Que ce soit intentionnel ou non, de mauvaises pratiques émergent en parallèle des différentes réglementations, comme le RGPD, afin de les contourner. Dans le contexte du web, c’est ce que l’on appelle des « deceptive design patterns » ou « dark patterns », que l’on peut traduire par des « modèles de conception trompeurs ».

Le principe : respecter certaines règles (mise à disposition de mentions d’information, mise en place d’un consentement), mais jouer sur le design, l’interface, pour que l’utilisateur ne consulte pas les mentions ou donne systématiquement son consentement, par exemple. Si l’éditeur pense respecter ses obligations, il s’oppose en réalité à certains principes élémentaires du RGPD (Règlement Général de Protection des Données), tels que la transparence ou la loyauté.
Pour nous aider à y voir plus clair dans ces « dark patterns », le CEPD (Comité Européen de la Protection des Données) a récemment publié des lignes directrices afin d’identifier ces pratiques et les éviter : le comité alerte ainsi sur six pratiques trompeuses régulièrement rencontrées sur le web.

Surcharger d’informations

Ce premier type d’interface consiste à confronter l’utilisateur à de nombreuses demandes, informations ou options différentes, l’incitant ainsi à ne pas aller plus loin et à accepter ou conserver certaines pratiques en matière de données personnelles. Par exemple, cela consisterait à intégrer plusieurs pages ayant la même finalité en pied de page du site web :

Ici, l’utilisateur risque de ne pas savoir où rechercher l’information qu’il souhaite obtenir et la quantité d’options disponibles risque de le décourager à parcourir les différentes pages. Finalement, l’utilisateur ne se trouve pas correctement informé sur le sort de ses données.

Faire oublier les questions de vie privée

Il s’agit notamment de concevoir l’interface ou le parcours utilisateur de sorte qu’il oublie tout ou partie des aspects liés à ses données. Par exemple, le fait de cocher par défaut l’option la plus invasive pour l’utilisateur l’incite à la conserver puisqu’il est peu probable qu’il prenne la peine de la modifier.

Avec ce type de designs, l’utilisateur n’a pas la possibilité de prendre la mesure de toutes les options qui s’offrent à lui avant de donner son consentement à l’une ou l’autre de ces options. Le consentement est vicié, et n’est donc pas conforme au RGPD.

Faire appel aux émotions

La troisième manière de tromper l’utilisateur est de l’inciter à faire un choix en faisant appel à ses émotions ou en utilisant des stimulations visuelles. Il s’agit notamment d’utiliser des codes couleur à la perspective positive pour un choix qui sera plus intrusif dans la vie privée de l’utilisateur, ou bien d’afficher un message culpabilisant.

Par exemple, il n’est pas rare de voir, lorsqu’un utilisateur souhaite supprimer son compte sur une plateforme, un bandeau apparaître avec une inscription du type : « je ne souhaite plus communiquer avec mes amis » ou encore « je ne souhaite plus encourager la plateforme ». L’utilisateur doit cliquer sur cette mention pour définitivement supprimer son compte : ce type de pratique est également à bannir.

Faire obstacle

Ce quatrième dark pattern mentionné par le CEPD consiste à bloquer l’utilisateur dans son processus d’obtention d’information ou de gestion de ses données, à cause d’un design rendant l’action difficile, voire impossible, à réaliser. Il s’agit par exemple de cliquer sur un lien censé contenir les informations que l’utilisateur recherche, le redirigeant vers une page indisponible, ou bien de devoir passer par un plus grand nombre d’étapes que nécessaire pour activer une option moins intrusive pour sa vie privée.

Rendre incohérent

Il s’agit ici des incohérences d’interface, qui ne permettent pas à l’utilisateur d’obtenir toutes les informations dont il a besoin sur la gestion de ses données personnelles. Prenons l’exemple d’informations sur la protection des données personnelles présentes sur une page dont l’objet fait référence à un tout autre sujet.

Il est évidemment peu probable que l’utilisateur ait l’idée de consulter cette page pour avoir la réponse à sa question, et ne trouvera donc pas cette information.

Créer l’incertitude

Enfin, le dernier type d’interface trompeuse relevé dans les lignes directrices du CEPD consiste à volontairement masquer des informations ou laisser l’utilisateur dans l’incertitude, soit en lui fournissant des informations contradictoires, soit en utilisant des termes ambigus.

L’objectif de cette pratique, ou en tout état de cause son effet, consiste à rendre confus l’utilisateur, qui ne saura pas ce qu’il doit faire ou à quelle information se fier. Cela l’encouragera par exemple à conserver les paramètres prévus par défaut.

Conclusion

A l’occasion de nos audits, nous constatons que l’utilisation de ces designs trompeurs est régulière. Nous en rencontrons fréquemment sur les gestionnaires de cookies, sur lesquels on observe des différences flagrantes de mise en évidence des boutons « accepter » et « refuser », notamment. A tel point que beaucoup pensent que ces tromperies ne sont pas interdites… alors qu’elles influent directement sur la validité du consentement.

Si ces thématiques vous intéressent, nous vous encourageons vivement à consulter les lignes directrices du CEPD (pour le moment uniquement en anglais, leur traduction devrait vite arriver). Vous y trouverez d’autres exemples de dark patterns et les liens avec la réglementation en matière de protection des données.
Vous pouvez également faire auditer votre site web ou votre application mobile dans le but de les rendre conformes au RGPD.