AEPD : amen­de (EUR 30’000) pour défaut d’al­té­ra­ti­on de la voix dans une vidéo en ligne

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

,

Thè­mes

, , ,
Ven­te à emporter (AI)
  • L’AEPD a inf­li­gé une amen­de de 30 000 euros par­ce que les voix de vic­ti­mes et d’au­teurs mineurs n’é­tai­ent pas suf­fi­sam­ment anony­mi­sées dans un repor­ta­ge en ligne.
  • Les voix sont con­sidé­rées com­me des don­nées à carac­tère per­son­nel ; leur carac­tère uni­que et leur recon­nais­sance par l’IA aug­men­tent les ris­ques d’identification.
  • Les médi­as doi­vent exami­ner les alté­ra­ti­ons tech­ni­quement accep­ta­bles (par ex. dis­tor­si­on de la voix) et les TOM ; les DSFA sont recom­man­dés pour éva­luer les risques.

Par décis­i­on du 15 mai 2025, l’au­to­ri­té espa­gno­le de pro­tec­tion des don­nées (AEPD) a inf­li­gé une amen­de de 30 000 euros à une ent­re­pri­se de médi­as pour ne pas avoir suf­fi­sam­ment anony­mi­sé les voix d’au moins trois per­son­nes mineu­res – dont des vic­ti­mes et des auteurs d’un acte de vio­lence – dans un repor­ta­ge d’ac­tua­li­té publié en ligne. Les visa­ges étai­ent cer­tes pixé­li­sés, mais les voix n’é­tai­ent pas altérées.

Le critère déter­mi­nant pour l’AEPD était que le vote con­sti­tuait une don­née per­son­nel­le. En rai­son de son carac­tère uni­que et recon­naissa­ble, une voix peut iden­ti­fier une per­son­ne. ou du moins les rend­re iden­ti­fi­a­bles (ori­gi­nal en espagnol) :

Con­for­mé­ment à l’ar­tic­le 4, para­gra­phe 1, du règle­ment géné­ral sur la pro­tec­tion des don­nées (RGPD), la voix d’u­ne per­son­ne est une don­née à carac­tère per­son­nel, car elle per­met de l’i­den­ti­fier, et ent­re donc dans le champ d’ap­pli­ca­ti­on du RGPD : […] 

La voix est une carac­té­ri­stique per­son­nel­le et indi­vi­du­el­le de chaque per­son­ne phy­si­que et se défi­nit par sa hauteur, son volu­me et son tim­bre. Elle pos­sè­de des carac­té­ri­sti­ques uni­ques et distinc­ti­vesLes don­nées per­son­nel­les ne sont pas enre­gi­strées dans le système. Par la voix l’â­ge, le sexe, l’é­tat de san­té, la per­son­na­li­té, le con­tex­te cul­tu­rel ain­si que l’é­tat hor­mo­n­al, émo­ti­on­nel et psy­chi­que d’un indi­vi­du.. Des élé­ments tels que l’ex­pres­si­on, l’i­diolec­te ou l’in­to­na­ti­on sont éga­le­ment des don­nées à carac­tère per­son­nel lorsqu’ils sont con­sidé­rés dans le con­tex­te de la voix.

C’est pour­quoi le rap­port 139/2017 du ser­vice juri­di­que de cet­te auto­ri­té affir­me que “l’i­mage ain­si que la voix d’u­ne per­son­ne sont des don­nées à carac­tère per­son­nel, de même que tou­te infor­ma­ti­on per­met­tant d’é­ta­b­lir direc­te­ment ou indi­rec­te­ment son identité (…)”.

On ne trouve pas d’ana­ly­se plus détail­lée de la pro­ba­bi­li­té d’i­den­ti­fi­ca­ti­on. Mais la L’i­den­ti­fi­ca­ti­on est faci­li­tée par l’IA:

La tech­no­lo­gie actu­el­le, notam­ment les outils basés sur l’in­tel­li­gence arti­fi­ci­el­le, per­met d’i­den­ti­fier une per­son­ne par sa voix.

La trans­mis­si­on des voix non modi­fi­ées n’é­tait pas non plus néces­saire pour l’in­for­ma­ti­on du public, et une alté­ra­ti­on des voix ana­lo­gue à la pixel­li­sa­ti­on aurait été rai­sonnable. – En plus de l’a­men­de, l’entre­pri­se a été obli­gée de prend­re des TOM pour évi­ter des vio­la­ti­ons similaires.

Les con­clu­si­ons sui­van­tes s’imposent :

  • D’un point de vue pra­tique, la décis­i­on ne sur­prend pas. Les noti­ons de don­nées per­son­nel­les (et de don­nées per­son­nel­les sen­si­bles) sont géné­ra­le­ment inter­pré­tées de maniè­re large.
  • Le site Noti­on de don­nées per­son­nel­les est ici inter­pré­té en fonc­tion des ris­ques. Pour les mineurs, la réfé­rence à la per­son­ne est mani­fe­stem­ent com­pri­se de maniè­re plus lar­ge, et les ris­ques d’uti­li­sa­ti­on pour les enre­gi­stre­ments vocaux sem­blent éga­le­ment se réper­cuter. D’un point de vue con­cep­tuel, c’est faux. La pro­ba­bi­li­té d’i­den­ti­fi­ca­ti­on n’aug­men­te pas en soi par­ce que les don­nées se rap­portent à des mineurs ou sont par­ti­cu­liè­re­ment sen­si­bles. Cela dev­rait plutôt être exami­né au cas par cas.
  • Que l’IA est lar­ge­ment dis­po­ni­bleDans la pra­tique, il est tou­te­fois pro­ba­ble que les pos­si­bi­li­tés d’i­den­ti­fi­ca­ti­on soi­ent con­sidé­rées com­me plus importan­tes et que le champ d’ap­pli­ca­ti­on de la légis­la­ti­on sur la pro­tec­tion des don­nées soit ain­si élar­gi. Ce n’est pas néces­saire­ment faux, mais cela ne rem­place pas un examen au cas par cas.
  • Dans Étu­des d’im­pact sur la pro­tec­tion des don­nées ces fac­teurs dev­rai­ent être pris en comp­te, en par­ti­cu­lier les pos­si­bi­li­tés d’i­den­ti­fi­ca­ti­on par des tiers, comp­te tenu de la tech­no­lo­gie actu­el­le ou de cel­le qui est atten­due dans un ave­nir pro­che. Il est éga­le­ment pos­si­ble d’ex­ami­ner les pos­si­bi­li­tés tech­ni­ques d’an­ony­mi­sa­ti­on (par exemp­le la dis­tor­si­on de la voix). Les DSFA, qui sont sou­vent effec­tués sur une base volon­tai­re, se prêtent à un tel examen (Modè­le). Elles peu­vent éga­le­ment about­ir à la con­clu­si­on qu’il ne faut pas par­tir du prin­ci­pe que l’i­den­ti­fi­ca­ti­on est suffisante.