Quelles sont les dispositions contre les “dark patterns” ?

• Confiance Sécurité et Transactions
• Cybersécurité
• Données personnelles

Partager sur Twitter : Quelles sont les dispositions contre les “dark patterns” ? (Nouvelle fenêtre) Partager sur Linkedin : Quelles sont les dispositions contre les “dark patterns” ? (Nouvelle fenêtre)

Dossier : La protection des données personnelles face aux “dark patterns”

L’objectif de ce dossier est d’apporter un éclairage sur le sujet des techniques de manipulation dans le monde numérique, aussi appelées “dark patterns”. L’ampleur du phénomène produit des impacts importants sur la protection des données personnelles. Cette analyse réalisée au sein des Orange Labs pour le Domaine “Confiance & Sécurité” est basée sur des documents de sources diverses, universitaires, associations, autorités de régulation, essais, ou articles de presse. L’approche choisie croise les aspects techniques, juridiques et design. La proposition est avant tout de donner des éléments de réflexion et de sensibiliser à une problématique dont les racines semblent profondes.

Le dossier est composé de trois articles :

Un premier article définie les “dark patterns”. Il rend compte des résultats d’études de référence publiées récemment dont les résultats permettent d’évaluer les impacts sur le traitement de données personnelles et de proposer des outils de contrôle.

Un second article propose d’observer le sujet sous l’angle des modèles de régulation et d’aborder des types de sanctions selon les législations, principalement aux Etats-Unis et en Europe. Face aux effets néfastes sur la société des pratiques destinées à augmenter les profits basés sur la publicité numérique, certains se repentissent. De nombreux messages d’alerte semblent converger et dénoncent la gravité de la situation globale dans le monde numérique.

Un troisième article souligne le refus de cette situation et les challenges à relever pour protéger nos libertés et la confiance dans le monde numérique.

Le but de ces articles est de contribuer si possible à l’éclairage et au débat sur ce sujet important.

Article 2 : Quelles sont les dispositions contre les “dark patterns” ?

Face aux techniques de manipulation quels sont les modèles de régulation et les types de sanctions ? Quels sont les cadres en vigueur aux Etats-Unis et en Europe ? Les effets sont néfastes pour la société alors que ces pratiques sont destinées à augmenter les profits basés sur la publicité numérique. Dans ce contexte, des acteurs du numérique se repentissent et de nombreuses alertes semblent converger pour dénoncer la gravité de la situation.

En France, la CNIL a mis en demeure [1] dès 2018 plusieurs entreprises pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire, et a prononcé une sanction [2] de 50 millions d’euros à l’encontre de Google en janvier 2019 pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Pour rappel, une logique de conformité selon le RGPD est basée sur des mesures techniques et organisationnelles afin de permettre à la personne concernée d’avoir le contrôle sur ses données et d’exercer ses droits. Les traitements de données personnelles, en particulier sur la base légale du consentement, ne semblent plus en mesure de garantir un niveau de protection adéquat, lorsque les “dark patterns” manipulent par défaut. Se pose alors la question des responsabilités et des moyens de faire appliquer les règles ?

En juillet 2019, la CNIL a adopté de nouvelles lignes directrices [3] relatives aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs). Toutefois, la CNIL semble hésiter sur la position à tenir. Elle annonçait en même temps qu’elle ne sanctionnerait les illégalités dans ce domaine qu’après mi-2020, au grand dam de la Quadrature du Net [4], une association de défense des libertés fondamentales dans l’environnement numérique, qui avait attaqué la CNIL devant le Conseil d’État afin de faire appliquer sans délai les obligations, mais dont la demande a été rejetée en octobre 2019.

Chez certains professionnels du design, une forme de contestation se manifeste contre les mauvaises pratiques. L’éthique devient un enjeu dont certaines agences ont fait une image de marque ou un axe de différenciation, à l’instar de l’agence de design “les  Sismo” [5]. Différentes initiatives voient le jour. Par exemple, le collectif “Designers Éthiques” est à l’origine de l’évènement “Ethics by design”, dont les premières rencontres ont eu lieu en 2017 à l’ENS Lyon.

Plus les dérives semblent constatées, plus nous assistons à un développement des discours sur l’engagement et les promesses d’éthique. Cependant, il ne semble pas toujours simple d’évaluer ce qui est réellement fait et de décrire précisément ce qu’est un “bon” ou un “mauvais” design, dans une approche pragmatique face aux intérêts divergents des différentes parties prenantes.

Des critères rigoureux pour établir des bonnes pratiques sont nécessaires. C’est le cas pour la gestion du consentement dont 4 critères cumulatifs doivent être remplis pour être valablement recueillis (libre, spécifique, éclairé, univoque) au regard du RGPD.

Néanmoins, les objectifs du RGPD sont larges et la mise en œuvre opérationnelle encore hésitante. La protection par défaut et par design, la minimisation des données collectées, l’ “accountability” (responsabilité des responsables de traitement), ou le droit à la portabilité semblent mis à mal par les “dark patterns”. Ils se caractérisent par la priorité donnée aux intérêts financiers des fournisseurs au mépris du respect des droits des personnes concernés et sont susceptibles de conduire à des litiges et des sanctions, sinon de décrédibiliser les autorités et d’éroder la confiance.

Des travaux tels que ceux menés par Utz et al., Matte et al ou Nouwens et al cités dans le premier article peuvent contribuer à fixer des modalités pratiques pour évaluer et améliorer les interfaces.

Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL propose depuis janvier 2020 d’établir une recommandation [7] concernant le recueil du consentement de l’internaute pour les opérateurs utilisant des “cookies et autres traceurs”. À l’occasion de cette publication, la CNIL a demandé à l’IFOP de réaliser une étude auprès de 1000 personnes. Les personnes interrogées expriment un besoin de transparence et de contrôle. D’une part, 70% des personnes estiment qu’il est indispensable de leur demander leur accord pour utiliser leurs données de navigation via les cookies, même si cela prend un peu plus de temps. D’autre part, 90 % des personnes interrogées souhaitent savoir quelles sont les entreprises susceptibles de suivre leur navigation et jugent insuffisantes les informations actuellement disponibles à ce sujet.

En même temps qu’elle publie ses recommandations, la CNIL propose en téléchargement une nouvelle version de “Cookieviz”, son outil de visualisation des cookies transmis pendant une navigation sur Internet. Comme le souligne un article des Echos [8], cet outil permet d’observer les ramifications entre les centaines d’acteurs de la publicité en ligne et illustre la complexité du marché de la donnée via les cookies. A noter aussi, certains géants du secteur n’utilisent plus de cookies ou annoncent rechercher d’autres solutions [9].

Le Cahier IP6 publié par la CNIL sensibilise aux limites actuelles des moyens offerts aux utilisateurs pour agir en comparaison de la capacité d’influence des plateformes dont le modèle économique est basé sur la valorisation de la donnée et la publicité. “L’efficacité des techniques de design, en termes de captation de l’attention des internautes et d’orientation de leurs comportements, conduit nécessairement à tourner le regard vers les structures qui mettent en œuvre ces stratégies de la manière la plus frappante, au premier rang desquelles les grands industriels de la donnée” [10].

Pour le sociologue Dominique Boullier, Professeur à Science Po Paris, cité dans le Cahier IP6, “tout l’enjeu de cette lutte pour capter le temps de cerveau disponible consiste à réduire à l’extrême les hésitations et les arbitrages conscients”.

Dans un article de septembre 2019 intitulé “Dark patterns : quelle grille de lecture pour les réguler ?”, Estelle Hary de la CNIL souligne que “la question des designs trompeurs n’est pas exclusive à la protection des données et de la vie privée. En effet, ces pratiques viennent initialement du monde publicitaire, qui les a mises en place pour convaincre les individus de consommer davantage. L’arrivée du net a permis d’adapter ces pratiques à un nouveau medium, les renforçant et les massifiant au passage.” [11]. Aussi, cet article de la CNIL rappelle que la protection des droits des consommateurs est encadrée dans diverses législations, notamment dans la Directive relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs (2005/29/CE) en Europe ou le Code de la Federal Trade Commission (Commission fédérale du commerce), l’agence indépendante du gouvernement des États-Unis en charge de l’application du droit de la consommation et du contrôle des pratiques commerciales anticoncurrentielles.

Renforcement des sanctions 

Les sanctions de la Federal Trade Commission (FTC) aux Etats-Unis sont bien supérieures à celles décidées jusqu’à maintenant dans le cadre du RGPD. En effet, la FTC a officialisé en septembre 2019 une amende de 170 millions dollars à l’encontre de Google et YouTube pour des infractions à la  loi sur la protection de la vie privée des enfants dont les données sont collectées sans le consentement des parents (“Children’s Online Privacy Protection Act (COPPA) Rule”) [12] . Si dans ce cas les “dark patterns” ne sont pas directement visés par la FTC, la plainte souligne bien que les parents et les enfants ont été trompés par le service offert, et YouTube a gagné des millions de dollars en utilisant illégalement des cookies, pour diffuser des publicités ciblées aux téléspectateurs de ces chaînes.

Autre exemple de sanction aux Etats-Unis, début décembre 2019, où la FTC a conclu de manière officielle que Cambridge Analytica a trompé les utilisateurs de Facebook. Pour la FTC, Cambridge Analytica “s’est livré à des pratiques trompeuses pour recueillir des informations personnelles de dizaines de millions d’utilisateurs de Facebook à des fins de profilage et de ciblage des électeurs”. L’été dernier, la FTC a infligé à Facebook une amende record de 5 milliards de dollars pour sanctionner les violations de la vie privée des utilisateurs révélées par l’affaire Cambridge Analytica. Dans son communiqué, la FTC indique que l’objectif de cette décision est “la création d’une nouvelle culture chez Facebook pour que l’entreprise tienne enfin ses promesses de confidentialité faites aux millions de consommateurs américains qui utilisent sa plateforme” [13].

Cette sanction conduira-t-elle à de véritables changements, alors que la publicité représente 97% des revenus de Facebook et que son “terrain de chasse” pour capter toujours plus de données est à l’échelle internationale ? On se souvient en effet que son PDG, Marc Zuckerberg, est un habitué des “mea culpa” [14] et des annonces successives pour plus de confidentialité.

Une prise de conscience, encouragée par la CNIL dans le Cahier IP6, peut-elle conduire à une “sanction du marché” et à redonner aux utilisateurs des moyens d’agir ?

La réussite financière et l’influence politique de ces sociétés leurs confèrent des pouvoirs exceptionnels. Le Professeur Siva Vaidhyanathan de l’Université de Virginie dénonce une situation hors de contrôle et réclame des réponses radicales [15]. Le modèle d’autorégulation par le marché est-il en mesure d’assurer une confiance durable ? En Europe, le RGPD et son modèle de corégulation peut-il favoriser le développement de systèmes numériques plus respectueux des libertés ?

Des moyens de pression nouveaux apparaissent aux Etats-Unis. D’une part, le CCPA (“California Consumer Privacy Act”) est entré en vigueur en janvier 2020 [16]. D’autre part, le sénateur Mark R. Warner a déposé en avril 2019 une proposition de loi dénommée “Deceptive Experiences To Online Users Reductions” ou “DETOUR Act”, visant en particulier les grandes plateformes du web, afin de réguler les pratiques et interdire les designs manipulateurs. Enfin, comme le souligne un éditorial du Monde de septembre 2019, “l’ouverture, le 9 septembre, aux Etats-Unis, d’une enquête antitrust contre Google montre que la justice américaine a enfin décidé, sous la pression de l’opinion publique, de questionner les monopoles des GAFA” [17]. Le procureur du Texas, Ken Paxton, qui mène la procédure, déclare : “Nous avons des preuves que les pratiques de Google ont pu diminuer le choix des consommateurs, étouffer l’innovation, violer la vie privée des utilisateurs et lui ont permis de contrôler le flux et la diffusion des informations en ligne”.

En Europe, Margrethe Vestager, la Commissaire à la Concurrence entrée en fonction pour son deuxième mandat, remonte au front. Elle pointe les géants américains de la high tech, comme Google et Apple, ultra-dominants dans leurs secteurs, ce qui réduit considérablement le choix pour les consommateurs : “Il se peut donc que nous devions à un moment donné nous pencher sur la façon dont ces écosystèmes peuvent enfermer les consommateurs” [18] .

A noter également, une décision  de la Cour de Justice de l’Union Européenne qui concerne le module social “j’aime” de Facebook [19]. Cet outil transmet des données à Facebook sur les visiteurs des sites qui utilisent le module “j’aime”. La Cour de justice de l’UE a jugé que ces sites pouvaient être coresponsables, avec Facebook, de la collecte de ces données, malgré le déséquilibre des moyens. Ainsi, impossible de se cacher derrière Facebook, un site doit recueillir au préalable le consentement “éclairé” du visiteur, en l’informant de la collecte de ses données et de leur transmission à Facebook.

Repentances

Dans ce contexte, les critiques les plus virulentes viennent des Etats-Unis. Ethan Zuckerman, l’inventeur du pop-up publicitaire, s’est excusé en 2014 auprès d’Internet dans une tribune publiée par le magazine américain The Atlantic [20]. Aujourd’hui, selon lui, la publicité est le « péché originel » du web : “Nous avons entraîné les internautes à s’attendre à ce que tout ce qu’ils disent et font en ligne soit agrégé dans des profils (qu’ils ne peuvent voir ou modifier) qui façonnent les publicités et les contenus qu’ils voient”.

Le “Center for Human Technology” [21] est devenu le fer de lance de la contestation. Animé par Tristan Harris, ex-Google, l’objectif est de « réaligner la technologie avec les meilleurs intérêts de l’humanité. » Cette organisation cherche à sensibiliser les citoyens et promeut un design protecteur face à nos vulnérabilités intrinsèques comme les biais cognitifs. Cette association encourage les initiatives politiques. Y sont associées des personnalités telles que Roger McNamee, James William ou encore Cathy O’Neil.

Roger McNamee est un investisseur de la première heure de Facebook. Il évoque dans un livre paru en français en 2019 une “catastrophe” en cours mais aussi la montée des résistances contre les géants du numérique. Pour lui, “Facebook est aussi néfaste pour la démocratie que fumer l’est pour la santé”.

Un autre ex-Google, James Williams, du “Digital Ethics Labs” [22] de l’Université d’Oxford, est devenu une figure de l’“ethics by design” cité dans le Cahier IP6. D’après lui, l’ensemble des “devices” et des plateformes technologiques que nous utilisons chaque jour sont conçus pour contrôler notre attention. Et il est grand temps de remettre en question cette approche de la conception numérique pour inventer des alternatives durables et respectant notre liberté de choix et lutter contre les risques.

Comme noté dans un article du magazine Usbek et Rica [23] de février 2018, sur les repentis de la Silicon Valley, “la plus grande inquiétude de ces professionnels tous bords confondus, semble en effet se concentrer autour des générations futures, leurs enfants, potentielles victimes des abus possibles de ces nouvelles technologies”.

Pour le Cahier IP6, “il faut toutefois rester prudent face aux discours des repentis de la tech, qui ne font qu’alimenter la croyance en l’omnipotence d’entreprises qu’il serait dès lors vain de tenter de réguler”.