des informations véridiques sur le traitement.
S'adapter au média vocal : se reposer sur des interfaces exclusivement audio soulève d’importants défis en matière de présentation de l’information à l’utilisateur, de recueil de son consentement ou de mise en œuvre de moyens de contrôle. Il est donc nécessaire de mener une réflexion sur les moyens à déployer.
→ Respecte les principes DPbDD d’équité suivants :
- Non-discrimination, non exploitation des personnes vulnérables ;
- Pas de manipulation de langage ou de design trompeur ;
- Ethique avec respect de la dignité de la personne ;
- Algorithmes justes et intervention humaine capable de limiter les biais des machines.