Apple accepte une transaction pour violation de confidentialité par Siri

^{Les opinions exprimées par l’auteur sont personnelles et n’engagent pas la Cour de justice de l’Union européenne.}

Par un accord de transaction préalable établi entre les plaignants et Apple Inc., ce dernier a accepté de s’acquitter d’une somme totale de 95 millions de dollars envers un fonds de dédommagement des consommateurs ayant été victimes de la violation de la confidentialité par l’agent conversationnel Siri.

La présente affaire, Lopez et al. v. Apple Inc.¹, découle d’une plainte initiale introduite par deux plaignants principaux, dont l’un agissant en tant que représentant de son enfant mineur, qui s’est transformée en action groupée pour l’alléguée violation par Apple des lois californiennes relatives, entre autres, à l’atteinte à la vie privée (California Invasion of Privacy Act) et à la concurrence déloyale (California Unfair Competition Law), ainsi que pour la violation de la loi relative aux recours juridiques pour les consommateurs (California Consumers Legal Remedies Act).

À cet égard, par leur recours introduit devant le tribunal du district nord de la Californie le 7 août 2019², les plaignants reprochaient à Apple des failles dans l’exploitation de l’agent conversationnel Siri, avec lequel le dialogue automatisé pouvait être amorcé par la locution « Hey Siri ». Il aurait été constaté que, sur une multitude d’appareils de la marque Apple équipés de cette fonctionnalité, Siri pouvait être déclenché par inadvertance, notamment par des sons pouvant s’apparenter à la locution « Hey Siri », et donc écouter les conversations des utilisateurs et les enregistrer. Ces conversations auraient été exploitées par des agents physiques de la compagnie dans le but de contrôler la qualité et d’améliorer la performance de l’outil. Il leur incombait, en particulier, de vérifier que les interactions avec Siri étaient volontaires, efficaces et prévisibles.

Un lanceur d’alerte à l’origine de la publicité des failles sécuritaires

Selon une enquête publiée par le journal britannique The Guardian³, les failles sécuritaires ont été révélées par un lanceur d’alerte employé par Apple, qui était l’un de ces agents affectés à la mission de contrôle des échantillons d’enregistrement et dont l’existence demeurait méconnue du public. Il en découlait que Siri a pu enregistrer, en raison de ces failles, des discussions privées entre des médecins et leurs patients, des accords commerciaux, des transactions de nature potentiellement criminelles ou encore des ébats sexuels. Ces enregistrements, bien qu’en principe anonymisés, comportent des données personnelles relatives à ces utilisateurs, leur emplacement, leurs coordonnées et les données de l’application dont ils font usage. Les mécanismes internes de garde-fou aux fins de prévenir ces dérives sont également mis en cause. Lors de leur traitement, lorsqu’il était avéré que les enregistrements avaient été captés de manière non consentie, ils étaient signalés comme des erreurs techniques et non comme des données personnelles illicitement obtenues et traitées, menant à cette collecte et à l'exploitation ultérieure illicite de données personnelles sans le consentement des utilisateurs ainsi qu’à une multitude de violations des droits des consommateurs.

Mise en cause répétée de la politique de confidentialité d’Apple

Dans leur requête initiale⁴, les plaignants faisaient état de l’habitus malveillant d’Apple, qui consistait à mettre en cause les pratiques de surveillance de ses concurrents et qui affirmait tout mettre en œuvre en vue de la protection du droit fondamental à la protection de la vie privée⁵. Cela se traduisait par les éléments de langage choisis pour la rédaction des conditions d’utilisation de Siri. Celles-ci prévoyaient initialement que tout ce qui était dit à Siri était enregistré et envoyé à Apple, y compris des données personnelles facilitant l’identification de la personne et de son entourage, et que celles-ci seraient transmises à des agents physiques et, à des fins de traitement, à des succursales d’Apple. Or, si dans la pratique ces procédures restèrent inchangées, Apple a tout de même décidé, pour la version iOS 9, de tempérer ces conditions, pour une prétendue amélioration en déclarant qu’« il y a une possibilité d’enregistrer » les demandes formulées à Siri à des fins d’amélioration, sans que l’identification numérique par l’adresse IP soit possible⁶.

Néanmoins, il s’en est fallu de peu pour qu’Apple reconnaisse les faits reprochés, formulant, dès août 2019, des excuses publiques, et suspendant momentanément le programme de contrôle et d’évaluation de Siri. En outre, le tribunal du district nord de la Californie a également relevé qu’Apple permettait dès lors de consentir ou non à l’enregistrement et à la sauvegarde des échantillons pour des fins de traitement ultérieur et de contrôle qualité, et en introduisant, depuis octobre 2019 et le lancement du système d’exploitation iOS 13.2, la possibilité pour les utilisateurs de supprimer leur historique d’enregistrements sur Siri⁷.

Accord de transaction par évitement de sanctions

Par économie de procédure et pour éviter des conséquences encore plus coûteuses pouvant engendrer des frais financiers et structurels, Apple a opté pour une transaction de 95 millions d’euros, afin, en principe, de dédommager chaque plaignant de l’action groupée. Ce dédommagement consistant en un paiement de 20 dollars par violation de traitement des données personnelles par Siri entre le 17 septembre 2014 et le 31 décembre 2024 pouvait aller jusqu’à cinq violations par plaignant à condition de prêter serment sur la véracité des faits devant le tribunal. Comme le rapporte CNN, ce montant dérisoire correspond à neuf heures de profits d’Apple, sachant que le groupe a réalisé plus de 93 milliards de dollars de bénéfices au cours de la dernière année fiscale 2023-2024. Le montant total de la transaction paiera les dépens récupérables des avocats à hauteur de 29 millions, laissant peu de marge au dédommagement dérisoire proposé à la centaine d’utilisateurs concernés par l’action⁸.

Il n’en reste pas moins que, sans cette procédure, les atteintes à la vie privée et à la protection des données personnelles n’auraient pas été révélées, et les garde-fous qui y sont désormais prévus n’existeraient pas. Cependant, il reste difficile de concevoir que Siri ou tout autre agent conversationnel n’écouterait que lorsqu’on lui parle ; c’est même devenu une plaisanterie concernant l’interface. En effet, l’activation par « Hey Siri » implique déjà une écoute constante et continue du son ambiant et des dialogues en vue de détecter le son d’éveil. L’accès aux commandes technologiques par reconnaissance vocale occupe une place de plus en plus conséquente dans les pratiques et habitudes quotidiennes, ce qui nécessite à la fois une grande mise en garde et une transparence concernant les conditions réelles d’utilisation de ces outils, ainsi que la possibilité donnée aux utilisateurs de mieux reprendre le contrôle sur l’exploitation de leurs données et des autorisations accordées. En effet, Apple n’est pas la seule entreprise devant faire face à des poursuites ou à des mises en cause de ses seuils effectifs de sécurité dans la conservation et le traitement des enregistrements vocaux comportant des données personnelles. Google et Amazon en font également l’objet, Google étant représenté par les mêmes avocats que dans la présente affaire.

En marge de la procédure entamée, en phase de clôture aux États-Unis, les médias français et européens ont relayé et confirmé l’information selon laquelle Apple fait également l’objet, depuis le 13 février 2025, d’un signalement au procureur de la République, doublé d’une plainte déposée par la Ligue des droits de l’homme, pour la violation du RGDP et l’atteinte à la vie privée due aux mêmes faits sur le territoire européen⁹.

Sources :

1. Lopez et al. v. Apple Inc., Case No. 4:19-cv-04577, tribunal du district nord de la Californie.
2. Voir l’accord préalable de transaction dans l’affaire Lopez et al. v. Apple Inc, p. 4, accessible sur www.classaction.org/media/lopez-et-al-v-apple-inc-settlement-agreement.pdf
3. Hern Alex, « Apple contractors "regularly hear confidential details" on Siri recordings », theguardian.com, July 26, 2019.
4. Voir la requête initiale de l’action groupée dans l’affaire Lopez et al. v. Apple Inc., accessible sur www.classaction.org/media/lopez-et-al-v-apple-inc.pdf
5. Voir, à cet égard, la réponse d’Apple du 9 juillet 2018 à une interpellation du Congrès américain, accessible sur www.scribd.com/document/385685064/Apple-Response-to-July-9-Letter
6. Voir la requête initiale de l’action groupée dans l’affaire Lopez et al. v. Apple Inc., p. 5, lignes 10 et suivantes, accessible sur www.classaction.org/media/lopez-et-al-v-apple-inc-settlement-agreement.pdf
7. Roberts-Islam Moin, « Siri Privacy Breach: Apple To Pay $95 Million Settlement Amid Spying Claims », forbes.com, January 3, 2025.
8. « Apple to pay $95 million to settle Siri privacy lawsuit », cnn.com, January 2, 2025.
9. Damien Leloup, « Conversations enregistrées par Siri : Apple visée par un signalement et une plainte en France », lemonde.fr, 14 février 2025.