Après l’alerte NOYB, c’est au tour des différents régulateurs de tirer la sonnette d’alarme sur les pratiques illégales des sites internet des entreprises ou d’administrations.
Les sites et les applications mobiles ont “largement recours à des mécanismes de conception trompeuse (dark pattern en anglais), entravant ainsi la capacité des utilisateurs à prendre des décisions éclairées en matière de protection de la vie privée, souligne la CNIL. Pour 97 % d’entre eux, et dans des industries multiples, les ratisseurs ont rencontré au moins un mécanisme de conception trompeuse dans leur tentative de prendre des décisions protégeant la vie privée ou d’obtenir des renseignements liés à la protection de la vie privée“.
C’est le constat dressé par les 26 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant pour la protection de la vie privée au sein de pays membres de l’OCDE) qui ont passé au peigne fin 1 010 sites web et applications mobiles dans le cadre d’une opération conjointe et coordonnée. L’opération d’audit baptisée le GPEN Sweep ou “ratissage” repose sur cinq indicateurs de l’Organisation de coopération et de développement économiques (OCDE), qui sont “caractéristiques de mécanismes de conception trompeuse”.
9 sites sur 10 ne respectent pas le devoir de transparence
Les résultats pour chaque indicateur sont les suivants :
- Langage complexe et déroutant : plus de 89 % des politiques de confidentialité se sont avérées longues ou rédigées dans un langage complexe, de niveau universitaire.
- Influence de l’interface : lorsqu’il s’agissait de demander aux utilisateurs de faire des choix en matière de protection de la vie privée, 56 % mettaient en évidence l’option qui protège le moins la vie privée et qui est la plus facile à sélectionner pour l’utilisateur.
- Répétition : au total, 35 % des sites Web et des applications invitaient à répétition les utilisateurs à reconsidérer leur intention de supprimer leur compte.
- Entrave : Dans près de 40 % des cas, les auditeurs ont fait face à des obstacles pour faire des choix en matière de protection de la vie privée ou pour accéder à des renseignements en la matière, par exemple pour trouver les paramètres de confidentialité ou pour supprimer leur compte.
- Action forcée : parmi les sites et des applications étudiés, 9 % forçaient les utilisateurs à divulguer plus de données personnelles qu’ils n’avaient été tenus de le faire pour créer leur compte lorsqu’ils tentaient de le supprimer.
De meilleures pratiques en France ?
En France, la CNIL a analysé les pratiques de 18 sites dans leur version mobile : 6 sites de vente en ligne, 6 d’éditeur de presse et 6 autres de médias audiovisuels. L’Autorité a constaté que la conformité à la réglementation était meilleure que les pratiques internationales.
Elle relève différents points :
- Les politiques de confidentialité : sur 72 % des sites étudiés, la politique de confidentialité est accessible en deux clics ou moins depuis la page d’accueil. Si, comme à l’international, 88 % des politiques de confidentialité étudiées sont longues (plus de 3 000 mots), 70 % d’entre elles disposent d’un menu ou d’une table des matières facilitant la navigation.
- Influence de l’interface : sur la moitié des sites étudiés, il est plus facile de sélectionner le paramétrage qui protège le moins la vie privée. Dans la plupart des cas c’est parce que l’option qui protège le moins la vie privée est la plus évidente (45 % des sites visités en France contre 56% au niveau international).
- Parcours de déconnexion : sur plus de 75 % des sites permettant de se créer un compte, il est possible de se déconnecter en un seul clic et, dans 95 % des cas, il est possible de se déconnecter en deux clics ou moins.
- Parcours de désinscription : il est parfois beaucoup plus complexe de supprimer son compte. Dans 29 % des cas, il faut au moins 4 clics pour supprimer son compte et dans 17 % des cas, les ratisseurs n’ont pas trouvé d’option de suppression de compte depuis le site web mobile.
La CNIL rappelle également que les sites et applications bien conçues ont des paramètres par défaut qui offrent :
- la meilleure protection en matière de vie privée ;
- mettent en évidence les options qui protègent la vie privée ;
- utilisent un langage et une conception neutres pour présenter de manière équitable et transparente les différents choix en matière de protection de la vie privée ;
- réduisent le nombre de clics requis pour trouver les renseignements sur la protection de la vie privée, se déconnecter et supprimer un compte et offrent des options de consentement pertinentes pour le contexte et en temps opportun.
Patrice Remeur