Cet article est une version édulcorée et mise à jour de P.-O. Pielaet intitulée « La privacy by design à l’épreuve des dark patterns » publiée dans l’édition 2021 de la Revue du Droit des Technologies de l’Information. Disponible sur https://www.larcier.com/fr/revue-du-droit-des-technologies-de-l-information-r-d-t-i.html.

Pierre-Olivier Pielaet

Avocat au Barreau du Brabant wallon et chercheur au CRIDS-Nadi à l’Université de Namur. Les opinions exprimées dans cet article sont personnelles et n’engagent aucunement l’Université de Namur.

1. Introduction

La numérisation sans cesse croissante de notre société par les ordinateurs, smartphones et autres objets connectés (Internet of Things) et les potentiels profits résultant du traitement des données générées ont progressivement révélé la tension entre deux intérêts absolument antinomiques. En effet, le capitalisme de surveillance — pour reprendre l’expression de Shoshana Zuboff¹ — entretenu par certaines entreprises du secteur privé se caractérise par une collecte toujours plus massive et une analyse de plus en plus perfectionnée de données pour comprendre, prédire et in fine influencer les comportements. Pour sa part, le législateur européen s’emploie, en réaction, à renforcer la protection du citoyen en votant notamment le règlement général sur la protection des données (« RGPD » ci-après) considéré comme « le » dispositif qui va véritablement rendre le contrôle de leurs données aux utilisateurs.

Expression flagrante de cette approche d’empowerment de la personne concernée, le consentement au traitement de données s’est vu attribuer une place particulièrement importante au sein de ce dispositif normatif, dès lors qu’il constitue l’un des fondements juridiques pour le traitement de données à caractère personnel. Par ailleurs, conscient de l’opacité caractérisée des traitements de données pour les personnes concernées et de l’importance du design dans la protection de leurs droits fondamentaux, le législateur européen a consacré le principe de protection des données « dès la conception » ou « privacy by design », imposant aux responsables de traitement de mettre en œuvre, à tous les stades de la conception d’un projet, les mesures techniques et organisationnelles nécessaires à la protection de la vie privée des personnes concernées.

Ce fameux principe de « privacy by design » semble aujourd’hui être remis en question par les intérêts économiques divergents du secteur privé qui, en usant d’une certaine ingéniosité pour poursuivre la collecte massive de données, n’hésite pas à jouer avec la frontière de la légalité². Une des méthodes employées à cette fin consiste à recourir à des « dark patterns », des designs d’interface spécialement conçus pour influencer le consentement des utilisateurs aux traitements de leurs données à caractère personnel.

Dans le cadre de la présente contribution, nous nous contenterons d’introduire brièvement le concept de nudge et d’illustrer plus concrètement le phénomène de dark pattern. Pour le surplus, nous renvoyons le lecteur à l’article « La privacy by design à l’épreuve des dark patterns ».

2. De la théorie du nudge aux « dark patterns »

La théorie du nudge³ repose sur le postulat que l’être humain, contrairement à ce qu’affirmait jusqu’alors la théorie classique de l’être « économique »⁴, agit de manière tendanciellement irrationnelle. Partant de ce constat, l’idée originelle de Thaler et Sustein consistait à concevoir une méthode douce destinée à orienter le comportement de l’individu et l’inviter à prendre des décisions qui lui seraient bénéfiques, par exemple en matière de santé ou d’environnement, sans pour autant altérer sa liberté de choix⁵.

Les exemples de nudge sont nombreux. Le plus connu d’entre eux est certainement celui de la petite mouche placée au centre des urinoirs qui invite les hommes à uriner sur l’insecte afin d’éviter les éclaboussures. Un autre exemple relativement répandu est celui des filets/poubelles placés en bord de route afin d’inciter de façon ludique les conducteurs à y jeter leurs déchets — à la manière d’un lancer dans un panier de basket — plutôt que de les disséminer dans la nature.

Transposé en langage informatique, le nudge a fourni aux entreprises générant des profits grâce aux données un moyen efficace pour collecter les données à caractère personnel des utilisateurs.

En effet, certains sites internet conçoivent le design de leur interface de telle manière à orienter le comportement de l’utilisateur et l’inciter, voire l’obliger dans certains cas, à fournir plus de données que nécessaire. Tel est précisément l’objectif poursuivi par les dark patterns.

3. Le consentement au traitement de données à caractère personnel et le principe de privacy by design

Comme indiqué supra, le consentement au traitement de données à caractère personnel constitue une des bases de licéité de l’article 6 du RGPD.

Pour que le traitement de données à caractère personnel soit licite lorsqu’il s’appuie sur ce fondement, le consentement de la personne concernée doit répondre à quatre exigences à savoir celles d’un consentement libre, informé, spécifique et univoque (voy. infra).

Pour sa part, le principe de privacy by design prévu à l’article 25 du RGPD impose au responsable du traitement de mettre en œuvre les mesures techniques et organisationnelles « destinées à intégrer les garanties en matière de protection des données de façon effective afin de se conformer au règlement et de protéger les droits fondamentaux des personnes dont les données sont traitées »⁶.

Quel lien avec le consentement me direz-vous ?

En réalité, sur internet, la « qualité » du consentement recueilli dépendra considérablement du cadre technique dans lequel il est implémenté. En effet, techniquement parlant, il est relativement aisé de manipuler le design de l’interface, le langage utilisé et les options laissées ou non à l’utilisateur, … afin de faciliter les traitements de données à caractère personnel. C’est la raison pour laquelle le principe de privacy by design impose aux responsables du traitement de s’assurer que les quatre exigences du consentement trouvent un écho dans la technique utilisée pour son recueil.

Par exemple, un consentement informé implique que le responsable de traitement communique au préalable une explication claire et concise à l’utilisateur de sorte à lui permettre de saisir la portée du traitement et de comprendre ce à quoi il s’engage. Il est ainsi en principe exclu de la noyer sous une masse d’informations peu intelligible destinée à recueillir son consentement plus facilement – comme c’est généralement le cas lorsque l’utilisateur est confronté à une politique de vie privée longue et particulièrement rébarbative.

Si les dark patterns peuvent recevoir des applications diverses et variées, en marketing par exemple, en matière de protection des données, ils ont généralement pour finalité de faciliter le partage de données à caractère personnel en entravant le consentement, en influençant l’utilisateur ou en compliquant l’exercice des droits des personnes concernées.

Trêve de théorie, attardons-nous à présent sur quelques pratiques fréquemment rencontrées par l’utilisateur lorsqu’il navigue sur internet⁷.

4. Quelques illustrations de dark patterns…

4.1 Dark patterns influençant le consentement

Certains dark patterns ont pour but d’influencer directement le consentement au traitement des données en rendant la proposition « accepter » plus attractive à travers l’utilisation d’un code de couleur qui est confortable et plus agréable pour l’utilisateur. Par opposition, les fonctions de paramétrage des cookies et autres informations personnelles sont, quant à elles, généralement reléguées au second plan.

Les figures n° 1 et n°2 permettent de donner un aperçu des méthodes employées pour mettre en avant le consentement au détriment des options de paramétrage. Qu’il s’agisse des couleurs utilisées ou de la largeur de l’espace réservé, tout est délibérément mis en place pour privilégier l’option d’acceptation.

S’agissant de l’exemple de Facebook (Fig. n°3), il est permis de considérer que le consentement à la politique de données de l’entreprise américaine ne remplit pas les exigences du RGPD dans la mesure où l’accès au service est subordonné au consentement de l’utilisateur au traitement de ses données⁸. Dans le jargon, ce procédé est traditionnellement qualifié de « take it or leave it »⁹.

Ces différents dark patterns contreviennent au critère de liberté du consentement¹⁰. Il ressort en effet du considérant 42 que le consentement ne pourra être considéré comme ayant été donné librement lorsque la liberté de choix de l’utilisateur est altérée. Les Guidelines publiées par le CEPD sur le consentement rappellent quant à elles que « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable »¹¹. Le RGPD exclut dès lors les hypothèses dans lesquelles le paramétrage du consentement est de toute évidence discriminé au profit d’options « pro-partage » attractives et séduisantesqui sont révélatrices d’une certaine volonté d’entraver l’autonomie de la volonté des utilisateurs.

4.2 Dark patterns encourageant à partager plus de données que nécessaire

Cette catégorie de dark patterns comprend notamment les designs de partage d’informations par défaut¹². Tel est le cas par exemple lorsque les cases de partage de données sont précochées à l’avance par le site internet. Les cases cochées par défaut sont explicitement interdites sous le RGPD¹³. Elles contreviennent directement à l’exigence d’un consentement manifeste, non équivoque, dès lors que le consentement doit faire l’objet d’un « acte positif clair »¹⁴.

Le caractère univoque du consentement a pour objet de s’assurer que — la charge de la preuve reposant sur le responsable de traitement — le consentement a été donné de manière indubitable par l’utilisateur¹⁵. Dès lors, les cases précochées ne pourraient être considérées comme un acte positif clair de la personne concernée.

Dans l’exemple ci-dessous, le design utilisé est celui de cases « accepter » cochées par défaut et est contraire au RGPD.

De la même manière, les pop-ups informant l’utilisateur que la poursuite de la navigation sur le site ou l’application revient à accepter la politique de cookies n’apparaissent pas non plus conformes au caractère manifeste du consentement (voy. Fig. n°5).

Relevons en outre le paradoxe lié à l’exigence de spécificité suivant lequel certains sites internet, par excès de zèle ou soucieux de se conformer au mieux à la législation européenne, proposent à l’utilisateur une description à la carte des finalités auxquelles il peut librement consentir (voy. Fig. 4). Si, en théorie, un consentement spécifique impose effectivement au responsable de traitement de donner la possibilité à la personne concernée de consentir à toutes les opérations qui ne partagent pas la même finalité, en pratique, ce type de design tend à faciliter le consentement de l’utilisateur qui privilégiera l’acceptation globale des cookies au détriment du paramétrage¹⁶.

4.3 Dark patterns portant sur la psychologie de l’utilisateur

D’autres dark patterns font appel à la psychologie du consommateur ou, en l’occurrence, de l’utilisateur. Le langage et le design utilisés par les développeurs du site internet entendent susciter certaines émotions chez l’internaute.

Le dark pattern de la figure n°6 assimile les cookies informatiques aux cookies tels, ces friandises ancrées dans la culture populaire et généralement appréciées de l’utilisateur. Ce faisant, il donne l’impression que les cookies informatiques sont agréables et partant, qu’il s’agit de quelque chose de positif pour l’utilisateur.

Par ailleurs, en employant un « smiley » et une expression familière (cfr. « merci pour le coup de pince ») doublée d’un jeu de mots et d’une référence au nom du site internet en question, le design entend obtenir la confiance de l’utilisateur.

Partant, juridiquement parlant, ce dark pattern contrevient à l’exigence de liberté du consentement prévue par le RGPD en raison de l’influence exercée sur l’utilisateur.

4.4 Dark patterns compliquant les actions de protection des données

Enfin, certains sites internet et applications entendent tirer profit de l’utilisateur en lui proposant des politiques de confidentialité extrêmement longues et fastidieuses. Ces dernières ont pour effet bien connu de rebuter l’individu et d’en décourager la lecture de sorte que ces sites s’assurent ce faisant d’un faible taux de lecture parmi les utilisateurs. Pour rappel, un consentement éclairé/informé et plus généralement le principe de transparence imposent au responsable du traitement de fournir à l’utilisateur une information claire quant à son identité et aux finalités poursuivies par le traitement qu’il entend effectuer¹⁷.

Dans l’exemple ci-après, l’obtention d’informations à propos des cookies ainsi que leur paramétrage sont rendus à ce point difficiles qu’ils ne laissent d’autre choix à l’utilisateur que d’accepter leur utilisation. La surcharge visuelle et informationnelle a pour conséquence d’inciter l’individu à privilégier l’option d’acceptation des cookies plutôt que de s’aventurer dans un paramétrage rendu compliqué, voire impossible¹⁸.

S’agissant de la figure n°8, on constate que l’utilisateur doit effectuer plus de démarches pour paramétrer l’utilisation des données que pour donner son consentement. En poussant la réflexion un peu plus loin, il est également permis de considérer que ce dark pattern manipule le langage utilisé en proposant une option intitulée « en savoir plus ». Ce vocabulaire laisse en effet sous-entendre à l’utilisateur qu’il peut recevoir plus d’informations quant au traitement de données effectué sans pour autant l’informer de la possibilité de paramétrage située au-delà de cette option. En revanche, tel ne serait pas le cas si à la place, le site mentionnait « paramétrage » ou « je refuse ». Toujours est-il qu’il existe une discrimination flagrante entre les différentes options proposées à l’utilisateur final.

Dans ces différentes hypothèses, nous sommes d’avis qu’il est permis de débattre de la validité du consentement de l’utilisateur ayant marqué son accord au traitement de ses données et au placement de ces cookies lorsque le gestionnaire du site internet a eu recours à un dark pattern.

4.5 Un exemple à suivre

Pour clôturer cette analyse, il convient de proposer un contre-exemple tiré directement de l’ancien site internet de l’Autorité de protection des données. Nous pouvons constater qu’en l’occurrence aucune influence n’est exercée sur l’utilisateur. Il existe ici un bouton « refuser » qui est présenté de la même manière que le bouton accepter, ce qui est de nature à laisser un vrai choix, exempt de toute influence. La personne concernée dispose ici d’une information concise et peut s’informer davantage et cliquant sur « Plus d’info ». Une telle interface est davantage conforme aux règles du RGPD que nous avons abordées à la fois en matière de privacy by design et de consentement.

5. Conclusion 

Encore relativement peu traité dans les médias ou par les milieux académiques, cet article aura, nous l’espérons, eu le mérite de mettre davantage en lumière la problématique des dark patterns en présentant notamment quelques pratiques auxquelles les internautes sont régulièrement confrontés

A l’heure d’écrire ces quelques lignes, il semblerait que de plus en plus de sites internet se mettent au diapason du RGPD. Cela n’énerve toutefois pas le constat que les applications du nudge et des dark patterns sont légion et que les entreprises du secteur privé sont généralement tentées de recourir à ce type de méthode pour orienter le consommateur ou l’utilisateur dans la direction de leurs intérêts commerciaux.

Dans ce contexte, s’agissant de protection des données à caractère personnel, si le RGPD fournit en amont un cadre juridique permettant de lutter contre les dark patterns, il conviendra de pouvoir compter, en aval, sur la vigilance des autorités de contrôle nationales – telles l’Autorité de protection des données – pour réguler efficacement ce type de pratique.

Dans la foulée de cette première observation, nous sommes, d’une part, d’avis que la régulation de ces pratiques devra nécessairement passer par une compréhension des mécanismes psychologiques à savoir les biais cognitifs – que nous n’avons pas eu l’occasion d’aborder ici – qui influencent considérablement l’individu lorsqu’il est amené à poser un choix. D’autre part, nous pensons que les initiatives et mouvements – tels que celui du legal design par exemple – promouvant le renforcement des droits des personnes concernées doivent adopter une approche avant tout centrée sur l’utilisateur et étudier a posteriori et en profondeur les effets du design sur le comportement des internautes.

1 Voy. S. Zuboff, The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power, New York, PublicAffairs, 2019. Professeure émérite à la Harvard Business School et professeure associée à la Harvard Law School.

2 Il ressort ainsi d’une étude de l’Université de Cornell que seuls 11,8 % des sites internet analysés seraient conformes aux exigences du RGPD en matière de consentement et de politiques de cookies. Voy. M. Nouwens, I. Liccardi, M. Veale, D. Karger, et L. Kagal, « Dark Patterns after the GDPR: Scraping Consent Pop-ups Demonstrating their Influence », Human-Computer Interaction, Cornell University, 8 janvier 2020, p. 6. Disponible sur : https://arxiv.org/abs/2001.02479

3 La théorie du nudge ou du « coup de coude » nous provient des sciences comportementales. Elle a été élaborée en 2008 par deux chercheurs américains, Richard Thaler économiste de l’Université de Chicago et Cass Sustein professeur à la faculté de droit de l’Université d’Harvard, dans un ouvrage intitulé « Nudge – Improving Decisions about Health, Wealth, and Happiness ». Voy. R. Thaler et C. Sustein, Nudge : Improving Decisions about Health, Wealth, and Happiness, New Haven, Yale University Press, 2008.

4 Cette théorie économique conçoit l’être humain avant tout comme un être rationnel, capable de maximiser ses ressources et de prendre des décisions réfléchies afin de parvenir à un résultat optimal pour lui-même.

5 A. Barton et T. Grüne-Yanoff, « From Libertarian Paternalism to Nudging – and Beyond », Rev. Phil. Psych, Vol. 6, 2015, p. 341.

6 Avis 5/2018, « Avis préliminaire sur le respect de la vie privée dès la conception », Contrôleur européen de la protection des données, 31 mai 2018, p. 6. Disponible sur : https://edps.europa.eu/_fr

7 Les exemples présentés ci-dessous se rapportent principalement à des politiques de cookies. Ces dark patterns sont ceux auxquels l’utilisateur est le plus souvent confronté. Notons également que les articulations entre les cookies et les différentes législations européennes sont traitées dans la contribution originale. Enfin, certains également ont été volontairement floutés ou masqués afin de rendre l’identification du site internet concerné impossible.

8 Voy. Groupe de travail « Article 29 », Lignes directrices sur le consentement au sens du règlement 2016/679, p. 6.

9 Voy. F. Z. Borgesisus, S. Kruikemeier, S. Boerman and N. Helberger, « Tracking Walls, Take-It-Or-Leave-It Choices, the GDPR, and the ePrivacy Regulation », Eur. Data Protection Law Review, 2017, vol. 3, Issue 3, p. 353-369.

10 C. de Terwangne rappelle à cet égard que « le consentement sera considéré comme ayant été librement donné uniquement si la personne concernée dispose d’une véritable liberté de choix ou est en mesure de refuser ou de retirer son consentement sans subir de préjudice ». Voy. C. de Terwangne, « Les principes relatifs au traitement des données à caractère personnel et à sa licéité », dans C. de Terwangne et K. Rosier, Le règlement général sur la protection des données (RGPD/GDPR) : Analyse approfondie, Bruxelles, Larcier, 2018, p. 122.

11 Groupe de travail « Article 29 », Lignes directrices sur le consentement au sens du règlement 2016/679, précitées, pp. 5-6.

12 Rapport du Laboratoire d’Innovation Numérique de la CNIL, « Cahier IP n° 6 : La forme des choix », 20 mars 2019, p. 28.

13 Voy. Considérant n° 32 du RGPD ; A ce sujet, voy. A. Delforge, « Le placement de ‘cookies’ sur un site web : la Cour de Justice fait le point, l’APD commence à sanctionner », R.D.T.I., 2020, p. 101 et s.

14 Considérant n° 32 du RGPD.

15 C. de Terwangne, op. cit., p. 125.

16 Soulignons par ailleurs la pratique largement répandue qui consiste à demander le consentement de l’utilisateur à chaque connexion. Nous sommes convaincus que cette redondance est de nature à rebuter l’individu et le décourage de paramétrer le traitement de ses données à caractère personnel.

17 Article 12 et considérant 58 du RGPD.

18 A simple titre d’information, nous n’avons jamais trouvé le moyen de paramétrer/refuser l’utilisation de cookies par le site internet en question.

Le 9 juin dernier nous avons appris que la Belgique était attaquée au nom d’une violation du Règlement Général de la Protection des Données (R.G.P.D.). Qui est attaqué ? Par qui ? Et pour quelle raison exactement ?

Il s’agit d’une question d’indépendance en réalité, l’indépendance de l’Autorité de Protection des Données (A.P.D.). L’A.P.D. c’est un peu le régulateur en matière de vie privée, de protection des données personnelles, de données privées. C’est l’autorité spécialisée qui s’occupe de ce type de plaintes. En Belgique, la composition de cette A.P.D. pose problème car dans certains cas il y a des membres directement dans les instances de cet organe qui ont des contacts plus ou moins proches avec certains partis politiques, ou qui ont parfois des mandats de consultation dans la création de certaines lois ou règlements… Il y a des conflits d’intérêts potentiels. Certains membres de l’A.P.D. se sont exprimés devant le Parlement fédéral il y a plus d’un an à ce sujet. En absence de réaction, ils sont allés porter cette information à la Commission européenne pour passer au niveau supérieur. Là, la Commission européenne, sur base de cet avertissement, a ouvert une procédure en infraction contre la Belgique, et a donc ouvert une enquête. Techniquement, la Belgique n’a pas encore été condamnée. Si elle réagit et qu’elle remplace les deux ou trois personnes qui pouvaient potentiellement poser souci, il n’y aura pas de problème.

Selon une étude de l’université de Cornell (U.S.A.) seuls 11,8% des sites internet analysés seraient conformes au R.G.P.D. en matière de consentement et de pratique des cookies. En quoi et comment ces sites violent-ils le R.G.P.D. et usurpent, d’une certaine manière, le consentement des internautes ?

Les sites se présentent de manière à ce que, si nous voulons y accéder, nous sommes obligés d’accepter soit tout directement soit, dans certains cas, de paramétrer de manière plus précise, plus longue, avec souvent des listes interminables… Le site part du principe que l’internaute est relativement fainéant et qu’il a envie d’accéder très vite à l’information. Donc, les sites sont faits de manière à ce que l’utilisateur clique sur le bouton le plus facile d’accès, pour pouvoir vite lire ce qu’il souhaite. Concrètement, il y a un biais qui empêche l’utilisateur de réellement choisir s’il veut que des cookies traceurs soient installés, destinés à savoir à peu près ce qu’il fait sur internet. En matière de protection des données, si on veut placer ce genre de cookies-là, il faut avoir un consentement qu’on appelle « libre et éclairé », ou encore « non faussé ». Le site doit donner les informations pour que le visiteur puisse choisir librement, sans justement que des biais soient mis en place. Pourtant, la plupart des sites s’en rendent coupables, consciemment ou non. C’est connu dans le monde du digital : s’il y a trop de procédures, on sait bien qu’on perd des gens, donc le but est de simplifier tous les processus. C’est pour ça que les procédures de vente présentent le moins d’étapes possible parce que dans le cas contraire, des gens abandonnent.

Pourrait-il y avoir une normalisation des interfaces sur lesquelles on arrive avant de pouvoir accéder à certains sites ? Il y a différents types d’interfaces avec des « Accepter » ou « Refuser », des listes assez longues, à cocher ou décocher, avec toujours le « Accepter » qui est présélectionné…

Oui, en effet, il y a des biais là aussi… On va vers une normalisation dans le sens où la plupart des sites internet ne sont pas créés par des informaticiens ou des spécialistes du web. La plupart des créateurs de sites utilisent des générateurs de pages, qui contiennent eux-mêmes des générateurs de cookies et de « bannières cookies ». Techniquement, quand on fait un site, en fonction du système qu’on utilise pour le créer, on sélectionne aussi un type de bannière. Avant, on avait juste une bannière qui disait: « Si vous restez sur le site, vous acceptez que… ». Depuis une petite année, on voit des choses plus carrées, plus correctes. Par exemple, il y a encore un an, on voyait très rarement la mention « Tout Refuser ». Maintenant, il existe l’obligation de la faire figurer si la mention « Tout Accepter » est présente. Donc en un sens, on va vers une standardisation. Je pense qu’elle ne sera jamais imposée mais les bonnes pratiques sont en cours de rédaction.

À côté du R.G.P.D., un autre règlement, le règlement ePrivacy, date de 2002. Il s’agit d’une réglementation qui concerne plus spécifiquement l’installation des cookies techniques, c’est-à-dire pour que le site internet fonctionne sur votre équipement.  Normalement cette réglementation aurait dû être mise à jour avec l’instauration du R.G.P.D., mais pour des raisons de lobbying, ça n’a pas été fait. En effet, les opérateurs du web craignent que trop de réglementation concernant ces cookies techniques posent des soucis aux utilisateurs, ce qui engendrerait une baisse de leurs revenus. Au final, la révision de ce règlement n’a toujours pas été adoptée.

D’ailleurs, dans une des premières versions du règlement ePrivacy (un règlement complémentaire au R.G.P.D.), qui a été abandonnée, il y avait l’idée que ce soient les navigateurs web qui servent d’interface pour la gestion des cookies. Dans ce schéma, l’usager règle une bonne fois pour toutes ses critères d’acceptation sans devoir perpétuellement les ré-encoder. Suite à cela, il y a eu des discussions, sans doute une forme de lobbying et ça a été abandonné.

La pratique du take it or leave it est-elle légale ? Les sites web ont-ils le droit de refuser leur accès si l’utilisateur ne souhaite pas que les cookies de traçage soient installés ?

On force le consentement c’est sûr, eu égard au modèle économique derrière. Si celui-ci est transparent, il pourrait être validé. En clair, si on refuse les cookies de traçage, le modèle publicitaire est en difficulté, et donc le modèle économique du site web. Ceci devrait être plus explicite, que le site affiche mieux le cadre de ses échanges avec l’internaute, qui doivent être bien conscients des parties de cet échange.

Si les cookies de traçage sont refusés, alors la question sera d’imposer ou pas l’obligation de mettre en place une alternative monétaire: accepter les cookies, et donc le traçage, ou payer quelques centimes pour accéder à l’information. C’est logique que le site internet doive gagner de l’argent, donc si l’internaute veut à la fois profiter du site et protéger sa vie privée, peut-être devra-t-il payer. On ne peut pas exiger la gratuité du site.

La conscientisation publique aux dangers de la collecte des données est très lente. La plupart du temps, les internautes acceptent des usages intrusifs. Selon vous, à part la fainéantise déjà évoquée, qu’est-ce qui fait que l’internaute cède aussi facilement ses droits ?

Je pense que globalement ceux qui utilisent le web sont conscients des enjeux. Les personnes habituées au numérique savent très bien qu’en tapant « Vacances, soleil, Djerba » sur Google, elles risquent d’avoir des publicités corrélées. C’est vrai que les internautes ont du mal à voir les enjeux problématiques. Ils se demandent si c’est vraiment grave, certains ont accepté le principe. De temps en temps, il y a des procédés qui sont flous et malhonnêtes, c’est vrai ça peut arriver : des zones de flou pour certains sites ou des biais dans la présentation pour faciliter le consentement…

L’idée de la protection des données relatives à la vie privée, c’est que les sites doivent informer et être transparents sur l’utilisation qui sera faite de ces données. Il faut donner des informations assez sommaires mais assez claires, pour qu’on comprenne vite les enjeux. En plus, si éventuellement vous voulez plus de détails, alors là il y a un document de 4 ou 5 pages, le règlement Cookies, plus détaillé. Si les internautes ont les informations, normalement, c’est à eux de voir ce qu’ils veulent faire de leurs données, s’ils sont d’accord de rentrer dans des modèles de surveillance ou pas. Si les gens sont informés, ils sont assez intelligents pour consentir tout en restant en accord avec leurs intérêts. Mais on sait bien, même en économie, que les gens ne sont pas si rationnels que ça !

Que voulez-vous dire par là ?

La loi part du principe que le consommateur, s’il a toutes les informations, va agir de manière raisonnée. Pour prendre un exemple très bateau, s’il voit un produit trois fois plus cher qu’un autre juste parce qu’il est d’une couleur ou une forme différente, le consommateur dira: « Non, je ne vais pas mettre trois fois le prix pour ça, ce n’est pas raisonnable ». Mais en fait, ça arrive ! Les consommateurs, par confort ou fainéantise, acceptent parfois certaines choses alors qu’ils savent bien que de manière raisonnable économiquement, ils ne devraient pas le faire. L’humain a plein de biais, plein de failles psychologiques, qui font qu’il n’agit pas toujours de manière intelligente et raisonnée. Et parfois bien sûr, les sites jouent sur ces biais psychologiques de manière intentionnelle.

Au-delà de l’aspect publicitaire et donc économique, pensez-vous que les internautes soient au fait des utilisations plus problématiques, en termes éthiques, qui peuvent être faites de leurs données ? Je pense notamment aux communications des données de santé ou encore aux données bancaires…

Il y a une partie non négligeable de fantasme sur ce qui peut légalement être fait avec ces données-là. En Europe (à l’exception du Royaume-Uni vu qu’ils ont quitté l’U.E. et s’en désolidarisent sur ces questions-là) on ne peut pas faire n’importe quoi. Dans la grande majorité des cas, les informations que je mets sur facebook ne vont pas aller chez un assureur, jamais. Vu le cadre légal, ce n’est pas possible. La législation en matière de protection des données fait qu’il y a une transparence imposée. Au Royaume-Uni ça arrive beaucoup plus, il y a beaucoup plus cette porosité.

Le public, peut-être ne le sait pas, mais a beaucoup de droits, peut faire beaucoup de choses avec ses données. Il peut savoir quelles données a telle ou telle entreprise sur sa personne, les modifier, les transférer… Derrière, il y a des juges, des régulateurs, des contrôles, la police…

Vous voulez dire qu’un scandale comme celui de Cambridge Analytica ne pourrait pas subvenir en Europe ?

Si puisque là il y avait de l’illégalité ! En tous cas ce serait illégal en Europe et c’était déjà peut-être illégal aux U.S.A.. Normalement, ce qu’on fait sur facebook ne peut pas être utilisé par des partis politiques. On parle d’une époque pré-RGPD, dans laquelle il y avait déjà moins de contrôles, moins d’argent pour contrôler, plus de laxisme, des règles moins claires. Maintenant on a resserré les vis. En France, pays qui surveille beaucoup, ils ont bien clarifié que ce n’était pas possible. Il y a eu des débuts de ce genre de campagnes de récolte d’informations sur les réseaux sociaux, destinées à orienter ensuite un discours politique. Ce qui est drôle c’est que ce n’était pas très légal mais beaucoup plus transparent !

Les instances juridiques de lutte contre les violations du RGPD, sont-elles performantes, sont-elles connues ? Et qui dépose des plaintes au nom du RGPD ?

Les plaintes auprès de l’A.P.D. ça n’existe que depuis deux ans en Belgique. Avant cela, les acteurs privés n’avaient pas beaucoup de moyens d’opposition (procédures peu adaptées) et les citoyens n’étaient pas très conscients de tout cela. Ces derniers temps, ça s’améliore de manière vraiment rapide. Google en Belgique a été condamné à payer 600.000€, en France ça a été 50 millions. En Belgique il y a des amendes, des sites internet qui ont pris 10.000€ d’amende sur des questions de cookies, ceci pour un site web qui n’était pas un énorme acteur, après quatre avertissements, qui n’était toujours pas conforme…

En ce qui concerne les particuliers, concernant les sites internet, c’est rare qu’ils se disent: « J’ai vu quelque chose, je vais aller me plaindre ». Par contre, s’ils voient que leur administration a envoyé une information, par exemple à cause d’une erreur de la commune, là il y a plus souvent de dépôts de plainte. C’est beaucoup plus direct. Par rapport aux sites web, on est plus dans la dénonciation, c’est assez rare. Les contrôles existent mais il y a un manque de moyens financiers. Ce n’est pas de la mauvaise volonté, il suffit d’imaginer le nombre de sites web à contrôler… Il y a des actions sectorielles de temps en temps et quand il y a de grosses amendes, le secteur concerné fait attention, mais jamais un contrôle absolu ne sera possible.

On oublie souvent qu’en effet, le R.G.P.D. concerne aussi l’utilisation par le site des données personnelles que l’on laisse. Ce que le site va faire de notre adresse mail, de notre numéro de téléphone, de compte en banque… Ce que vous rappelez, c’est que si on constate une fuite à cet endroit-là, on peut porter plainte ?

Oui d’ailleurs, si le site respecte la loi, il doit même vous rappeler que vous pouvez le faire. Si on regarde en détails les conditions des sites, à la fin généralement de la page qui y est dévolue, il est écrit: « Vous avez le droit d’agir en justice devant l’A.P.D. dont voici l’adresse… » et en général un hyperlien vous amène au site de l’A.P.D. sur le formulaire de plainte idoine. Il y a un idéal sur la préservation de sa vie privée, mais au quotidien, soyons clairs, c’est un peu laborieux.

Pour le moment, ce qu’il se passe c’est que si on veut avoir accès à une information sur un site, on a une page qui s’affiche demandant le consentement de l’internaute. Souvent, celui-ci fait au plus vite pour accéder à son information – c’est humain, et donc pas toujours raisonnable. Y a-t-il d’autres systèmes qu’un simple clic qui sont à l’étude ? Un compteur par exemple ? Un temps minimum de lecture pour pouvoir accéder au site ?

Pour empêcher que les gens ne cliquent trop facilement, il y a certains sites internet qui mettent en place une obligation de scroller, ou une obligation d’ouvrir une page avant d’accepter, certains ont aussi des timers. Mais tout cela n’est pas obligatoire et ralentit le processus. Ca décourage les internautes, donc ce n’est pas très intéressant pour les sites web… Eux sont plus dans l’idée : qu’est-ce que je suis légalement obligé de faire ? Y a-t-il déjà une unité de contrôle qui a infligé une amende à un site qui n’avait pas tel ou tel dispositif ? Certes il existe des bonnes pratiques, mais elles ne sont pas imposées.

Il y a quelques temps, il y avait par exemple des cases pré-cochées, maintenant c’est interdit, vous devez cocher vous-même. Désormais si l’internaute peut accepter de manière très facile, il doit aussi pouvoir refuser de manière très facile… Il y a quelques règles mais après sur les différents processus à part ces quelques exemples qu’on voit souvent, il n’y en a pas trop… Dans le cas de Google par exemple, ils mettent en place ce genre de choses car ils savent bien qu’ils sont fortement contrôlés.

Il faut aussi bien penser que le public utilise de plus en plus son smartphone. Sur les écrans d’ordinateurs on peut faire apparaître plus d’infos, l’interface est plus facile… Sur écran de GSM, il faut être plus efficace dans l’ergonomie, plus accessible, plus fluide… On essaie de faire que ce soit toujours plus facile. Progressivement sur des points législatifs, les applications se différencient de plus en plus des sites web.

Récemment les médias ont traité l’actu concernant les nouvelles fonctionnalités de WhatsApp. Pour vous c’est un signal positif d’une conscientisation en cours ?

Bien sûr. Plus encore même. C’est important qu’il y ait une éducation à cela. Pour le moment l’éducation aux médias et aux nouvelles technologies laisse à désirer. On explique aux enfants ce qu’ils ne peuvent pas faire dans la rue, on ne leur explique pas ce qu’ils ne peuvent pas faire sur internet. D’abord, il faut apprendre progressivement à avoir un comportement respectueux en ligne, mais ensuite viennent les questions de vie privée. Il faut apprendre à se poser la question : « Qu’est-ce qui va être fait de mes informations? ». Il faut éduquer les enfants, et que les parents comprennent qu’ils doivent « avoir un œil » sur les activités « online » de leurs enfants. C’est important que les médias conscientisent à tout ça, informant les parents de certaines pratiques. Certains parents, aujourd’hui, ne comprennent pas les enjeux de WhatsApp, sans parler de TikTok… Donc c’est important que les médias tiennent à jour tout le monde sur ces questions. On va vers ça, mais ça prend du temps.

Mais selon vous, l’application du RGPD est rapide ?

On veut toujours que ça aille plus vite… En tous cas il y a une grosse conscientisation des acteurs de terrain, privés et publics. Beaucoup accusent un manque de moyens ou un manque de clarté du règlement… Mais soyons clairs, toutes les entreprises le savent, parfois ce n’est juste pas la priorité, surtout d’un point de vue financier. Sachant que les amendes sont rares et qu’en général elles sont précédées de deux avertissements, une mise aux normes assez onéreuse pour une P.M.E. n’est souvent pas une priorité.

Plus spécifiquement sur les cookies, les informaticiens, les développeurs commencent à savoir ce qu’ils peuvent faire ou pas légalement, même dans l’interface, dans le design. Dans les formations actuelles en informatique, ils ont notamment des bases en droit sur ces thématiques. De nouveau, il faut le temps d’éduquer les personnes non spécialistes à ce genre d’enjeux. Tester et affiner les limites, en droit, ça prend du temps. Il faut un certain nombre de condamnations avant que la règle soit bien claire et bien précise.

Il y a peu de condamnations sur le design pour le moment mais par exemple Google a été condamné. Si vous vouliez tout comprendre à ce que faisait Google, vous deviez vous balader sur 4 à 5 pages différentes. Il y a eu plaintes sur cette interface trop compliquée pour les utilisateurs. Donc voilà, on attaque doucement l’interface, mais on est encore aux balbutiements. En droit, dans la théorie, on commence à bien affiner les règles, en pratique ça commence seulement à être appliqué.

Propos recueillis et mis en forme par Olivier Grinnaert.

Mais surtout, jour après jour, nous consultons d’innombrables sites web à la recherche d’informations diverses, des sites qui nous réclament ce consentement que nous acceptons, refusons, paramétrons, selon notre état de conscience face à la question du traitement des données personnelles, mais aussi, avouons-le, selon notre humeur, notre état d’empressement, notre volonté du jour.

Bien sûr, « accepter » semble toujours plus facile, plus fluide, plus séduisant. Paramétrer l’installation des cookies de traçage équivaut à prendre des chemins détournés, tortueux, alambiqués, pour finalement parvenir au même endroit, mais plus tard. Biais psychologique connu et humain, l’homo-numericus préférera le confort et la rapidité, quitte à signer un pacte faustien au terme duquel il laissera une infinitésimale partie de lui-même : quelques clics, quelques données, quelques informations, quelques pixels, trois fois rien, c’est pas grave…

Évidemment, 99,99 % des sites web obéissent à des logiques marchandes, logiques qui privilégient un consentement simple et rapide, au détriment d’un consentement libre et éclairé, en accord avec la réglementation européenne. Il s’agit donc pour ces sites de flirter avec le cadre légal afin de contourner le R.G.P.D. tout en en tenant compte, ou en tous cas, autant que les sites de la concurrence ne le font… Les interfaces s’adaptent, la législation s’adapte, dans un jeu du chat et de la souris qui risque bien de durer encore quelques années avant que les contours ne soient plus nets.

Ce dossier invite à prendre quelques minutes pour s’extraire du flux et prendre le temps de faire une photographie partielle de l’état d’avancement des stratégies online pour obtenir votre consentement, et une autre de la législation belge à l’égard de la protection des données personnelles. Merci beaucoup à Pierre-Olivier Pielaet et Antoine Delforge, tous deux chercheurs en droit du numérique à l’Université de Namur, pour leur précieuse collaboration.

1-Les dark patterns ou « designs trompeurs » : la manipulation de l’utilisateur sur internet. Par Pierre-Olivier Pielaet.

2-Le modèle économique du site web en péril face au consentement « non faussé ». Rencontre avec Antoine Delforge.