Timelex
Éminent cabinet belge d’avocats
Menu

Le CEPD fait la lumière sur les « modèles sombres » (dark patterns) dans les nouvelles lignes directrices 3/2022

Author info
Janvier Parewyck
Janvier Parewyck
Pedro Demolder
Pedro Demolder
05/04/2022
Protection de la vie et des données

Qui ne s’est jamais retrouvé à cliquer sur un immense bouton vert en dessous de paramètres de confidentialité, persuadé que cela validerait ses choix, pour ensuite se rendre compte qu’il venait, contre tout attente, d’accepter tous les paramètres par défaut ? Qui ne s’est jamais retrouvé, à chaque visite du même site web, devant de complexes (sous-)fenêtres de cookies, plus longues encore que la page visitée ? Ou encore, qui n’a jamais abandonné l’idée de supprimer son compte sur un réseau social à la 5ème étape du fastidieux processus ? C’est probablement déjà arrivé à tout le monde, à tel point que cela a inspiré un mini jeu consistant à refuser des cookies le plus rapidement possible.

Ce 14 mars 2022, le Centre Européen de la Protection des Données (« CEPD ») a publié les lignes directrices 3/2022 sur les dark patterns (littéralement « modèles sombres ») sur les réseaux sociaux, ces pratiques non-transparentes qui consistent à influencer, voire forcer la main, des utilisateurs lorsqu’ils doivent prendre des décisions concernant leur vie privée ou leurs droits.

Dans ces nouvelles lignes directrices, qui sont actuellement sujettes à une consultation publique et seront donc encore amenées à changer, le CEPD classifie et illustre toute une série de types de dark patterns. Bien que le phénomène puisse en principe avoir lieu tant sur les réseaux sociaux que sur d’autres plateformes et sites web, le CEPD adresse ces lignes directrices explicitement aux concepteurs de réseaux sociaux, ainsi qu’à leurs utilisateurs pour leur permettre de « mieux débusquer » de telles pratiques.

Les dark patterns sont susceptibles de violer diverses dispositions du RGPD

Cet assaut contre les dark pattern intervient à la croisée de la plupart, si pas de la totalité, des principes généraux du RGPD. En effet, une interface ou une expérience utilisateur de réseau social incitant l’internaute à prendre une décision plus invasive vis-à-vis de ses données personnelles peut engendrer tant :

  • un défaut de transparence (par ex. si le texte d’explication affiché se contredit),
  • qu’un consentement vicié (par ex. si le consentement est demandé à répétition) ou pas suffisamment retirable (par ex. si le retrait nécessite de nombreux clics contrairement au consentement lui-même),
  • une violation des droits de la personne concernée (par ex. si un lien pour exercer un droit se contente de rediriger vers des informations génériques),
  • ou encore une violation du principe deprotection dès la conception et par défaut (p.ex. si les options les plus invasive sont sélectionnées par défaut).

Plus généralement, les dark patterns entraineront, comme aime le rappeler le CEPD, une violation du principe de loyauté du RGPD, qui constitue « un principe général qui exige que les données à caractère personnel ne soient pas traitées d'une manière préjudiciable, discriminatoire, inattendue ou trompeuse pour la personne concernée » (traduction libre). Enfin, tous ces principes sont suppléés par le principe de responsabilité, selon lequel il revient au responsable de traitement d’en démontrer le respect. En définitive, ces nouvelles lignes directrices sont imprégnées du but affiché du RGPD d’assurer la protection des données des personnes concernées en plaçant ces dernières au cœur de la gestion et du contrôle effectif de leurs données personnelles.

En outre, le CEPD va jusqu’à établir un parallèle avec le droit de la consommation, rappelant que la fourniture d’informations incomplètes peut constituer, en sus, une violation du droit de la consommation (l’on pensera, par exemple, à la publicité trompeuse).

Quel impact pour les concepteurs de réseaux sociaux et les autres responsables de traitement ?

Ces lignes directrices ambitieuses ont de toute évidence les « GAFAM » et les principales plateformes en ligne dans le viseur, en accord avec les récentes interventions du législateur européen telles que le Data Act ou le Digital Services Act Package. Elles semblent aller un pas plus loin que les précédentes, en ce sens qu’elles ne se contentent pas d’appliquer les principes du RGPD à des activités de traitement types et ponctuelles (qu’on pourrait qualifier de « cas d’école »), mais bien à un éco-système tout entier. Ceci comprend non seulement le consentement à des activités spécifiques, mais également la manière dont toutes les options de confidentialité sont présentées – en ce compris les paramètres d’audience lorsque l’utilisateur publie du contenu – et, plus généralement, l’ensemble de l’expérience utilisateur sur le réseau social au jour le jour.

De plus, ces nouvelles lignes directrices requièrent un effort de mise en balance accru de la part du responsable de traitement. Ainsi, par exemple, la personne concernée doit être dûment informée à l’avance mais, dans le même temps, une politique de vie privée trop exhaustive qui l’inonde d’informations pourra être qualifiée de Privacy Maze (c’est-à-dire de « Labyrinthe de vie privée ») ou de Look over there (c’est-à-dire de diversion) et être contraire aux exigences de transparence, en particulier quant à la nature concise et intelligible de l’information fournie. De même, un consentement doit être recueilli de manière spécifique et granulaire (et non "groupé" avec d'autres services ou finalités), mais le responsable de traitement doit veiller à ne pas submerger l’utilisateur d’options, sans quoi cela constituera une pratique de Too many options (c’est-à-dire fournissant « Trop d’options »). Il s’agit dès lors d’un examen au cas par cas et parfois délicat.

Les dark patterns peuvent intervenir à tous les stades de l’utilisation du réseau social

Les lignes directrices sont structurées chronologiquement et suivent le « cycle de vie » d’un compte sur un réseau social.

Les dark patterns et les principes applicables sont ainsi illustrés au travers de plusieurs cas pratiques, qui partent de l’inscription sur la plateforme jusqu’à la suppression du compte, en passant notamment par la fourniture d’information en début d’utilisation, la communication d’une fuite de données, la mise à disposition de paramètres de vie privée, et finalement l’exercice de droits par la personne concernée.

A chacun de ces stades, l’EDPB propose également une panoplie de meilleures pratiques visant à aider les concepteurs de réseaux sociaux à viser la conformité dès la phase de développement.

La classification des dark patterns par le CEPD et ses exemples

Venons-en à l’essentiel : au travers des 64 pages des lignes directrices, le CEPD distingue une quinzaine de pratiques constituant des dark patterns, réparties en six grandes catégories développées pour l’occasion. Le CEPD différencie également les dark patterns basés sur le contenu et ceux basés sur l'interface.

Le tableau ci-dessous reprend l’ensemble des dark patterns identifiés et définis par le CEPD ainsi que les différents exemples s’y rapportant (les exemples très similaires ont été fusionnés).

Cette classification n'est pas parfaitement étanche et, comme les professionnels de la vie privée en ont l'habitude, constitue plutôt un outil à appliquer au cas par cas pour déceler des pratiques à risque. Une même pratique peut ainsi correspondre à plusieurs dark patterns.

Overloading (« Surcharger »)

 « Submerger les utilisateurs sous une masse de demandes, d'informations, d'options ou de possibilités afin de les dissuader d'aller plus loin et de les obliger à conserver ou accepter certaines pratiques en matière de données. » (CEPD - traduction libre)

Cela comprend :

Continuous Prompting

(« Demandes continues »)

Demander de manière répétée aux utilisateurs de fournir davantage de données ou d'accepter de nouvelles finalités, sans tenir compte du choix déjà communiqué par l'utilisateur. Exemples :

  • Demander continuellement un numéro de téléphone à des fins de sécurité (l'EDPB ajoute que l'authentification renforcée peut être mise en œuvre par d'autres moyens).
  • L'affichage répété de pop-up incitatives encourageant les utilisateurs à donner accès à leurs contacts ou à accepter de recevoir des données personnalisées, surtout si cela bloque les utilisateurs à chaque fois.

Privacy Maze

(« Labyrinthe de vie privée)

Obtenir des informations ou exercer des droits des personnes concernées est une "chasse au trésor", de sorte que les utilisateurs abandonneront probablement. Exemples :

  • Faire référence, dans la politique de confidentialité, à la Foire Aux Questions au lieu de fournir directement l'information ou le lien direct vers celle-ci.
  • Diviser les paramètres de confidentialité connexes en plusieurs menus et sections.
  • Devoir se déplacer plusieurs fois d'une page web à une autre pour trouver des informations de base telles que la manière d'exercer les droits de la personne concernée.
  • Fournir un moyen facile pour les utilisateurs de télécharger toutes leurs données personnelles, mais déguiser le lien permettant de n’accéder qu'à certaines données particulières (voir Art. 15(3) RGPD et notre article de blog sur les nouvelles lignes directrices sur le droit d'accès pour plus d'informations).
  • Dissimuler le lien permettant de supprimer un compte à la fin d'une page de confidentialité.
  • Utilisation d'une terminologie propre, obligeant les utilisateurs à en trouver la définition.

Too Many Options

(« Trop d'options »)

Fournir trop d'options parmi lesquelles choisir, laissant les utilisateurs incapables de faire un choix. Exemples :

  • Les paramètres liés au même aspect de la protection des données sont répartis sur plusieurs pages, ce qui expose les utilisateurs à un trop grand nombre d'options.

Skipping (« Faire passer »)

 « Concevoir l'interface ou l'expérience utilisateur de manière à ce que les utilisateurs oublient ou ne pensent pas à tout ou partie des aspects liés à la protection des données. » (CEPD - traduction libre)

Deceptive Snugness

(« Confort trompeur »)

Par défaut, les fonctionnalités et les options les plus invasives sont activées afin de profiter de l'effet par défaut. Exemples :

  • Le paramètre "partager cette information avec tout le monde" est présélectionné au lieu d'un paramètre plus restrictif.
  • Le paramètre "mettre ce compte en pause" est présélectionné au lieu de "supprimer ce compte".

Look over there

(« Regarde par là-bas »)

Fournir des informations non pertinentes ou inutiles pour détourner les utilisateurs de leur intention initiale. Exemples :

  • Dans une notification de violation de données, un responsable du traitement mentionne de nombreuses informations non pertinentes ou déclare que les données ont été hachées alors que ce n'était le cas que pour les mots de passe.
  • Un responsable du traitement décrit les cookies et recueille le consentement à leur égardavec humour, donnant ainsi une fausse idée des risques potentiels.
  • Dans le cadre de la suppression de son compte, l'utilisateur se voit proposer de suivre un lien pour télécharger ses données, mais n'est ensuite pas ramené au processus de suppression ; ou encore, le site web demande la raison du départ et affiche des pop-ups avec des solutions ad hoc.

Stirring (« Stimuler »)

 « Affecter le choix que feraient les utilisateurs en faisant appel à leurs émotions ou en utilisant des incitations visuelles. » (CEPD - traduction libre)

Emotional Steering

(« Pilotage émotionnel »)

Utilisation de mots ou d'images rassurants ou négatifs pour influencer l'état émotionnel de l'utilisateur et l'empêcher de prendre une décision rationnelle. Exemples :

  • Utilisation d'un langage motivant ou de points d'exclamation pour inciter les utilisateurs à partager davantage de données (par exemple, avec un ton qui crée un sentiment d'urgence ou qui ressemble à un impératif).
  • Déclarer, lorsqu'un compte est sur le point d'être supprimé par un utilisateur, que l’utilisateur va manquer à ses amis.

Hidden in plain sight

(« Caché à la vue de tous »)

Utilisation d'un style visuel pour les informations ou les contrôles de protection des données qui incite les utilisateurs à choisir des options moins restrictives. Exemples :

  • Utilisation d'une minuscule icône cachée dans une page web comme lien vers la politique de confidentialité.
  • Le lien pour s’opposer est beaucoup moins visible que le lien pour accepter, ou le lien permettant aux utilisateurs de sauter une étape est si petit qu'ils ne le remarqueront pas et supposeront que l'étape est obligatoire.
  • Les utilisateurs doivent deviner qu'un élément (par exemple, un paramètre de confidentialité) est cliquable et donc modifiable.
  • Il est nécessaire de passer la souris sur un mot pour voir un lien pertinent.

Hindering (« Faire obstacle »)

 « Entraver ou bloquer les utilisateurs dans leur processus d'obtention d'informations ou de gestion de leurs données en rendant l'action difficile ou impossible à réaliser. » (CEPD - traduction libre)

Dead End (« Cul-de-sac »)

Une information est impossible à trouver parce qu'un lien ne fonctionne pas ou n'est pas disponible du tout. Exemples :

  • Les utilisateurs sont informés qu'ils peuvent modifier leur choix à tout moment en consultant la page de la politique de confidentialité, mais la politique n'explique pas comment retirer effectivement le consentement.
  • La politique de confidentialité ne contient, sur certains aspects, que des déclarations générales indiquant qu'il est possible d'accéder à davantage d'informations, sans autres explications.
  • Rien ne se passe visuellement lorsque l'on décoche une case pour retirer un consentement.
  • Un lien pour exercer un droit redirige vers la page principale du profil.
  • Une politique de confidentialité mentionne des destinataires tiers sans fournir de liens vers leurs politiques respectives.

Longer than necessary

(« Plus long que nécessaire »)

Il faut plus de temps pour désactiver les options portant atteinte à la vie privée que pour les activer. Exemples :

  • Les utilisateurs doivent répondre à la question "Êtes-vous sûr ?" lorsqu'ils sautent un écran pour partager des données supplémentaires.
  • Lors de la suppression de données ou d'un compte, la page demande non seulement une confirmation (ce qui peut être considéré comme une mesure de sécurité) mais aussi la raison de la suppression.
  • Accepter la publicité ciblée ne nécessite qu'un clic, mais pas la refuser.

Misleading information (« Informa-tions trompeuses »)

Il y a un décalage entre les informations données et les actions disponibles. Exemples :

  • Les utilisateurs s'attendent à ce qu'un lien les conduise au téléchargement d'une application mobile, mais il leur est demandé de saisir leur numéro de téléphone pour recevoir le lien direct à la place.
  • Les utilisateurs cliquent sur un lien pour retirer leur consentement mais sont redirigés vers un autre site web expliquant ce qu'est le consentement.

Fickle (« Versatilité »)

« La conception de l'interface est instable et incohérente, ce qui fait que les utilisateurs ont du mal à comprendre où se trouvent réellement les différentes commandes et à quoi sert le traitement. » (CEPD - traduction libre)

Lacking hierarchy

(« Manque de hiérarchie »)

Les informations relatives à la protection des données sont présentées à plusieurs reprises et de différentes manières. Exemples :

  • Dans une politique de protection de la vie privée, le droit de déposer une plainte est indiqué dans une section différente des autres droits.
  • Une politique de confidentialité de 70 pages ne contient aucune section ni aucun titre.
  • Les paramètres d'audience pour une nouvelle publication sont toujours présentés dans un certain ordre, sauf pour un certain type de publication où il est inversé.
  • Les icônes des paramètres de confidentialité sont présentées de manière incohérente entre la version de bureau et la version mobile du réseau social.

Decontex-tualising

(« Décontex-tualisation »)

Une information ou un contrôle sur la protection des données se trouve sur une page qui est hors contexte. Exemples :

  • Les paramètres de confidentialité doivent être accédés via la page "sécurité".
  • Le lien pour désactiver ou supprimer un compte est placé dans la section "Vos données" ou "Supprimer une fonction de votre compte".
  • Le bouton "Enregistrer" des paramètres de confidentialité n'est pas suffisamment visible, de sorte que les utilisateurs supposent que les paramètres ont été enregistrés automatiquement.

Left in the dark (« Laissé dans le flou »)

« L'interface est conçue de manière à masquer les informations ou les contrôles liés à la protection des données ou à laisser les utilisateurs dans l'incertitude quant à la manière dont les données sont traitées et aux contrôles qu'ils pourraient exercer sur ces données. » (CEPD - traduction libre)

Language discontinuity

(« Disconti-nuité linguistique »)

Les informations relatives à la protection des données ne sont pas fournies dans la ou les langues officielles du pays où vivent les utilisateurs, alors que le service y est actif.

Exemples :

  • Contrairement au reste de la plate-forme, les informations sur la protection des données ne sont pas disponibles dans la langue de l'utilisateur, ou une autre langue est affichée par défaut.

Conflicting information (« Informa-tions contradic-toires »)

Les éléments d'information se contredisent d'une certaine manière. Exemples :

  • Il est indiqué que les paramètres de confidentialité peuvent être modifiés avant la publication et, dans la phrase suivante, que les paramètres seront disponibles après la publication.
  • Le responsable du traitement déclare avoir subi une violation de données, mais indique ensuite que la violation provient d'un tiers, et/ou déclare la gravité de ladite violation par rapport à lui-même plutôt que par rapport à la personne concernée.
  • Les couleurs verte et rouge et/ou les positions d'un interrupteur à bascule permettant de modifier un réglage sont inversées.

Autres aspects méritant attention

  • Le CEPD confirme une fois de plus l'interdiction de refuser l'accès à un service en cas de refus de consentement, et donc sa position quant à l’illégalité des « murs de cookies » ou cookie walls.
  • Un point qui fera sans doute l’objet de discussions à l’occasion de la consultation publique est l’envoi, pour des raisons de sécurité, d’un code par message SMS. Les lignes directrices semblent en effet répugner à cette méthode d’authentification à deux facteurs, qui est aujourd’hui considérée par les experts comme moins sûre que d'autres méthodes. Certains feront néanmoins remarquer qu’il vaudra probablement mieux avoir activé cette option plutôt que de ne pas avoir de dispositif de second facteur du tout. Toujours est-il que le CEPD voit dans l’utilisation même de cette technique, et donc dans la collecte et l’utilisation du numéro de téléphone (qui est une donnée « pas si facilement interchangeable »), une potentielle violation du principe de minimisation, puisque des alternatives existent. L’on peut hypothétiser que ceci intervient à la suite du constat que des responsables de traitement prétextent de raisons de sécurité pour collecter les numéros de téléphone et les utiliser ensuite à d’autres fins. Dans pareil cas toutefois, le principe de limitation des finalités trouve à s’appliquer, de sorte qu’une utilisation à d’autres fins serait en tout état de cause proscrite.

    Au demeurant, on peut se demander si cette problématique relève réellement des dark patterns et a sa place dans ces lignes directrices.

  • Bien que le CEPD fasse à plusieurs reprises référence, voire encourage, l’utilisation de signes « ? » ou d’icônes fournissant davantage d’informations (ce qui n’est pas surprenant, cette méthode d’information visuelle étant promue par le RGPD), il appuie sur le fait que le texte affiché lors du clic ou du survolage doit effectivement contenir plus de renseignements, et non des informations superflues ou des incitations.
  • Plus généralement, bien que les règles du GDPR invoquées dans les lignes directrices s'appliquent aux responsables du traitement de tous les secteurs, l'EDPB a choisi de se concentrer sur les plateformes de médias sociaux et leurs utilisateurs uniquement. S'agit-il d'une première étape opportune dans une stratégie de mise en application - auquel cas tous les autres secteurs et sites web seront à terme visés - ou cela signifie-t-il que les réseaux sociaux ont uneplus grande responsabilité - et dans ce cas, sur quelle base ? Il est sans doute vrai que les réseaux sociaux posent un risque relativement important pour la vie privée, mais certaines plateformes d'autres secteurs posent autant, voire plus, de risques.

Vous voulez en savoir plus ?

Les lignes directrices (version 1.0) ont été adoptées en mars 2022 et la consultation publique restera ouverte jusqu’au 2 mai 2022. 

Vous avez une question spécifique ou souhaitez du soutien en la matière ? Nous serons heureux de vous aider. Réservez un appel gratuit de 15 minutes avec Janvier à janvier.lawyer.brussels (réservé aux organisations).

Related posts