Les dark patterns sur les réseaux sociaux encadrés par le Comité européen de la protection des données

Nouvelles lignes directrices du CEPD Overloading, Skipping, Stirring, Hindering, Fickle, Left in the dark Une étape supplémentaire en faveur de l'implémentation concrète du RGPD.

Le Comité européen de la protection des données (CEPD) a adopté le 14 mars 2022 des lignes directrices portant sur l’utilisation de dark patterns sur les plateformes de réseaux sociaux. 

Au-delà d’un effort de définition et de catégorisation des dark patterns, ces lignes directrices incluent des recommandations pratiques et opérationnelles pour les concepteurs et les utilisateurs de réseaux sociaux afin de lutter contre ce phénomène. 

Une étape supplémentaire en faveur de l’implémentation concrète du RGPD, dont les implémentations pratiques se précisent au fil de textes réglementaires de droit “dur”, mais aussi de textes de droit “souple” comme ces lignes directrices qui servent régulièrement de fondements aux décisions des autorités de contrôle.

Les dark patterns peuvent être définis comme des choix d’interfaces et d’expériences utilisateurs qui peuvent amener lesdits utilisateurs à prendre des décisions involontaires et potentiellement préjudiciables pour la protection de leurs données à caractère personnel.

En d’autres termes, les dark patterns désignent des interfaces conçues pour manipuler les utilisateurs et influencer leurs choix concernant le partage de leurs données à caractère personnel.

Le CEPD propose une catégorisation des principaux types de dark patterns qui sont concernés par les lignes directrices.

> Overloading : cette pratique consiste à présenter à l’utilisateur une quantité importante d’informations, de demandes, d’options et de possibilités de manière à le dissuader de paramétrer ses choix en termes de protection de données. Exemple : fournir à l’utilisateur de trop nombreuses options, qui rendent le choix de l’utilisateur difficile, le poussent à négliger certains réglages ou à abandonner la configuration.

> Skipping : il s’agit ici d’une interface conçue de manière à ce que l’utilisateur oublie ou ne pense pas à la configuration de ses choix en matière de partage de données à caractère personnel. Exemple : activer par défaut l’intégralité des configurations les plus invasives en termes de partage de données à caractère personnel, alors même que l’utilisateur sera toujours plus enclin à conserver des réglages pré-existants.

> Stirring : cette pratique vise à influencer le choix des utilisateurs en faisant appel à leurs émotions ou en utilisant des indices visuels spécifiquement conçus pour guider les décisions des utilisateurs. Exemple : l’utilisation de visuels qui confèrent à un certain paramétrage invasif un aspect extrêmement positif, associé à un sentiment de sécurité, et/ou qui associent le refus du partage de données à une représentation négative, associée à un sentiment de culpabilité.

> Hindering : cette stratégie consiste à entraver l’utilisateur lorsqu’il souhaite obtenir des informations ou configurer de manière plus restrictive le partage de ses données à caractère personnel en rendant difficile ou impossible l’action nécessaire pour y parvenir. Exemple : rendre inaccessible les informations ou les paramétrages liés à la protection des données par un lien mort ou invalide.

> Fickle : il s’agit dans ce cas du design d’une interface qui est volontairement instable et incohérente, rendant difficile pour les utilisateurs de comprendre où se trouvent les paramètres de gestion de leurs données à caractère personnel ou ce à quoi les commandes servent précisément. Exemple : placer des informations et des options de configuration liées à la protection des données sur une page inattendue au sein de l’application, où l’utilisateur ne se rendrait pas instinctivement.

> Left in the dark : le contenu de l’interface est dans ce cas de figure formulé de manière à masquer les informations ou les contrôles liés à la protection des données. Exemple : présenter les informations ou les paramétrages liés à la protection des données dans une langue autre que la langue officielle du pays des personnes concernées.

Chacune de ces catégories est développée dans les lignes directrices et divisée en sous-catégories contenant des exemples concrets illustrant de telles pratiques.

Le CEPD précise que les dark patterns peuvent concerner l’intégralité du cycle de vie d’un compte de réseau social, et la prohibition de ces manipulations n’est donc pas limitée à la création du compte.

Ainsi, les dark patterns concernent certes l’inscription sur un réseau social, mais aussi la mise à disposition de la politique de confidentialité, les éventuels accords de co-responsabilité, les communications obligatoires en cas de violation des données, le management du consentement et des préférences de l’utilisateur, l’exercice des droits de la personne concernée, et enfin l’étape de suppression du compte.

A chacune des étapes mentionnées ci-dessus, l’utilisation de dark patterns entraîne une violation assez claire de principes explicites du RGPD, qu’il s’agisse entre autres des conditions de validité du consentement (qui doit être libre, spécifique, éclairé et univoque), du droit à l’information des personnes concernées qui implique une communication concise, transparente, intelligible et facilement accessible, du principe fondamental de transparence dans le traitement de données personnelles vis-à-vis des personnes concernées, ou encore l’exigence de privacy by design et by default dans la conception de produits.

Le CEPD fixe donc, avec ces lignes directrices, des règles claires, unifiées et concrètes prohibant l’utilisation de dark patterns sur les réseaux sociaux.

Il s’agit d’une initiative peu surprenante à l’heure où certains acteurs, n’ayant plus la possibilité d’ignorer le RGPD, peuvent être tentés d’afficher un respect apparent tout en manipulant à leur profit le choix de leurs utilisateurs concernant le partage de leurs données à caractère personnel.