Rapport du Conseil fédé­ral, Dark patterns. Documenter la nébuleuse

Le 14 juin 2024, le Conseil fédé­ral a adopté le rapport « Dark patterns. Documenter la nébu­leuse » qui a pour fina­lité de docu­men­ter le recours aux dark patterns sur inter­net (sites inter­net, plate­formes en ligne et appli­ca­tions) et d’identifier si une adap­ta­tion de la légis­la­tion en vigueur est néces­saire.  

I. Définition 

Selon une étude de la Commission euro­péenne datant de 2022, 97% des sites e‑commerce et appli­ca­tions les plus popu­laires au sein de l’Union contiennent des dark patterns. Toutefois, la Suisse n’est pas en reste comme en témoigne l’enquête conjointe de la Fédération romande des consom­ma­teurs et de Public Eye qui examine quinze grands sites de commerce en ligne spécia­li­sés dans la mode à la recherche de vingt pratiques pouvant être iden­ti­fiées comme des dark patterns. Le résul­tat est sans appel : la tota­lité des sites consul­tés ont recours aux dark patterns. Mais qu’est-ce qu’un « dark pattern » ? À l’heure actuelle, le droit suisse ne propose pas de défi­ni­tion juri­dique de cette notion contrai­re­ment au droit de l’Union euro­péenne au sein de plusieurs actes norma­tifs :  

« Les inter­faces en ligne trom­peuses de plate­formes en ligne sont des pratiques qui ont pour objec­tif ou pour effet d’altérer ou d’entraver sensi­ble­ment la capa­cité des desti­na­taires du service de prendre une déci­sion ou de faire un choix, de manière auto­nome et éclai­rée. » (consi­dé­rant 67 DSA) 

« Les inter­faces trom­peuses sont des tech­niques de concep­tion qui poussent les consom­ma­teurs à prendre des déci­sions ayant des consé­quences néga­tives pour eux ou qui les induisent en erreur à cette fin. » (consi­dé­rant 38 Data Act) 

« [des] inter­faces et des expé­riences utili­sa­teur mises en œuvre sur les plate­formes de médias sociaux qui incitent les utili­sa­teurs à prendre des déci­sions invo­lon­taires, non dési­rées et poten­tiel­le­ment préju­di­ciables en ce qui concerne le trai­te­ment de leurs données person­nel » (CEPD, lignes direc­trices 03/​2022 sur les desi­gns trom­peurs dans les inter­faces de réseaux sociaux : comment les recon­naître et les éviter du 14 février 2023 ; traduc­tion libre).  

Nonobstant l’absence de défi­ni­tion unique au sein même du droit commu­nau­taire, l’ensemble des défi­ni­tions prennent en compte le fait qu’il existe une inter­ac­tion avec des utili­sa­teurs qui les conduit à prendre une déci­sion ne reflé­tant pas leur véri­table inten­tion et pouvant avoir des consé­quences néga­tives pour eux.  

Dans son rapport, le Conseil fédé­ral retient ainsi que les carac­té­ris­tiques communes inhé­rentes aux dark patterns sont (i.) une concep­tion numé­rique, (ii.) qui exploite des connais­sances issues de la psycho­lo­gie compor­te­men­tale, (iii.) à desti­na­tion de personnes physiques, indé­pen­dam­ment des motifs de leurs actions, et ce (iv.) au béné­fice du four­nis­seur, lequel exploite ainsi son pouvoir de concep­tion à son propre avan­tage (v.) inten­tion­nel­le­ment ou non. À la vue de ces éléments, le Conseil fédé­ral suggère de recou­rir aux termes de « design trom­peur » et « design mani­pu­la­teur ».  

II. Classification des dark patterns 

Compte tenu de la nature protéi­forme des dark patterns qui peuvent se recou­per ou combi­ner, le Conseil fédé­ral dresse une liste exem­pla­tive de dark patterns les plus fréquents, dont : 

1) Paramètres par défaut : il s’agit d’une présé­lec­tion d’offres ou de réglages par défaut prédé­fi­nis pouvant ne pas être dans l’intérêt de l’utilisateur (p. ex. des cases pré-cochées). 

2) Cadrage : recours à des tech­niques qui ont pour but d’encourager l’utilisateur à réagir ou à prendre la déci­sion souhai­tée par le four­nis­seur en utili­sant des mots, des graphiques ou des éléments visuels spéci­fiques. 

3) Formulations ambi­guës : utili­sa­tion de formu­la­tions ambi­guës suscep­tibles de prêter à confu­sion telle que le recours à la double néga­tion dans des circons­tances impromp­tues ou encore la déno­mi­na­tion trom­peuse de boutons. 

4) Piège à cafards : concep­tion d’interfaces visant à piéger l’utilisateur, lequel ne pourra que, par exemple, plus diffi­ci­le­ment rési­lier un abon­ne­ment comparé à sa conclu­sion, ou encore faci­li­ter le recueil du consen­te­ment de l’utilisateur et en complexi­fier sa révocation.

5) Harcèlement : il s’agit d’émettre des demandes répé­tées, voire agres­sives d’effectuer une action déter­mi­née (p. ex. une fenêtre pop-up invi­tant à rensei­gner une adresse électronique). 

6) Abonnement ou prolon­ga­tion d’abonnement invo­lon­taire, inscrip­tion obli­ga­toire : concep­tion d’interfaces inci­tant l’utilisateur à conclure ou prolon­ger un contrat de façon indé­si­rée, surpre­nante ou contre son gré.

7) Culpabilisation : l’utilisateur se voit exer­cer une pres­sion, morale ou émotion­nelle, notam­ment en recou­rant à la peur ou à la culpa­bi­lité afin de l’orienter vers une option plutôt qu’une autre. En pratique, cela peut prendre la forme d’un message infor­mant l’utilisateur qu’il ne pourra plei­ne­ment accé­der au contenu du site inter­net consulté en raison de son refus en matière de traçage.  

Le Conseil fédé­ral scinde les dark patterns en deux caté­go­ries : ceux conçus de sorte à induire l’utilisateur en erreur ou à trom­per ce dernier afin de l’influencer ; et ceux conçus en vue d’exercer une pres­sion ou une contrainte sur l’utilisateur.  

III. Appréhension des dark patterns par la LPD 

La neutra­lité tech­no­lo­gique de la LPD permet de saisir les dark patterns exis­tants. En outre, cette neutra­lité a pour coro­laire la capa­cité de s’adapter aux évolu­tions tech­no­lo­giques ce qui permet­tra à la LPD de saisir, tant les muta­tions futures que l’apparition de nouveaux desi­gns trom­peurs. 

L’utilisation de dark patterns peut se révé­ler contraire aux prin­cipes du trai­te­ment des données à divers égards. Elle peut notam­ment géné­rer plus de données person­nelles que néces­saire pour four­nir un service, conduire des personnes physiques à la commu­ni­ca­tion de données non-néces­saires au trai­te­ment, à procé­der à une telle commu­ni­ca­tion en absence de connais­sance de la fina­lité du trai­te­ment, pouvant violer de la sorte les prin­cipes de la propor­tion­na­lité (art. 6 al. 2 LPD) et plus parti­cu­liè­re­ment dans son accep­ta­tion de prin­cipe de mini­mi­sa­tion des données, mais égale­ment les prin­cipes de trans­pa­rence et de la bonne foi (art. 6 al. 2 et 3 LPD), de fina­lité (art. 6 al. 3 LPD) et faillir à son devoir d’information (art. 19 LPD). 

Toutefois, l’utilisation de dark patterns peut être justi­fiée par des inté­rêts privés prépon­dé­rants du four­nis­seur (art. 31 LPD). Afin de déter­mi­ner si l’atteinte à la person­na­lité est justi­fiée, il convient de procé­der à une pesée des inté­rêts entre ceux du respon­sable du trai­te­ment (four­nis­seur) et celui de la personne concer­née à ce que sa liberté de dispo­ser de ses données person­nelles soit préser­vée. Figure parmi les cas d’intérêt privé prépon­dé­rant de l’art. 31 al. 2 LPD le motif rela­tif au trai­te­ment de données en rela­tion directe avec la conclu­sion ou l’exécution d’un contrat (art. 31 al. 2 let. a LPD), lequel peut sembler perti­nent prima facie. 

Afin que le four­nis­seur puisse se préva­loir de ce motif justi­fi­ca­tif, le trai­te­ment concerné doit être limité aux données person­nelles néces­saires à la conclu­sion et à l’exécution du contrat. Néanmoins, il appert en pratique que les four­nis­seurs tentent régu­liè­re­ment de trai­ter, notam­ment lors de la collecte, davan­tage de données person­nelles que néces­saire à la conclu­sion ou l’exécution du contrat. De ce fait, les four­nis­seurs sont contraints de recueillir le consen­te­ment de l’utilisateur qui consti­tue un motif justi­fi­ca­tif n’intervenant qu’en dernier lieu en raison de ses spéci­fi­ci­tés, notam­ment le droit pour l’utilisateur de refu­ser de four­nir son consen­te­ment ou encore de reti­rer celui-ci en tout temps. Au surplus, le consen­te­ment n’est valable que si l’utilisateur exprime libre­ment sa volonté concer­nant le trai­te­ment déter­miné et après avoir été dûment informé (art. 6 al. 6 LPD). 

Or la libre expres­sion de la volonté et l’information sont deux aspects capi­taux en ce qui concerne les dark patterns. En effet, le recours aux dark patterns susmen­tion­nés de para­mètres par défaut et de formu­la­tions ambi­guës sont problé­ma­tiques à l’égard de l’information. Pour ce qui est de la compo­sante rela­tive à la libre expres­sion de la volonté, nous pouvons nous inter­ro­ger quant au degré d’influence permet­tant de consi­dé­rer que le consen­te­ment a été donné libre­ment lorsque l’utilisateur est confronté au cadrage, au piège à cafards, au harcè­le­ment ou encore à la culpa­bi­li­sa­tion. 

Dans ce cadre, le Conseil fédé­ral relève que le fait, pour un four­nis­seur de médias sociaux, de faire dépendre l’utilisation de ses services au recueil du consen­te­ment à de nombreux trai­te­ments de données peut s’avérer illi­cite, notam­ment en cas d’enregistrement obli­ga­toire. Cette posi­tion du Conseil fédé­ral se recoupe avec celle du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) qui estime que l’obligation d’ouvrir un compte client pour procé­der à un achat viole le prin­cipe de propor­tion­na­lité (cf. swiss​pri​vacy​.law/​299). En outre, il convient de soule­ver que le prin­cipe euro­péen selon lequel il doit être aussi simple de reti­rer que de donner son consen­te­ment pour­rait trou­ver appli­ca­tion égale­ment en Suisse selon le Conseil fédé­ral. 

Les dark patterns peuvent égale­ment influer sur l’exercice des droits des utili­sa­teurs par le biais de concep­tions visant à rendre ce dernier plus diffi­cile. Il s’agit notam­ment du piège à cafards et de certaines formes de cadrage. Dans le premier cas, l’utilisateur se trouve empê­ché de suppri­mer tout ou partie de ses données person­nelles. Dans le second cas, le cadrage ne permet pas à l’utilisateur de trou­ver aisé­ment les infor­ma­tions néces­saires à l’exercice de ses droits. 

Le Conseil fédé­ral constate que les dispo­si­tions de la LPD pour­raient être violées lorsque des dark patterns sont employées, afin d’inciter les utili­sa­teurs à divul­guer plus de données qu’elles ne l’auraient fait consciem­ment ou à consen­tir à des trai­te­ments non voulus. En cas de viola­tion de la LPD, l’utilisateur pourra notam­ment procé­der à une dénon­cia­tion au PFPDT (art. 49 al. 1 LPD), lequel devra, s’il existe des indices suffi­sants lais­sant penser qu’un trai­te­ment de données pour­rait être contraire à des dispo­si­tions de protec­tion des données et que dite viola­tion revêt une certaine impor­tance, ouvrir une enquête et rendre des déci­sions (art. 49 ss LPD). 

Nonobstant les pouvoirs confé­rés au PFPDT, les moyens dont disposent les utili­sa­teurs sur le fonde­ment du droit de la protec­tion des données ne leur permettent pas de conclure à l’annulation d’un contrat lorsque le four­nis­seur a recouru à des dark patterns en vue de les inci­ter à conclure ou à prolon­ger un contrat sans qu’ils ne le souhaitent.  

Estimant que la récente révi­sion de la LPD contri­bue à ce que le droit en vigueur couvre les dark patterns, le Conseil fédé­ral conclut qu’il n’y a aucune néces­sité de légi­fé­rer en la matière sous l’angle de la protec­tion des données et qu’il convient d’observer l’évolution dans l’Union euro­péenne (réfé­rence faite au DSA, DMA, Data Act et AI Act) ainsi que son impact sur la Suisse.  

IV. Le cas des bannières cookies dans l’Union euro­péenne 

L’un des aspects les plus visibles et contro­ver­sés de notre expé­rience en ligne, en tant qu’utilisateurs, est la bannière cookies. Ces bannières, censées recueillir notre consen­te­ment pour le suivi de notre acti­vité en ligne, consti­tuent un parfait exemple d’utilisation des dark patterns. En effet, il n’est pas rare de voir une combi­nai­son de plusieurs dark patterns au sein d’une seule et même bannière, maxi­mi­sant ainsi l’effet trom­peur en vue de recueillir un consen­te­ment suppo­sé­ment libre.  

Subséquemment à la publi­ca­tion du rapport du Conseil fédé­ral, l’association de protec­tion de la vie privée et des données noyb a publié un rapport inti­tulé « Consent Banner Report Overview of EU and natio­nal guide­lines on dark patterns » (unique­ment dispo­nible en anglais) offrant une vue d’ensemble des lignes direc­trices euro­péenne et natio­nales rela­tives aux dark patterns. Ladite asso­cia­tion a effec­tué une compa­rai­son des conclu­sions conte­nues dans le rapport « Report of the work under­ta­ken by the Cookie Banner Taskforce » émis par la task­force du CEPD pour chaque viola­tion des bannières cookies avec les posi­tions adop­tées par les auto­ri­tés natio­nales de protec­tion des données dans leur docu­men­ta­tion ainsi que dans les déci­sions rendues.  

Dans ce rapport, huit pratiques spéci­fiques sont iden­ti­fiées desquelles découle des consen­te­ments viciés : 

1) L’absence de bouton de rejet au premier niveau d’information : tant la task­force du CEPD que diverses auto­ri­tés de protec­tion des données natio­nales euro­péennes (ci-après : APD) consi­dèrent que l’absence de cette option enfreint les condi­tions posées en matière de recueil du consen­te­ment. Au surplus, le fait que refu­ser de consen­tir à un trai­te­ment de données requiert plus d’étapes que de l’accepter ne permet pas de recueillir un consen­te­ment valide en raison de la pres­sion exer­cée sur l’utilisateur afin que ce dernier accepte les cookies, et ce, notam­ment en contra­dic­tion avec le prin­cipe de trans­pa­rence du RGPD. 

2) Les cases pré-cochées : les bannières conte­nant des cases pré-cochées qui contraignent l’utilisateur à procé­der à leur déco­chage pour refu­ser de consen­tir au trai­te­ment imposent un effort supplé­men­taire par rapport à un consen­te­ment fourni en un seul clic et ne consti­tue pas un consen­te­ment valable. En effet, un consen­te­ment recueilli par ce biais ne reflète pas une mani­fes­ta­tion de volonté active ni une déci­sion éclai­rée de la part de l’utilisateur. 

3) La concep­tion trom­peuse de liens : lorsque l’utilisateur est confronté à un bouton « tout accep­ter » et à l’option « refu­ser » qui n’apparaît que sous la forme d’un lien, lequel est fréquem­ment dissi­mulé dans un para­graphe de texte, l’utilisateur est poussé à croire qu’il n’y a pas d’autre option que de « tout accep­ter ». La consé­quence du recours à un tel dark pattern est de trom­per et induire en erreur l’utilisateur moyen, de sorte que le consen­te­ment recueilli est vicié.

4) Les couleurs trom­peuses des boutons : des four­nis­seurs emploient des couleurs diffé­rentes pour les options dispo­nibles de sorte à mettre en avant le bouton « tout accep­ter » (souvent de couleur verte par oppo­si­tion à des couleurs grisées voire rouges). Ceci contre­vient au prin­cipe de loyauté et de trans­pa­rence (art. 5 para. 1 let. a RGPD) et le consen­te­ment fourni par l’utilisateur est enta­ché d’ambiguïté.

5) Le contraste trom­peur des boutons : ce cas de figure s’apparente au précé­dent car il s’agit de l’utilisation de diffé­rents ratios de contraste pour les options présen­tées afin de mettre en avant l’option « tout accep­ter ». Alors que la task­force du CEPD retient qu’une analyse au cas par cas est requise pour évaluer la loyauté et trans­pa­rence de la bannière, certaines APD adoptent une posi­tion plus tran­chée. Cela est notam­ment le cas de la Datenschutzkonferenz (DSK) qui a retenu que l’option de refu­ser de consen­tir au trai­te­ment doit être clai­re­ment présen­tée comme une alter­na­tive équi­va­lente à l’option de donner le consen­te­ment, ce qui est présumé lorsqu’il y a, à côté du bouton « tout accep­ter », un bouton « conti­nuer sans accep­ter » parti­cu­liè­re­ment simi­laire en termes de taille, de couleur, de contraste et de police de caractère.

6) La reven­di­ca­tion d’un inté­rêt légi­time à tort : bien que l’intérêt légi­time du four­nis­seur ou d’un tiers (art. 6 para. 1 let. f RGPD) soit invo­qué pour des trai­te­ments figu­rant dans la bannière cookies, tant le stockage que l’accès aux infor­ma­tions stockées dans l’équipement termi­nal (à l’exception des cookies essen­tiels) ne peuvent être fondés que sur le consen­te­ment de la personne concer­née confor­mé­ment à l’art. 5 para. 3 ePrivacy. La task­force du CEPD a estimé que le non-respect de cette dispo­si­tion a pour corol­laire que tout trai­te­ment ulté­rieur ne peut être conforme au RGPD.

7) La mauvaise clas­si­fi­ca­tion des cookies :il se peut que des cookies soit clas­sés comme « essen­tiels » ou « stric­te­ment néces­saires » de manière erro­née. Un tel clas­se­ment conduit à l’impossibilité pour l’utilisateur de refu­ser ces trai­te­ments, permet­tant ainsi au four­nis­seur de stocker et d’accéder à des infor­ma­tions sur l’équipement de l’utilisateur avant toute inter­ac­tion de ce dernier avec la bannière cookies. La task­force du CEPD a observé qu’il existe des outils permet­tant de géné­rer un rapport listant l’ensemble des cookies placés sur le termi­nal de l’utilisateur, mais que ces outils ne permettent d’aucune manière que ce soit de véri­fier la nature desdits cookies et ce notam­ment en raison du fait que les carac­té­ris­tiques des cookies changent régu­liè­re­ment ce qui ne permet pas d’établir une liste stable et fiable des cookies essen­tiels. Afin de juger du carac­tère essen­tiel du cookie concerné, les APD se fondent notam­ment sur l’avis du Groupe de travail « article 29 » rela­tif à l’exemption de l’obligation de consen­te­ment pour certains cookies datant de 2012. La Datenschutzbehörde (DSB) précise que le carac­tère essen­tiel du cookie ne doit pas être inter­prété du point de vue du four­nis­seur mais de l’utilisateur.

8) La diffi­culté accrue pour reti­rer le consen­te­ment en compa­rai­son de son recueil : en vertu de l’art. 7 para. 3 in fine RGPD, il doit être aussi simple de reti­rer que de donner son consen­te­ment. De la sorte, si une option de consen­te­ment est visible de manière proémi­nente, il doit en être de même de l’option de retrait. En pratique, cette exigence peut notam­ment être assu­rée par le biais d’icônes flot­tantes et visibles de manière perma­nente renvoyant aux para­mètres de gestion du consen­te­ment. La DSB a précisé que les options de retrait doivent être clai­re­ment décrites dans la bannière cookie, laquelle doit indi­quer comment et où le consen­te­ment peut être retiré.  

Par consé­quent, il appert que les pratiques couram­ment obser­vées dans les bannières cookies ne respectent pas la légis­la­tion euro­péenne en vigueur. Les tech­niques iden­ti­fiées, telles que l’absence de bouton de rejet acces­sible au premier niveau d’information, l’utilisation de cases pré-cochées et les mani­pu­la­tions visuelles (couleurs et contrastes), ne permettent pas le recueil d’un consen­te­ment valable, de sorte que les four­nis­seurs doivent veiller à prévoir un méca­nisme de recueil de consen­te­ment en adéqua­tion avec la posi­tion du CEPD et porter une atten­tion parti­cu­lière à la posi­tion adop­tée par les DPA afin de se confor­mer aux poten­tielles spéci­fi­ci­tés natio­nales.  

V. Les dark patterns outre-Atlantique  

Les États-Unis ont saisi la problé­ma­tique des dark patterns au niveau fédé­ral et étatique. Sur le plan fédé­ral, nous pouvons obser­ver l’obligation faite aux four­nis­seurs d’indiquer de manière trans­pa­rente les condi­tions impor­tantes avant que le client ne leurs commu­nique leurs infor­ma­tions de factu­ra­tion (Restore Online Shoppers’ Confidence Act).  

À l’échelle des États, la Californie (« California Privacy Rights Act of 2020 » (CPRA)), le Colorado (« Colorado Privacy Act » (CPA)) et le Connecticut (« Virginia Consumer Data Protection Act » (VCDPA)) ont adopté des textes avec des inci­dences sur l’utilisation de dark patterns.  

Au cours des dernières années, la Federal Trade Commission (FTC) s’est saisie de la problé­ma­tique. En 2022, elle a publié un rapport inti­tulé « Bringing Dark Patterns to Light » qui examine les façons dont les inter­faces masquent ou entravent l’autonomie des consom­ma­teurs dans la prise de déci­sion. Ce rapport met en lumière quatre fina­li­tés parti­cu­lières des dark patterns : 

1) Tromper les consom­ma­teurs et dissi­mu­ler la publi­cité : il s’agit des inter­faces qui créent de fausses croyances, comme les comptes à rebours qui laissent faus­se­ment entendre qu’il s’agit d’offres à durée limi­tée, mais égale­ment les publi­ci­tés présen­tées de manière trom­peuse pour ressem­bler à un contenu édito­rial indé­pen­dant, ainsi que des sites de compa­rai­son d’achats préten­du­ment neutres qui opère en réalité un clas­se­ment des entre­prises en fonc­tion de leur rémunération.

2) Rendre la rési­lia­tion diffi­cile : une autre pratique consiste à complexi­fier notam­ment la rési­lia­tion des abon­ne­ments et des offres d’essai gratuit en obli­geant le consom­ma­teur à suivre un proces­sus d’annulation complexe, diffi­ci­le­ment acces­sible, long et confus qui peuvent, en outre, conte­nir des liens redi­ri­geant le consom­ma­teur hors du proces­sus d’annulation. 

3) Dissimuler des termes clés et des coûts : en recou­rant à la dissi­mu­la­tion ou l’obscurcissement d’informations essen­tielles au consom­ma­teur (p. ex. limi­ta­tions du produit consulté, frais cachés) dans des condi­tions géné­rales d’utilisation complexes, les four­nis­seurs attirent le consom­ma­teur en affi­chant une frac­tion du prix final et ne révèlent les frais supplé­men­taires qu’à la fin du proces­sus d’achat.

4) Tromper les consom­ma­teurs pour qu’ils four­nissent davan­tage de données person­nelles : en offrant un prétendu choix au consom­ma­teur concer­nant les para­mètres de confi­den­tia­lité ou le partage des données, le four­nis­seur a conçu l’interface de sorte à inci­ter le consom­ma­teur a divul­gué le plus de données person­nelles. 

En dépit des efforts régle­men­taires, les cas d’application conti­nuent de souli­gner la nature omni­pré­sente des dark patterns comme peut en témoi­gner l’accord conclu en 2023 entre la FTC et un éditeur de jeux vidéo pour un montant de plus d’un demi-milliard de dollars (voir en ce sens le commu­ni­qué de la FTC). Selon la FTC, la dispo­si­tion de l’interface de l’un des célèbres jeu vidéo de l’éditeur était carac­té­ri­sée par des place­ments de boutons contre-intui­tifs, inco­hé­rents et prêtant à confu­sion, qui faci­li­tait les frais invo­lon­taires avec une seule pres­sion sur un bouton. Par ailleurs, la FTC avait invo­qué le fait que l’éditeur avait déplacé et mini­misé le bouton permet­tant d’annuler l’achat et avait égale­ment conçu un long proces­sus à desti­na­tion du consom­ma­teur qui cher­che­rait à obte­nir des rembour­se­ments. Au surplus, la FTC avait formulé un grief selon lequel l’éditeur aurait faci­lité le proces­sus d’achat pour les joueurs mineurs en contour­nant la néces­sité d’obtenir une appro­ba­tion paren­tale.  

Les cas d’application, tels que l’accord susmen­tionné, illus­trent la volonté de la FTC de sanc­tion­ner les entre­prises recou­rant aux dark patterns afin de trom­per leur clien­tèle. Cela dénote une tendance vers une surveillance accrue et d’importantes sanc­tions finan­cières pour dissua­der les four­nis­seurs de recou­rir à de telles pratiques et proté­ger les consom­ma­teurs, en parti­cu­lier les plus vulné­rables, comme les mineurs.  

VI. Conclusion 

L’adoption du rapport « Dark patterns. Documenter la nébu­leuse » du Conseil fédé­ral marque une étape signi­fi­ca­tive dans la recon­nais­sance par les auto­ri­tés des défis posés par les dark patterns. La mise en œuvre des prin­cipes de privacy by design et by default sous la LPD révi­sée consti­tue un progrès notable vers une protec­tion accrue des données person­nelles. Néanmoins, il convient de souli­gner que, malgré cette avan­cée helvé­tique, l’application de la légis­la­tion pour­rait se révé­ler limi­tée en raison de l’opacité inhé­rente aux dark patterns et de la diffi­culté pour l’utilisateur de se consti­tuer des moyens de preuve. 

La démo­cra­ti­sa­tion de l’intelligence arti­fi­cielle géné­ra­tive soulève des préoc­cu­pa­tions nouvelles quant à la capa­cité de ces tech­no­lo­gies à créer des desi­gns trom­peurs haute­ment person­na­li­sés suscep­tibles d’altérer la ratio­na­lité des utili­sa­teurs de manière plus subtile et sophis­ti­quée. Une obser­va­tion atten­tive de l’efficacité des dispo­si­tifs régle­men­taires euro­péens et de leurs éven­tuelles réper­cus­sions sur la situa­tion des justi­ciables suisses doit être réali­sée afin de permettre au légis­la­teur de revoir, en temps oppor­tun, sa posi­tion quant à la néces­sité de légi­fé­rer en la matière.  

Dans l’attente d’une éven­tuelle adap­ta­tion légis­la­tive et en vue d’assurer la sécu­rité juri­dique, il est crucial, tant pour les utili­sa­teurs que pour les four­nis­seurs, que des critères objec­tifs déli­mi­tant la persua­sion accep­table de la trom­pe­rie soient établis.