La fin de l’Empire des Dark patterns ? Le RGPD contre-attaque !
Par Harmonie Peynot
- Mini-conf (30 mn) :
Liens connexes
Le sujet
Depuis de nombreuses années, naviguer sur le web a fait de nous les cibles innocentes de designs conçus pour nous tromper et nous amener à adopter, malgré nous, des comportements souhaités. Les fameux Dark patterns.
Aujourd’hui le Règlement Général sur la Protection des Données (RGPD), armé de principes fondateurs tels que la transparence et la loyauté, vient glisser son grain de sable dans certains de ces mécanismes de manipulation.
Je vous propose d’aborder plusieurs designs trompeurs en analysant les leviers utilisés et les conséquences de leur utilisation sur la conformité au RGPD.
Présenté par
Après des études dans le management de l’environnement, j’ai découvert il y a près de 8 ans le domaine de la protection des données personnelles et ai décidé d’en faire mon métier. Le temps d’un petit détour pour vivre l’expérience d’être auditrice accessibilité numérique, et hop, me voilà de retour auprès de mon cher RGPD au sein de la team Temesis afin d’apporter au quotidien ma pierre à l’édifice d’un numérique plus responsable.
Transcription
Intro
Bonjour à toutes et à tous, ravie d’être avec vous cet après-midi.
Je me présente, Harmonie Peynot, je suis experte en protection des données personnelles chez Temesis. Vous pouvez encore me trouver sur le réseau dont on ne doit pas prononcer le nom (twitter) @HPeynot ainsi que sur LinkedIn.
Nous allons passer un petit temps ensemble sur le sujet : « la fin de l’empire des Dark Patterns ? le RGPD contre-attaque ».
De quoi va-t’on parler ?
Cette année, désolée, pas de petits chats mais je vous ai quand même mis quelques petites bêtes
poilues sur les diapos de transition. On ne se refait pas ! Ici, Beethoven le Saint Bernard accompagné
de sa jeune maîtresse sont assis sur un lit et tournés vers nous parce que eux aussi veulent savoir de
quoi nous allons parler.
Pas de surprise, on va parler de deux choses et tout était déjà dans le titre : les dark patterns et la protection des données.
D’abord qu’est-ce qu’un dark pattern, deceptive pattern ou encore design trompeur ?
Je les ai représentés avec une image du serpent Kaa du livre de la jungle en train d’hypnotiser Mowgli. On les définit généralement comme une interface utilisateur conçue pour tromper ou manipuler la personne qui l’utilise. Leur but ? Nous amener à faire ce qu’ils veulent que nous fassions et sans que nous nous en rendions compte. Vraiment le « Aie confiannnnce, crois en moi » ». Et malheureusement il ne s’agit pas d’un phénomène nouveau...
De l’autre côté du ring, on va avoir la protection des données.
Pour caricaturer un peu, je l’ai représenté par le fameux Jiminy Cricket, petit grillon de Pinocchio représentant la bonne conscience.
Quand je dis protection des données, cela veut dire RGPD, le règlement général sur la protection des données applicable en Europe depuis 2018 mais pas seulement.
On va également avoir la loi informatiques et libertés en France depuis 1978 par exemple.
Et la logique de la protection des données est de prôner la transparence et la loyauté (c’est même écrit noir sur blanc dans l’article 5). L’opposé de la manipulation par dark patterns donc.
Et quand on mélange les deux, on obtient cette conférence !
Donc non, je ne vais pas aborder l’ensemble des dark patterns (il y en a beaucoup trop !) mais plutôt me concentrer sur une partie de ceux qui peuvent impacter la protection des données personnelles, avec une vue depuis la France.
Un peu de documentation ?
Passons à la suite. Le fidèle toutou Hatchi est ici sagement assis en attendant de découvrir un peu de
documentation.
Je me suis bien sûr appuyée sur diverses ressources pour construire cette conférence. Et elle devient de plus en plus fournie sur le sujet.
Alors je vous ai sélectionné 4 ressources récentes :
- Le cahier Innovation et prospectives n°6 de 2019 de la Commission nationale de l’informatique et des libertés (l’autorité de protection des données en France).
- Les lignes directrices de l’EDPB (european data protection board) sur les « designs trompeurs dans les réseaux sociaux : comment les reconnaître et les éviter » de mars 2022.
- Une étude de la Direction interministérielle de la transformation publique, réalisée sur demande de la CNIL, en juin 2023 « Protection des données personnelles et cookies, l’éclairage des sciences comportementales ».
- Et enfin, last but not least, le livre d’Harry Brignull, un des maîtres jedi en matière de dark patterns, sorti le mois dernier et intitulé « Deceptive patterns, exposing the tricks tech companies use to control you ».
Vous voyez, le sujet commence à être sérieusement pris en compte, notamment par les autorités liées au RGPD.
En complément de ces 4 exemples, de nombreuses autres ressources existent et permettent de mieux comprendre les différentes implications des dark patterns. Par exemple, une ressource un peu plus orientée psychologie que j'ai pu consulter : le Petit traité de manipulation à l’usage des honnêtes gens de Joule et Beauvois (on salue le grand frère pour la ressource).
Dans quels cas ?
Maintenant que nous avons les bases, Cheddar, le corgi de Brooklynn 99 en balade avec ses papas va
nous accompagner dans la découverte des situations spécifiques où l’on va pouvoir principalement
avoir une confrontation dark patterns / RGPD.
Les mentions d’informations
Le RGPD impose qu’un certain nombre d’informations soient mises à disposition des personnes concernées avant la réalisation du traitement des données. Et ces informations, en dehors du fait qu’elles doivent être exhaustives, doivent être données de manière « concise, transparente, compréhensible, en des termes clairs et simples » (merci l’article 12.1 du RGPD).
Je vous ai illustré ça avec cette notice d’explication des règles à respecter lorsque l’on adopte un Mogwai tel que Gizmo : on ne l’expose pas au soleil, on ne le mouille pas et on ne le nourrit pas après minuit. Clair, net, précis.
Les mentions d’information peuvent donc être la cible de dark patterns : le « je dois te dire quelque chose mais je ne veux pas que tu l’entendes ».
L’exercice des droits
Un des fondamentaux du RGPD. Permettre à l’utilisateur de disposer de divers droits (accès, rectification, effacement, portabilité, ...) et pouvoir concrètement les exercer.
C’est au responsable de traitement de faciliter l’exercice de droits (article 12.2 du RGPD).
Par exemple, si vous avez un formulaire de collecte de données sur votre site internet, vous devez mettre en place une voie numérique permettant d’exercer les droits. Souvent via une adresse mail à disposition ou d’un formulaire dédié.
Mais imaginez que vous deviez envoyer un courrier papier en lettre recommandée 3 mois à l’avance pour vous désinscrire d’une newsletter. En ajoutant bien sûr une goutte de votre sang Ça commence à ressembler à la 8e épreuve des 12 travaux d’Astérix où il faut se procurer le laissez-passer A-38 dans la maison qui rend fou non ? Je grossis le trait, mais vous saisissez le principe.
La collecte des données
Lorsque vous collectez des données, vous devez respecter le principe de minimisation. C’est-à-dire de ne collecter que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.
Et ça en gardant en tête l’obligation de protection des données par défaut et dès la conception (article 25).
Donc construire une interface qui pousse l’utilisateur à donner plus de données que nécessaires, c’est problématique. Ne pas savoir quels champs sont réellement obligatoires, c’est problématique (tiens, un point commun avec l’accessibilité !).
On ne se jette donc pas sur les données comme Ron se jette sur le buffet dans la grande salle dans Harry Potter.
Le consentement
Ahhh le fameux consentement. Une des 6 bases légales permettant de réaliser un traitement de données personnelles et peut être LA source de dark patterns la plus prolifique.
Vous devez demander à la personne concernée si elle est d’accord pour que vous traitiez ses données. Le fameux dilemme de la pilule rouge ou bleue de Matrix. Et pour que ce choix soit valide (et donc que vous ayez le droit de traiter la donnée), il faut que ce consentement soit libre, spécifique, éclairé et univoque.
La moindre faiblesse sur l’un de ces critères et votre recueil de consentement peut être remis en cause et avec lui la légalité de tout votre traitement.
Bon si je vous dis « consentement » dans une conférence dark patterns, vous allez forcément penser aux bandeaux de cookies non ?! (et grogner un peu aussi j’imagine) Même si pour la suite de la conférence, je vais surtout me concentrer sur les cookies parce que les exemples sont plus parlants, n’oubliez pas que cela ne s’arrête pas aux cookies. Et pensez aussi que c’est valable pour les sites web mais également pour les tablettes ou téléphones mobiles.
Les sanctions
Et oui, avant d’aller plus loin, il y a déjà eu des sanctions en la matière.
Pour mémoire, les sanctions liées au RGPD peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d'affaires mondial. Il y a aussi l’impact sur l’image et de potentiels autres risques comme la concurrence déloyale par exemple...
La CNIL, via la loi informatique et libertés, a sanctionné Google, Facebook, Microsoft, Apple et Tik tok au cours de ces deux dernières années pour des consentements non valides en matière de cookies à cause de dark patterns. Coût : entre 5 et 150 millions d’euros (et là on parle uniquement des traitements en France).
La CNIL italienne a émis, en février dernier, une sanction de 300 000 euros contre Ediscom, une entreprise de marketing numérique pour plusieurs infractions au RGPD dont l’utilisation de dark pattern.
Le Tribunal de Cologne en Allemagne a décidé en mars 2023 que l’utilisation de Google analytics avec transferts de données non autorisés et dark pattern par Telekom Deutschland n’était pas conforme.
Il n’y a donc pas encore des centaines d’exemples où la notion de dark pattern est concrètement identifiée, mais les sanctions de ce genre commencent à arriver et je pense que ça ne va faire qu’augmenter.
Faisons connaissance avec quelques dark patterns
Rentrons dans le vif du sujet. John Wick et son beau toutou noir nous emmènent désormais faire la
connaissance un peu plus poussée de plusieurs dark patterns que l’on retrouve en naviguant
quotidiennement sur des bandeaux de cookies.
Je ne vais pas m’attarder sur les notions de cases pré-cochées qui ont été plus que documentées
depuis le RGPD. Mais gardez en tête que ce n’est pas ok.
L’apprenti dark pattern
Pour commencer en douceur. On le rencontre beaucoup et il n’est pas encore réellement remis en cause... mais il a tout de même toutes les caractéristiques. La fameuse mise en avant du choix « Accepter » grâce à un design qui attire l'œil.
Par exemple une couleur plus vive, comme ici un fond bleu pour l’acceptation contre un bouton de refus blanc. Ou encore par le déplacement d’un focus directement sur le bouton accepter. On vous laisse le choix, mais on vous pousse gentiment quand même.
Ce ne sont pas les droïdes que vous recherchez (je vous rassure tous les petits noms ne sont pas liés à Star wars)
C’est le niveau du dessus, là on rentre vraiment dans le Dark pattern. On va jouer sur le fait que l’utilisateur est pressé, occupé avec autre chose et cherche le chemin le plus court (comme sur cette image d’un chemin avec un rond point d’herbe au milieu où l’on voit bien que les personnes n’ont pas pris le temps de faire le tour mais ont traversé le rond point). L’utilisateur lambda va au chemin le plus court et ne passe pas son temps à fouiller dans les options.
Donc on enlève le bouton permettant de refuser tous les cookies et on ne laisse (bien visible évidemment) que le bouton pour tout accepter. Bon on est sympa, on met quand même un « En savoir plus » et on planquera le bouton de refus à ce niveau là.
Et même s’il ne s’agit que d’un clic de plus, cela a un réel impact : ajouter un clic peut faire descendre le taux de refus de 17% à 4% d’après l’étude de la DITP.
Il était très classique sur les premières années du RGPD. C’est, je pense, le dark patterns sur lequel les autorités de contrôle sont depuis très claires et sur lequel elles se sont positionnées (par exemple les sanctions Google citées tout à l’heure).
Supercalifragilisticexpialidocious...
Dans le cas du supercalifra...(pourquoi j’ai mis ce mot dans ma conférence moi ?!) bon le nom super long qu’on retrouve dans Mary Poppins hein, on va complexifier l’interface ou les mots utilisés, faire des textes à rallonge, pour perturber l’utilisateur. C’est là qu’on sort notre plus beau « Ouai, c’est pas faux » comme Perceval dans Kaamelott.
Ici je vous ai mis un exemple où on vous dit que vos données vous appartiennent et que vous avez le droit à la vie privée et la transparence : chouette, sympa ! Et après on vous demande de choisir une durée et un niveau d’accès de données à utiliser et partager, avec des niveaux argent, or et platine ? Euh... Rassurons-nous il y a une petite phrase d’explication des niveaux en dessous. Mais euh... (personnellement la première fois que j’ai croisé ce bandeau, j’ai littéralement fait une tête de « C’est pas faux » et j’ai fermé le site .... et après je l’ai réouvert pour l’étudier parce que je me suis souvenue que j’étais Déléguée à la protection des données DPO).
Donc clairement, si vous êtes un utilisateur lambda, vous n’allez pas prendre des minutes entières pour lire les consignes du jeu. Et puis on est habitués à ce que l’or ce soit mieux que l’argent et le platine mieux que l’or, donc on va instinctivement plutôt aller là-dessus. Parce qu’on est programmés pour toujours vouloir ce qu’il y a de mieux non ?
On vient donc challenger votre compréhension avec une interface particulière, on joue sur vos préconceptions et on enrobe le tout avec un « regardez on vous donne la main sur vos données ».
Ici (si j’ai bien compris hein, je garantis rien), le niveau argent correspondrait donc à un refus de dépôts de cookies non fonctionnels et donc à un bouton « Refuser ».
Bon, restons tout de même honnêtes, dans cet exemple précis, le choix par défaut était paramétré sur le niveau argent et la durée la plus courte proposée. Donc cela pourrait être pire. Mais quand même !
Dans le même genre, vous avez les cas où on vous met des tartines longues comme le bras de texte juridique ou technique incompréhensible que seul le service juridique (et encore) aura lu en entier. Assumez clairement les finalités de vos traitements. Si vous essayez de les enrober c’est peut être signe que vos intentions ne sont pas si pures que ça.
Jouons à cache cache
Ah ça va être le moment de la conférence où je dois me retenir de dire des gros mots. Le jouons à cache cache.
Vous avez peut-être remarqué que nous avons eu beaucoup de bandeaux de cookies avec un bouton « Continuer sans accepter » positionné en haut à droite du bandeau. Ça faisait d’ailleurs partie des exemples de la CNIL dans sa recommandation en 2020.
Et bien il y a des petits malins qui se sont dit « oh bah l’utilisateur a l’habitude de cliquer automatiquement sur le bouton « continuer sans accepter » en haut à droite ?! Et bien je vais le remplacer par un « Fermer et accepter » et mettre le bouton « Continuer sans accepter » à un autre endroit où on le verra pas trop ». Mwahahah.
Pas cool. Vraiment pas cool.
Parce que là vous avez une DPO qui navigue tranquillement, clique par habitude sur le bouton en haut à droite et se rend compte quelques millisecondes trop tard qu’en fait on l’a dupée et qu’elle vient d’accepter les cookies (et quelqu’un qui ne fait pas particulièrement attention au sujet ne l’aura peut être même pas vu du tout). C’est là que commence l’avalanche de gros mots.
Clairement, vous faites ça, je ne remets plus la souris chez vous. Ou alors juste pour lister toutes vos autres non-conformités et envisager une plainte à la CNIL (faut pas fâcher une DPO). D’ailleurs, vous vous souvenez que tout utilisateur peut porter plainte directement sur le site de la CNIL hein ?! Désolée, je suis un peu à cran sur ce dark pattern là. Et là suite ne va pas me détendre.
Autre cas : on va essayer de planquer l’information à la vue de tous. Soit en noyant le poisson en mettant plein de blabla pour cacher la petite partie intéressante. Soit encore en utilisant des contrastes de couleurs insuffisants. Le fameux « Refuser » en gris très clair sur fond blanc (oui oui c’est bien un bouton actif). Là encore c’est bien on se fait un combo dark pattern RGPD + non conformité en accessibilité numérique. Y’a pas de promo 1 sanction RGPD payée = 1 sanction accessibilité offerte (ou l’inverse).
La peur est le chemin du côté obscur
On va jouer sur nos émotions en appuyant pleinement sur notre peur, notre culpabilité, parfois un sentiment d’urgence ou même encore une pression sociale.
Par exemple, on nous explique que le contenu du site est financé par la publicité et rémunère les journalistes qui y travaillent. Expliquer ok, c’est important, mais il faut savoir doser. Ici les boutons proposés sont « Je soutiens mon journal » et « Non merci ». Donc si je ne veux pas donner mes données, alors je ne soutiens pas mon journal ?
C’est un peu le « si tu ne cliques pas sur Accepter c’est que tu veux que 12 chatons et un ours polaire meurent dans d’atroces souffrances ». On va se sentir obligés d’aller vers l’acceptation.
Le dosage est capital quand on touche aux émotions pour éviter de basculer dans du dark pattern. L’humour c’est pareil.
Je suis fan de wookie, vraiment. Mais là j’ai un bandeau qui me présente une info peu claire de finalité « entretenir la relation que nous avons avec toi ? » ok, ça veut dire quoi ?
Et les boutons qu’on me propose : « J’adopte un wookie » ou « je choisis mon wookiee » ... ça veut dire quoi ? Je consens à quoi en vrai ?
I’ll be back
Alors là c’est « Un jour sans fin » avec la marmotte et Bill Murray. On va nous redemander, à chaque fois que l’on va sur le site (ou même parfois pendant la visite, d’une page à l’autre) si on est d’accord ou non pour le dépôt de cookies. Vous savez le truc de demander 46 fois à votre père ou votre mère à 15 secondes d’intervalle pour avoir une réponse différente, généralement ça l’agace légèrement.
Là c’est pareil, on va considérer que ça devient une sorte de harcèlement pour extraire un consentement.
Notons que côté cookies, la CNIL recommande une conservation du choix pour une durée de 6 mois. Donc je réponds et pendant 6 mois tu me laisses tranquille avec ça. Oui parce que le cookie qui enregistre mon choix, celui-là vous avez le droit de le déposer sans consentement de l’utilisateur hein. C’est fondé sur l’intérêt légitime. Sinon on va vraiment tourner en rond.
En sachant qu’à tout moment je dois pouvoir de toute façon venir changer mon choix (et oui j’ai le droit de retirer mon consentement quand je veux).
L’avenir ?
Maintenant que nous avons vu une sélection des principaux dark patterns, montons dans la Delorean
de Retour vers le futur avec Doc et son chien Einstein pour imaginer un peu l’avenir.
Pousser les bright patterns
Les bright patterns ou encore nommés Fair patterns, c’est tout simplement la logique opposée aux dark patterns. Des interfaces « privacy by design » qui mettent en avant les options les plus protectrices des données personnelles.
Là par exemple, vous avez les boutons d’un bandeau de cookies avec une mise en avant par la couleur en vert du bouton « tout refuser », en orange de « personnaliser mes choix » et en rouge de « tout accepter ».
Tout d’abord, ça demande un engagement du responsable de traitement. Il faut quitter le côté obscur de la Force, certaines habitudes et avec ça, souvent, diminuer son taux de consentement.
Deuxième point, on est pas habitués tout simplement ! Donc il faut le temps que l’utilisateur s’approprie ce nouveau genre d’interface. Les premières fois, ça fait toujours un peu bizarre.
Et puis autre fait à prendre en compte. À force de dire oui, il y a un effet d’engagement. On prend l’habitude de dire oui. Il va donc y avoir un double temps d’adaptation nécessaire. Mais il suffit que quelques grands services numériques s’y mettent pour que cela se répande et devienne une nouvelle normalité.
Autres réglementations
Pirate des Caraïbes nous a rappelé que « le code, c’est la loi ». En Europe, nous avons le RGPD dans notre code. Mais ce n’est pas tout. J’aurai pu illustrer ça avec une team version Avengers puisque nous avons 2 textes imminents : le Digital Services Act (DSA) et le Digital Markets Act (DMA). Et sûrement d'autres encore viendront derrière.
Chacun de ces textes vient ou va venir dans un horizon très court renforcer les obligations en matière de transparence et de loyauté sur les plateformes en ligne et donc rejoindre la lutte anti-dark patterns.
Ça pourrait être pire ?
Est-ce que ça pourrait être pire ? Oh oui...
Et là, préparez votre plus jolie tête de panique comme Lex dans Jurassic Park au moment de manger sa gelée verte en compagnie de vélociraptors.
Imaginez de combiner l’intelligence artificielle avec les méthodes de manipulation. Vous obtiendrez des dark patterns personnalisés adaptés à chaque personne et à ses propres faiblesses à l’instant T. Et là, ce n’est plus la même limonade. Pas hyper rassurant tout ça...D’où l’importance de la notion d’éthique dans le numérique. Un grand pouvoir, de grandes responsabilités. Encore et toujours.
Conclusion
C’est parti pour la conclusion avec Sam le berger allemand et Will Smith dans Je suis une légende
(faut-il y voir le symbole du survivant aux dark patterns...? à vous de voir).
Si vous voulez vous challenger sur votre capacité à éviter les pires dark patterns, vous pouvez vous amuser sur ce jeu caricatural en anglais disponible sur le site www.termsandconditions.game/ Votre mission si vous l’acceptez, refuser toutes les conditions générales et les cookies..
Le RGPD vient donc clairement se positionner en faveur d’un monde sans dark patterns et nous devrions en avoir de plus en plus de preuves dans les temps à venir. Cela veut aussi dire que les DPO doivent aussi ajouter une nouvelle corde à leur arc (enfin ça devient une harpe à ce niveau là) : savoir identifier et analyser les dark patterns. Amis DPO, bon courage !
Et en résumé, je pense qu’il faut garder en tête la chanson de l’épisode 2 de la série Malcolm in the Middle. Mais je ne vais pas la chanter sinon vous allez être prostré à souffrir comme Dewey en tenant votre peluche...alors je vais juste l’énoncer (enfin sauf si vous la connaissez et que vous voulez la chanter avec moi ?) : « sois gentil, pas méchant, c’est pas gentil d’être méchant... c’est mieux d’être gentil ! ». Essayez au maximum de ne pas pencher du côté obscur de la Force.
En parlant de la Force, je ne peux pas faire une conférence avec un titre très Star war-esque et ne pas mettre une seule image de Chewbacca. Voici donc Chewbacca et la Générale Organa tout sourire se faisant un câlin. Juste pour le plaisir.
Un grand merci pour votre attention ainsi qu’à la traduction LSF, la vélotypie et bien sûr la super équipe de Paris Web.
Et « Au cas où on ne se reverrait pas d’ici là, je vous souhaite une bonne soirée et une excellente nuit ! » (se pencher en avant)