Comment l’utilisateur d’un service peut-il valablement consentir sans être en mesure de comprendre ce à quoi il consent ?
Nous y sommes, ça y est ! Les derniers sceptiques (il paraît qu’ils sont encore nombreux !), ceux qui pouvaient jusqu’alors affirmer que les sanctions dans le cadre du bilan RGPD ne resteront que “théoriques”, seront à court d’arguments. (Quoique… Ils pourront toujours arguer qu’il s’agit ici de Google, et que les collecteurs de données massives que sont les GAFA sont les uniques cibles de la CNIL et de ses homologues européens.) … Tout cela est bien sûr sans fondement, et oui… Nous entrons bel et bien dans une nouvelle ère, et c’est tant mieux !
La première vraie sanction post RGPD est donc tombée. 50 millions d’euros à l’encontre de la société GOOGLE LLC, sanction prononcée par la formation restreinte de la CNIL pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.
Les enseignements à tirer de cette délibération sont nombreux, mais il est intéressant de s’attarder sur les questions de transparence et d’information au sens du RGPD. Comment en effet recueillir valablement le consentement des utilisateurs d’un service, si l’information qui leur est transmise, et sur laquelle repose la prise de décision de l’individu, ne remplit pas des critères bien définis ?
La question est de taille et plus complexe qu’il n’y paraît. L’article 12 du Règlement nous indique que l’information doit être fournie par le responsable de traitement “d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples”. Car oui, le problème est bien là : en jetant un œil sur les “Privacy policy” et autres chartes relatives à la protection des données que l’on trouve sur les sites et autres applications web & mobile, on comprend vite la philosophie qui a dicté cet “effort” de mise en conformité. “Vous voulez de l’information ? Eh bien en voici, on vous livre tout, débrouillez-vous avec tout ça ! Sinon, vous pouvez toujours cocher la case “j’accepte”, c’est toujours plus simple !”… Et là, après un scroll interminable, les plus courageux finiront par trouver la fameuse charte, cachée tout en bas dans le “footer”, dont le lien est en caractères minuscules, et dont le contenu — l’équivalent de 20 pages au format word — a un effet quasi répulsif.
Cela transparaît clairement dans la délibération de la CNIL dans cette “affaire Google” : l’autorité française de protection des données reproche notamment à Google que les informations relatives à l’exploitation des données personnelles soient “excessivement disséminées dans plusieurs documents (…) accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions”.
Il devient donc évident qu’au-delà du contenu de l’information transmise — qui doit être clair et compréhensible — la FORME et la PRESENTATION de l’information deviennent des critères fondamentaux.
En réalité, ce n’est pas qu’une question de mauvaise volonté. Cette problématique est profonde et doit pousser tout rédacteur de ce type de documents à repenser en profondeur sa pratique rédactionnelle. Le juriste doit se questionner et se mettre à la place du destinataire de l’information. Mieux encore, il doit être en mesure d’intégrer une nouvelle approche, qui relève du design ! Cela peut être surprenant à première vue. Quoi de commun entre le travail de rédaction d’un juriste et le travail réalisé par les designers ? Et pourtant… Il existe de véritables interactions.
Dans le monde numérique, le design influe déjà sur nos pratiques dans le cadre de notre utilisation des services, plateformes et réseaux. Les géants du numérique l’ont bien compris, et à chaque utilisation, chaque connexion à ces services, nous faisons des choix, sans en avoir conscience. Le choix d’utiliser telle fonctionnalité plutôt qu’une autre, le choix de cliquer sur tel bouton et d’ignorer tel autre, d’ajouter un service complémentaire, de cliquer ou non sur une bannière publicitaire… Cette multitude de choix est dictée par le design, souvent dans son aspect “non éthique”, destiné à obtenir l’action recherchée par l’utilisateur, quitte à employer des procédés trompeurs. On parle alors de “Dark patterns” et la corrélation entre ces pratiques et la problématique du consentement au sens du RGPD est forte.
La CNIL évoque ainsi les “stratégies de détournement de l’attention”, de “culpabilisation de l’individu”, le fait de “rendre fastidieux le réglage des paramètres de confidentialité”, “l’incitation répétitive”… Bref, des outils manipulateurs d’émotions et autant de pratiques qui sont au cœur d’un consentement biaisé. En observant d’ailleurs nombre d’interfaces dites “CMP” (Consent Management Platform), destinées à la collecte et enregistrement du consentement des utilisateurs, on comprend bien que le design choisi n’est pas anodin : un bouton “j’accepte” énorme et en rouge vif, tandis que le minuscule bouton “Refuser” — quand il existe — est d’un discret bleu pastel qui se fond dans le décor. Le régulateur n’est pas dupe, la CNIL entend désormais faire rentrer le design dans le “triangle de la conformité”, en venant s’ajouter aux prismes juridiques et techniques. Ainsi, le design sera un des critères fondamentaux d’évaluation de la conformité au RGPD. Tel est le message présenté dès les propos introductifs par Madame Isabelle Falque-Pierrotin, Présidente de la CNIL, le 17 janvier dernier à l’école de l’Image des Gobelins pour la présentation du 6ème cahier IP de la CNIL “La forme des choix”.
Les enjeux sont cruciaux, il s’agit de tenter de préserver ce qui nous reste encore de libre arbitre.
Mais le design peut, et doit aussi jouer un rôle positif dans la transmission de l’information relative aux traitements de données personnelles et au recueil d’un consentement libre et éclairé. Au Dark pattern (ou Dark UX) doit succéder un design éthique, un véritable design de la transparence. Il s’agit alors de faire en sorte de définir un véritable parcours utilisateur de la protection des données. Utiliser ce vecteur fort qu’est le design pour capter l’attention de l’utilisateur afin de lui donner envie de s’intéresser au sort réservé à ses données, lui donner envie — non pas de consentir aveuglément — mais de manifester son envie de consentir ou de NE PAS consentir, en toute liberté. Ainsi, le design appliqué à la protection des données, c’est aussi une manière de faire passer l’individu “objet” du numérique, en un individu “sujet”, enfin en capacité d’opérer ses propres choix de manière éclairée.
Le legal design, qui permet de “conjuguer l’expertise juridique avec des techniques de design et un petit peu de technologie, pour rendre le droit accessible, intelligible et engageant[1]”, s’inscrit naturellement dans ces objectifs de recherche de clarté, de simplification et de transparence.
Ainsi, UX Designers, Juristes et Experts techniques en matière de protection des données devront fusionner leurs expertises afin de définir un véritable “design de la privacy[2]” et collaborer étroitement.
Si vous souhaitez approfondir le sujet, je vous invite à consulter les articles suivants que j’ai corédigé sur le legal design :
[1]MariePotelSavil CEO et Founder @DotLegalDesign
[2]V. Cahiers IP, Innovation & prospective, n°6, La forme des choix, p. 10
Nous publions régulièrement des articles sur des sujets de développement produit web et mobile, data et analytics, sécurité, cloud, hyperautomatisation et digital workplace.
Suivez-nous pour être notifié des prochains articles et réaliser votre veille professionnelle.
Retrouvez aussi nos publications et notre actualité via notre newsletter, ainsi que nos différents réseaux sociaux : LinkedIn, Twitter, Youtube, Twitch et Instagram
Vous souhaitez en savoir plus ? Consultez notre site web et nos offres d’emploi.
L’auteur
Juriste IP/IT, Data privacy
Titulaire du CAPA — M2 Propriété intellectuelle et droit des affaires numériques, Paris Saclay
