Décision 2023−431−0018 de l’Autorité de protec­tion des données danoise du 27 juin 2024 (unique­ment en danois)

IDA Forsikring est une compa­gnie d’assurance danoise. Elle décide de doter son call center d’un logi­ciel d’intelligence arti­fi­cielle (IA) dans le but d’amé­lio­rer la qualité du service client, de four­nir un retour d’in­for­ma­tion aux employés sur leurs inter­ac­tions et de permettre une meilleure gestion des ques­tions fréquentes.

Lors d’appels entrants, le logi­ciel permet d’ana­ly­ser si un employé suit un stan­dard prédé­fini de service, en véri­fiant l’usage de mots-clés posi­tifs et une struc­ture formelle (salu­ta­tions, fin de conver­sa­tion polie). Le logi­ciel attri­bue ensuite un score indi­ca­tif de qualité basé sur ces critères, afin d’ai­der l’employé à s’améliorer.

De plus, l’analyse des appels permet au logi­ciel de créer des statis­tiques sur le nombre de demandes concer­nant des sujets spéci­fiques. Ces données statis­tiques permettent de mieux comprendre le compor­te­ment des clients et d’adapter en consé­quence les services et le marke­ting d’IDA Forsikring, par exemple en modi­fiant le contenu de sa news­let­ter en fonc­tion des inté­rêts actuels des clients.

Les fichiers audio des enre­gis­tre­ments sont analy­sés et conver­tis en texte par un sous-trai­tant. Celui-ci utilise un logi­ciel de recon­nais­sance vocale qu’il a lui-même déve­loppé et opti­misé. Selon les affir­ma­tions du sous-trai­tant, les enre­gis­tre­ments des conver­sa­tions ne sont pas utili­sés pour entraî­ner le logi­ciel. L’enregistrement est conservé 5 ans.

Ce trai­te­ment des données a attiré l’attention des médias, ce qui a conduit l’Autorité danoise de protec­tion des données (Datatilsynet) à ouvrir une procé­dure d’en­quête. Selon les conclu­sions de l’Autorité, IDA Forsikring peut, dans le cadre des règles de protec­tion des données, enre­gis­trer et analy­ser les appels télé­pho­niques entrants. De manière géné­rale, le trai­te­ment opéré repose sur un fonde­ment juri­dique valable et IDA Forsikring a correc­te­ment informé tant les assu­rés que ses employés des trai­te­ments de données accom­plis. Cependant, l’Autorité estime que le proces­sus d’ob­ten­tion du consen­te­ment des assu­rés qui appellent doit être revu pour leur permettre de distin­guer les diffé­rentes fina­li­tés auxquelles ils consentent.

Analyse de l’Autorité de protec­tion des données danoise

À titre préli­mi­naire, l’Autorité danoise de protec­tion des données retient que le logi­ciel d’IA n’est pas utilisé pour accom­plir des acti­vi­tés de profi­lage. L’objectif du trai­te­ment n’est pas d’acquérir des connais­sances sur des assu­rés ou sur des employés spéci­fiques. C’est la conver­sa­tion qui fait l’objet des enre­gis­tre­ments et des analyses, et non les personnes. De même, le système n’analyse pas le ton de la voix, le sexe ou les dialectes parlés.

S’agissant du trai­te­ment des données des employés, l’Autorité de protec­tion des données danoise relève que les données qui sont récol­tées sont prin­ci­pa­le­ment le nom, l’adresse mail profes­sion­nelle, la voix et, éven­tuel­le­ment, d’autres données person­nelles issues du dialogue avec assu­rés. Les employés sont infor­més de l’enregistrement des conver­sa­tions lors de l’entretien d’embauche et reçoivent par la suite une forma­tion sur la manière d’utiliser le logi­ciel et la façon dont il fonc­tionne. IDA Forsikring indique que le fonde­ment juri­dique au trai­te­ment des données de ses employés au moyen du logi­ciel repose sur son inté­rêt légi­time au sens de l’art. 6 par. 1 let f. RGPD. L’Autorité de protec­tion des données danoise n’y voit rien à redire.

S’agissant des assu­rés, les données person­nelles collec­tées au cours de l’appel incluent géné­ra­le­ment la voix, le nom, l’adresse, le numéro de télé­phone, l’adresse e‑mail, les coor­don­nées bancaires (numéro d’enregistrement et numéro de compte), les infor­ma­tions sala­riales et l’adhésion à IDA Forsikring. Des infor­ma­tions sur l’état de santé peuvent égale­ment être incluses si elles sont perti­nentes pour l’assurance ou en cas de litige. De plus, le numéro d’iden­ti­fi­ca­tion person­nelle peut être commu­ni­qué à des fins d’identification.

Lors de chaque appel, le message d’accueil ci-dessous informe l’assuré du trai­te­ment de ses données :

« Nous souhai­tons enre­gis­trer cette conver­sa­tion pour amélio­rer notre service aux assu­rés et à des fins de docu­men­ta­tion. L’enregistrement est conservé pendant 5 ans et est auto­ma­ti­que­ment retrans­crit par écrit afin que nous puis­sions, par exemple, établir des statis­tiques sur les sujets abor­dés lors des appels. Pour plus d’informations, veuillez consul­ter notre poli­tique de confi­den­tia­lité sur idafor​si​kring​.dk. Pour donner votre accord, appuyez sur 1, sinon veuillez patien­ter. Si vous souhai­tez reti­rer votre consen­te­ment ulté­rieu­re­ment, vous pouvez rappe­ler et deman­der la suppres­sion de l’enregistrement. »

IDA Forsikring indique que le fonde­ment juri­dique au trai­te­ment des données des assu­rés au moyen du logi­ciel repose sur leur consen­te­ment au sens des arts. 6 par. 1 let a RGPD et 9 par. 2 let. a RGPD pour les données sensibles. Cet élément est toute­fois partiel­le­ment remis en ques­tion par l’Autorité de protec­tion des données danoise.

L’Autorité rappelle que, pour être valide, un consen­te­ment doit être volon­taire, spéci­fique, informé et expri­mer une mani­fes­ta­tion de volonté non équi­voque, confor­mé­ment à l’art. 4 par. 11 et à l’art. 7 RGPD. Un consen­te­ment n’est pas volon­taire si la personne concer­née n’a pas de véri­table choix. De l’avis de l’Autorité, cela implique, par exemple, que la procé­dure de consen­te­ment doit permettre à la personne concer­née de donner un consen­te­ment distinct pour diffé­rents objec­tifs. Le consen­te­ment doit donc être granu­laire. Or l’Autorité constate qu’IDA Forsikring ne collecte qu’un seul consen­te­ment global pour les trois objec­tifs (docu­men­ta­tion, contrôle de la qualité et statis­tiques). La personne n’a donc pas la possi­bi­lité de choi­sir les fina­li­tés pour lesquelles elle consent. Du point de vue de l’Autorité de protec­tion des données danoise, cette situa­tion ne répond pas aux exigences d’un consen­te­ment valide.

Appréciation

L’examen mené par l’Autorité danoise de protec­tion des données reste rela­ti­ve­ment succinct. Il se garde, en parti­cu­lier, d’analyser la rela­tion entre IDA Forsikring et son sous-trai­tant, qui n’est d’ailleurs même pas mentionné expli­ci­te­ment. Tout ce que l’on sait à ce sujet, c’est que ce dernier affirme ne pas utili­ser les données d’IDA Forsikring pour amélio­rer son logi­ciel. Toutefois, rien n’indique que l’Autorité ait elle-même entre­pris des inves­ti­ga­tions pour véri­fier cette affir­ma­tion. Un autre point qui n’est pas abordé concerne la collecte de données poten­tiel­le­ment sensibles lors des échanges télé­pho­niques. Bien que l’Autorité relève qu’une telle collecte soit possible, elle ne tire aucune conclu­sion de cette possibilité.

Parmi les éléments inté­res­sants, on retient néan­moins la remarque préli­mi­naire de l’Autorité selon laquelle le logi­ciel d’IA n’est pas utilisé ici pour accom­plir des acti­vi­tés de profi­lage visant à acqué­rir des connais­sances sur des assu­rés ou sur des employés spéci­fiques, mais se concentre sur l’analyse des conver­sa­tions en tant que telles. Bien que des préci­sions supplé­men­taires auraient été utiles pour appuyer davan­tage cette affir­ma­tion, elle souligne un point impor­tant : lors de l’exa­men de l’uti­li­sa­tion de logi­ciels d’IA, toutes les utili­sa­tions poten­tielles ne doivent pas néces­sai­re­ment être évaluées, seules celles qui sont réel­le­ment mises en œuvre doivent l’être.

Cela laisse entendre que l’ana­lyse des trai­te­ments réali­sés doit s’ap­puyer sur leur contexte spéci­fique, sans présu­mer des inten­tions du respon­sable du trai­te­ment ou des capa­ci­tés éven­tuel­le­ment plus larges du logi­ciel d’IA. En l’espèce, il aurait toute­fois été perti­nent de la part de l’Autorité d’ex­plo­rer plus en détail le fonc­tion­ne­ment du logi­ciel et les garan­ties mises en place pour s’as­su­rer que les trai­te­ments accom­plis se limitent dans les faits à ce qui est annoncé et ne dérivent pas vers une forme de profi­lage ou de surveillance non souhaitée.

Si l’on s’attarde sur le trai­te­ment des données des employés, l’employeur peut effec­ti­ve­ment invo­quer son inté­rêt légi­time pour enre­gis­trer une conver­sa­tion télé­pho­nique, notam­ment dans le cadre du contrôle des pres­ta­tions ou pour des raisons de sécu­rité, mais géné­ra­le­ment pas pour surveiller ses employés. La fron­tière entre les deux étant mince, il est essen­tiel de mettre en place des garde-fous pour garan­tir la trans­pa­rence requise et préve­nir toute utili­sa­tion abusive des données. Dans le cas présent, le simple fait d’informer les employés lors de l’entretien d’embauche et de propo­ser une forma­tion sur le logi­ciel peut sembler insuf­fi­sant. Un employeur qui envi­sage d’enregistrer les conver­sa­tions télé­pho­niques de ses employés devrait inté­grer ces pratiques dans le règle­ment interne du person­nel en expli­quant clai­re­ment et en détail les fina­li­tés pour lesquelles les données collec­tées peuvent être utilisées.

Concernant la situa­tion des assu­rés, le message d’accueil en début d’appel remplit globa­le­ment l’obligation d’information prévue par le RGPD. Il mentionne le trai­te­ment (enre­gis­tre­ment et trans­crip­tion) et les fina­li­tés (amélio­ra­tion du service et docu­men­ta­tion). Il reste, certes, assez géné­ral, mais cela corres­pond à la nature d’un message vocal et le renvoi à la poli­tique de confi­den­tia­lité d’IDA Forsikring permet à la personne concer­née qui le souhaite d’aller recher­cher les infor­ma­tions complé­men­taires dont elle aurait besoin. En cas de doute tenace et à suppo­ser que la personne concer­née n’ait pas le temps de raccro­cher pour vite aller regar­der la poli­tique de confi­den­tia­lité d’IDA Forsikring avant de rappe­ler, il lui reste toujours la possi­bi­lité de ne pas donner son consen­te­ment au trai­te­ment de ses données.

En deman­dant à l’appelant « d’appuyer sur 1 » pour consen­tir à l’enregistrement et au trai­te­ment de la conver­sa­tion, IDA Forsikring applique, en effet, à la lettre l’exigence d’un consen­te­ment actif (système d’opt-in). L’Autorité de protec­tion des données danoise aurait néan­moins souhaité en plus la possi­bi­lité d’un consen­te­ment plus granu­laire. De notre point de vue, une telle exigence se justi­fie surtout en présence de fina­li­tés diffé­rentes et incom­pa­tibles entre elles.

En appli­ca­tion de l’art. 6 par. 4 RGPD, des fina­li­tés diffé­rentes mais qui sont étroi­te­ment liées peuvent s’appuyer sur un même fonde­ment juri­dique tant qu’elles s’inscrivent dans un même contexte et qu’elles ne créent pas d’atteintes distinctes dans les droits et les liber­tés des personnes concer­nées. Dans le cas d’IDA Forsikring, on peut raison­na­ble­ment penser que les fina­li­tés d’amé­lio­ra­tion du service, de docu­men­ta­tion et de statis­tiques sont suffi­sam­ment liées entre elles du point de vue de l’appelant pour ne consti­tuer qu’une seule fina­lité globale unique. Dans ces condi­tions, un consen­te­ment unique pour­rait s’avérer suffi­sant, attendu que si l’appelant n’est pas d’accord avec ce trai­te­ment il conserve la possi­bi­lité de le refu­ser égale­ment de façon globale. Imposer un consen­te­ment granu­laire dans un cas comme celui-ci risque­rait davan­tage de créer de la confu­sion plutôt que de consti­tuer une réelle garan­tie supplémentaire.

Dernier point à rele­ver : la durée de conser­va­tion des enre­gis­tre­ments de 5 ans. Une telle durée de conser­va­tion semble de prime abord dispro­por­tion­née, si on consi­dère que le contenu essen­tiel des enre­gis­tre­ments fait immé­dia­te­ment l’objet d’une retrans­crip­tion par écrit. Il est éton­nant que l’Autorité de protec­tion des données danoise n’ait pas cher­ché à ques­tion­ner cette durée plus en avant.