Le 10 juillet 2024, un audit mené par 26 autorités internationales de protection des données, dont la CNIL, a révélé que de nombreux sites web et applications mobiles utilisent des mécanismes trompeurs, aussi appelés dark patterns, pour influencer les choix des utilisateurs en matière de protection de la vie privée. Cet audit, réalisé dans le cadre du Global Privacy Enforcement Network (GPEN), a examiné 1 010 sites et applications, mettant en lumière des pratiques qui entravent les décisions éclairées des internautes.

Contexte : Le GPEN Sweep 2024

Le GPEN Sweep est une initiative annuelle, organisée par le Global Privacy Enforcement Network pour sensibiliser à la protection des données et renforcer la coopération entre les autorités de régulation. En 2024, l’audit a été réalisé du 29 janvier au 2 février, en collaboration avec l’International Consumer Protection and Enforcement Network (ICPEN), démontrant l’importance croissante des intersections entre la protection des données et les droits des consommateurs.

Objectif de l’audit

Le but de cet audit était d’évaluer si les utilisateurs de sites web et d’applications mobiles pouvaient facilement faire des choix en matière de protection des données, accéder aux informations relatives à la vie privée, se déconnecter ou supprimer leur compte. Les résultats ont mis en évidence l’utilisation généralisée de mécanismes trompeurs qui manipulent les utilisateurs pour qu’ils divulguent plus de données personnelles qu’ils ne le souhaiteraient.

Résultats principaux

Les autorités de protection des données ont évalué les sites et applications selon cinq indicateurs définis par l’Organisation de coopération et de développement économiques (OCDE), permettant d’identifier les caractéristiques des mécanismes de conception trompeuse.

1. Langage complexe et déroutant

89 % des politiques de confidentialité étudiées étaient longues et rédigées dans un langage complexe, souvent de niveau universitaire, rendant difficile la compréhension pour l’utilisateur moyen.

2. Influence de l’interface

Sur 56 % des sites, l’option qui protège le moins la vie privée était la plus mise en avant, incitant les utilisateurs à choisir cette option.

3. Répétition

35 % des sites et applications analysés encourageaient à répétition les utilisateurs à reconsidérer leur décision de supprimer leur compte, créant un environnement oppressant pour pousser les utilisateurs à conserver leur profil.

4. Entrave

Dans 40 % des cas, des obstacles rendaient difficile l’accès aux paramètres de confidentialité ou la suppression d’un compte. Les utilisateurs devaient parcourir des étapes multiples pour exercer leurs droits en matière de protection des données.

5. Action forcée

9 % des sites analysés forçaient les utilisateurs à divulguer plus de données personnelles lorsqu’ils tentaient de supprimer leur compte que lorsqu’ils l’avaient initialement créé.

Focus sur l’analyse de la CNIL

La CNIL a évalué 18 sites web mobiles répartis en trois catégories : vente en ligne, éditeurs de presse, et médias audiovisuels. L’étude a révélé certaines spécificités par rapport aux tendances internationales.

• Politiques de confidentialité : 72 % des sites permettaient d’accéder à la politique de confidentialité en deux clics ou moins. Toutefois, 88 % de ces politiques étaient longues, mais 70 % comportaient un menu ou une table des matières pour faciliter la navigation.
• Influence de l’interface : Sur 45 % des sites français, l’option la moins protectrice en matière de vie privée était la plus visible, contre 56 % au niveau international.
• Parcours de déconnexion : Sur 75 % des sites analysés, la déconnexion était possible en un clic, et sur 95 %, en deux clics ou moins.
• Parcours de désinscription : La suppression du compte était plus complexe, avec 29 % des sites nécessitant au moins quatre clics pour finaliser l’opération. Dans 17 % des cas, aucune option de suppression n’était disponible depuis la version mobile.

Prochaines étapes

Bien que cet audit ne constitue pas une enquête formelle, il souligne les préoccupations liées à la protection des données personnelles. Les résultats serviront de base pour la sensibilisation des entreprises et pour orienter les actions de contrôle des autorités dans les cas les moins conformes.

Le GPEN encourage les sites et applications à concevoir leurs interfaces de manière à faciliter les choix en matière de protection de la vie privée, en mettant en avant les options qui protègent le mieux les utilisateurs. Cela inclut l’utilisation de langages neutres, la réduction du nombre de clics pour accéder aux paramètres de confidentialité et aux options de suppression, ainsi que la présentation équitable des différentes options.

Conclusion

Cet audit met en lumière les défis auxquels sont confrontés les utilisateurs face à des interfaces trompeuses, qui les incitent à partager plus de données qu’ils ne le souhaitent. Il appelle à un renforcement des bonnes pratiques pour garantir que les utilisateurs puissent prendre des décisions éclairées et en toute confiance. En offrant une meilleure protection de la vie privée, les entreprises peuvent non seulement se conformer aux exigences légales, mais aussi créer un avantage concurrentiel en renforçant la confiance des utilisateurs.

À propos du GPEN

Créé en 2010, le Global Privacy Enforcement Network (GPEN) vise à renforcer la coopération internationale entre les autorités de régulation de la protection de la vie privée dans un environnement globalisé. Le GPEN Sweep est une initiative annuelle destinée à sensibiliser les organismes aux droits en matière de protection de la vie privée et à inciter au respect des lois dans ce domaine.