Que sont les “dark patterns” et leurs impacts sur les données personnelles ?

• Confiance Sécurité et Transactions
• Cybersécurité
• Données personnelles

Partager sur Twitter : Que sont les “dark patterns” et leurs impacts sur les données personnelles ? (Nouvelle fenêtre) Partager sur Linkedin : Que sont les “dark patterns” et leurs impacts sur les données personnelles ? (Nouvelle fenêtre)

Dossier : La protection des données personnelles face aux “dark patterns”

L’objectif de ce dossier est d’apporter un éclairage sur le sujet des techniques de manipulation dans le monde numérique, aussi appelées “dark patterns”. L’ampleur du phénomène produit des impacts importants sur la protection des données personnelles. Cette analyse réalisée au sein des Orange Labs pour le Domaine “Confiance & Sécurité” est basée sur des documents de sources diverses, universitaires, associations, autorités de régulation, essais, ou articles de presse. L’approche choisie croise les aspects techniques, juridiques et design. La proposition est avant tout de donner des éléments de réflexion et de sensibiliser à une problématique dont les racines semblent profondes.

Le dossier est composé de trois articles :

Un premier article définie les “dark patterns”. Il rend compte des résultats d’études de référence publiées récemment dont les résultats permettent d’évaluer les impacts sur le traitement de données personnelles et de proposer des outils de contrôle.

Un second article propose d’observer le sujet sous l’angle des modèles de régulation et d’aborder des types de sanctions selon les législations, principalement aux Etats-Unis et en Europe. Face aux effets néfastes sur la société des pratiques destinées à augmenter les profits basés sur la publicité numérique, certains se repentissent. De nombreux messages d’alerte semblent converger et dénoncent la gravité de la situation globale dans le monde numérique.

Un troisième article souligne le refus de cette situation et les challenges à relever pour protéger nos libertés et la confiance dans le monde numérique.

Le but de ces articles est de contribuer si possible à l’éclairage et au débat sur ce sujet important.

Article 1 : Que sont les “dark patterns” et leurs impacts sur les données personnelles ?

Peut-être l’avez-vous remarqué, les “dark patterns” sont de plus en plus cités. Nous en serions tous victimes dans nos usages du numérique. Ils favoriseraient la captation de notre attention, nous manipuleraient dans nos choix et conduiraient à une collecte massive de données personnelles.

Que sont les “dark patterns” ? Le sujet semble a priori plutôt rattaché aux sciences humaines, à la conception des interfaces ou au marketing comportemental. Y a-t-il des liens avec la sécurité et la protection des données personnelles ? Quels sont les résultats qui permettent aujourd’hui de mesurer l’ampleur du phénomène ? Quels sont les outils pour nous éclairer ? Les “dark patterns” ne constituent-ils pas l’une des facettes essentielles d’une problématique plus large autour de la publicité numérique ?

C’est à partir de 2010, que le designer Harry Brignull recense et dénonce les interfaces conçues pour manipuler les utilisateurs. Son site web darkpatterns.org est devenu une référence. On associe parfois aux “dark patterns” le terme de “nudge”[i], ou “coup de pouce” en français, dans un sens plus positif, pour désigner des outils ou des méthodes dont l’objectif serait d’influencer les gens en modifiant leur comportement.

Les “dark patterns” se définissent comme des techniques de manipulation implémentées dans un service ou un produit afin de tromper volontairement l’utilisateur pour le bénéfice du fournisseur. Ils se basent sur nos biais cognitifs dont des chercheurs comme A. Acquisti voient une explication au paradoxe de la vie privée “selon lequel nous rendrions disponibles d’énormes quantités d’informations personnelles en ligne tout en nous inquiétant des conséquences de ce partage.”[ii]

Les “dark patterns” concernent tout type d’interface utilisateur quel que soit le domaine des sites web (voir l’étude de Mathur et al. sur les “dark patterns” dans les sites de commerce en ligne[iii]). Ils contribueraient à influencer les individus dans leurs attitudes, leurs choix et leurs consommations.

Au regard des principes de protection des données personnelles, la Commission Nationale Informatique et Libertés (CNIL) propose en mars 2019, dans le sixième Cahier Innovation & Prospectives [Cahier IP6], “La forme des choix”[iv], une typologie non exhaustive de design potentiellement trompeur visant à influencer le consentement, dérouter l’individu, créer des frictions d’usage ou encore à pousser l’individu à partager plus de données que nécessaire, selon des tactiques : profiter / séduire / leurrer / compliquer / interdire.

Comme le souligne ce Cahier IP6, les pratiques peuvent, pour certaines, rester conformes du point de vue du Règlement Général sur la Protection des Données (RGPD)[v], mais selon le moment, la manière et les données concernées, elles peuvent soit poser des questions éthiques, soit devenir non conformes.

Par exemple, un design potentiellement trompeur peut demander le consentement pour la collecte de données à un moment spécifique où l’on sait que l’individu est en situation de faiblesse, car pressé ou impatient de terminer, ou bien, à faire culpabiliser l’utilisateur pour ses choix, par les mots utilisés s’il refuse d’être tracé pour des motifs publicitaires. D’autres techniques courantes consistent à créer un processus délibérément long et fastidieux pour atteindre les bons niveaux d’information ou les réglages les plus fins, ou les rendre tellement fins et compliqués qu’ils vont inciter l’utilisateur à abandonner avant d’avoir atteint son objectif initial.

Une manipulation à grande échelle mais des outils pour reprendre le contrôle

De plus en plus d’études ont amplifié récemment la prise de conscience sur l’impact des interfaces dans les manières d’agir des utilisateurs. De nombreuses disciplines sont mobilisées et les chercheurs en sécurité informatique s’y intéressent, comme le montre l’intervention de Claude Castelluccia et Daniel Le Metayer de l’Inria sur le sujet “Influence or manipulation ? What protections in the digital world ?” [vi], lors de la 12ème Conférence internationale CPDP (“Computers Privacy and Data Protection”), en janvier 2019.

En 2018, le Conseil norvégien des consommateurs a publié un rapport, souvent cité, intitulé “Deceived by design”[vii] dans lequel il dénonce les mauvaises pratiques mises en place par Facebook, Google et Microsoft.

Le Cahier IP6 de la CNIL développe la problématique du design manipulateur et incite à un débat public pour une plus grande transparence. Selon cette étude, le RGPD applicable depuis mai 2018 ne peut favoriser les bonnes pratiques de design qu’avec une prise de conscience et l’intervention de l’ensemble des parties prenantes. Le rapport de la CNIL encourage la rétro-ingénierie et les moyens de régulation par le marché.

Dans les recherches académiques, trois études ont récemment été publiées sur les pratiques en matière de gestion du consentement et des traceurs. Les résultats démontrent l’utilisation de techniques de manipulation à grande échelle et les impacts sur le non-respect de la vie privée, malgré les principes fixés par le RGPD et les attentes des personnes concernées au regard de leurs droits.

D’une part, l’étude menée par Utz et al.[viii] permet de mieux comprendre l’impact de la conception des outils de gestion du consentement et d’information sur la manière d’interagir de la part des utilisateurs. Cette étude suggère que « les modèles commerciaux actuels de nombreux services Web basés sur les données, qui utilisent souvent des “dark patterns” pour inciter les gens à accepter la collecte de données, peuvent ne plus être durables si le principe de protection par défaut du RGPD est appliqué ».

D’autre part, Matte et al.[ix] proposent une vérification de la conformité aux principes européens des outils de gestion du consentement basés sur les “Consent Management Providers” (CMPs), acteurs en charge de la collecte du consentement de l’utilisateur final et de redistribuer ce consentement aux annonceurs. Pour mesurer la conformité des bannières, les chercheurs ont conçu deux outils. Le premier, “Cookinspect” (pour Google Chrome) visite automatiquement les sites Web, les journaux de consentement enregistrés et intercepte la transmission du consentement à des tiers. Un second, “Cookie glasses” (pour Google Chrome et Firefox) permet aux utilisateurs de détecter une bannière et de voir si leur choix est correctement transmis aux annonceurs par les CMPs. Selon les résultats de cette étude, sur 1426 sites Web européens qui implémentent une bannière TCF (Transparency & Consent Framework de l’IAB Europe), 54% des sites Web possèdent au moins une violation des critères de consentement.

Dans l’étude “Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence” publiée début janvier 2020 par Nouwens et al.[x], cinq chercheurs du MIT, de UCL et de Aarhus University constatent que seulement 11,8% des CMPs étudiés (Cookiebot, Crownpeak, OneTrust, Quantcast et TrustArc) sur les 10000 sites web les plus populaires du Royaume-Uni satisfont aux exigences minimales fixées par le cadre légal et réglementaire européen. Selon ce papier, les “dark patterns” et le consentement implicite sont omniprésents. Une extension de navigateur a également été conçue dans le cadre de cette étude et permet de répondre automatiquement aux fenêtres contextuelles, en fonction des préférences personnalisables de l’utilisateur. Cette extension se nomme “Consent-o-Matic” [xi]. Elle est disponible à la fois sur Firefox et sur Chrome.