Comité euro­péen de la protec­tion des données (CEPD), Lignes direc­trices 3/​2022 sur les inter­faces truquées (« dark patterns ») dans les inter­faces des plate­formes de médias sociaux (dispo­nibles unique­ment en anglais à ce jour).

Le 21 mars 2022, le CEPD a publié un projet de lignes direc­trices 3/​2022 sur les inter­faces truquées (« Dark Patterns ») dans les inter­faces des plate­formes de médias sociaux (Lignes Directrices). Leur but est d’offrir des recom­man­da­tions pratiques aux déve­lop­peurs et utili­sa­teurs de médias sociaux afin d’évaluer et d’éviter les Dark Patterns dans les inter­faces de plate­formes de médias sociaux qui contre­viennent aux exigences du RGPD. Le CEPD défi­nit les Dark Patterns comme :

« des inter­faces et des expé­riences utili­sa­teur mises en œuvre sur les plate­formes de médias sociaux qui amènent les utili­sa­teurs à prendre des déci­sions invo­lon­taires, non dési­rées et poten­tiel­le­ment préju­di­ciables en ce qui concerne le trai­te­ment de leurs données à carac­tère personnel ».

Il les classe en 6 caté­go­ries principales :

1. Surcharge (« Overloading ») : l’utilisateur est confronté à une grande quan­tité de demandes, d’informations, d’options ou de possi­bi­li­tés pour l’inciter à parta­ger plus de données.
2. Saut (« Skipping ») : conce­voir l’interface ou l’expérience de l’utilisateur de sorte que celui-ci oublie ou ne consi­dère pas tous ou certains aspects de la protec­tion des données.
3. Émotions (« Stirring ») : faire appel aux émotions des utili­sa­teurs ou utili­ser des stimuli.
4. Entraves/​Obstacles (« Hindering ») : bloquer ou empê­cher l’utilisateur de s’in­for­mer sur l’uti­li­sa­tion de ses données ou d’exer­cer un contrôle sur celles-ci en rendant certaines actions diffi­ciles ou impos­sibles à réali­ser (p. ex. en créant plus d’étapes pour l’utilisateur, qui souhai­te­rait limi­ter la collecte de ses données).
5. Incohérence (« Fickle ») : conce­voir l’in­ter­face de manière inco­hé­rente et peu claire, ce qui rend diffi­cile la navi­ga­tion dans les diffé­rents outils de contrôle de protec­tion des données ou la compré­hen­sion des fina­li­tés du traitement.
6. Laissé dans le noir (« Left in the dark ») : conce­voir les inter­faces de manière à masquer l’information, les para­mètres, ou à lais­ser les utili­sa­teurs dans l’in­cer­ti­tude quant à la manière dont leurs données sont trai­tées et au contrôle qu’ils peuvent exer­cer sur celles-ci.

Pour le CEPD, ces 6 caté­go­ries peuvent être regrou­pées en patterns basés sur le contenu ou sur l’interface. Les premières portent sur le contenu de l’information compre­nant la formu­la­tion, le contexte et les compo­santes infor­ma­tion­nelles. Les deuxièmes se réfèrent à la manière dont le contenu est visuel­le­ment présenté et comment l’utilisateur peut inter­agir avec.

Les Lignes Directrices sont construites autour des cinq étapes de la vie d’un compte d’utilisateur de médias sociaux, à savoir : (1) ouvrir un compte ; (2) rester informé sur le média social ; (3) rester protégé sur le média social ; (4) exer­cer ses droits person­nels liés aux données ; et (5) quit­ter un média social.

(1) Ouvrir un compte

Le CEPD prend pour point de départ l’exigence du consen­te­ment au moment de l’ouverture d’un compte sur un média social. Il rappelle que le consen­te­ment doit être clai­re­ment distinct. Partant, il ne peut pas être inclus dans les condi­tions d’utilisation et/​ou la poli­tique de confi­den­tia­lité qui devraient impé­ra­ti­ve­ment être accep­tées pour accé­der à la plateforme.

La posi­tion du CEPD sur le retrait du consen­te­ment est inté­res­sante. Le Comité adopte une posi­tion stricte, expli­quant que celui-ci ne peut être consi­déré comme un motif de licéité du trai­te­ment accep­table si sa révo­ca­tion néces­site plus d’étapes que celles néces­saires pour le donner. Concrètement, si un « clic » suffit pour consen­tir, un « clic » devrait aussi suffire pour refu­ser ou reti­rer son consentement.

En trans­po­sant cette règle à une situa­tion connue, comme celle des cookies, cela semble parti­cu­liè­re­ment diffi­cile à mettre en place. En effet, le consen­te­ment des utili­sa­teurs se fait géné­ra­le­ment en un clic sur un pop-up. Or le simple fait d’accéder aux réglages pour déco­cher la case serait déjà consi­déré « de trop ». Cet écart entre la règle et la réalité devrait sans doute encore être éclairci.

Il est inté­res­sant de rele­ver que le Landgericht de Rostock en 2020 déjà, avait examiné la ques­tion de la présen­ta­tion des cookies banners et des Dark Patterns. Le Tribunal alle­mand dans son arrêt (LG Rostock, du 15.09.2020, 3 O 762/​19) a décidé qu’un bouton « refu­ser » doit appa­raître aux côtés de celui qui permet d’accepter et que ces deux boutons ne peuvent diffé­rer que par leur texte. Du reste, ils doivent être iden­tiques en taille, police et couleur.

(2) Rester informé sur les médias sociaux

Le CEPD explique que, malgré les pres­crip­tions de trans­pa­rence et d’information du RGPD (art. 12–14), « plus d’information ne signi­fie pas néces­sai­re­ment une meilleure infor­ma­tion. Trop d’in­for­ma­tions non perti­nentes ou confuses peuvent masquer les points impor­tants du contenu ou réduire les chances de les trouver ».

Le CEPD illustre cette situa­tion par l’utilisation de Dark Patterns qui four­ni­rait des infor­ma­tions contra­dic­toires, avec une formu­la­tion ambi­guë, présen­tée sans hiérar­chie ni logique, se répé­tant plusieurs fois et/​ou très diffi­cile à trouver.

Pour cette raison, le CEPD recom­mande de mettre en place une poli­tique de confi­den­tia­lité étagée permet­tant à la fois de rendre acces­sible et compré­hen­sible l’information. Une telle poli­tique de confi­den­tia­lité peut par exemple conte­nir une table des matières dérou­lante affi­chée en perma­nence sur l’écran et un bouton permet­tant de remon­ter rapi­de­ment au haut de la page.

(3) Rester proté­ger sur les médias sociaux et (4) exer­cer ses droits sur le média social

Le consen­te­ment doit pouvoir être retiré de manière aisée et à tout moment (art. 7 par. 3 RGPD). Il doit donc être possible de le reti­rer complè­te­ment ou partiel­le­ment pour certaines fina­li­tés (par exemple, unique­ment pour le ciblage publicitaire).

Dans le cas de figure où, à l’ouverture d’un compte, l’utilisateur aurait déjà refusé certaines fina­li­tés, le respon­sable du trai­te­ment ne peut pas réité­rer sa demande à chaque fois que l’utilisateur se connecte. L’utilisateur n’aurait alors d’autres choix que de consen­tir pour éviter cet obstacle et sa liberté s’en verrait indû­ment restreinte. Ce consen­te­ment serait donc consi­déré comme invalide.

Le CEPD préco­nise que les utili­sa­teurs puissent adap­ter les para­mètres de confi­den­tia­lité durant toute la vie de leur compte. Le CEPD ne prévoit pas un nombre d’étapes (ou de clics) limite, mais insiste sur le fait que leur nombre doit être réduit au mini­mum. Une stra­té­gie visant à propo­ser trop d’options, de (sous-) menus ou trop de pages diffé­rentes empê­che­rait un choix clair et surchar­ge­rait l’utilisateur. Le CEPD recom­mande aussi de centra­li­ser les diffé­rents para­mètres rela­tifs à la protec­tion des données sur une seule page acces­sible à tout moment.

(5) Quitter un compte de média social

Au moment de quit­ter le compte, si l’exercice du droit à l’effacement de l’art. 17 RGPD est rendu diffi­cile sans motifs le justi­fiant, cela consti­tue une viola­tion du RGPD. De plus, l’exercice de ce droit doit être compris comme un retrait impli­cite du consen­te­ment, si le trai­te­ment se fondait sur le consen­te­ment, au sens de l’art. 7 par. 3 RGPD.

Pour cette dernière situa­tion, le CEPD met en garde contre plusieurs Dark Patterns qui pour­raient surgir. En utili­sant des tour­nures telles que « vous allez tout perdre » ou encore « vos amis vont vous oublier » par exemple, la plate­forme pour­rait tenter de toucher l’affect de l’utilisateur pour le faire douter de sa déci­sion de la quit­ter. Finalement, si l’information n’est pas assez claire et trop ambi­guë, l’utilisateur ne serait pas en mesure de déter­mi­ner si son compte est bien effacé ou seule­ment suspendu temporairement.

Conclusion

Bien qu’encore au stade de projet, ces Lignes Directrices contri­buent à un (nouveau) regard détaillé sur la manière de mieux proté­ger l’utilisateur de médias sociaux et influen­ce­ront les tribu­naux et auto­ri­tés dans leurs futures déci­sions rela­tives à ces thématiques.

Ces diffé­rents Dark Patterns peuvent aisé­ment se retrou­ver sur d’autres inter­faces que les médias sociaux. Elles servi­ront alors certai­ne­ment de source d’inspiration pour mieux évaluer et juger les pratiques concer­nées ou pour aiguiller les déve­lop­peurs de plate­forme ou d’applications.

De surcroît, comme le relève à juste titre le CEPD, ces Dark Patterns peuvent aussi provo­quer l’application des lois de protec­tion des consom­ma­teurs ou de concur­rence déloyale, ce qui néces­site donc une atten­tion d’autant plus accrue du respon­sable du traitement.

Pour termi­ner, il y a lieu de mention­ner que, le 22 avril 2022, le Conseil  et le Parlement euro­péen ont trouvé un accord provi­soire sur la propo­si­tion de la Commission euro­péenne de règle­ment euro­péen sur les services numé­riques (Digital Services Act). Ce règle­ment ambi­tionne de s’appliquer à l’ensemble des inter­mé­diaires en ligne four­nis­sant des services dans l’Union euro­péenne. Il impo­se­rait des obli­ga­tions propor­tion­nées aux services concer­nés en fonc­tion du nombre d’utilisateurs et vise­rait, entre autres, à inter­dire les Dark Patterns.