Dark patterns : ce que vous avez toujours voulu savoir sans oser le demander...

Dark patterns : ce que vous avez toujours voulu savoir sans oser le demander...

Veille Juridique n°45 – Mars 2022.

Ce terme anglais difficilement traduisible se retrouve dans de nombreuses publications concernant les technologies de l’information. 

En lien avec le « nudging » qui entend inciter subtilement l’internaute à adopter le comportement souhaité, les « dark patterns » visent le même but au travers du design des interfaces web.

Le Comité européen de protection des données a adopté le 14 mars des lignes directrices concernant les « dark patterns » dans les interfaces des plateformes de réseaux sociaux. 

Le document, soumis à consultation publique, s’adresse aux utilisateurs afin de les aider à identifier ces techniques, et aux designers à qui il propose de bonnes pratiques afin de faciliter le respect du RGPD. 

Le document répertorie dans ce qui évoque un inventaire à la Prévert différentes pratiques : 

  • La surcharge (overloading) d’informations confronte l’utilisateur à une avalanche de données ou d’options (par exemple une liste interminable de destinataires de cookies), le conduisant à partager plus d’informations qu’il ne le souhaite. 
  • L’omission (skipping) conduit l’utilisateur à oublier de vérifier certaines conditions d’utilisation de ses données, par exemple en attirant son attention ailleurs.
  • L’agitation (stirring) influence les choix des utilisateurs en jouant sur leurs émotions (par exemple pour les inciter à ne pas se désinscrire d’un réseau social)
  • L’obstruction (hindering) empêche les internautes d’effectuer leurs choix, via des liens non fonctionnels, des informations plus longues que nécessaires ou trompeuses.
  • L’incohérence du design (fickle) va quant à elle rendre difficile la navigation dans les outils de contrôle, via une présentation de l’information décontextualisée ou sans hiérarchie.
  • Enfin, le design peut laisser l’internaute dans l’obscurité (left in the dark), en utilisant des informations conflictuelles, ambiguës (des boutons de couleurs différentes activés ou désactivés par défaut), ou une discontinuité dans les langues utilisées (passage du français à l’anglais).

On serait presque admiratif devant tant de techniques et d’imagination, si ces pratiques n’étaient pas illégales car contraires au principe de loyauté figurant à l’article 5(1)(a) du RGPD, ainsi qu’aux principes de transparence, de minimisation des données, de responsabilisation, de finalité, et de validité du consentement.

Les lignes directrices de l’EDPB fournissent des exemples pour chaque type de technique, et des conseils afin de simplifier les choix des utilisateurs. 

Parmi les bonnes pratiques, on relève : 

  • L’utilisation de raccourcis pour permettre des actions rapides (se désinscrire d’un compte).
  • L’utilisation de bandeaux ou pop-ups en cas de changement ou de risque particulier (violation de sécurité par exemple).
  • L’utilisation d’un langage simple et cohérent.
  • Une liste de définitions.
  • L’utilisation d’exemples.
  • L’explication des conséquences des différentes options proposées.
  • L’affichage systématique du plan du site et d’un bouton « retour » permettant à l’utilisateur de reprendre le fil de sa navigation.

Notons que les décisions de la CNIL en janvier dernier à l’encontre de Google et Facebook, qui condamnent ces sociétés respectivement à 150 et 60 millions d’euros d’amende, sanctionnent l’utilisation de dark patterns dans l’utilisation des cookies : les interfaces offraient en effet une option simple d’activation des cookies, en un clic, alors que plusieurs actions étaient nécessaires pour refuser tous les cookies. 

Si l’attention des autorités de contrôle s’est jusqu’ici concentrée sur les cookies, c’est un ensemble plus vaste de pratiques qui est aujourd’hui en jeu. Le rôle des concepteurs d’interfaces en devient d’autant plus déterminant.

Et aussi

France :

Une enquête judiciaire a été ouverte par la section cybercriminalité du parquet de Paris concernant une fuite massive de données médicales. 

La fuite de données concernerait environ 500 000 personnes, et proviendrait d’une trentaine de laboratoires de biologie médicale. Des investigations sont également effectuées par l’ANSSI et la CNIL, en lien avec l’éditeur du logiciel de gestion utilisé par les laboratoires.

Une autre fuite massive de données a conduit le 17 mars la Caisse Nationale d’Assurance Maladie à publier un communiqué indiquant que les comptes d’au moins 19 professionnels de santé sur le portail Amelipro ont été compromis par des pirates informatiques.  

Les données d’identification et le numéro de sécurité sociale d’environ 500 000 assurés sont concernées par cette attaque informatique.

Toujours dans le domaine de la santé, le dossier médical partagé (DMP) a été intégré à l’espace numérique de santé (ENS, ou « Mon espace santé ») en janvier 2022.  

La CNIL rappelle sur son site internet le fonctionnement ainsi que les droits des personnes concernées pour ces deux dispositifs.

Le 28 juin 2022, la CNIL organisera à Paris la première édition du Privacy Research Day, une conférence internationale dédiée à la recherche dans le domaine de la protection de la vie privée et des données personnelles.

Europe : 

Un accord serait en vue entre l’Europe et les Etats-Unis concernant les transferts de données à caractère personnel. 

Ursula Von der Leyen et Joe Biden ont en effet annoncé ce 25 mars un accord politique sur le sujet, annonce précisée par le Commissaire européen à la justice Didier Reynders, qui indique qu’il s’agit d’une entente sur les « principes » d’un futur accord transatlantique. 

Le nouveau cadre juridique succèderait aux « Safe Harbour Principles » et au « Privacy Shield », tous deux rendus caducs par la Cour européenne de justice pour non-conformité aux principes européens de protection des données. 

L’extension des réglementations sur les certificats Covid (EUDCC) proposée par la Commission européenne est dans le collimateur des autorités de protection des données. 

L’EDPS et l’EDPB ont émis des réserves quant à l’absence d’analyse d’impact préalable aux propositions de la Commission de renouveler ces certificats pour un an.  

Le Comité et le Contrôleur européen de la protection des données ont toutefois admis que l’extension des types de tests acceptés et l’inclusion dans le certificat du nombre de doses administrées ne modifiaient pas substantiellement les dispositions actuelles.

Les employés d’Amazon ont effectué mi-mars une demande massive d’accès aux données que la société détient à leur sujet, afin de vérifier les conditions de surveillance sur leur lieu de travail.  

Les requérants, allemands, britanniques, italiens, polonais et slovaques, ont effectué leur demande sur la base de l’article 15 du RGPD en coopération avec l’union globale des travailleurs (UNI) et l’ONG NOYB.  

Outre ses lignes directrices sur les « dark patterns » dans les médias sociaux, le Comité européen de protection des données a adopté lors de sa réunion plénière du 14 mars des lignes directrices sur l’application de l’article 60 du RGPD concernant la coopération entre autorités de protection des données. 

Ce document entend améliorer l’application des dispositions du guichet unique. 

Le dispositif prévoit une autorité interlocutrice pour les sociétés établies dans l’Union européenne en fonction de leur lieu d’établissement principal, et une procédure de coopération avec toutes les autres autorités impliquées du fait de plaintes ou d’établissements annexes dans leur pays. 

L’autorité italienne de protection des données a sanctionné le 10 février la société Clearview IA à hauteur de 20 000 000,00 € pour avoir utilisé des systèmes de reconnaissance biométrique sur des sources internet publiques en violation du RGPD. Elle a ordonné la suppression des données. L’autorité britannique de protection des données a infligé le 28 février dernier une amende de 117 000 € à un cabinet d’avocats pour violation des articles 5(1)(f) et 32 du RGPD et en particulier pour absence de mesures de sécurité appropriées. 

L’Espagne a approuvé le 17 février dernier un code de conduite concernant la protection des données dans le cadre des essais cliniques et de la pharmacovigilance.

L’autorité irlandaise de protection des données a sanctionné le 15 mars la société Meta (anciennement Facebook) à hauteur de 17 millions d’euros à la suite de plusieurs violations de sécurité : l’autorité de contrôle a considéré que la société n’avait pas pris les mesures techniques et organisationnelles requises pour assurer la sécurité des données. 

La décision prise à la suite d’une procédure de coopération avec les autres autorités de contrôle européennes concernées par l’affaire (art 60 RGPD).

En Allemagne, l’autorité de protection des données de Brême a sanctionné ce 3 mars une société de gestion immobilière (Brebau GmbH) à hauteur de 1 900 000 € pour traitement illégal de données sensibles concernant plus de 9500 candidats locataires. 

Couleur de la peau, religion, orientation sexuelle, état de santé, type de coiffure et odeur corporelle faisaient partie des données traitées.

International : 

Dans une ordonnance de règlement datée du 4 mars, la Federal Trade Commission des Etats-Unis exige de WW International (Weight Watchers) la destruction des algorithmes ou modèles d’intelligence artificielle conçus à partir des données personnelles de mineurs sans obtention préalable du consentement parental. 

La société a également été condamnée à une amende de 1,5 millions de dollars et à la destruction des données collectées illégalement. 

C’est la troisième fois que la FTC exige dans une ordonnance de règlement la destruction d’un algorithme d’intelligence artificielle.  

Le Sri Lanka a adopté le 19 mars 2022 une loi sur la protection des données à caractère personnel.

La société Nokia, qui a annoncé arrêter ses activités en Russie en raison de la guerre en Ukraine, est accusée de laisser derrière elle un système de télécommunication permettant la surveillance de la population russe. 

Nokia aurait, selon des documents internes révélés par le New-York Times, fourni pendant plus de cinq ans à la Russie des équipements et services permettant de connecter le système de surveillance russe SORM (System for Operative Investigative Activities) au plus grand service de télécommunication russe MTS.

Anne Christine Lacoste  Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.