Conférence d’Harmonie Peynot
Voir les slides
Regarder la vidéo
Présentation de l’oratrice
Harmonie Peynot est experte en protection des données personnelles chez Temesis
De quoi va-t’on parler ?
La conférence portait sur les dark patterns et la protection des données.
Les dark pattern, deceptive pattern ou encore design trompeur son une interface utilisateur conçue pour tromper ou manipuler la personne qui l’utilise. Elle n amène à faire ce qu’ils veulent, sans que nous nous en rendions compte.
Le RGPD est le règlement général sur la protection des données, il est applicable en Europe depuis 2018. Il y a également la loi informatiques et libertés en France depuis 1978.
La conférence n’a pas aborder l’ensemble des dark patterns (il y en a beaucoup trop !) mais plutôt sur une partie de ceux qui peuvent impacter la protection des données personnelles, avec une vue depuis la France.
Un peu de documentation ?
Quatre ressources récentes :
- Le cahier Innovation et prospectives n°6 de 2019 de la Commission nationale de l’informatique et des libertés (la CNIL).
- Les lignes directrices de l’EDPB sur les « designs trompeurs dans les réseaux sociaux : comment les reconnaître et les éviter » de mars 2022.
- Une étude de la Direction interministérielle de la transformation publique, réalisée sur demande de la CNIL, en juin 2023 « Protection des données personnelles et cookies, l’éclairage des sciences comportementales ».
- Le livre d’Harry Brignull, un des maîtres jedi en matière de dark patterns, sorti en août 2023 et intitulé « Deceptive patterns, exposing the tricks tech companies use to control you ».
Dans quels cas ?
Information
Le RGPD impose qu’un certain nombre d’informations soient mises à disposition des personnes concernées avant la réalisation du traitement des données. Et ces informations, en dehors du fait qu’elles doivent être exhaustives, doivent être données de manière « concise, transparente, compréhensible, en des termes clairs et simples » (article 12.1 du RGPD).
Les mentions d’information peuvent donc être la cible de dark patterns : le « je dois te dire quelque chose mais je ne veux pas que tu l’entendes ».
Exercice des droits
L’un des fondamentaux du RGPD est de permettre à l’utilisateur de disposer de divers droits (accès, rectification, effacement, portabilité, …) et pouvoir concrètement les exercer.
C’est au responsable de traitement de faciliter l’exercice de droits (article 12.2 du RGPD).
Par exemple, si vous avez un formulaire de collecte de données sur votre site internet, vous devez mettre en place une voie numérique permettant d’exercer les droits. Souvent via une adresse mail à disposition ou d’un formulaire dédié.
Collecte des données
Lorsque vous collectez des données, vous devez respecter le principe de minimisation. C’est-à-dire de ne collecter que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.
Et ça en gardant en tête l’obligation de protection des données par défaut et dès la conception (article 25).
Donc construire une interface qui pousse l’utilisateur à donner plus de données que nécessaires, c’est problématique. Ne pas savoir quels champs sont réellement obligatoires, c’est problématique.
Consentement
Le consentement est une des 6 bases légales permettant de réaliser un traitement de données personnelles et peut être LA source de dark patterns la plus prolifique.
Vous devez demander à la personne concernée si elle est d’accord pour que vous traitiez ses données. Et pour que ce choix soit valide (et donc que vous ayez le droit de traiter la donnée), il faut que ce consentement soit libre, spécifique, éclairé et univoque.
La moindre faiblesse sur l’un de ces critères et votre recueil de consentement peut être remis en cause et avec lui la légalité de tout votre traitement.
Faisons connaissance avec quelques dark patterns
Attirer l’attention de l’utilisateur
Taux de refus
S’il y a un clic de plus, le taux de refus passe de 17 % à 4 %.
Interfaces incompréhensible
- Interface inhabituelle
- Termes compliqués
- Textes à rallonge, ..
Boutons cachés
Boutons « Fermer et accepter » mis en avant et le bouton « Continuer sans accepter » ou « Refuser » caché
Faire peur
- Faire peur à l’utilisateur
- Culpabiliser l’utilisateur
- Créer un faux sentiment d’urgence
- Utiliser la pression sociale
Demander le consentement à chaque fois
La recommandation de la CNIL est de conserver le choix de l’internaute pendant 6 mois.
L’avenir ?
Les Bright / Fair patterns
Les bright patterns ou encore nommés Fair patterns, sont la logique opposée aux dark patterns. Il existe des interfaces « privacy by design » qui mettent en avant les options les plus protectrices des données personnelles.
Ici par exemple, le bouton pour accepter est en rouge et celui pour refuser est en vert. Nous allons être plus tenté de cliquer sur le bouton vert que le rouge (le rouge nous donne un effet d’avertissement comparé au vert).
Conclusion
Si vous voulez vous challenger sur votre capacité à éviter les pires dark patterns, vous pouvez vous amuser sur ce jeu caricatural en anglais disponible sur le site www.termsandconditions.game. Votre mission si vous l’acceptez, refuser toutes les conditions générales et les cookies..
Le RGPD vient se positionner en faveur d’un monde sans dark patterns et nous devrions en avoir de plus en plus de preuves dans les temps à venir. Cela veut aussi dire que les DPO doivent aussi ajouter une nouvelle corde à leur arc : savoir identifier et analyser les dark patterns.
Les images proviennent des slides.