linkea-logo-avocat-franchiselinkea-logo-second
FR
EN
.

Privacy By What ?!

Linkea
Linkea
Avocats, Conseils en réseaux
22/08/2024

Entre le 29 janvier et le 2 février 2024, le Global Privacy Enforcement Network (GPEN) a mené son étude annuelle pour évaluer la prévalence et les types de mécanismes dits de « conception trompeuse » sur les sites web et les applications mobiles.

Plus concrètement, les mécanismes de « conception trompeuse » sont ceux ayant effet d’influencer ou de manipuler les utilisateurs pour qu’ils prennent des décisions contraires à leurs intérêts en matière de vie privée.

Ce qui, rappelons-le, est tout à fait contraire aux deux principes (parfois oubliés) du fameux règlement européen sur la protection des données (le RGPD) : le privacy by design et le privacy by default.

Cette étude a mobilisé pas moins de 26 autorités de protection de la vie privée et 27 autorités de protection des consommateurs, soit au total 53 participants.

Ensemble, ils ont examiné plus de 1000 sites internet et applications afin d’évaluer comment les utilisateurs peuvent:

  • faire des choix en matière de confidentialité,
  • accéder aux informations concernant la protection de leur vie privée,
  • déconnecter ou supprimer leurs comptes.

Les résultats montrent – oh, surprise – que la majorité des sites web et applications utilisent des « conceptions trompeuses » pour inciter les utilisateurs à partager plus d’informations personnelles qu’ils ne le souhaitent ou à prendre des décisions non optimales pour leur vie privée.

Le GPEN appelle à une vigilance accrue et à des mesures pour rendre les choix de confidentialité plus transparents et accessibles.

En pratique, les trois comportements les plus souvent relevés sont les suivants :

  • Un langage complexe et déroutant : 89% des politiques de confidentialité étaient trop longues ou utilisaient des termes techniques, rendant difficile leur compréhension.

Ainsi, il est notamment relevé que :

  • 55% des politiques de confidentialité comptaient plus de 3000 mots ;
  • 65% des politiques de confidentialité ne comprenaient pas de sommaire ou table des matières ;
  • Pire encore : 76 % des politiques de confidentialité étudiées exigeaient une capacité de lecture d’étudiant de premier cycle ou supérieure, et 20 % requéraient une capacité de lecture d’étudiant de cycle supérieur, au minimum.
  • L’interférence d’interface (définie dans l’étude du GPEN comme étant « l’utilisation d’éléments de conception et de méthodes de présentation qui modifient la perception et la compréhension des options de protection de la vie privée par les utilisateurs») : dans 43% des cas, la présentation de l’information relative aux options de protection de la vie privée influence les utilisateurs à choisir des options moins protectrices de la vie privée.

Il y a par exemple interférence d’interface lorsque la présentation met en avant un choix plutôt qu’un autre par l’utilisation notamment de couleurs vives (c’est le fameux bandeau d’acceptation des cookies mettant en avant l’option « J’accepte tous les cookies »), ou lorsqu’une présélection est faite ou encore lorsqu’il y a une manipulation émotionnelle des utilisateurs (« Quoi ? Vous nous quittez déjà ?! ») .

  • L’obstruction : Dans 39% des cas, les utilisateurs rencontrent des obstacles pour atteindre leurs objectifs de confidentialité. Par exemple, la suppression de compte est souvent plus complexe que sa création.
  • Côté français, notre autorité de contrôle nationale (la CNIL) a analysé les pratiques de pas moins de 18 sites internet dans leur version mobile.

Sur ces 18 sites : 6 sites ont une activité de vente en ligne, 6 sont éditeurs de presse et 6 sont des médias audiovisuels.

Cette analyse a permis à la CNIL de relever ce qui suit [1]:

« Les politiques de confidentialité : sur 72 % des sites étudiés, la politique de confidentialité est accessible en deux clics ou moins depuis la page d’accueil. Si, comme à l’international, 88 % des politiques de confidentialité étudiées sont longues (plus de 3 000 mots), 70 % d’entre elles disposent d’un menu ou d’une table des matières facilitant la navigation.

Influence de l’interface : sur la moitié des sites étudiés, il est plus facile de sélectionner le paramétrage qui protège le moins la vie privée. Dans la plupart des cas c’est parce que l’option qui protège le moins la vie privée est la plus évidente (45 % des sites visités en France contre 56% au niveau international).

Parcours de déconnexion : sur plus de 75 % des sites permettant de se créer un compte, il est possible de se déconnecter en un seul clic et, dans 95 % des cas, il est possible de se déconnecter en deux clics ou moins.

Parcours de désinscription : il est parfois beaucoup plus complexe de supprimer son compte. Dans 29 % des cas, il faut au moins 4 clics pour supprimer son compte et dans 17 % des cas, [il n’a pas été] trouvé d’option de suppression de compte depuis le site web mobile. »

Ce rapport du Global Privacy Enforcement Network (GPEN), en plus de dresser un constat insatisfaisant de la manière dont les plateformes traitent la protection de la vie privée de leurs utilisateurs laisse poindre les sujets sur lesquels la CNIL devrait s’avérer être particulièrement vigilante lors de ses prochains contrôles en ligne.  

[1] Extrait de la synthese de la CNIL disponible ici : https://cnil.fr/fr/design-trompeur-les-resultats-de-laudit-du-global-privacy-enforcement-network

 

Linkea
Linkea
Avocats, Conseils en réseaux
22/08/2024