Plus de trois ans après l’entrée en vigueur du Règlement général sur la protection des données, il n’aura échappé à personne que certains acteurs du numérique ont développé certaines parades pour continuer à récolter un maximum de données à caractère personnel. Ils ont notamment recours à des « dark patterns », une expression qui désigne l’utilisation d’un certain langage ou design d’interface pour un site internet ou une application afin de manipuler les utilisateurs. Si l’on peut parfois arriver à la conclusion que certains « darks patterns » sont bien en contradiction avec certaines règles du RGPD, et notamment le fameux principe de « privacy by design », il n’en reste pas moins que la lutte contre ces pratiques passera nécessairement par une étude approfondie des mécanismes cognitifs sous-jacents à la prise de décision chez l’utilisateur.
Cet article est une version édulcorée et mise à jour de P.-O. Pielaet intitulée « La privacy by design à l’épreuve des dark patterns » publiée dans l’édition 2021 de la Revue du Droit des Technologies de l’Information. Disponible sur https://www.larcier.com/fr/revue-du-droit-des-technologies-de-l-information-r-d-t-i.html.
Pierre-Olivier Pielaet
Avocat au Barreau du Brabant wallon et chercheur au CRIDS-Nadi à l’Université de Namur. Les opinions exprimées dans cet article sont personnelles et n’engagent aucunement l’Université de Namur.
1. Introduction
La numérisation sans cesse croissante de notre société par les ordinateurs, smartphones et autres objets connectés (Internet of Things) et les potentiels profits résultant du traitement des données générées ont progressivement révélé la tension entre deux intérêts absolument antinomiques. En effet, le capitalisme de surveillance — pour reprendre l’expression de Shoshana Zuboff1 — entretenu par certaines entreprises du secteur privé se caractérise par une collecte toujours plus massive et une analyse de plus en plus perfectionnée de données pour comprendre, prédire et in fine influencer les comportements. Pour sa part, le législateur européen s’emploie, en réaction, à renforcer la protection du citoyen en votant notamment le règlement général sur la protection des données (« RGPD » ci-après) considéré comme « le » dispositif qui va véritablement rendre le contrôle de leurs données aux utilisateurs.
Expression flagrante de cette approche d’empowerment de la personne concernée, le consentement au traitement de données s’est vu attribuer une place particulièrement importante au sein de ce dispositif normatif, dès lors qu’il constitue l’un des fondements juridiques pour le traitement de données à caractère personnel. Par ailleurs, conscient de l’opacité caractérisée des traitements de données pour les personnes concernées et de l’importance du design dans la protection de leurs droits fondamentaux, le législateur européen a consacré le principe de protection des données « dès la conception » ou « privacy by design », imposant aux responsables de traitement de mettre en œuvre, à tous les stades de la conception d’un projet, les mesures techniques et organisationnelles nécessaires à la protection de la vie privée des personnes concernées.
Ce fameux principe de « privacy by design » semble aujourd’hui être remis en question par les intérêts économiques divergents du secteur privé qui, en usant d’une certaine ingéniosité pour poursuivre la collecte massive de données, n’hésite pas à jouer avec la frontière de la légalité2. Une des méthodes employées à cette fin consiste à recourir à des « dark patterns », des designs d’interface spécialement conçus pour influencer le consentement des utilisateurs aux traitements de leurs données à caractère personnel.
Dans le cadre de la présente contribution, nous nous contenterons d’introduire brièvement le concept de nudge et d’illustrer plus concrètement le phénomène de dark pattern. Pour le surplus, nous renvoyons le lecteur à l’article « La privacy by design à l’épreuve des dark patterns ».
2. De la théorie du nudge aux « dark patterns »
La théorie du nudge3 repose sur le postulat que l’être humain, contrairement à ce qu’affirmait jusqu’alors la théorie classique de l’être « économique »4, agit de manière tendanciellement irrationnelle. Partant de ce constat, l’idée originelle de Thaler et Sustein consistait à concevoir une méthode douce destinée à orienter le comportement de l’individu et l’inviter à prendre des décisions qui lui seraient bénéfiques, par exemple en matière de santé ou d’environnement, sans pour autant altérer sa liberté de choix5.
Les exemples de nudge sont nombreux. Le plus connu d’entre eux est certainement celui de la petite mouche placée au centre des urinoirs qui invite les hommes à uriner sur l’insecte afin d’éviter les éclaboussures. Un autre exemple relativement répandu est celui des filets/poubelles placés en bord de route afin d’inciter de façon ludique les conducteurs à y jeter leurs déchets — à la manière d’un lancer dans un panier de basket — plutôt que de les disséminer dans la nature.
Transposé en langage informatique, le nudge a fourni aux entreprises générant des profits grâce aux données un moyen efficace pour collecter les données à caractère personnel des utilisateurs.
En effet, certains sites internet conçoivent le design de leur interface de telle manière à orienter le comportement de l’utilisateur et l’inciter, voire l’obliger dans certains cas, à fournir plus de données que nécessaire. Tel est précisément l’objectif poursuivi par les dark patterns.
3. Le consentement au traitement de données à caractère personnel et le principe de privacy by design
Comme indiqué supra, le consentement au traitement de données à caractère personnel constitue une des bases de licéité de l’article 6 du RGPD.
Pour que le traitement de données à caractère personnel soit licite lorsqu’il s’appuie sur ce fondement, le consentement de la personne concernée doit répondre à quatre exigences à savoir celles d’un consentement libre, informé, spécifique et univoque (voy. infra).
Pour sa part, le principe de privacy by design prévu à l’article 25 du RGPD impose au responsable du traitement de mettre en œuvre les mesures techniques et organisationnelles « destinées à intégrer les garanties en matière de protection des données de façon effective afin de se conformer au règlement et de protéger les droits fondamentaux des personnes dont les données sont traitées »6.
Quel lien avec le consentement me direz-vous ?
En réalité, sur internet, la « qualité » du consentement recueilli dépendra considérablement du cadre technique dans lequel il est implémenté. En effet, techniquement parlant, il est relativement aisé de manipuler le design de l’interface, le langage utilisé et les options laissées ou non à l’utilisateur, … afin de faciliter les traitements de données à caractère personnel. C’est la raison pour laquelle le principe de privacy by design impose aux responsables du traitement de s’assurer que les quatre exigences du consentement trouvent un écho dans la technique utilisée pour son recueil.
Par exemple, un consentement informé implique que le responsable de traitement communique au préalable une explication claire et concise à l’utilisateur de sorte à lui permettre de saisir la portée du traitement et de comprendre ce à quoi il s’engage. Il est ainsi en principe exclu de la noyer sous une masse d’informations peu intelligible destinée à recueillir son consentement plus facilement – comme c’est généralement le cas lorsque l’utilisateur est confronté à une politique de vie privée longue et particulièrement rébarbative.
Si les dark patterns peuvent recevoir des applications diverses et variées, en marketing par exemple, en matière de protection des données, ils ont généralement pour finalité de faciliter le partage de données à caractère personnel en entravant le consentement, en influençant l’utilisateur ou en compliquant l’exercice des droits des personnes concernées.
Trêve de théorie, attardons-nous à présent sur quelques pratiques fréquemment rencontrées par l’utilisateur lorsqu’il navigue sur internet7.
4. Quelques illustrations de dark patterns…
4.1 Dark patterns influençant le consentement
Certains dark patterns ont pour but d’influencer directement le consentement au traitement des données en rendant la proposition « accepter » plus attractive à travers l’utilisation d’un code de couleur qui est confortable et plus agréable pour l’utilisateur. Par opposition, les fonctions de paramétrage des cookies et autres informations personnelles sont, quant à elles, généralement reléguées au second plan.
Les figures n° 1 et n°2 permettent de donner un aperçu des méthodes employées pour mettre en avant le consentement au détriment des options de paramétrage. Qu’il s’agisse des couleurs utilisées ou de la largeur de l’espace réservé, tout est délibérément mis en place pour privilégier l’option d’acceptation.
S’agissant de l’exemple de Facebook (Fig. n°3), il est permis de considérer que le consentement à la politique de données de l’entreprise américaine ne remplit pas les exigences du RGPD dans la mesure où l’accès au service est subordonné au consentement de l’utilisateur au traitement de ses données8. Dans le jargon, ce procédé est traditionnellement qualifié de « take it or leave it »9.
Ces différents dark patterns contreviennent au critère de liberté du consentement10. Il ressort en effet du considérant 42 que le consentement ne pourra être considéré comme ayant été donné librement lorsque la liberté de choix de l’utilisateur est altérée. Les Guidelines publiées par le CEPD sur le consentement rappellent quant à elles que « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable »11. Le RGPD exclut dès lors les hypothèses dans lesquelles le paramétrage du consentement est de toute évidence discriminé au profit d’options « pro-partage » attractives et séduisantesqui sont révélatrices d’une certaine volonté d’entraver l’autonomie de la volonté des utilisateurs.
4.2 Dark patterns encourageant à partager plus de données que nécessaire
Cette catégorie de dark patterns comprend notamment les designs de partage d’informations par défaut12. Tel est le cas par exemple lorsque les cases de partage de données sont précochées à l’avance par le site internet. Les cases cochées par défaut sont explicitement interdites sous le RGPD13. Elles contreviennent directement à l’exigence d’un consentement manifeste, non équivoque, dès lors que le consentement doit faire l’objet d’un « acte positif clair »14.
Le caractère univoque du consentement a pour objet de s’assurer que — la charge de la preuve reposant sur le responsable de traitement — le consentement a été donné de manière indubitable par l’utilisateur15. Dès lors, les cases précochées ne pourraient être considérées comme un acte positif clair de la personne concernée.
Dans l’exemple ci-dessous, le design utilisé est celui de cases « accepter » cochées par défaut et est contraire au RGPD.
De la même manière, les pop-ups informant l’utilisateur que la poursuite de la navigation sur le site ou l’application revient à accepter la politique de cookies n’apparaissent pas non plus conformes au caractère manifeste du consentement (voy. Fig. n°5).
Relevons en outre le paradoxe lié à l’exigence de spécificité suivant lequel certains sites internet, par excès de zèle ou soucieux de se conformer au mieux à la législation européenne, proposent à l’utilisateur une description à la carte des finalités auxquelles il peut librement consentir (voy. Fig. 4). Si, en théorie, un consentement spécifique impose effectivement au responsable de traitement de donner la possibilité à la personne concernée de consentir à toutes les opérations qui ne partagent pas la même finalité, en pratique, ce type de design tend à faciliter le consentement de l’utilisateur qui privilégiera l’acceptation globale des cookies au détriment du paramétrage16.
4.3 Dark patterns portant sur la psychologie de l’utilisateur
D’autres dark patterns font appel à la psychologie du consommateur ou, en l’occurrence, de l’utilisateur. Le langage et le design utilisés par les développeurs du site internet entendent susciter certaines émotions chez l’internaute.
Le dark pattern de la figure n°6 assimile les cookies informatiques aux cookies tels, ces friandises ancrées dans la culture populaire et généralement appréciées de l’utilisateur. Ce faisant, il donne l’impression que les cookies informatiques sont agréables et partant, qu’il s’agit de quelque chose de positif pour l’utilisateur.
Par ailleurs, en employant un « smiley » et une expression familière (cfr. « merci pour le coup de pince ») doublée d’un jeu de mots et d’une référence au nom du site internet en question, le design entend obtenir la confiance de l’utilisateur.
Partant, juridiquement parlant, ce dark pattern contrevient à l’exigence de liberté du consentement prévue par le RGPD en raison de l’influence exercée sur l’utilisateur.
4.4 Dark patterns compliquant les actions de protection des données
Enfin, certains sites internet et applications entendent tirer profit de l’utilisateur en lui proposant des politiques de confidentialité extrêmement longues et fastidieuses. Ces dernières ont pour effet bien connu de rebuter l’individu et d’en décourager la lecture de sorte que ces sites s’assurent ce faisant d’un faible taux de lecture parmi les utilisateurs. Pour rappel, un consentement éclairé/informé et plus généralement le principe de transparence imposent au responsable du traitement de fournir à l’utilisateur une information claire quant à son identité et aux finalités poursuivies par le traitement qu’il entend effectuer17.
Dans l’exemple ci-après, l’obtention d’informations à propos des cookies ainsi que leur paramétrage sont rendus à ce point difficiles qu’ils ne laissent d’autre choix à l’utilisateur que d’accepter leur utilisation. La surcharge visuelle et informationnelle a pour conséquence d’inciter l’individu à privilégier l’option d’acceptation des cookies plutôt que de s’aventurer dans un paramétrage rendu compliqué, voire impossible18.
S’agissant de la figure n°8, on constate que l’utilisateur doit effectuer plus de démarches pour paramétrer l’utilisation des données que pour donner son consentement. En poussant la réflexion un peu plus loin, il est également permis de considérer que ce dark pattern manipule le langage utilisé en proposant une option intitulée « en savoir plus ». Ce vocabulaire laisse en effet sous-entendre à l’utilisateur qu’il peut recevoir plus d’informations quant au traitement de données effectué sans pour autant l’informer de la possibilité de paramétrage située au-delà de cette option. En revanche, tel ne serait pas le cas si à la place, le site mentionnait « paramétrage » ou « je refuse ». Toujours est-il qu’il existe une discrimination flagrante entre les différentes options proposées à l’utilisateur final.
Dans ces différentes hypothèses, nous sommes d’avis qu’il est permis de débattre de la validité du consentement de l’utilisateur ayant marqué son accord au traitement de ses données et au placement de ces cookies lorsque le gestionnaire du site internet a eu recours à un dark pattern.
4.5 Un exemple à suivre
Pour clôturer cette analyse, il convient de proposer un contre-exemple tiré directement de l’ancien site internet de l’Autorité de protection des données. Nous pouvons constater qu’en l’occurrence aucune influence n’est exercée sur l’utilisateur. Il existe ici un bouton « refuser » qui est présenté de la même manière que le bouton accepter, ce qui est de nature à laisser un vrai choix, exempt de toute influence. La personne concernée dispose ici d’une information concise et peut s’informer davantage et cliquant sur « Plus d’info ». Une telle interface est davantage conforme aux règles du RGPD que nous avons abordées à la fois en matière de privacy by design et de consentement.
5. Conclusion
Encore relativement peu traité dans les médias ou par les milieux académiques, cet article aura, nous l’espérons, eu le mérite de mettre davantage en lumière la problématique des dark patterns en présentant notamment quelques pratiques auxquelles les internautes sont régulièrement confrontés
A l’heure d’écrire ces quelques lignes, il semblerait que de plus en plus de sites internet se mettent au diapason du RGPD. Cela n’énerve toutefois pas le constat que les applications du nudge et des dark patterns sont légion et que les entreprises du secteur privé sont généralement tentées de recourir à ce type de méthode pour orienter le consommateur ou l’utilisateur dans la direction de leurs intérêts commerciaux.
Dans ce contexte, s’agissant de protection des données à caractère personnel, si le RGPD fournit en amont un cadre juridique permettant de lutter contre les dark patterns, il conviendra de pouvoir compter, en aval, sur la vigilance des autorités de contrôle nationales – telles l’Autorité de protection des données – pour réguler efficacement ce type de pratique.
Dans la foulée de cette première observation, nous sommes, d’une part, d’avis que la régulation de ces pratiques devra nécessairement passer par une compréhension des mécanismes psychologiques à savoir les biais cognitifs – que nous n’avons pas eu l’occasion d’aborder ici – qui influencent considérablement l’individu lorsqu’il est amené à poser un choix. D’autre part, nous pensons que les initiatives et mouvements – tels que celui du legal design par exemple – promouvant le renforcement des droits des personnes concernées doivent adopter une approche avant tout centrée sur l’utilisateur et étudier a posteriori et en profondeur les effets du design sur le comportement des internautes.
1 Voy. S. Zuboff, The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power, New York, PublicAffairs, 2019. Professeure émérite à la Harvard Business School et professeure associée à la Harvard Law School.
2 Il ressort ainsi d’une étude de l’Université de Cornell que seuls 11,8 % des sites internet analysés seraient conformes aux exigences du RGPD en matière de consentement et de politiques de cookies. Voy. M. Nouwens, I. Liccardi, M. Veale, D. Karger, et L. Kagal, « Dark Patterns after the GDPR: Scraping Consent Pop-ups Demonstrating their Influence », Human-Computer Interaction, Cornell University, 8 janvier 2020, p. 6. Disponible sur : https://arxiv.org/abs/2001.02479
3 La théorie du nudge ou du « coup de coude » nous provient des sciences comportementales. Elle a été élaborée en 2008 par deux chercheurs américains, Richard Thaler économiste de l’Université de Chicago et Cass Sustein professeur à la faculté de droit de l’Université d’Harvard, dans un ouvrage intitulé « Nudge – Improving Decisions about Health, Wealth, and Happiness ». Voy. R. Thaler et C. Sustein, Nudge : Improving Decisions about Health, Wealth, and Happiness, New Haven, Yale University Press, 2008.
4 Cette théorie économique conçoit l’être humain avant tout comme un être rationnel, capable de maximiser ses ressources et de prendre des décisions réfléchies afin de parvenir à un résultat optimal pour lui-même.
5 A. Barton et T. Grüne-Yanoff, « From Libertarian Paternalism to Nudging – and Beyond », Rev. Phil. Psych, Vol. 6, 2015, p. 341.
6 Avis 5/2018, « Avis préliminaire sur le respect de la vie privée dès la conception », Contrôleur européen de la protection des données, 31 mai 2018, p. 6. Disponible sur : https://edps.europa.eu/_fr
7 Les exemples présentés ci-dessous se rapportent principalement à des politiques de cookies. Ces dark patterns sont ceux auxquels l’utilisateur est le plus souvent confronté. Notons également que les articulations entre les cookies et les différentes législations européennes sont traitées dans la contribution originale. Enfin, certains également ont été volontairement floutés ou masqués afin de rendre l’identification du site internet concerné impossible.
8 Voy. Groupe de travail « Article 29 », Lignes directrices sur le consentement au sens du règlement 2016/679, p. 6.
9 Voy. F. Z. Borgesisus, S. Kruikemeier, S. Boerman and N. Helberger, « Tracking Walls, Take-It-Or-Leave-It Choices, the GDPR, and the ePrivacy Regulation », Eur. Data Protection Law Review, 2017, vol. 3, Issue 3, p. 353-369.
10 C. de Terwangne rappelle à cet égard que « le consentement sera considéré comme ayant été librement donné uniquement si la personne concernée dispose d’une véritable liberté de choix ou est en mesure de refuser ou de retirer son consentement sans subir de préjudice ». Voy. C. de Terwangne, « Les principes relatifs au traitement des données à caractère personnel et à sa licéité », dans C. de Terwangne et K. Rosier, Le règlement général sur la protection des données (RGPD/GDPR) : Analyse approfondie, Bruxelles, Larcier, 2018, p. 122.
11 Groupe de travail « Article 29 », Lignes directrices sur le consentement au sens du règlement 2016/679, précitées, pp. 5-6.
12 Rapport du Laboratoire d’Innovation Numérique de la CNIL, « Cahier IP n° 6 : La forme des choix », 20 mars 2019, p. 28.
13 Voy. Considérant n° 32 du RGPD ; A ce sujet, voy. A. Delforge, « Le placement de ‘cookies’ sur un site web : la Cour de Justice fait le point, l’APD commence à sanctionner », R.D.T.I., 2020, p. 101 et s.
14 Considérant n° 32 du RGPD.
15 C. de Terwangne, op. cit., p. 125.
16 Soulignons par ailleurs la pratique largement répandue qui consiste à demander le consentement de l’utilisateur à chaque connexion. Nous sommes convaincus que cette redondance est de nature à rebuter l’individu et le décourage de paramétrer le traitement de ses données à caractère personnel.
17 Article 12 et considérant 58 du RGPD.
18 A simple titre d’information, nous n’avons jamais trouvé le moyen de paramétrer/refuser l’utilisation de cookies par le site internet en question.
