Protection des données et analyse des émotions

Publié le 16 janvier 2023 par Me Philippe Ehrenström
Photo de Michelangelo Buonarroti sur Pexels.com

Dans une décision NAIH-85-3/2022 du 08.02.2022, l’autorité hongroise de protection des données (Nemzeti Adatvédelmi és Információszabadság Hatóság ; ci après NAIH) traite de l’utilisation, par une banque, d’un logiciel d’analyse vocale des communications téléphoniques des clients :  

En septembre 2021, la NAIH ouvre donc d’office une enquête contre la Banque B (responsable de traitement) liée à l’utilisation d’un logiciel d’intelligence artificielle (IA) appliqué aux enregistrements audios des conversations téléphoniques du service clientèle.

Le logiciel utilise le traitement du signal vocal pour analyser les périodes de silence, les différentes voix parlant en même temps, les mots clés et les éléments émotionnels (tels que la vitesse, le volume et la hauteur de la voix) au sein des fichiers sonores enregistrés afin d’identifier les situations d’insatisfaction des clients. Il prend ensuite la décision automatisée d’individualiser les différents appels sur cette base, afin qu’un employé puisse écouter les enregistrements, puis rappeler les clients afin de résoudre le problème

La Banque a déclaré que la base juridique de ce traitement était fondée sur l’intérêt légitime (art. 6 let. f RGPD) et que son objectif était de procéder à un contrôle de la qualité des appels, de prévenir les plaintes et la perte de clientèle, ainsi que d’accroître l’efficacité.

[Rappel : selon l’art. 6 let. f RGPD, le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: (…) f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, (…)].

La Banque a déclaré que les clients étaient informés au début des appels qu’ils étaient enregistrés, mais a admis qu’elle ne les avait pas informés que le logiciel d’IA serait utilisé pour analyser les appels, car des informations détaillées rendraient l’introduction aux appels trop longue.

Dans une analyse d’impact sur la protection des données réalisée par le délégué à la protection des données de la Banque B, il est mentionné que:  » La finalité du traitement est licite sur la base des droits des personnes concernées et des intérêts commerciaux de la Banque (…). Le traitement est à haut risque pour plusieurs raisons, notamment la nouveauté de la technologie utilisée, puisque les enregistrements audio sont analysés et les conclusions sont faites automatiquement par l’intelligence artificielle. Les données agrégées se prêtent au profilage ou au scoring pour les deux groupes de personnes concernées [clients et employés], et bien qu’aucune décision automatisée ne soit prise, le traitement des données peut avoir des effets juridiques sur les personnes concernées. Le risque élevé est atténué par le responsable du traitement par des mesures identifiées dans l’analyse d’impact, telles que la prise de décision humaine à la fin du traitement automatisé. L’exercice des droits des personnes concernées est assuré conformément aux pratiques habituelles. »

La NAIH établit d’abord que le logiciel traitait des données à caractère personnel (art. 4 ch. 1 RGPD) puisque la personne concernée était identifiable dans le cadre de ce traitement. Les  appels au service clientèle se voient en effet attribuer un numéro d’identification interne unique qui peut être lié à la fois à l’appelant et à l’employé. Selon la NAIH, ce traitement est analogue à la jurisprudence de la Cour de justice de l’Union européenne C-582/14, qui a établi que les adresses IP dynamiques sont des données à caractère personnel.

La NAIH considère que l’utilisation de l’IA pour identifier des états émotionnels devrait être considérée comme un traitement de nature sensible au sens de l’art. 9 (1) RGPD. Toutefois, dans le cas d’espèce, elle relève que l’analyse de la voix ne produisait pas de données permettant d’identifier de manière unique une personne concernée – et ne pouvait donc pas être considérée comme une donnée biométrique, et en raison du fait qu’aucune déduction significative quant à l’état de santé physique ou mental de la personne concernée ne pouvait être tirée du résultat du traitement (art. 4 ch. 14 RGPD).

La NAIH estime que l’utilisation du logiciel s’accompagne d’une prise de décision automatisée, étant donné qu’il n’est pas nécessaire que le logiciel prenne lui-même la décision, et qu’il suffit que le traitement vise à produire un résultat qui influence les décideurs. Il y a aussi profilage au sens de l’art. 4 ch. 4 RGPD, puisque la hiérarchisation des clients mécontents sur la base de mots-clés et d’émotions implique l’évaluation des aspects personnels cités dans cette disposition.

Sur cette base, et compte tenu du fait qu’il s’agit d’une nouvelle technologie, la NAIH a noté que le traitement a créé des risques accrus pour les droits fondamentaux, ce qui implique également des responsabilités accrues pour le contrôleur. Par conséquent, la NAIH a estimé qu’avant de déployer l’analyse vocale automatisée utilisant l’IA émotionnelle, la Banque aurait dû évaluer si le traitement était réalisable dans les circonstances techniques et sociales actuelles, et prendre en considération les garanties appropriées pour se conformer aux lois sur la protection des données et au principe de protection des données dès la conception. Sur la base de ces considérations, le NAIH a estimé que le manquement de la Banque à ces obligations constituait une violation des articles 24(1), 25(1) et 25(2) RGPD.

Le NAIH a noté qu’aucune information n’a été donnée aux personnes concernées concernant l’analyse vocale, en particulier sur les types spécifiques de données traitées, ainsi que sur la manière dont leurs réactions émotionnelles ont été traitées et évaluées.

En outre, l’absence d’informations fournies aux personnes concernées concernant leur droit d’opposition entraînait une violation de l’article 21 RGPD. Le traitement à des fins de fidélisation de la clientèle constituant aussi une finalité de marketing similaire à l’acquisition de clientèle, la Banque avait également violé le droit d’opposition des personnes concernées au sens de 21 (2) RGPD.

Quant à la balance des intérêts et à la licéité du traitement (art. 6 let. f RGPD), la Banque n’avait fourni aucune preuve concrète qu’elle avait procédé à une mise en balance adéquate des intérêts entre son prétendu intérêt légitime à effectuer le traitement et les droits des personnes concernées. Par ailleurs, selon la documentation technique fournie par la Banque, l’efficacité du logiciel d’analyse des émotions était relativement faible. La  Banque n’a pas démontré que, dans sa forme actuelle, son utilisation était apte à atteindre les objectifs proposés d’une manière proportionnée à l’atteinte des droits des personnes concernées. La Banque n’avait pas davantage démontré que des alternatives à ce traitement avaient été envisagées.

La NAIH cite également cité l’avis conjoint 5/2021 du Comité européen de protection des données et du Contrôleur européen de la protection des données sur la loi relative à l’intelligence artificielle, qui stipule que « l’utilisation de l’IA pour déduire les émotions d’une personne physique est hautement indésirable et devrait être interdite, sauf dans certains cas d’utilisation bien spécifiés, à savoir à des fins de santé ou de recherche. » Sur la base de ces critères, la NAIH considère que les objectifs d’efficacité avancés par la Banque n’étaient pas proportionnés pour justifier l’utilisation d’une forme de traitement des données que les organes de protection des données de l’UE ont jugée indésirable et qui constitue un risque élevé pour les droits fondamentaux des personnes concernées.

La NAIH a également noté que les voix des clients de la Banque n’étaient pas les seules à être analysées, mais également celles de ses employés. La NAIH a déclaré que bien que le suivi des performances et l’assurance qualité puissent donner lieu à des intérêts légitimes dans certaines circonstances selon le droit du travail, la question de l’adéquation et de la proportionnalité était également pertinente en l’espèce, notamment parce que les employés se trouvent dans une position vulnérable dans le contexte d’une relation de travail. La NAIH a établi que ces facteurs n’avaient pas été pris en compte en raison du fait que la Banque n’avait pas procédé à une pesée adéquate des intérêts et qu’un système de garanties adéquat n’avait pas été prévu pour les employés.

Par conséquent, le NAIH a estimé que la banque ne pouvait pas invoquer l’intérêt légitime comme base juridique ou toute autre base juridique selon l’art. 6 (1) RGPD.

Appréciation :

(Présentation et traduction de la décision : https://gdprhub.eu/index.php?title=NAIH_(Hungary)_-_NAIH-85-3/2022&mtc=today)

La décision est intéressante pour les ressources humaines, qui seraient tentées, par exemple, d’utiliser le même genre d’outil (analyse vocale) dans des processus de recrutement.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s