24 fév
2023

“Deceptive design patterns” : comment les reconnaitre et les éviter sur les réseaux sociaux

L’EDPB (Comité européen de la protection des données) a publié aujourd'hui la version finale de ses lignes directrices 03/2022 portant sur les « deceptive design patterns » présents sur les réseaux sociaux. Le document énumère une série d’exemples concrets de ces interfaces trompeuses, et fournit également une liste de bonnes pratiques à mettre en place. Il s’adresse à la fois aux développeurs de réseaux sociaux et à leurs utilisateurs en leur permettant de mieux comprendre, reconnaitre et éviter ces « deceptive design patterns ».

Les « deceptive design patterns » recouvrent des pratiques conçues afin d’influencer le comportement des personnes concernées. Il peut s’agir d’interfaces, de trajets utilisateurs ou d’éléments visuels ou de langage mis en place pour tenter de pousser l’utilisateur à prendre des décisions involontaires, inconscientes ou éventuellement préjudiciables en matière de protection des données. Ces pratiques vont à l’encontre de différents principes du RGPD, comme par exemple le principe de transparence, de loyauté du traitement, ou encore de minimisation des données.

L’EDPB a subdivisé en 6 catégories les interfaces utilisateurs trompeuses analysées dans le document :

  • Overloading. Ce type de pratiques confronte l’utilisateur à une surcharge d’informations ou de requêtes afin de l’inciter à partager davantage de données personnelles.
  • Skipping. Les parcours utilisateurs et/ou les interfaces sont conçus afin de détourner l’attention de l’utilisateur des questions liées à la protection des données.  
  • Stirring. Le Stirring consiste à tenter d’affecter le choix des utilisateurs en faisant appel à leurs émotions ou en utilisant des stimuli visuels.
  • Obstructing. Ces pratiques ont pour but d’entraver les utilisateurs dans leur processus d’information ou de gestion de leurs données personnelles en le rendant difficile voire presque impossible.
  • Fickle. L’interface est conçue de manière incohérente et peu claire, ce qui rend la navigation dans les différents outils de contrôle des données difficile, ou ne permet pas de comprendre aisément des finalités du traitement.
  • Left in the dark. Ces interfaces trompeuses sont conçues de manière à cacher des informations ou des outils de contrôle de données disponibles, ou encore à laisser les utilisateurs dans l'incertitude quant à la manière dont leurs données sont traitées et aux types de droits dont ils disposent pour les gérer et les protéger au mieux.

L’annexe I des lignes directrices reprend la liste complète de toutes les pratiques trompeuses étudiées par l’EDPB dans ce document. L’annexe II reprend quant à elle une série de bonnes pratiques à mettre en place pour faciliter le parcours de l’utilisateur.  

Les lignes directrices 03/2022 de l’EDPB se penchent uniquement sur l’utilisation de ces « patterns » dans le cadre des réseaux sociaux, mais leurs enseignements peuvent également fournir des clés de compréhension dans des contextes où le même genre de pratiques sont mises en œuvre.

Ainsi l’APD avait par exemple en 2021 (Décision 19/2021) déjà pointé du doigt des types de deceptive patterns, non pas sur un réseau social, mais dans la manière dont un opérateur télécom organisait l’accès au droit de s’opposer à des communications commerciales. L’architecture de l’information sur le site internet de l’opérateur ressemblait à un dédale vu la surabondance d’informations et les répétitions proposées (cf. pratique du « privacy maze », sous-catégorie de l’« Overloading »). L’opérateur permettait de surcroit à l’utilisateur de choisir parmi 4 régimes de confidentialité différents, classés du plus protecteur au moins protecteur. Or chacun des 4 régimes comprenait de la communication commerciale, détournant ainsi l’attention du fait qu’il existe en réalité une cinquième option (générée par l’exercice du droit d’opposition au marketing direct) qui ne prévoirait aucun traitement à des fins de publicité commerciale, et qui de facto était la plus protectrice de toutes. Il s’agissait là d’une pratique qui semble s’apparenter aux catégories « Skipping» et «Left in the dark ».

L’APD tient à rappeler que les lignes directrices 03/2022 comportent une liste non exhaustive d’interfaces trompeuses. Il ne peut donc pas être déduit que toute pratique non listée dans le document serait automatiquement conforme au RGPD.

Lisez le document complet sur le site de l’EDPB.

Liens intéressants