Vincent Gautrais

Cassandre Legault est étudiante dans le cadre du cours DRT6929E (Vie privée + numérique)

L’année 2025 a débuté avec des développements majeurs en matière de protection de la vie privée informationnelle, notamment en lien avec Siri, l’assistant virtuel basé sur l’intelligence artificielle conçu par Apple. Le 31 décembre 2024, aux États-Unis, le géant technologique a consenti à un règlement de 95 millions de dollars dans le cadre d’une action collective l’accusant d’avoir collecté, utilisé et communiqué les renseignements personnels des utilisateurs d’appareils Siri sans leur consentement. Parallèlement, une action collective analogue a été déposée contre la filiale canadienne d’Apple devant la Cour supérieure du Québec le 3 janvier 2025.

L’entente de règlement survenue aux États-Unis

L’action collective intentée aux États-Unis alléguait que Siri enregistrait des conversations privées à l’insu des utilisateurs, sans que la commande d’activation « Dis, Siri » ait été prononcée ou qu’un bouton d’activation ait été utilisé. Ces enregistrements auraient été déclenchés par inadvertance, notamment lorsque Siri interprétait à tort des bruits ambiants comme des commandes vocales. Selon la demande, les données ainsi recueillies auraient été utilisées à des fins commerciales et financières pour optimiser les fonctionnalités de reconnaissance vocale de Siri, et divulguées à des sous-traitants tiers, sans que les personnes concernées en soient informées ou y consentent.

En 2019, des informations publiées par le journal The Guardian ont révélé que certains de ces enregistrements contenaient des renseignements particulièrement sensibles, tels que des échanges entre médecins et patients, des accords commerciaux, des transactions potentiellement illégales ou encore des interactions intimes entre partenaires. Selon un lanceur d’alerte, « il y a eu d’innombrables cas d’enregistrements captant des discussions privées […] accompagnés de données utilisateur indiquant la localisation, les coordonnées et les informations de l’application » (notre traduction). Ces enregistrements, enrichis de métadonnées, pouvaient ainsi permettre l’identification indirecte des utilisateurs.

Apple a nié toute faute, affirmant que ces pratiques visaient exclusivement à améliorer les fonctionnalités de Siri et non à construire des profils marketing ni à partager des renseignements avec des tiers à des fins publicitaires. Dans une déclaration publique en date du 8 janvier 2025, l’entreprise a réitéré que

« Apple n’a jamais utilisé les données de Siri à des fins de profilage et de publicité ciblée, et ne les a jamais vendues à qui que ce soit, pour quelque motif que ce soit ».

Afin d’éviter un procès, Apple a néanmoins consenti à un règlement de 95 millions de dollars, représentant environ 20 $ par appareil concerné. Bien que ce règlement ne constitue pas une reconnaissance de culpabilité, il traduit une prise de conscience des responsabilités de l’entreprise en matière de protection des renseignements personnels et souligne la nécessité d’adopter des pratiques plus transparentes et conformes aux attentes raisonnables des consommateurs. Il convient de noter que l’entente de règlement, qui demeure conditionnelle à son approbation par la Cour, est limitée aux appareils achetés sur le territoire américain.

L’action collective intentée au Québec

Indépendamment du règlement conclu aux États-Unis, une action collective identique a été déposée devant la Cour supérieure du Québec le 3 janvier dernier. Cette dernière vise à représenter

« toutes les personnes au Canada qui ont acheté, possédé ou utilisé un dispositif Siri, et les membres de leur foyer, dont les conversations ont été obtenues par Apple et/ou ont été partagées avec des tiers sans leur consentement depuis au moins le 12 octobre 2011 jusqu’à aujourd’hui » (notre traduction).

Outre les allégations selon lesquelles Apple aurait traité les enregistrements audio captés par Siri en violation des lois canadiennes sur la protection des renseignements personnels dans le secteur privé, l’action collective québécoise souligne également le manquement de l’entreprise à ses engagements publics, selon lesquels Siri ne serait activé que par une commande intentionnelle de l’utilisateur.

Enjeux juridiques et principes de protection de la vie privée

Le recours intenté au Québec soulève plusieurs questions juridiques d’intérêt, qui mettent en jeu des principes fondamentaux en matière de protection de la vie privée, notamment :

• L’expectative de vie privée des utilisateurs : La demande allègue que « les [utilisateurs d’appareils Siri] bénéficient d’une expectative légitime de vie privée en ce qui concerne leurs communications confidentielles, en particulier lorsqu’elles se déroulent dans l’intimité de leur domicile » (notre traduction). Cette expectative repose sur des principes juridiques solides ancrés dans le Code civil du Québec, les Chartes canadienne et québécoise des droits et libertés, ainsi que les lois canadiennes sur la protection des renseignements personnels dans le secteur privé. Ces cadres législatifs prohibent explicitement l’interception, l’accès, la divulgation et l’utilisation non autorisés de communications orales et électroniques. La protection de la vie privée conférée ne se limite pas aux lieux privés, puis dépend également du caractère raisonnable et contextuel de l’expectative subjective d’un individu face à une communication. Ainsi, même dans des lieux publics, une conversation à caractère confidentiel peut être protégée. En ce sens, toute collecte ou utilisation non consentie de conversations confidentielles par des dispositifs comme Siri représente une atteinte potentielle au droit à la vie privée des personnes concernées.
• La transparence et le consentement: Les lois canadiennes sur la protection des renseignements personnels imposent aux entreprises qui y sont assujetties d’obtenir un consentement valable à la collecte, l’utilisation et la communication de renseignements personnels. Bien que les exigences spécifiques varient selon les cadres législatifs, les personnes concernées doivent être informées de manière claire et compréhensible du type de renseignements personnels collectés, des finalités de cette collecte et des éventuelles divulgations à des tiers. La forme de consentement appropriée (exprès/opt-in ou implicite/opt-out) varie en fonction des circonstances et de la nature des renseignements personnels concernés. Dans le cas de l’assistant vocal Siri, le consentement exprès de l’utilisateur est considéré comme donné lorsqu’une commande d’activation est prononcée (« Dis, Siri ») ou lorsqu’un bouton de l’appareil est activé manuellement. Ainsi, la demande soutient que « les personnes qui ont acheté ou utilisé des appareils Siri et qui ont interagi avec Siri n’ont pas consenti à ce qu’Apple enregistre ou divulgue des conversations dans lesquelles les mots “Dis, Siri” n’ont pas été prononcés et aucun bouton de l’appareil n’a été activé » (notre traduction). En outre, il est allégué que les enregistrements recueillis ont été utilisés et communiqués à des fins non divulguées aux utilisateurs au moment de la collecte, ce qui constitue une violation supplémentaire des lois en vigueur.
• La limitation de la collecte: Le principe de limitation, enchâssé dans les lois canadiennes sur la protection des renseignements personnels dans le secteur privé, impose aux organisations de restreindre l’utilisation et la divulgation de renseignements personnels à ce qui est nécessaire ou raisonnable pour atteindre les fins pour lesquelles ces renseignements ont été collectés. Ce principe s’applique indépendamment de l’obtention d’un consentement valable ou de l’application d’une exception légale à l’obtention du consentement. Les pratiques alléguées d’Apple en l’espèce, soit l’enregistrement accidentel de conversations sans lien direct avec les finalités déclarées, illustrent une collecte excessive et superflue de renseignements personnels en violation du principe de limitation. La méthode d’Apple a d’ailleurs été qualifiée par le professeur Vincent Gautrais d’« approche Cowboy », caractéristique des entreprises technologiques désireuses de précipiter leur lancement sur le marché au détriment de bonnes pratiques.

En sus, la demande soutient qu’Apple aurait manqué à ses obligations contractuelles en ne respectant pas les garanties qu’elle avait expressément formulées concernant la protection de la vie privée des utilisateurs. L’entreprise aurait assuré, notamment par le biais de publicités et de déclarations publiques, que les appareils Siri n’écoutaient ni n’enregistraient les conversations sans un consentement exprès. Ces garanties auraient été appuyées par des slogans tels que « Respect de la vie privée. C’est ça l’iPhone » et « Ce qui se passe sur votre iPhone reste sur votre iPhone », renforçant ainsi l’expectative légitime de vie privée des utilisateurs.

Conclusion

Les recours intentés contre l’assistant vocal Siri, tant au Québec qu’aux États-Unis, surviennent dans un contexte international marqué par des préoccupations croissantes quant aux pratiques des géants technologiques en matière de respect de la vie privée. En 2023, des entreprises comme Google et Amazon avaient également fait l’objet de litiges similaires.

Dans un environnement marqué par l’essor rapide de l’intelligence artificielle, ces préoccupations revêtent une importance accrue. Bien qu’Apple continue de promouvoir la vie privée comme un « droit fondamental », ces affaires mettent en lumière un paradoxe : dans un monde où les données sont au cœur des modèles économiques, le contrôle individuel des renseignements personnels semble de plus en plus illusoire.

Ce contenu a été mis à jour le 18 janvier 2025 à 11 h 53 min.