Selon le magazine Bloomberg, Amazon emploierait des personnes pour examiner certaines conversations des utilisateurs de l’assistant intelligent « Alexa ».

Décryptage par Céline Castets-Renard, professeur de droit à Université Toulouse Capitole, membre junior de l’Institut Universitaire de France (IUF), co-directrice de l’IRDEIC – Centre d’Excellence Jean Monnet (CEJM), co-directrice du Master droit du numérique

« Pour l’instant, le recours à l’intelligence artificielle ne fait pas l’objet d’une réglementation. »

En quoi consiste le flou juridique qui entoure l’assistant intelligent « Alexa » ?

Il faut resituer les choses du point de vue du droit et de la territorialité ainsi que de l’origine de ces outils qui viennent d’entreprises technologiques américaines. La législation américaine est bien différente. On entend beaucoup de choses dans les médias. Il n’y a pas nécessairement de flou juridique en France. En revanche aux États-Unis, une grande liberté règne.

Plusieurs problématiques se posent. Tout d’abord, la collecte des données personnelles est ce qui inquiète. En droit américain, les législations sont spécifiques et sectorielles. Pour cette activité, il n’y a pas de loi fédérale qui contrôle la collecte des données personnelles. Ce n’est pas vraiment un flou juridique mais une insuffisance par rapport à la captation de données par cet assistant. En France, la situation est différente. La loi protège les données personnelles depuis 1978 et dans l’Union européenne depuis 1995 (directive 95/46/CE), récemment modifiée par le règlement européen de protection des données (dit RGPD) (règlement 2016/679/UE). Ces textes ont vocation à s’appliquer aux assistants intelligents.

Un deuxième aspect concerne le traitement intelligent, l’intelligence artificielle qui gouverne le fonctionnement de ces outils. Pour l’instant, le recours à l’intelligence artificielle ne fait pas l’objet d’une réglementation. On peut alors parler de flou ou vide juridique. Peut seulement être cité l’article 22 du Règlement général sur la protection des données (RGPD) qui confère un droit à ne pas faire l’objet d’un traitement automatisé, mais il est assorti d’exceptions, dans l’hypothèse notamment où un consentement explicite a été obtenu ou encore si un contrat a été conclu, ce qui est le cas lors de l’achat de l’objet intelligent. En cas de conclusion d’un contrat de vente d’un assistant intelligent, on peut probablement considérer que la collecte des données personnelles est autorisée.

Par ailleurs, la Commission européenne a publié en avril 2018 une Communication sur l’Intelligence artificielle pour l’Europe. Cette Communication est un document politique qui n’a pas de valeur obligatoire. Le 8 avril 2019, la Commission européenne a publié une deuxième Communication, ainsi que des lignes directrices sur des principes éthiques de l’intelligence artificielle, afin de générer la confiance dans l’utilisation de l’intelligence artificielle. Pour l’instant, ces normes ne sont pas obligatoires et la soft law est donc privilégiée. Il s’agit essentiellement de principes généraux destinés à encadrer l’utilisation loyale et responsable de ce genre d’outil.

Certains employés auraient eu accès à des conversations privées. Cela peut-il être considéré comme une violation de la vie privée ?

Une des questions posées par l’intelligence artificielle est l’accès à des données. Plus il y a de données, plus il y a d’informations, d’interactions avec les humains, plus la machine s’améliore. Les conversations, interactions avec la machine peuvent être enregistrées à des fins d’entraînement du système. Cela porte-t-il atteinte à la vie privée ? Oui, mais c’est ainsi que le système fonctionne. Le sociologue Antonio Casilli a mis en valeur dans ses travaux la place de l’homme pour entraîner les machines. Des humains sont employés pour entrainer les machines (« digital labor »). Cela permet leur développement et leur amélioration.

L’intelligence artificielle a besoin de données pour être entrainée, en particulier de données personnelles. Cependant, les données collectées ne sont pas nécessairement des données personnelles et les données non personnelles peuvent au contraire circuler librement dans l’Union européenne sur le fondement du Règlement (UE) 2018/1807 du Parlement européen et du Conseil adopté le 14 novembre 2018.

Enfin, l’enregistrement des conversations personnelles n’est pas nécessairement une activité de surveillance des individus et les données peuvent d’ailleurs être anonymisées, ce qui permet de sortir du champ d’application de la règlementation sur les données personnelles. Dans cette hypothèse, les données sont conservées uniquement pour entraîner le système.

Amazon pourrait-il être poursuivi ?

Amazon pourrait être poursuivi sur le fondement de la violation de la vie privée (art 9 du Code civil) et éventuellement sur la violation des données personnelles sur le fondement de la loi de 1978 modifiée en juin 2018. Il faudrait cependant considérer aussi le contrat conclu avec Amazon dans l’achat d’un agent intelligent Alexa et l’information communiquée sur la collecte et le traitement des données personnelles. Dans le RGPD, comme dans la loi française, de nombreuses dérogations à la protection existent, dès lors que la personne a donné un consentement exprès et non ambigu. En achetant ce genre d’outils, le consentement a été donné, mais encore faut-il qu’il soit explicite, librement donné et séparé du consentement au contrat de vente lui-même. Il faudrait donc considérer dans le détail le contrat et les conditions de collecte du consentement à l’utilisation des données pour voir comment ce consentement peut s’inscrire dans le cadre légal. Il faut aussi se demander quel est le détail de l’information donnée et dans quelle mesure la personne est informée de ce qui est collecté.

Il est possible aussi que les informations collectées en Europe ne soient pas les mêmes qu’aux États-Unis. Aux États-Unis, dans la mesure où la règlementation est plus permissive, la collecte des données peut être plus ample. De manière générale, dans l’Union européenne, les entreprises américaines de technologie seront un peu plus prudentes car elles ont bien conscience d’être soumises au respect du RGPD.

Pour aller plus loin :

 

Par Céline Castets-Renard.