Face aux Dark patterns, Consent or Pay et autres pratiques n’ayant pour seule finalité que de vicier le consentement, la Fédération des Tiers de Confiance du Numérique (FnTC) publie un guide sur les bonnes pratiques des parcours digitaux et de consentement.
Bonnes pratiques
Le Guide de bonnes pratiques des parcours digitaux et de consentement vise à assurer la fiabilité et la conformité des processus de consentement numérique dans le cadre réglementaire de la signature électronique et des services de confiance (règlement eIDAS) :
- Qualification d’un Parcours de Consentement : définition des parcours de consentement et importance de la traçabilité et de la conservation des preuves;
- Modélisation et Conservation : modélisation des parcours digitaux pour différentes applications (ex. : contractualisation en ligne, achat et paiement en ligne) et importance de la conservation des documents et des preuves pour assurer leur valeur probatoire;
- Contrôle et Audit : mise en place de mécanismes de surveillance et d’audit pour vérifier la conformité des parcours de consentement.
L’ objectif du règlement eIDAS adoptée il y a 10 ans était de créer un environnement numérique sûr et fiable en renforçant la sécurité des transactions électroniques et la confiance des utilisateurs et en améliorant l’efficacité des services en ligne publics et privés, ainsi que du commerce électronique.
Mauvaises pratiques
Dark patterns : le design trompeur des sites web et applications mobiles
1010 sites web et applications mobiles ont été examinés par le Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant pour la protection de la vie privée au sein de pays membres de l’OCDE) et l’International Consumer Protection and Enforcement Network (ICPEN – réseau international de protection et d’application des droits des consommateurs) qui constatent l’utilisation de mécanismes de conception trompeurs (Dark patterns) altérant la capacité de choix et de décision éclairée de l’internaute en matière de protection de la vie privée. Le principe du Mislead by Design s’oppose ainsi à ceux du Privacy by Design et du Security by Design qui sont pourtant les seuls à pouvoir garantir la confiance dans l’économie numérique. En effet, l’audit GPEN Sweep, auquel la CNIL a collaboré, a révélé un recours massif à des fonctionnalités qui incitent les utilisateurs à choisir des options qui pourraient se traduire par la collecte de données personnelles supplémentaires. Les internautes peuvent également être contraints à passer par de nombreuses étapes pour trouver la politique de confidentialité, se déconnecter, supprimer leur compte ou encore faire en sorte que des messages s’affichent à répétition pour que, frustrés, les utilisateurs décident finalement de fournir plus de données personnelles qu’ils ne l’auraient souhaité. Les sites web et les applications ont été évalués en fonction de cinq indicateurs qui, selon l’Organisation de coopération et de développement économiques (OCDE), sont des caractéristiques des mécanismes de conception trompeuse :
- Langage complexe et déroutant : plus de 89 % des politiques de confidentialité se sont avérées longues ou rédigées dans un langage complexe;
- Influence de l’interface : lorsqu’il s’agissait de demander aux utilisateurs de faire des choix en matière de protection de la vie privée, 56 % mettaient en évidence l’option qui protège le moins la vie privée et qui est la plus facile à sélectionner pour l’utilisateur;
- Répétition : 35 % des sites Web et des applications invitaient à répétition les utilisateurs à reconsidérer leur intention de supprimer leur compte;
- Entrave : Dans près de 40 % des cas, existent des obstacles pour faire des choix en matière de protection de la vie privée ou pour accéder à des renseignements en la matière, par exemple pour trouver les paramètres de confidentialité ou pour supprimer leur compte;
- Action forcée : Parmi les sites et des applications étudié, 9 % forçaient les utilisateurs à divulguer plus de données personnelles qu’ils n’avaient été tenus de le faire pour créer leur compte lorsqu’ils tentaient de le supprimer.
https://cnil.fr/fr/design-trompeur-les-resultats-de-laudit-du-global-privacy-enforcement-networkhttps://www.privacyenforcement.net/content/2024-gpen-sweep-deceptive-design-patterns-reports-english-and-french
En France, l’UFC-Que Choisir a alerté et la Commission européenne et la DGCCRF pour que ces pratiques soient sanctionnées suite à son étude de 20 Marketplace (Temu, AliExpress, Amazon, Veepee, etc.) qui utilisent toutes des Dark patterns, mécanismes prohibés par le règlement européen sur les services numériques (DSA) depuis le 17 février 2024.
Consent or Pay
Sans complexe, l’IAB Europe (Interactive Advertising Bureau) a adressé à l’EDPB (European Data Protection Board) le 18 juillet 2024 un document de synthèse exprimant des inquiétudes sur l’avis 08/2024 sur le modèle « Consentement ou Paiement » pour les grandes plateformes en ligne. Les autorités s’inquiètent de pratiques potentiellement trompeuses ou agressives, notamment le manque d’informations claires et la pression exercée sur les utilisateurs pour choisir rapidement entre payer ou accepter l’utilisation de leurs données. L’IAB critique un manque de consultation et l’incompréhension de l’industrie de la publicité numérique, ce qui pourrait selon lui nuire à la viabilité de certains services numériques et à l’accès gratuit des utilisateurs à divers contenus en ligne. L’IAB considère que l’avis ne règle pas l’équilibre entre le droit à la protection des données et la liberté d’entreprendre et recommande à l’EDPB de réviser son avis pour l’aligner sur la jurisprudence de la CJUE, de s’abstenir d’interférer avec les modèles économiques des entreprises, et de s’appuyer sur les recommandations déjà émises par les autorités nationales de protection des données.
https://iabeurope.eu/iab-europe-sends-position-paper-to-the-edpb-on-the-consent-or-pay-model
Toujours sans complexe et avec une pointe de cynisme dont les GAFAM ont le secret, Meta/Facebook a introduit le 27 juin 2024 un recours devant le Tribunal de l’UE contre l’EDPB en demandant l’annulation de l’Avis 08/2024 et contestant la légalité de certaines dispositions du RGPD au regard de la Charte des droits fondamentaux de l’Union européenne. Meta estime que l’avis introduit une obligation nouvelle et incohérente qui ne figure pas dans le RGPD et que l’EDPB a manqué d’impartialité. Pourtant, le réseau de coopération sur la protection des consommateurs (CPC) s’inquiète face à ces pratiques trompeuses ou agressives. Cette action s’ajoute à d’autres procédures en cours contre Meta, notamment des enquêtes de la Commission européenne sur de possibles violations des règlements sur les marchés numériques et les services numériques (DMA, DSA). Les autorités ont identifié plusieurs pratiques préoccupantes, comme l’utilisation trompeuse du terme « gratuit », le manque de clarté dans les informations fournies, et la pression exercée sur les utilisateurs pour faire un choix immédiat.
Face au modèle Consent or Pay, un nouveau modèle devrait voir le jour : Comply or Get out
https://ec.europa.eu/commission/presscorner/detail/fr/ip_24_3862