Le Global Privacy Enforcement (GPEN) publie les résultats de son audit sur le design des sites web et applications mobiles qui influencent les choix des internautes en matière de protection de la vie privée

Fin janvier 2024, le GPEN, réseau d’organismes agissant pour la protection de la vie privée au sein des pays membres de l’OCDE, a audité 1010 sites web et applications afin d’examiner la fréquence et les types de mécanismes de conception trompeuse (dark pattern en anglais) employés.  

Les mécanismes de conceptions trompeuse sont des choix de conception des sites web et des applications mobiles qui influencent, manipulent ou contraint l’utilisateur à faire des choix en matière de protection de leur vie privée qui sont contre leur intérêt.  

Les indicateurs suivants ont été évalués:   

  • Recours à un langage complexe et déroutant: par exemple, publication de politiques de protection de la vie privée techniques ou trop longues qui sont difficiles à comprendre;  
  • Influence de l’interface dans le choix: emploi d’éléments de conception pouvant avoir une influence sur la perception et la compréhension des utilisateurs par rapport à leurs options concernant la protection de la vie privéepar divers moyens:  
  • Une fausse hiérarchie: met l’accent sur certains éléments visuels et en escamote d’autres, dirigeant ainsi les utilisateurs vers des options qui protègent moins la vie privée;  
  • Une présélection: amène à sélectionner par défaut les options les plus intrusives dans la vie privée ;  
  • Une manipulation émotionnelle: utilise un langage émotionnel qui amène les utilisateurs à se tourner vers les options privilégiées par les organisations (exemple  « Acceptez et profitez des offres ! » ou « Quoi ? Vous ne voulez pas économiser ? »).  
  • Harcèlement: les utilisateurs sont invités à plusieurs reprises à prendre des mesures précises qui peuvent aller à l’encontre de leurs intérêts en matière de protection de la vie privée);  
  • Entrave: l’insertion d’étapes supplémentaires qui ne sont pas nécessaires entre les utilisateurs et leurs objectifs de protection de la vie privée  
  • Action forcée: par exemple, forcer les utilisateurs à fournir plus de renseignements personnels qu’il n’est nécessaire pour accéder à un service ou les amener par la ruse à penser qu’il est nécessaire de les fournir  

Les résultats sont les suivants :  

Recours à un langage complexe et déroutant 

La formulation complexe et déroutante des politiques de confidentialité des organisations est présente dans 89 % des cas: 55 % des politiques de confidentialité comptaient plus de 3000 mots, et 65 % des dentre elles ne comprenaient pas de menu ou de table des matières, ce qui rendait plus difficile pour les utilisateurs de trouver des informations précises dans des blocs de texte souvent longs. 

Influence de l’interface 

57% des sites et des applications mettaient en évidence l’option qui protège le moins la vie privée et qui est la plus facile à sélectionner pour l’utilisateur. 

Une fausse hiérarchie 

57 % d’entre eux avaient recours à une fausse hiérarchie pour inciter les utilisateurs à sélectionner les choix protégeant moins la vie privée.  

Une présélection

48 % des sites Web et des applications présélectionnaient les options protégeant moins la vie privée lorsqu’ils demandaient aux utilisateurs de faire des choix en matière de protection de la vie privée.  

Une manipulation émotionnelle 

29 % des sites Web et des applications tentaient de dissuader les utilisateurs de supprimer pas leur compte au moyen d’un langage manipulateur. 

Harcèlement 

35% des sites Web et des applications invitaient à répétition les utilisateurs à reconsidérer leur intention de supprimer leur compte.  

Entrave 

Près de 40% des sites Web et des applications entravent la capacité de faire des choix en matière de protection de la vie privée ou d’accéder à des renseignements en la matière, par exemple pour trouver les paramètres de confidentialité ou pour supprimer leur compte.  

Action forcée 

Parmi les sites et des applications étudié, 9% forçaient les utilisateurs à divulguer plus de données personnelles quils navaient été tenus de le faire pour créer leur compte lorsquils tentaient de le supprimer.  

Les résultats indiquent que de nombreux sites Web et applications ont été conçus pour encourager les utilisateurs à prendre des décisions en matière de protection de la vie privée qui pourraient ne pas être dans leur intérêt. Les conclusions du GPEN encouragent les organisations à recourir à des mécanismes de protection de la vie privée par défaut afin de mettre leurs utilisateurs en position de prendre des décisions éclairées et de gagner leur confiance.