TV connectées espionnes : qu’en pense la CNIL ?

0

Comme nous avons pu le montrer aux travers de nos divers articles, l’utilisation de la TV connectée pose beaucoup de problème de respect de la vie privée, y compris pour vos propres fichiers, parfois stockés dans le Cloud. Est-ce bien légal ? Faut-il se méfier de sa télévision ? Pour en savoir plus, rencontre avec Gwendal Le Grand, Chef du service de l’expertise informatique à la CNIL.

Ere-numérique : En novembre dernier, LG faisait les gros titres des journaux spécialisés à cause de fait d’ « espionnage » de ses clients TV connectées. Pourtant la collecte de donnée est explicitement écrite dans les EUA (end user agreement) des constructeurs. Est-ce que la collecte de données anonyme est vraiment légale en France ?

GLeGrand2.JPGGwendal Le Grand : En ce qui concerne le cas LG, le problème n’était pas tant la collecte de donnée, qui est légale si elle reste dans le cadre strict du consentement de l’utilisateur, mais bien l’activation de cette fonction par défaut et surtout le fait que, même lorsque la fonction est à l’arrêt, le téléviseur envoyait des données au constructeur via sa connexion réseau.

Ere-numérique : C’est-à-dire ?

Gwendal Le Grand : Même si l’option est désactivée, la TV envoyait quand même des infos comme la chaine TV regardée mais aussi le nom des fichiers présents sur les clés USB connectées à la TV. C’est ce qui apparaissait sur les échanges réseaux qui ont été publiés. Cela étant, le service vers lequel les informations étaient renvoyées n’était pas actif, car une sollicitation du serveur montrait qu’il n’était pas opérationnel (erreur 404).

Ere-numérique : La collecte des informations n’est pas exhaustive.

Gwendal Le Grand : Non, tout dépend de votre installation. Si la TV n’est pas connectée en réseau, mais via les box, alors, la box gère les chaines et le constructeur de la TV n’est pas au courant de la chaîne que vous regardez. Idem pour certaines applications dont le contenu n’est pas géré directement par LG. Dans ce cas, aucune information n’est remontée vers le constructeur, par exemple. (c’est le cas par exemple de l’app BBC, NDLR)

Ere-numérique : tout de même, c’est très intrusif

Gwendal Le Grand : En matière de suivi des habitudes de consommations télévisuelles, les principes de protection de la vie privée doivent être respectés. Un suivi peut être opéré avec le consentement de l’utilisateur par exemple. De nombreux services se développent avec les nouvelles télévisions et nous sommes très vigilants. On voit par exemple apparaitre des services de reconnaissance faciale (disponible sur certains téléviseurs pour customiser le menu d’accueil, NDLR) sur certains téléviseurs ou consoles de jeux. Notre constat est assez alarmant : les utilisateurs cèdent généralement beaucoup d’informations personnelles pour un gain de confort qui n’est pas toujours évident.

Ere-numérique : et que dire de la surveillance des chaines regardées ? Après tout, il suffit de suivre twitter pour savoir qui regarde quoi.

Gwendal Le Grand : Sur la partie TV, le législateur a été très clair en France, le choix d’une chaine de télévision et des programmes regardés relève du secret d’après l’article 3 de la loi de communication audiovisuel du 30 sept. 1986 ; ce secret ne peut être levé sans l’accord des personnes.

Ere-numérique : C’est vrai pour la télé, mais la collecte de donnée à des fins publicitaires est largement acceptée sur les navigateurs internet. Pourquoi une telle polémique sur les télévisions ?

Gwendal Le Grand : Sur les navigateurs internet, il y a beaucoup de discussions. On a beaucoup travaillé sur une évolution du cadre juridique intervenue au niveau européen en 2009. En effet, avant cela, le principe était un principe d’information du consommateur et de droit d’opposition à la publicité comportementale. Charge à l’utilisateur de réagir. Depuis 2009, une directive européenne, qui a été depuis transposée en droit français, impose un principe d’information et d’accord préalable. Ce qui n’est pas du tout la même chose ! (Art. 32-2, loi informatique et Libertés, NDLR).

Ere-numérique : Pourtant, sur mon PC, il y a toujours plein de cookies et je n’ai rien demandé…

Gwendal Le Grand : En effet, c’est un vrai souci et on travaille régulièrement avec les professionnels du secteur pour les aider à appliquer les règles. La surveillance des habitudes de consommation de contenu numérique sur ordinateur est souvent perçue comme étant acceptée par les utilisateurs car elle est opaque. La CNIL a publié une recommandation et des fiches pratiques en décembre 2013 pour expliquer à l’ensemble des acteurs comment se conformer à la législation.

Ere-numérique : des recommandations ?

Gwendal Le Grand : Ces recommandations ont pour but d’aider les éditeurs de site web à se conformer à la loi. Elles détaillent les cas pour lesquelles il est nécessaire de recueillir le consentement de l’utilisateur avant le dépôt et la lecture d’informations sur son navigateur. Plus généralement, lors de la publication de ces recommandations, la CNIL a aussi publié :

– Un outil permettant aux utilisateurs de mieux prendre conscience de l’ampleur de la collecte d’informations le concernant lors de sa navigation

– Du code à destination des éditeurs de site pour permettre facilement de respecter les recommandations de la CNIL

– Une liste d’outils permettant aux utilisateurs de bloquer les cookies ou les publicités

– Une vidéo pédagogique pour permettre de mieux comprendre ce qu’est un cookie

Nous recommandons aux utilisateurs d’être vigilants et de donner un consentement quand ils le jugent utile.

Ere-numérique : il y a déjà un an, nous mettions en garde dans nos articles contre la collecte, la revente de données via des services de TV connectées, mais aussi contre la prise de contrôle du contenu des utilisateurs par les fabricants de TV connectées. Qu’en pensez-vous ?

Gwendal Le Grand : Nous avons regardé les extraits de contrats utilisateurs que vous nous avez transmis. Evidemment, étant donné qu’il s’agit uniquement d’extraits, on ne peut vraiment pas se prononcer sans risque d’erreur. On peut toutefois faire certaines observations :

amazon.JPGcontrat.JPGcontrat0.JPGcontrat1.JPGcontrat2.JPG

Pour Samsung, on peut dire que :

On est bien informés du recours au sous-traitant Amazon, en Irlande (à cet égard voir par exemple les conseils de la CNIL sur le cloud computing.

Samsung précise que les données peuvent être utilisées à des fins publicitaires et qu’il y a des moyens de s’opposer (on ne voit pas lesquels à l’écran). Si cela relève du régime d’opt-out, c’est-à-dire d’opposition (dans le cas d’envoi de prospection pour des produits ou services analogues par exemple), que les options existent vraiment et qu’elles sont conviviales, ça va. Si la publicité nécessite un consentement (dans le cas de publicité ciblée, cf. reco cookies et autres traceurs), c’est plus compliqué.

accepter.JPGconfidentialite.JPGcontenu.JPGcookie.JPG

Pour Philips, ils sont transparents sur la création d’un profil en fonction de ce qui a été vu et a priori de la transmission de données à des partenaires. Vu que la constitution de ce profil est basé sur un cookie, il faut un consentement (un opt-out est prévu). Comme indiqué dans la recommandation, les CGU ne sont pas une modalité satisfaisante de recueil du consentement. Il faudrait voir la cinématique pour voir si en l’espèce ce ne serait pas satisfaisant.

Ere-numérique : Si je refuse cette pratique, je perds bien souvent ma fonction TV connectée. Puis-je alors retourner l’appareil auprès du vendeur ?

Gwendal Le Grand : Ce n’est pas une question qui relève du domaine de compétence de la CNIL, nous ne pouvons pas répondre sur ce point.

Ere-numérique : Chez Sony, nous avons trouvé des contrats très alarmants, avec par exemple le droit pour Sony de revendre les fichiers des utilisateurs (je ne parle pas des données collectées anonymement, mais bien des fichiers, photos, vidéos, etc.) Qu’en pense la CNIL ?

Gwendal Le Grand : C’est un problème connu et on peut faire un parallèle avec les réseaux sociaux. On peut citer par exemple le cas du changement de licence utilisateur d’Instagram qui avait fait grand bruit à l’époque. Quel que soit le média utilisé, un utilisateur doit être informé et pouvoir contrôler ses données. Il faut lire avant tout les contrats qui vous lient à ces fabricants d’appareils et si le contrat ne vous convient pas, surtout ne le signez pas. Il faut pouvoir contrôler l’utilisation de ses données, c’est particulièrement vrai pour les applications Cloud.

Ere-numérique : justement, beaucoup de télé offrent un service de stockage en ligne, via le Cloud. Samsung utilise par exemple Amazon pour le stockage des données et fichiers des clients et ça sera donc en Irlande. On précise que par contrat, c’est la loi Informatique et Liberté irlandaise qui s’applique. Quelle différence avec notre loi informatique et liberté ?

Gwendal Le Grand : Les deux sont basés sur un même texte de 1995, qui est une directive européenne d’harmonisation minimale. Cette directive est transposée en droit national dans les états membres et il existe donc, sur la base de ce dénominateur commun, des spécificités dans les lois nationales. Les principes de base se trouvent donc dans toutes les lois nationales européennes et ce qui garantit un niveau de protection à la personne concernée. De plus, début 2012, la Commission européenne a proposé une modernisation du cadre juridique européen. Il s’agit d’un projet de règlement européen sur la protection des données à caractère personnel, négocié à Bruxelles, qui viendrait remplacer la directive de 1995.

Noter cet article

Laisser un commentaire

Please enter your comment!
Please enter your name here