Le design comme critère de conformité au RGPD selon la CNIL ? Retour sur la table ronde du 17 janvier à l’occasion des derniers Cahiers Innovation & Prospective

Marie Potel-Saville

A quand un triangle de la régulation juridique-technique-design pour éviter que ne soient manipulés nos biais cognitifs dans les parcours utilisateurs et assurer un consentement réellement libre et éclairé au traitement de nos données personnelles? Non, il ne s’agit pas de « design fiction », la CNIL s’interroge dès aujourd’hui sur l’entrée du design dans le champ de l’analyse de conformité des régulateurs.

La CNIL appelle ainsi les designers à prendre conscience de leur rôle central dans la protection des libertés (de la taille de la police d’une charte, aux couleurs du bouton de refus de consentement), affirmant que « design et consentement sont liés », et annonce le lancement de la « Design Factory », une communauté de designers formés et engagés dans la protection des données personnelles. Designers et juristes sont invités plus que jamais à collaborer. L’essence du Legal Design.

Dès l’introduction par Mme Isabelle Falque-Pierrotin, Présidente de la CNIL, le ton était donné : le design de la privacy est un sujet majeur, qui mérite de faire l’objet d’une étude entière dans les derniers Cahiers IP du LINC, Laboratoire d’Innovation et de Prospective du régulateur français des données personnelles.

Bien au-delà de l’esthétique, le design des interfaces est structurant car :

« Il s’agit de pouvoir ne pas être trompé, de pleinement consentir à l’effort dont les entreprises veulent nous soulager, et in fine se dire « oui » ensemble. Et pour y parvenir opérationnellement, l’interface n’a rien de cosmétique. Le design atteint alors tout son sens, celui d’une esthétique au service de l’humain, belle car enracinée dans notre humanité. »

Pourquoi le régulateur s’intéresse au design d’interfaces ? L’interface « sans coutures » règne en maitre sur le webdesign, afin de créer une expérience utilisateur personnalisée et fluide. Mais l’interface est aussi « le premier objet de médiation entre la loi, les droits et les individus. » Simplement parce qu’elle influence directement notre capacité à faire des choix : « Nous sommes ainsi influencés et entrainés à partager toujours plus, sans toujours en avoir conscience, mettant in fine en péril nos droits et libertés. »

Au cœur de l’économie de l’attention, désormais indissociable de l’économie de données, la CNIL s’intéresse aux techniques de design trompeur (« dark patterns »), çàd soigneusement conçu pour qu’un utilisateur fasse des choix sans qu’il en soit conscient ou qu’il ne souhaite pas faire. Autrement dit, pas de « consentement libre et éclairé », au sens du RGPD.

Théorie du complot ? Pensez tout simplement au scroll infini sur certains réseaux ou à ce que nous faisons tous régulièrement : cocher la case « accepter » les CGV et la politique de confidentialité (qui apparait en bleu) pour poursuivre la lecture ou accéder à un produit donné. Quels sont les biais cognitifs mis en œuvre ? Réponse page 16 des Cahiers : effet d’ancrage, aversion à la perte, surcharge informationnelle, effet de cadrage, effet d’actualisation hyperbolique et biais d’optimisme. C’est ainsi que selon une étude de Deloitte 91% des consommateurs consentent à l’aveugle (voir l’article https://medium.com/legal-design/is-user-consent-the-biggest-farce-on-the-internet-gdpr-to-the-rescue-27aa218c5e04 )

Le design, levier de pouvoir pour les plateformes : chaque mois, un tiers de l’humanité se connecte à Facebook et 6 milliards d’heures de vidéos sont visionnées sur YouTube et c’est bien le design des interfaces qui façonne l’univers numérique… « à l’image des grandes plateformes », ajoute la CNIL.

Mauvais design, dark patterns et données personnelles : lorsque des techniques de design trompeur sont mises en œuvre intentionnellement (dont un panorama non exhaustif est dressé en pages 27 à 29), il ne s’agit plus seulement d’éthique, mais de pratiques qui « se confrontent aux principes de bases du RGPD ». « Le fait d’user et d’abuser de stratégie de détournement de l’attention ou de dark patterns peut aboutir à rendre le consentement non valide. »

Le design comme réponse. Rien de tout cela n’est une fatalité. Le design pourrait être utilisé et mis en œuvre afin d’informer d’une façon qui permette un consentement plus éclairé des individus. La CNIL cite ainsi les travaux de Ryan Calo (M. R. Calo, Against Notice Skepticism in Privacy (and Elsewhere), 87 Notre Dame L. Rev. 1027 (2013), http://scholarship.law.nd.edu/ndlr/vol87/iss3/3 ), et de Margaret Hagan — directrice du Legal design LAB et advisor au sein de Dot. — sur la « nécessaire convergence entre le juridique et le design » (https://www.ttclabs.net/insight/why-law-needs-design ). C’est bien pour sa capacité à rendre accessible la complexité que le design est utile au droit, en matière de privacy bien sur mais pas seulement (https://www.dot.legal/en/work ).

Appel aux designers pour renforcer la confiance : « c’est là où le travail du designer doit intervenir pour produire, avec le régulateur, les méthodologies qui permettent d’assurer cette plus grande confiance des utilisateurs. »

La CNIL s’interroge alors sur l’entrée du design dans le champ de l’analyse de conformité des régulateurs. Il s’agirait d’un triangle de régulation juridique-technique-design, particulièrement pertinent pour apprécier l’application des principes de transparence, consentement éclairé et l’exercice des droits d’accès, rectification, suppression…

On rappellera que tout traitement de données personnelles doit être licite et loyal, et que l’information relative au traitement doit être « accessible, facile à comprendre et formulée en des termes clairs et simples. » Ce qui n’est pas totalement évident à la lecture de l’immense majorité des chartes de protection des données à ce jour. C’est précisément en quoi les designers peuvent faire la différence : « Le design et le consentement sont liés, soit en positif, dès lors que les pratiques de design visent à améliorer la capacité des individus à faire des choix en conscience, soit en négatif, lorsqu’elles visent à tromper par des pratiques de design abusif ou trompeurs. »

Les designers sont aussi appelés à faciliter l’exercice effectif des droits (accès, rectification suppression…) par des parcours utilisateurs adaptés : l’information doit être simple, pratique et présente partout où elle fait sens dans les interfaces. Au titre du RGPD, la forme est désormais opposable : une notice en petits caractères peut-elle être « aisément accessible » ? Un bouton de refus du consentement dont les teintes et la forme le rendent presque invisible permet-il un « consentement libre et éclairé » ? Telles sont les questions dont les designers doivent désormais se saisir, y compris pour, le cas échéant, avoir un rôle de conseil face à une commande et remettre la dimension critique du design au centre.

C’est pourquoi la CNIL annonce le lancement de la « Design Factory », une communauté de designers formés et engagés dans la protection des libertés individuelles : échanges de bonnes pratiques, formation, mais aussi co-construction, avec le régulateur, d’une approche non-concurrente et open source des pratiques de design vertueuses du point de vue de la protection des données personnelles.

C’est aussi un appel aux écoles de design, pour encourager la recherche universitaire sur les impacts du design abusif ou trompeur, et mieux sensibiliser et former leurs étudiants aux problématiques juridiques.

Plus que jamais, designers et juristes sont invités à collaborer. C’est le cœur de l’activité de Dot., agence de legal design basée à Helsinki et Paris, qui regroupe avocats, anciens directeurs juridiques et designers engagés pour rendre le droit accessible, intelligible et engageant.

Lors de la table ronde, nous avons souligné les fondements du legal design :

- outre le RGPD, le droit de la consommation et la Directive Distribution d’Assurance imposent des standards plus élevés de clarté et d’accessibilité de l’information juridique,

- Les magistrats encouragent la clarté, voire exigent la concision : le Conseil d’Etat a récemment publié un Vade-Mecum sur la rédaction des décisions de justice administrative décourageant l’usage de termes jargonneux ou trop techniques, le Règlement de procédure du TUE pose une limite de 20 pages à certains mémoires, certains magistrats français accordent ouvertement un Article 700 « inversement proportionnel à la longueur des conclusions »…

Il se dessine un droit de la régulation dans plusieurs domaines où le design prend une part décisive dans la conformité.

Marie Potel-Saville

Fondatrice et Présidente de Dot. (Paris), agence de legal design
ENSCI 2019 (Master Innovation by Design)
Ancienne directrice juridique, ancienne avocate.

    Marie Potel-Saville

    Written by

    Founder & CEO, Amurabi: Legal Innovation by Design. Combining 15 years of private practice and GC experience with Innovation by Design Master’s degree at Ensci.

    Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
    Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
    Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade