Dark patterns, des dérives inacceptables

• Confiance Sécurité et Transactions
• Cybersécurité
• Données personnelles

Partager sur Twitter : Dark patterns, des dérives inacceptables (Nouvelle fenêtre) Partager sur Linkedin : Dark patterns, des dérives inacceptables (Nouvelle fenêtre)

Dossier : La protection des données personnelles face aux “dark patterns”

L’objectif de ce dossier est d’apporter un éclairage sur le sujet des techniques de manipulation dans le monde numérique, aussi appelées “dark patterns”. L’ampleur du phénomène produit des impacts importants sur la protection des données personnelles. Cette analyse réalisée au sein des Orange Labs pour le Domaine “Confiance & Sécurité” est basée sur des documents de sources diverses, universitaires, associations, autorités de régulation, essais, ou articles de presse. L’approche choisie croise les aspects techniques, juridiques et design. La proposition est avant tout de donner des éléments de réflexion et de sensibiliser à une problématique dont les racines semblent profondes.

Le dossier est composé de trois articles :

Un premier article définie les “dark patterns”. Il rend compte des résultats d’études de référence publiées récemment dont les résultats permettent d’évaluer les impacts sur le traitement de données personnelles et de proposer des outils de contrôle.

Un second article propose d’observer le sujet sous l’angle des modèles de régulation et d’aborder des types de sanctions selon les législations, principalement aux Etats-Unis et en Europe. Face aux effets néfastes sur la société des pratiques destinées à augmenter les profits basés sur la publicité numérique, certains se repentissent. De nombreux messages d’alerte semblent converger et dénoncent la gravité de la situation globale dans le monde numérique.

Un troisième article souligne le refus de cette situation et les challenges à relever pour protéger nos libertés et la confiance dans le monde numérique.

Le but de ces articles est de contribuer si possible à l’éclairage et au débat sur ce sujet important.

Article 3 : Dark patterns, des dérives inacceptables

Sommes-nous en train de basculer de l’utopie au cauchemar numérique ? Nos usages du numérique pâtissent des techniques “persuasives” et de la course aux profits. Quels sont les challenges à relever et les moyens de refuser cette situation d’abus représentée par les “dark patterns” ?

Nous serions dans “La civilisation du poisson rouge”, comme le titre l’ouvrage de Bruno Patino, directeur éditorial d’Arte France. Il pointe dans cet essai les risques liés aux algorithmes prédictifs. Ce spécialiste des médias et pionnier du développement de l’Internet constate que nous sommes comme le poisson rouge qui tourne dans son bocal et redécouvre le monde à chaque tour. Comme le titrait un article de Marianne [1] d’août 2019, c’est l’histoire d’une utopie brisée où les ingénieurs de Google ont évalué la durée d’attention de la génération des millenials (celle qui a grandi avec les écrans) à 9 secondes. D’où des techniques dites “persuasives” afin de nous rendre dépendants et créer l’addiction des utilisateurs, comme “les systèmes à récompenses aléatoires” pour lesquels “l’incertitude produit une compulsion”. Comme le souligne l’article en référence à l’essai de Bruno Patino, les effets néfastes de l’exposition croissante aux écrans portent des noms comme “nomophobie” (peur d’être séparé de son téléphone), “schizophrénie de profil” (confusion entre profils internet et véritable identité), “athazagoraphobie” (peur de susciter l’indifférence sur les réseaux).

La consommation numérique excessive, voire addictive, développée par les “dark patterns” touche particulièrement les enfants [2] avec plus des trois-quarts (76,2%) âgés entre 11-14 ans qui se connectent tous les jours en moyenne plus de 2h. Ce qui inquiète les parents. Mais, les effets d’une surconsommation sont aussi sur le climat et l’environnement [3].

Pour Sir Tim Berners-Lee, très inquiet, il faudrait se protéger d’une “dystopie” [4] ! Il serait encore possible de sauver le Web devenu en 30 ans, selon lui, la proie de la mercantilisation. Le fondateur du World Wide Web propose un contrat [5] qui fixe des règles à respecter pour les entreprises, les gouvernements et les individus. Est-ce une nouvelle utopie ?

Le rapport d’Amnesty International publié en novembre 2019 pointe de son côté “le modèle économique fondé sur la surveillance mis en place par Facebook et Google”. Selon Amnesty International, il “est par nature incompatible avec le droit à la vie privée et représente une menace pour toute une série d’autres droits : droits à la liberté d’opinion, d’expression et de pensée, droits à l’égalité ou encore droit à la non-discrimination” [6].

Si les possibilités de critique et d’amélioration semblent pour le moment encore possibles quels seraient les moyens de résister à de nouvelles versions de “dark patterns” installées sur une interface cerveau-machine comme celle de la société Neuralink d’Elon Musk [7] ? Quels sont les garde-fous contre la volonté de contrôle par des sociétés commerciales sur nos comportements pour toujours plus de profits et de nouveaux marchés ? 

Les critiques sont de plus en plus vives et les appels à la vigilance portent aujourd’hui sur un système global que Shoshana Zuboff nomme “capitalisme de surveillance”. Cette Professeur émérite à la Harvard Business School interroge sur ce nouveau pouvoir. “Comment transforme-t-il la nature humaine au nom de ses certitudes lucratives ?” [8].

Challenges 

Au regard des principes fondamentaux et selon les attentes fortes de la société, comment protéger les droits des personnes concernées dans le respect des valeurs d’un système démocratique ? Quelles sont les mesures à mettre en œuvre pour améliorer la situation ? Quelles pistes peuvent nous aider pour penser les solutions avec plus de recul ? Comme souligné dans un article présenté lors de l’APVP’18 [9], “si la confiance dans la protection des données personnelles est souvent mise en avant comme facteur crucial de l’adoption des services numériques, la réalité de l’intégration de mesures de protection, et en particulier de technologies de type “Privacy Enhancing Technologies” (PETs), fait sévèrement défaut. Pourtant la possibilité existe de créer des services innovants tout en garantissant le respect de la vie privée et la minimisation des données grâce à des technologies de pointe conçues et évaluées par une communauté de chercheurs d’établissements prestigieux. L’ENISA, l’Agence Européenne chargée de la sécurité des réseaux et de l’information, contribue à faire la promotion des PETs et du “privacy by design”. Mais, le succès économique de services numériques valorisant les gisements de données personnelles a étouffé les propositions de produits et services “privacy-friendly” destinés au plus grand nombre.”. Le RGPD avec ses principes de transparence, de contrôle par les personnes concernées et de responsabilisation sur les traitements par l’ensemble des acteurs est-il en capacité de créer une véritable alternative et de renverser la situation ?

En ce qui concerne le choix des outils techniques, sommes-nous en mesure d’affirmer collectivement des stratégies en adéquation avec nos valeurs ? 

Comme le suggère l’éditorial du Monde du 10 décembre 2019 au sujet de “l’exploitation de données de santé“ : “Agissons pour que la France et l’Europe ne soient pas vassalisées par les géants supranationaux du numérique”. L’éditorial propose le partage d’algorithmes et de logiciels d’analyse transparents par la promotion des logiciels et de la culture libres. En pratique, la situation est loin du compte.

Au niveau du droit, au regard des impacts sur la société dans son ensemble, ne faudrait-il pas mettre en œuvre d’autres approches complémentaires en matière de protection des données personnelles ? Selon l’analyse critique des chercheurs Antonio Casilli et Paola Tubaro, “notre privacy cesse aujourd’hui d’être un droit individuel et se rapproche de l’idée d’un faisceau de droits et de prérogatives à allouer entre les citoyens, l’Etat et les entreprises du numérique” [10]. Dominique Cardon, responsable du MediaLab de Sciences Po, appelle aussi à cesser de penser individuellement la vie privée et à y réfléchir comme à un droit collectif afin d’aborder différemment le sujet de la surveillance [11].

Les outils pratiques et des propositions plus éthiques sont appelées à apporter des solutions. Le Cahier IP6 publié par la CNIL propose des recommandations en matière de design pour améliorer “la qualité, l’accessibilité et l’intelligibilité des informations fournies aux personnes concernées”. Les concepteurs et développeurs de services ont sans doute besoin d’outils pour formuler des réponses innovantes. L’objectif de produire des “analyses au service de la conception d’interfaces respectueuses de la vie privée des utilisateurs (acculturation aux sujets de protection des données, questions à intégrer à la démarche de conception, briques de base, grands principes et règles, etc.) et des recommandations concrètes (“do”/“don’t”, “design patterns”, typologie de mécanismes de transparence et loyauté, etc.)” est une étape essentielle. Toutefois, ces recommandations peuvent-elles infléchir une logique dominante portée par la publicité ciblée dont les règles intrinsèques s’opposent à la minimisation des données et au contrôle par les personnes concernées ?

Comment offrir aujourd’hui des services numériques simples et utiles pour les utilisateurs dans des parcours adaptés à l’exercice des droits ? Quelles sont les ressources nécessaires pour obtenir des services de qualité appréciés des utilisateurs et respectueux de la vie privée ? Le coût pour la société des services “gratuits” basé sur la publicité doit être réévalué au regard des menaces que font peser la collecte massive de données, le mépris des libertés, les effets néfastes d’une surexposition aux écrans, et la pression de consommer sans limite.

Conclusion

La gestion de la sécurité et de la protection des données personnelles intègre déjà de nombreux aspects permettant d’éviter certaines manipulations, comme en ingénierie sociale. Elle prend déjà en compte les “failles humaines” d’un système d’information comme “effet de levier”, pour briser ses barrières de sécurité.

L’étude approfondie des “dark patterns” peut nous aider à cibler de nouvelles menaces, à identifier les responsabilités et à améliorer la sécurité du quotidien numérique. Elle permet de mieux appréhender l’ampleur des problèmes et des enjeux. Des actions concrètes, au niveau du design, contre les “dark patterns” permettent de réduire les risques. Le Cahier IP6 de la CNIL et de nombreux articles scientifiques offrent des grilles de lecture et fournissent des exemples. Les “dark patterns” ne correspondent pas à des pratiques malveillantes isolées d’une poignée de développeurs sans scrupules. Ils sont largement déployés et révèlent l’accélération d’un système économique destructeur de valeurs, au premier rang desquelles le respect de la vie privée, l’autodétermination et l’autonomie des individus. De nombreuses études démontrent les mécanismes et la non-conformité au regard du RGPD des solutions techniques déployées à grande échelle. Dans ce contexte, les promesses de bonheur de l’humanité et d’épanouissement des individus grâce aux nouvelles technologies sont illusoires. Les alertes sur les menaces pour nos libertés se multiplient.

En Europe, depuis 2018, le RGPD offre un cadre de co-régulation où chaque partie prenante doit assumer sa responsabilité et garantir des solutions de protection des données personnelles. Les sanctions peuvent être très lourdes. Néanmoins, elles restent pour le moment limitées en comparaison des amendes infligées aux Etats-Unis. La régulation par le marché pourrait, comme le suggère le Cahier IP6 publié par la CNIL, servir de levier à l’adoption de bonnes pratiques. Cependant, les géants de la publicité du numérique accumulent les données et les profits record. Pour le moment, les “dark patterns” semblent pouvoir s’imposer au détriment du “privacy by design”. Comment dans ce cas, des utilisateurs mal informés ou privés de choix peuvent-ils agir ? Le changement est possible si le principe de protection des données par défaut est respecté.

Les pratiques abusives observées dans le contexte des “dark patterns” soulèvent de nombreuses interrogations sur les puissances acquises par les géants du numérique financés par la publicité et sur les actions collectives à mener face aux menaces des techniques de manipulation.