- Les lignes directrices de l’EDSA version 2.0 définissent les modèles de design trompeurs dans les interfaces de médias sociaux et donnent des conseils concrets de conception et de contrôle conformes au RGPD.
- Des catégories comme Overloading, Skipping, Stirring, Obstructing, Fickle et Left in the dark décrivent des pratiques trompeuses qui sapent l’autonomie et les attentes des utilisateurs.
- des exigences strictes en matière de consentement, de déclarations de confidentialité et de notification des violations de la sécurité ; une révocation facile et des informations claires et accessibles sont requises
Le Comité européen de la protection des données (CEPD) a adopté – dès le 14 février 2023 – la version 2.0 de 74 pages des lignes directrices sur les mesures trompeuses dans les médias sociaux (Lignes directrices 03/2022 sur les modèles de conception déceptifs dans les interfaces des plateformes de médias sociaux : comment les reconnaître et les éviter) a été publiée. La version précédente 1.0 avait été mise en consultation publique le 14 mars 2022.
Les lignes directrices sont basées sur le RGPD et présentent de manière très détaillée une série de pratiques qui, du point de vue de l’EDSA ou de ses membres, sont trompeuses, sous la forme d’un guide pour la conception conforme à la protection des données ou d’une liste de contrôle pour l’examen et, dans chaque cas, avec des conseils de conception. L’annexe 2 contient d’autres recommandations de “bonnes pratiques” destinées à faciliter le respect du RGPD.
Dans l’ensemble, les recommandations de l’EDSA peuvent être résumées comme suit : l’exploitant d’un site de médias sociaux doit se comporter de manière décente et se mettre à la place de l’utilisateur, ce dernier du point de vue d’un utilisateur ayant une faible durée d’attention et n’ayant pas d’attitude critique. Il est contraire à cette règle non seulement de prendre l’utilisateur pour un idiot ou de le harceler, mais aussi de ne pas pouvoir supprimer un compte, mais seulement le désactiver, une pratique courante mais gênante. Ce qui serait inadmissible, par exemple :
Exemple 56 : Dans le processus de suppression de leur compte, les utilisateurs se voient proposer deux options à choisir : Supprimer leur compte ou le mettre en pause. Par défaut, l’option de mise en pause est sélectionnée.
Catégories de pratiques inacceptables
Les catégories suivantes concernent le contenu (par exemple les formulations) ou la conception des pages de médias sociaux (interface utilisateur) sont discutées dans le guide :
„Surcharge„ :
La surcharge signifie que les utilisateurs sont confrontés à une avalanche/grande quantité de demandes, d’informations, d’options ou de possibilités afin de les inciter à partager davantage de données ou de permettre involontairement un traitement des données personnelles contraire aux attentes du sujet des données. Les trois types de modèles de conception déceptifs suivants entrent dans cette catégorie : Continuous prompting, Privacy Maze et Too Many Options.
Exemple : un utilisateur est invité à saisir son numéro de téléphone à chaque connexion.
„Sauter„ :
Skipping means concevoir l’interface ou le parcours utilisateur de telle sorte que les utilisateurs oublient ou ne pensent pas à tous les aspects de la protection des données ou à certains d’entre eux. Les deux types de modèles de conception déceptifs suivants relèvent de cette catégorie : Deceptive Snugness et Look over there
Selon l’EDSA, un exemple serait de donner à l’utilisateur des possibilités de choix, mais d’en mettre une – celle qui n’est pas économe en données – en évidence, par exemple par une présentation graphique correspondante (griser les autres options). Cela va à l’encontre du principe de “privacy by default” :
L’exemple 9 illustre un modèle d’insouciance déceptive, car ce n’est pas l’option offrant le niveau de protection des données le plus élevé qui est sélectionnée, et donc activée, par défaut. En outre, l’effet par défaut de ce modèle incite les utilisateurs à conserver la présélection, c’est-à-dire à ne pas prendre le temps de considérer les autres options à ce stade ni de revenir en arrière pour modifier le réglage à un stade ultérieur.
Pour le droit suisse, une telle conception ne viole certainement pas le principe de Privacy by Default, car un choix est certes proposé à l’utilisateur, mais celui-ci le confirme. Ce n’est que si la confirmation est perçue comme quasi nulle, c’est-à-dire si la tromperie va aussi loin, que l’on pourrait parler d’une violation.
„Stirring„ :
Stirring affecte le choix que les utilisateurs feraient par en faisant appel à leurs émotions ou en utilisant des nudges visuels. Les deux types de modèles de conception trompeurs suivants appartiennent à cette catégorie : Emotional Steering et Hidden in plain sight.
Selon l’EDSA, un exemple serait de demander aux utilisateurs de fournir plus de données que celles requises :
“Tell us about your amazing self ! Nous ne pouvons pas attendre, alors viens tout de suite et fais-nous savoir” !
„Obstruction„ :
Moyens d’obstruction entraver ou bloquer les utilisateurs dans leur processus d’être informés ou de gérer leurs données en rendant l’action difficile ou impossible à réaliser. Les trois types de schémas de conception trompeurs suivants entrent dans cette catégorie : Dead end, Longer than necessary and Misleading action
„Baise„ :
Fickle signifie que la conception de l’interface est incohérent et pas clairCela rend difficile pour l’utilisateur de naviguer entre les différents outils de contrôle de la protection des données et de comprendre l’objectif du traitement. Les quatre types de modèles de conception déceptifs suivants relèvent de cette catégorie : manque de hiérarchie, décontextualisation, interface incohérente et discontinuité linguistique.
„Left in the dark„ :
Gauche dans l’obscurité signifie qu’une interface est conçue de manière à ce que cacher des informations ou des outils de contrôle de la protection des données ou de laisser les utilisateurs dans l’incertitude quant à la manière dont leurs données sont traitées et au type de contrôle qu’ils peuvent avoir sur celles-ci en ce qui concerne l’exercice de leurs droits. Les deux types de schémas de conception déceptifs suivants relèvent de cette catégorie : informations conflictuelles et ambiguïté des termes ou des informations.
A cet effet, un résumé et l’aperçu suivant figurent en annexe :
Ces pratiques peuvent être contraires à l’article 5 du RGPD (principes de traitement) et, dans le cas des consentements, à l’article 4, point 11, et à l’article 7 du RGPD. Plus précisément, elles peuvent porter atteinte aux préoccupations suivantes, que l’AESD attribue au RGPD :
- Autonomie – Les personnes concernées devraient bénéficier du degré d’autonomie le plus élevé possible pour déterminer l’utilisation qui sera faite de leurs données à caractère personnel, ainsi que de l’autonomie concernant l’étendue et les conditions de cette utilisation ou de ce traitement.
- Interaction – Les personnes concernées doivent être en mesure de communiquer et d’exercer leurs droits en ce qui concerne les données personnelles traitées par le contrôleur.
- Expectation – Le traitement doit correspondre aux attentes raisonnables des sujets de données.
- Choix du consommateur – Les contrôleurs ne doivent pas “verrouiller” leurs utilisateurs de manière inéquitable. Chaque fois qu’un service traitant des données personnelles est propriétaire, il peut créer un verrouillage du service, qui peut ne pas être équitable s’il compromet la possibilité pour les personnes concernées d’exercer leur droit à la portabilité des données conformément à l’article 20 du GDPR.
- Balance de puissance – L’équilibre des pouvoirs devrait être un objectif clé de la relation contrôleur-sujet de données. o Les déséquilibres devraient être évités. Lorsque cela n’est pas possible, ils doivent être reconnus et pris en compte ou faire l’objet de contre-mesures appropriées.
- Pas de tromperie – Les informations et les options de traitement des données doivent être fournies de manière objective et neutre, en évitant tout langage ou toute conception déceptive ou manipulatrice.
- Truthful – les contrôleurs doivent mettre à disposition des informations sur la manière dont ils traitent les données à caractère personnel.
données, devraient agir comme ils le déclarent et ne pas léser les sujets de données.
L’AESD discute de ces pratiques dans la section 3 des lignes directrices, chacune avec une description, une analyse des dispositions applicables du RGPD et des exemples.
Révocation du consentement
L’AESP souligne notamment que, lors de la conception de déclarations de consentement, il convient de tenir compte du support sur lequel le consentement est demandé, c’est-à-dire que l’objet du consentement et les informations nécessaires doivent être clairement identifiables, même sur un téléphone portable. Par ailleurs, l’AESP suit à bien des égards sa pratique stricte bien connue, par exemple en ce qui concerne la révocabilité des consentements :
Par exemple, le consentement ne peut être considéré comme valable au titre du RGPD s’il est obtenu par un seul clic de souris, un seul balayage ou une seule frappe de clé, mais le retrait nécessite davantage d’étapes, est plus difficile à obtenir ou prend plus de temps.
Et
Exemple 33 : Un fournisseur de médias sociaux ne propose pas d’opt-out direct du traitement d’une publicité ciblée, même si le consentement (opt-in) ne nécessite qu’un seul clic.
Les lignes directrices contiennent diverses autres références aux consentements et à leur documentation.
Exigences relatives aux déclarations de confidentialité
Aussi Exigences relatives aux déclarations de confidentialité sont abordés, par exemple avec la déclaration suivante, qui est sans aucun doute correcte :
Toutefois, plus d’informations ne signifie pas nécessairement de meilleures informations. Trop d’informations non pertinentes ou confuses peuvent obscurcir des points de contenu importants ou réduire la probabilité de les trouver. Par conséquent, le juste équilibre entre le contenu et la présentation compréhensible est crucial dans ce domaine. Si cet équilibre n’est pas respecté, des schémas de conception déceptifs peuvent apparaître.
C’est toutefois plus facile à dire qu’à faire, car les déclarations de protection des données ne sont pas rédigées pour la grande masse des utilisateurs, mais pour les quelques exceptions qui les examinent minutieusement à la recherche de lacunes en cas de litige. Si l’on veut s’en assurer, les déclarations de confidentialité sont souvent rédigées de manière très détaillée, ce qui risque de les alourdir. Dans le cas de déclarations de protection des données volumineuses, une bonne présentation graphique, par exemple avec des textes à déplier comme par exemple iciou une distinction claire entre les affirmations fondamentales et les exemples, ou une bonne structuration (ce que l’EDSA souligne également), etc. De même, la Icônes de confidentialité peuvent y contribuer.
Vers les Exigences linguistiques pour les déclarations de confidentialité dit l’EDSA,
Les utilisateurs seront confrontés à ce modèle de conception déceptif [“discontinuité linguistique”] lorsque les informations relatives à la protection des données ne sont pas fournies dans les les langues officielles du pays dans lequel ils vivent, alors que le service est fourni dans cette langue
On peut comprendre cela comme suit : les informations sur la protection des données doivent être présentées dans la langue dans laquelle l’offre peut être utilisée. Mais ce qui suit est également inadmissible :
Chaque fois que les utilisateurs accèdent à certaines pages, comme la page d’aide, celles-ci basculent automatiquement dans la langue du pays dans lequel ils se trouvent, même s’ils ont précédemment sélectionné une autre langue.
Si un service peut être utilisé sur un site web et une application, les informations requises doivent en principe être de les mettre à disposition directement dans l’application:
Il est important de noter que des effets encore plus importants que ceux causés par un trop grand nombre de couches peuvent se produire lorsque non seulement plusieurs appareils, mais aussi plusieurs applications fournies par la même plateforme de médias sociaux, telles que des applications de messagerie spéciales, sont utilisés. Les utilisateurs qui utilisent ce type d’application secondaire seraient confrontés à de plus grands obstacles et efforts s’ils devaient appeler la version du navigateur ou l’application principale pour obtenir des informations relatives à la protection des données. Dans une telle situation, qui n’est pas seulement inter-appareils mais inter-applications, le les informations pertinentes doivent toujours être directement accessibles, quelle que soit la manière dont les utilisateurs utilisent la plateforme.
L’EDSA reste également stricte et réitère l’opinion selon laquelle les déclarations de protection des données ne doivent pas être utilisées à des fins commerciales. Formulations comme “we might use your data for…” ou “our services” sont trop génériques. Les exigences concernant le contenu des informations restent également élevées :
Exemple 46 : La plateforme de médias sociaux ne mentionne pas explicitement que les utilisateurs de l’UE ont le droit de déposer une plainte auprès d’une autorité de contrôle, mais se contente de mentionner que dans certains pays – sans préciser lesquels – il existe des autorités de protection des données avec lesquelles le fournisseur de médias sociaux coopère en matière de plaintes.
Pour les Mentions relatives aux droits des personnes concernées l’EDSA va encore plus loin :
Exemple 49 : Le paragraphe sous le sous-titre “droit d’accès” dans la politique de confidentialité explique que les utilisateurs ont le droit d’obtenir des informations conformément à l’article 15, paragraphe 1, du RGPD. Toutefois, il ne mentionne que la possibilité pour les utilisateurs de recevoir une copie de leurs données personnelles. Il n’y a pas de lien direct visible pour exercer le volet “copie” du droit d’accès prévu à l’article 15, paragraphe 3, du GDPR. En revanche, les trois premiers mots de “Vous pouvez obtenir une copie de vos données personnelles” sont légèrement soulignés. En survolant ces mots avec la souris de l’utilisateur, une petite boîte s’affiche avec un lien vers les paramètres.
Il s’agirait d’un cas de “hidden in plain sight”. Une telle conception devrait sans doute plutôt être citée parmi les meilleures pratiques.
Notification des violations de la sécurité
L’EDSA aborde également ce sujet. Il y a violation de la sécurité, par exemple, lorsqu’une application peut accéder à davantage de données à la suite d’une erreur de programmation. Les violations de la sécurité doivent également être communiquées aux personnes concernées en cas de risques élevés, et il convient ici aussi d’éviter les formes trompeuses, par exemple en associant les informations sur la nature et l’étendue des violations à des “informations non spécifiques et non pertinentes et les implications et mesures de précaution que le contrôleur a prises ou suggère de prendre” : “Ces informations en partie non pertinentes peuvent être trompeuses et les utilisateurs concernés par la violation pourraient ne pas comprendre pleinement les implications de la violation ou sous-estimer les effets (potentiels)”.
Les éléments suivants sont également inadmissibles :
Exemple 20 : Le contrôleur se réfère uniquement aux actions d’une tierce partie, au fait que la violation de données a été causée par une tierce partie (par exemple, un processeur) et qu’il n’y a donc pas eu de violation de la sécurité. Le contrôleur met également en évidence certaines bonnes pratiques qui n’ont rien à voir avec la violation réelle.
Le contrôleur déclare la gravité de la violation de données par rapport à lui-même ou à un processeur, plutôt que par rapport au sujet des données.
Ou bien
Exemple 21 : Suite à une violation de données sur une plateforme de médias sociaux, plusieurs séries de données relatives à la santé ont été accidentellement accessibles à des utilisateurs non autorisés. Le fournisseur de médias sociaux informe uniquement les utilisateurs que des “catégories spéciales de données personnelles” ont été rendues publiques par accident.
Ou bien
Exemple 22 : Le contrôleur ne fournit que des détails vagues lors de l’identification des catégories de données à caractère personnel concernées, par exemple le contrôleur se réfère à des documents soumis par des utilisateurs sans préciser les catégories de données à caractère personnel que ces documents contiennent et le degré de sensibilité de ces données.
Ou bien
Exemple 23 : Lors de la déclaration de la violation, le contrôleur ne précise pas suffisamment la catégorie des sujets de données concernés, par exemple, le contrôleur indique uniquement que les sujets de données concernés sont des étudiants, mais le contrôleur ne précise pas si les sujets de données sont des mineurs ou des groupes de sujets de données vulnérables.
Ou bien
Exemple 24 : Un contrôleur déclare que des données à caractère personnel ont été rendues publiques par le biais d’autres sources lorsqu’il notifie la violation à l’autorité de contrôle et au sujet des données. Par conséquent, le sujet des données considère qu’il n’y a pas eu de violation de la sécurité.