Depuis quelques temps maintenant, la plupart d’entre nous ont pu voir circuler des notifications concernant la protection de la vie privée en provenance de sites web et de services populaires. Ces fenêtres pop-ups sont apparues au moment où le règlement général sur la protection des données (RGPD) est entré en vigueur, et elles visent à mettre les fournisseurs de services en conformité vis-à-vis des exigences réglementaires du RGPD. Ce règlement exige que les entreprises qui utilisent vos données soient transparentes concernant l’usage qu’elles en font, et obtiennent votre consentement pour chacune de ces utilisations.
Facebook, Google et Microsoft font partie des entreprises technologiques qui ont montré à leurs utilisateurs ces pop-ups afin de garantir une conformité vis-à-vis de loi européenne. Maintenant, certains militants pour la défense de la vie privée ont analysé ces pop-ups et ont des raisons de croire que ce trio infernal joue sur certaines subtilités psychologiques avec leurs utilisateurs. Ces militants s’inquiètent de voir ces géants technologiques se rendre coupables d’utiliser des “dark patterns”, à savoir des techniques de conception et linguistiques qui inciteront les utilisateurs à renoncer à leur vie privée.
Dans un rapport intitulé Deceived By Design (Dupé par Design), le Conseil Norvégien des Consommateurs (Forbrukerrådet) a accusé Facebook et Google de présenter leurs options RGPD de protection de la vie privée de manière manipulatoire, encourageant ainsi les utilisateurs à renoncer à cette dernière. Microsoft est également coupable dans une certaine mesure, mais s’en sort mieux que les deux autres, selon le rapport. Forbrukerrådet a également fourni une vidéo d’accompagnement :
Les entreprises technologiques utilisent des modèles appelés “dark patterns” pour faire en sorte de compliquer la fermeture de votre compte et de vous inciter à cliquer sur des publicités en ligne (par exemple, consultez le Mur de la Honte de darkpatterns.org).
Dans le cas des notifications RGPD concernant la vie privée, Facebook et Google ont utilisé une combinaison de langage agressif et de sélections par défaut inappropriée pour que les utilisateurs continuent à offrir leurs données personnelles, selon le rapport.
Plusieurs groupes de défense de la vie privée se sont joints à Forbrukerrådet pour écrire au président du Comité européen de la protection des données, l’organe de l’UE chargé de l’application du RGPD, et ce afin de porter le rapport à son attention. Privacy International, BEUC (un regroupement de 43 organisations européennes de consommateurs), ANEC, un groupe de défense des droits des consommateurs européens en matière de standardisation et Consumers International s’inquiètent de voir les entreprises technologiques faire des choix de conception délibérés afin de donner l’impression aux utilisateurs de garder le contrôle sur leur vie privée, tout en utilisant des astuces psychologiques pour en réalité faire le contraire. Voici un extrait du rapport :
Lorsque des dark patterns sont utilisés, le pouvoir est retiré aux utilisateurs en les poussant à faire certains choix. À notre avis, cela signifie que l’intention initiale qui est de donner aux consommateurs un meilleur contrôle sur leurs données personnelles, est contournée.
Le rapport se concentre sur l’un des principes clés du RGPD, connu sous le nom de protection des données par conception et par défaut. Cela signifie qu’un service est configuré pour protéger la vie privée et la transparence. Ce principe fait de cette protection l’option par défaut plutôt qu’une option nécessitant une activation de la part de l’utilisateur. Leur vie privée doit être protégée même s’ils ne désactivent pas l’option de collecte de données. À titre d’exemple, le rapport indique que les cases à cocher concernant les options les plus respectueuses de la vie privée doivent être celles qui sont cochées par défaut, lorsqu’un utilisateur choisit ses paramètres de protection de la vie privée.
Sabotage de la protection des données par défaut
La fenêtre pop-up RGPD de Facebook a échoué au test de la protection des données par défaut, selon le rapport. Cette dernière forçait les utilisateurs à sélectionner une option de paramétrage concernant la gestion des données pour désactiver les annonces basées sur des données provenant de tiers, alors que le simple fait d’appuyer sur “accepter et continuer” a automatiquement activé cette méthode de diffusion publicitaire.
Facebook a également été approximatif dans ses choix autour de la reconnaissance faciale, qu’il a récemment introduite en Europe après une interruption de six ans en raison de problèmes vis à vis de la protection de la vie privée. Il a activé cette technologie par défaut, à moins que les utilisateurs ne décident activement de l’éteindre, les obligeant ainsi à effectuer quatre clics de plus que ceux qui décident de ne rien changer.
Le rapport contenait des commentaires spécifiques à propos de cette pratique consistant à faire en sorte que les utilisateurs doivent faire toute une série d’acrobaties pour sélectionner l’option la plus respectueuse de leur vie privée :
Si le but est d’amener les utilisateurs dans une certaine direction, en rendant la démarche d’aller vers d’autres alternatives longue et compliquée, alors peut être que nous avons affaire effectivement à des dark patterns.
Selon le rapport, Google s’en sort un peu mieux ici. Alors qu’il obligeait les utilisateurs à accéder à un tableau de bord de protection de la vie privée pour gérer leurs paramètres d’annonces personnalisées, il a désactivé les options de stockage de l’emplacement, d’historique, d’informations sur l’équipement et d’activités vocales par défaut.
Les enquêteurs ont également critiqué Facebook pour la formulation utilisée qui a fortement poussé les utilisateurs dans une certaine direction. S’ils choisissaient “Gérer les paramètres de données” plutôt que de simplement laisser la reconnaissance faciale activée, les messages de Facebook sur les aspects positifs de cette technologie, et les implications négatives d’une telle désactivation, devenaient plus agressifs.
“Si vous continuez en désactivant la reconnaissance faciale, nous ne serons pas en mesure d’utiliser cette technologie si un inconnu utilise votre photo pour usurper votre identité”, a déclaré la fenêtre pop-up RGPD. “Si quelqu’un utilise un scanner d’écran, on ne pourra pas détecter que vous êtes sur une photo, à moins que vous ne soyez tagué”, poursuit-il.
Le rapport soutient que ces messages sous-entendent que la désactivation de cette technologie est, d’une certaine manière, contraire à l’éthique. Le message ne contient aucune information sur les autres manières, que Facebook mettra en œuvre, pour utiliser cette technologie de reconnaissance faciale.
Microsoft a moins attiré l’attention des enquêteurs, qui ont scruté les moindres transgressions de chaque fournisseur de technologie :
Nous aurions aimé voir Apple intégré dans ce rapport, car l’entreprise s’est longtemps différenciée en matière de vie privée, en soulignant qu’elle vendait des équipements, et pas les données de ses utilisateurs.
Au moins, ce rapport montre que lire et réfléchir au sujet des options possibles en matière de protection de la vie privée est important. Prêter attention à ces notifications RGPD et prendre le temps de réfléchir à ce qu’ils demandent exactement vaut la peine, même si cela vous prend quelques minutes avant d’accéder à votre service préféré. Si vous avez déjà haussé les épaules et cliqué sur “accepter et continuer”, il existe toujours une option pour y accéder et modifier ultérieurement vos paramètres de vie privée. Ne perdez pas de vue ces dark patterns : un homme averti en vaut deux !
Billet inspiré de Facebook and Google accused of manipulating us with “dark patterns”, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.