Identifier et combattre les « Dark patterns »
France > Droit privé > Protection des données personnelles
Stéphanie Faber,[1]
Juin 2022
Dans un monde toujours plus numérique, les régulateurs de différents pays, en particulier au niveau de l’Union Européenne et des Etats-Unis, surveillent ou règlementent des pratiques visant à manipuler les internautes de façon à obtenir un consentement ou les empêcher d’exercer leurs droits, que ce soit en matière de protection du consommateur ou de protection des données personnelles.
« Dark patterns » quèsaco ?
Le laboratoire d’innovation numérique de la CNIL, LINC, se réfère à des « designs manipulateurs » [2] ou encore « abusifs », « trompeurs » ou « dangereux », « visant à influencer le consentement, dérouter l’individu, créer des frictions d’usage ou encore à pousser l’individu à partager plus de données que nécessaire ».
Pour le Comité Européen de la Protection des Données (CEPD) (voir ci-après le contexte) les « dark patterns » incluent « les interfaces et les expériences utilisateur […] qui amènent les utilisateurs à prendre des décisions involontaires, contre leur gré et potentiellement préjudiciables […] ».
Dans le cadre du projet de DSA (voir ci-après) il s’agit de l’utilisation de « la structure, la fonction ou le mode de fonctionnement de l’interface en ligne des intermédiaires pour altérer ou entraver la capacité des bénéficiaires des services d’arrêter une décision ou un choix libre, autonome et éclairé » ou encore des « interfaces truquées ».
La commission européenne dans ses questions réponses sur le DSA parle de « pièges à utilisateurs […] c’est-à-dire des stratagèmes trompeurs qui manipulent les utilisateurs pour les amener à faire des choix qui ne correspondent pas à leurs intentions ».
Aux Etats-Unis, M. Rohit Chopra, membre du bureau de protection des consommateurs dans le domaine financier et ancien membre de la FTC (Commission Fédérale du Commerce) a déclaré « Les dark patterns impliquent un tour de passe-passe en ligne utilisant une mauvaise orientation visuelle, un langage déroutant, des alternatives cachées ou une fausse urgence pour inciter les gens à faire certains choix ou à s’en détourner ».
La qualification de ces designs et pratiques pose cependant une question de taille : quand peut-on considérer un design comme réellement manipulateur ? Quelle est la ligne entre une persuasion « acceptable » (nudges) et de la manipulation pure ? Quels sont les éléments permettant de démontrer le caractère manipulateur d’un design ?
Des exemples donnés par le CEPD concernant les données personnelles sur les réseaux sociaux (traductions non officielles)
Le CEPD a publié un projet de lignes directrices (Guidelines) 3/2022 (en anglais) [3] pour identifier et éviter les pratiques de dark patterns dans les interfaces des plateformes de médias sociaux. Ce document identifie six types de pratiques, accompagnées d’exemples détaillés :
1-La surcharge (overloading) – confronter les utilisateurs à une grande quantité de demandes, d’informations, d’options ou de possibilités afin de les inciter à partager davantage de données ou d’autoriser involontairement le traitement de leurs données personnelles de manière inattendue, y compris des pratiques telles que :
- L’incitation répétitive (continuous prompting) : par ex., une fenêtre « pop-up » systématique qui perturbe l’expérience utilisateur ;
- Le labyrinthe ou le parcours d’obstacles (privacy maze) : par ex., lorsque l’information se trouve éclatée en plusieurs endroits ou que le processus est fastidieux et ;
- Les trop nombreuses options (too many options) par ex., s’il y a des pages multiples traitant de données personnelles (« charte de confidentialité », « politique sur les données personnelles », « sécurité des données », « vos préférences »).
2-Laisser passer ou l’inattention (skipping) – concevoir l’interface ou l’expérience utilisateur de manière à ce que les utilisateurs oublient ou négligent les préoccupations ou les options en matière de protection des données, y compris des pratiques telles que :
- Le confort trompeur (deceptive snugness) : par ex., la case de partage d’information pré-cochée sur un réseau social et ;
- Le détournement d’attention (look over there) : par ex., une bannière humoristique pour les cookies qui parle de pâtisserie, accompagnée d’un bouton « OK ».
3-L’Incitation (stirring) – pratiques affectant le choix de l’utilisateur en faisant appel à ses émotions ou à des indications visuelles telles que :
- Les indications visuelles (visual nudges) : par ex., une image réconfortante comme un chaton à côté d’une demande de partage de données ou un texte séduisant s’adressant aux enfants ;
- Le pilotage émotionnel (emotional steering) : par ex., l’utilisation d’un code graphique compris universellement, (comme un feu rouge ou vert), dans un sens contraire pour créer une confusion et ;
- La technique du « caché au grand jour » (hidden plain sight) : par ex., lorsque le lien vers la note d’information sur les données personnelles est bien sur la première page, mais dans une couleur ou d’une taille qui le rend quasi invisible.
4-L’entrave ou obstruction (hindering) – mettre en place des processus qui rendent difficile ou impossible pour les utilisateurs de s’informer ou de prendre des mesures pour gérer leurs données, y compris des pratiques telles que :
- L’impasse (dead end) : par ex., lorsque l’information ou l’action recherchée, comme les moyens de retrait du consentement, n’est pas là où cela est prévu ;
- Le processus plus long que nécessaire (longer than necessary) : par ex., lorsque le processus d’enregistrement vous demande plusieurs fois de confirmer vos choix par « êtres vous sur de vouloir …? » ou ;
- Des informations trompeuses (misleading information) par ex., lorsque qu’une icône présentée comme permettant d’accéder à la version application mobile abouti à une demande de numéro de téléphone pour recevoir un lien par SMS.
5-L’inconstance (fickle) – rendre difficile pour les utilisateurs de naviguer dans les outils de contrôle de la protection des données ou de comprendre la finalité du traitement en concevant des interfaces utilisateur qui prêtent à confusion ou sont peu claires – y compris :
- Le manque de hiérarchie dans l’information (lacking hierarchy) : par ex., lorsqu’il y a un texte très long sans index ou sans titres et ;
- La dé-contextualisation (decontextualizing pattern types) par ex., lorsque la fonction de sauvegarde de l’option choisie se trouve dans un endroit différent (et inattendu) de celui du choix de l’option de telle façon que l’on puisse supposer que la sauvegarde se fera automatiquement.
6-Le brouillage (left in the dark) – mise en œuvre d’interfaces conçues pour cacher aux utilisateurs les outils de contrôle de la protection des données ou les informations sur la manière dont leurs données personnelles sont traitées, ou qui les laissent dans l’incertitude quant à la manière dont leurs données sont traitées et/ou à leurs droits à cet égard, y compris des pratiques telles que :
- La discontinuité linguistique (language discontinuity) : par ex., si un site en plusieurs langues n’a pas de traduction pour la partie sur le traitement des données personnelles ;
- Les informations contradictoires (conflicting information) : par ex., sur le point de savoir si les données sont ou non utilisées à des fins publicitaires ;
- Les formulations ambiguës (ambiguous wording) : par ex., dans l’utilisation du conditionnel « vos informations pourraient être utilisée pour … » ou l’utilisation de jargon difficilement compréhensible, de termes vagues ou de doubles négation.
Règlementation au niveau de l’UE
En plus de cataloguer les pratiques de dark patterns, les lignes directrices du CEPD analysent les dispositions du RGPD potentiellement violées par les dark patterns, que ce soit du fait d’un contenu ou d’une interface d’une plateforme de médias sociaux.
Il s’agit notamment du principe de loyauté et de transparence (article 5, (1), point a)), du principe de responsabilité (article 5, (2)), du consentement (articles 4 (11) et 7), de la protection des données dès la conception et par défaut (article 25), de la fourniture d’informations aux personnes concernées de « façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples », (articles 12 (1), (13) et (14)), de l’exercice par les personnes concernées de leur droits (articles 15 à 22) et de l’information des personnes concernées de « violation de données personnelles ». Les lignes directrices identifient également les bonnes pratiques.
En outre, le parlement européen a prévu d’interdire un certain nombre de ces pratiques pour les intermédiaires de services à l’article 13 bis et au considérant 39 bis [4] du projet de Législation sur les Services Numériques (plus connue sous son nom anglais « Digital Services Act » ou « DSA »). L’adoption définitive de ce texte doit intervenir le 4 juillet.
Par ailleurs, du côté protection des consommateurs, la question des pratiques déloyales est déjà prise en compte dans diverses législations, notamment dans la Directive relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs [5] (2005/29/CE) et son application nationale.
Règlementation aux USA
Aux États-Unis, les régulateurs fédéraux et étatiques ciblent les dark patterns dans le cadre de leurs missions de protection de la vie privée et de protection traditionnelle des consommateurs.
Les autorités fédérales et les procureurs généraux des États disposent de multiples outils pour lutter contre les dark patterns. Par exemple, la Loi sur le rétablissement de la confiance des acheteurs en ligne (« Restore Online Shopper’s Confidence Act ») prévoit l’obligation de divulguer de manière claire et visible les conditions importantes avant d’obtenir les informations de facturation du client. Différentes lois locales comme celle de l’Etat de Californie, imposent aux entreprise de faciliter la mise en œuvre de résiliation ou du non renouvellement d’abonnement en ligne.
Les lois locales sur la protection de la vie privée, comme par exemple celles des Etats de Californie (CPRA) et du Colorado traitent notamment des dark patterns dans le cadre des « opt-out » ou « opt-in » prévus par la loi (notamment pour la vente ou le partage de données personnelles).
La loi établissant la Commission Fédérale du Commerce (FTC) et les « petites » lois sur les pratiques commerciales donnent de larges pouvoirs aux autorités concernées en matière de pratiques déloyales ou trompeuses.
Les dark patterns sont également traitées par les autorités d’autorégulation des Adtech aux États-Unis, comme la Network Advertising Industry (NAI), qui a récemment publié des conseils pour ses membres sur le sujet.
Implications pour les pratiques de marketing numérique
Afin de réduire le risque de sanctions réglementaires et de potentiels recours collectifs de consommateurs, les plateformes et les éditeurs en ligne doivent être conscients de l’attention croissante portée aux dark patterns par les autorités réglementaires américaines et européennes. Les entreprises doivent évaluer leurs pratiques actuelles et s’assurer que les équipes de marketing et de conception d’interfaces de sites Web sont conscientes des risques réglementaires et des meilleures pratiques attendues.
Les informations sur les conditions matérielles doivent être claires, évidentes et complètes.
Le langage doit être direct et ne pas être utilisé de manière à faire pression sur les consommateurs ou à les manipuler pour qu’ils fassent des choix prédéterminés. Des informations équitables et transparentes doivent également être présentées lors de l’obtention du consentement du consommateur. Les politiques de confidentialité et les conditions d’utilisation des sites web doivent décrire avec précision les pratiques actuelles du fournisseur en ligne en matière de données, d’une manière compréhensible pour le consommateur type.
Les flux d’acceptation et de refus doivent indiquer clairement ce que les consommateurs acceptent et refusent, nécessiter un nombre similaire d’étapes (c’est-à-dire qu’il ne doit pas être plus difficile de refuser que de s’inscrire) et être facilement accessibles aux consommateurs.
Pour un article en anglais sur ce sujet voir : “Dark Patterns” Are Focus of Regulatory Scrutiny in the United States and Europe [6]