Face à l’augmentation constante des risques de fraude, de plus en plus d’organisations, notamment des banques et des entreprises de télécommunications, songent à se tourner vers l’empreinte vocale pour authentifier leurs clients. Cette dernière, qui fait partie de la catégorie des données biométriques, est un modèle numérique de la signature vocale d’une personne. On peut donc s’y fier au même titre qu’une empreinte digitale pour identifier ou authentifier une personne. Contrairement aux identifiants traditionnels et aux mots de passe – qui sont de plus en plus sujets à des incidents de confidentialité et donc disponibles aux malfaiteurs – les technologies d’empreinte vocale sont plus fiables puisqu’elles font appel à de l’information biométrique, unique à chaque personne.
Les technologies d’empreintes vocales ne font cependant pas l’unanimité : certains voient ce type d’analyse comme une atteinte à la vie privée, comme le démontre la décision rendue plus tôt cette année par le Commissariat à la protection de la vie privée du Canada (le « Commissariat » ou le « CPVP ») contre Rogers Communications Inc. (« Rogers ») (voir Conclusions en vertu de la LPRPDE no 2022-003).
Les organisations qui ont recours à la biométrie de manière illicite s’exposent à divers risques réglementaires de même qu’à des poursuites en justice; plusieurs actions collectives ont d’ailleurs récemment été intentées dans le district sud de la Californie contre des banques qui utilisaient la reconnaissance vocale pour authentifier des clients, et l’Illinois a rendu sa première décision sur le fond en vertu de l’Illinois Biometric Information Privacy Act, dans un dossier qui concernait l’authentification d’employés par l’entremise de leurs empreintes digitales, sans leur consentement (les plaignants se sont vu accorder 228 M$ US en dommages-intérêts).
Afin d’aider les entreprises à mieux comprendre le contexte juridique dans lequel elles évoluent et à minimiser les risques auxquels elles font face, le présent article résume les conclusions publiées dans l’affaire Rogers et fournit quelques conseils de conformité devant être pris en compte avant de mettre en œuvre un programme d’authentification par empreinte vocale.
La décision Rogers (Conclusions en vertu de la LPRPDE no 2022-003)
Dans l’affaire Rogers, une cliente a déposé une plainte alléguant que l’entreprise de télécommunications l’avait indûment inscrite à son programme d’authentification biométrique Empreinte vocale. Plus précisément, la plaignante a affirmé qu’elle avait refusé de donner son consentement pour qu’on l’inscrive au programme lors d’une discussion téléphonique avec un représentant du service à la clientèle (« RSC »), pour ensuite découvrir lors d’un second appel qu’elle y était tout de même inscrite. Elle a demandé à être désinscrite et à ce que son empreinte vocale soit supprimée, ce que Rogers a fait. Malgré cela, lors d’un troisième appel plusieurs mois plus tard, la cliente a appris qu’elle avait encore une fois été inscrite au programme Empreinte vocale sans son consentement. Rogers l’a donc désinscrite et a supprimé son empreinte vocale une nouvelle fois.
Afin de comprendre comment Rogers avait pu utiliser la reconnaissance vocale à l’insu de la personne concernée, le CPVP s’est penché sur le fonctionnement du programme Empreinte vocale. L’authentification vocale utilise principalement deux technologies : la voix active (répétition d’une « phrase passe » pour qu’un logiciel en fasse l’analyse et crée une empreinte vocale) et la voix passive (exécution en arrière-plan pour créer un modèle algorithmique de la voix et de l’élocution de la personne lors d’un appel). La solution retenue par Rogers, qui lui provient du fournisseur Nuance FreeSpeech, est basée sur la voix passive.
Une fois qu’un client a franchi le système de réponse vocale active de Rogers, répondu à quelques questions (notamment en ce qui concerne l’objet de son appel) et désigné un compte, le système de gestion des appels enclenche un processus de « réglage » afin de recueillir son empreinte vocale. Si aucune empreinte vocale n’est associée à ce client, le RSC a alors l’option de l’inscrire au programme Empreinte vocale (après l’avoir authentifié manuellement). Selon la politique et les documents de formation de Rogers, les RSC doivent expliquer au client en quoi consiste ce programme et obtenir son consentement explicite avant d’enclencher le processus.
Si le client ne souhaite pas y participer, l’empreinte vocale établie lors du « réglage » est supprimée et aucune trace n’en est conservée. À l’inverse, si un client déjà inscrit au programme indique qu’il ne souhaite plus y participer, son empreinte vocale est conservée dans le système de Rogers pour être utilisée « à des fins de sécurité ».
Une fois qu’une empreinte vocale a été associée au compte d’un client, le logiciel peut l’utiliser pour tenter d’authentifier les personnes qui appellent au sujet de ce compte. Lorsque le système établit une correspondance entre une voix et la base de données d’empreintes vocales, il applique un « intervalle de confiance » indiquant le degré de correspondance (« comparaison un à un ») pour que la personne soit authentifiée. Dans le cas d’une réponse négative ou d’une « non-correspondance », le système compare alors la voix avec les empreintes vocales contenues dans une « base de données sur les fraudes » (« comparaison un à plusieurs »), constituée des empreintes vocales d’appelants qui, selon les vérifications effectuées par l’équipe des fraudes de Rogers, se sont illégalement inscrits au programme Empreinte vocale avec le compte d’une autre personne.
Selon la cliente de Rogers, l’entreprise aurait utilisé son programme Empreinte vocale à des fins inappropriées. Elle alléguait en outre que le RSC n’avait pas obtenu son consentement valable pour recueillir et utiliser ses données biométriques vocales, et que Rogers ne disposait pas d’un mécanisme adéquat pour lui permettre de retirer son consentement.
Dans sa décision, le CPVP a reconnu que les fins poursuivies par le programme d’authentification de Rogers étaient raisonnables, mais a souligné que la société avait failli à ses obligations, notamment pour ce qui touche l’obtention d’un consentement valable et éclairé. Les conclusions du Commissariat peuvent être résumées comme suit :
- La sécurisation des comptes et la lutte contre la fraude constituent des fins acceptables : La protection des comptes et la lutte contre la fraude constituaient effectivement des motifs appropriés pour la mise en place d’un programme d’authentification vocale en vertu du paragraphe 5(3) de la LPRPDE. Pour évaluer le caractère raisonnable des agissements de Rogers, le CPVP a appliqué les critères habituellement retenus par la jurisprudence et conclu que : i) l’utilisation d’Empreinte vocale pour renforcer la protection de ses comptes répondait à un besoin légitime et à un intérêt commercial fondamental de Rogers; ii) la solution, dont le taux d’exactitude avait été établi à 99 %, pouvait vraisemblablement mener aux résultats escomptés; iii) l’entreprise n’avait pas accès à des solutions moins invasives qui auraient donné des résultats comparables; et iv) les inconvénients liés à l’atteinte à la vie privée des clients étaient proportionnels aux avantages retirés. Le CPVP a pris soin de noter dans ses observations que les entreprises de télécommunications font face à des menaces spécifiques et que la mauvaise utilisation des comptes des clients peut avoir de graves conséquences.
- Le consentement explicite était requis pour collecter et utiliser les empreintes vocales : le Commissariat conclut que Rogers n’a pas obtenu de consentement valable de la part de ses clients. En effet, un consentement explicite était requis avant le réglage ainsi qu’avant l’inscription, pour les raisons suivantes : i) les empreintes vocales constituent des renseignements biométriques sensibles; et ii) une personne qui appelle Rogers ne s’attendrait raisonnablement pas à ce que sa voix soit enregistrée et utilisée pour en créer une représentation biométrique. Le CPVP mentionne par ailleurs que les avantages potentiels du programme Empreinte vocale ne libéraient pas Rogers de son obligation d’obtenir le consentement explicite de ses clients.
- Transparence : Le Commissariat a également critiqué le manque de rigueur de Rogers, qui n’a pas adéquatement expliqué à ses clients le fonctionnement d’Empreinte vocale et l’option de retrait connexe. L’entreprise se fiait à un message automatisé avisant les appelants que les enregistrements de leur voix pouvaient être utilisés à des fins d’identification, ainsi qu’à une foire aux questions sur son site Web qui expliquait le processus de désinscription. Selon le CPVP, cette approche ne remplissait pas les exigences applicables en ce qui concerne le consentement.
- Suppression des empreintes après le retrait du consentement : En ne supprimant pas immédiatement les empreintes vocales des clients qui se sont désinscrits du programme, Rogers a enfreint la loi. Les enregistrements étaient supposément conservés à des fins de sécurité, mais n’ont jamais été utilisés.
- Formation du personnel : Dans sa décision, le CPVP a indiqué que Rogers n’avait pas adéquatement formé et surveillé ses RSC afin de s’assurer qu’ils respectent les protocoles de consentement appropriés, en plus d’insister sur le fait qu’il était particulièrement important de faire preuve d’une grande rigueur lorsque les clients doivent donner leur consentement verbalement, spécialement lorsque les employés doivent composer avec la pression liée à leur rapidité ou à la satisfaction des clients.
En réponse aux recommandations du Commissariat, Rogers a convenu d’obtenir le consentement explicite de ses clients avant d’amorcer le processus de réglage, de leur indiquer plus clairement qu’ils ont la possibilité de se désinscrire (et de supprimer leur empreinte vocale au moment de la désinscription), de supprimer les empreintes vocales des personnes qui ont demandé à être exclues du programme Empreinte vocale, d’apporter des changements importants à ses documents de procédure et de formation ainsi qu’à la surveillance connexe afin d’assurer la conformité, et de demander aux clients déjà inscrits de confirmer leur consentement lorsqu’ils communiqueront à nouveau avec Rogers.
Conseils de conformité
À la lumière de la décision du CPVP dans l’affaire Rogers et de la jurisprudence en matière de biométrie, nous vous recommandons de tenir compte de ce qui suit si vous envisagez d’utiliser un programme d’authentification par empreinte vocale :
- Impliquez le responsable de la protection des renseignements personnels de votre organisation dès le début du projet.
- Afin d’évaluer le caractère raisonnable de votre programme, procédez à une évaluation des facteurs relatifs à la vie privée basée sur le « Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5 (3) ». Si votre solution de reconnaissance vocale vous est fournie par un tiers, veillez à ce que ce dernier participe au processus.
- Faites preuve de transparence en expliquant clairement à vos clients comment vous comptez créer et utiliser les empreintes vocales, conformément aux Lignes directrices pour l’obtention d’un consentement valable du CPVP.
- Avant de collecter les données biométriques vocales, demandez aux personnes concernées leur consentement explicite, indépendamment de tout autre renseignement.
- Mettez l’accent sur le caractère facultatif de votre programme; les personnes concernées doivent comprendre qu’ils ne perdront pas de services ou ne feront pas l’objet de restrictions/sanctions s’ils n’y adhèrent pas, et avoir facilement l’option de refuser que vous collectiez et utilisiez leurs données biométriques.
- Veillez à ce que les empreintes vocales soient immédiatement supprimées lorsque les personnes concernées en font la demande, à moins que vous en ayez besoin à des fins légitimes (lesquelles doivent être énoncées clairement dans votre politique sur la conservation de l’information).
- Formez adéquatement le personnel qui sera chargé d’inscrire les clients à votre programme de reconnaissance vocale; mettez en place des protocoles clairs et précis en la matière et surveillez la conformité à ces derniers (voir les Conclusions en vertu de la LPRPDE no 2021-004 dans l’affaire Fido).
- Imposez des mesures de sécurité robustes tant au sein de votre organisation qu’auprès de vos fournisseurs.
- Enfin, si vous exercez des activités au Québec et souhaitez utiliser un système de reconnaissance vocale, vous devez le déclarer à la Commission d’accès à l’information avant de le mettre en service conformément aux articles 44 et 45 de la Loi concernant le cadre juridique des technologies de l’information. Consultez notre article sur le sujet pour plus de détails.