Partout dans le monde, la quasi-totalité des sites web sont présentés d’une façon malhonnête, qui entrave les droits des usagers. C’est la conclusion du rapport sur les « dark patterns » (« interfaces trompeuses ») publié le 9 juillet par le Global Privacy Enforcement Network (GPEN), un réseau d’agences nationales de protection des données regroupant des dizaines d’agences – en France, la CNIL a d’ailleurs participé à cette étude.
Un millier de sites Internet et d’applications ont été étudiés sur tous les continents : 97 % présentaient au moins un mécanisme de conception trompeur. A commencer par leur page de politique de confidentialité, problématique dans 89 % des cas, puisque trop longues (plus de 3 000 mots) ou contenant des « termes techniques et déroutants », nécessitant la capacité de lecture d’un étudiant en université trois fois sur quatre.
A la première connexion, la plupart des sites et des applications offraient aux utilisateurs un choix relatif au suivi de leur vie privée, mais 70 % d’entre eux compliquaient la sélection de l’option la plus protectrice, et 46 % imposaient plusieurs clics pour la confirmer.
Certains offraient la possibilité de créer un compte, mais, dans 16 % des cas, le bouton de déconnexion était introuvable, et, dans 55 % de cas, il était impossible de désactiver son compte. Parmi ceux qui le permettaient, 29 % tentaient d’en dissuader les utilisateurs en employant un langage de « manipulation émotionnelle », comme « ça serait dommage de vous voir partir ». En outre, 35 % « harcelaient » leur usager en l’invitant plus d’une fois à reconsidérer son intention, et 27 % faisaient « obstruction » en imposant une étape peu commode, comme le remplissage d’un formulaire, qui exigeait 9 % du temps de nouveaux renseignements personnels.
Parmi les sites auxquels on pouvait se connecter, 54 % recommandaient de le faire à travers un compte tiers, comme celui d’un réseau social, leur permettant un « meilleur suivi de l’utilisateur » ou de « recueillir plus d’information sur lui », déplore le GPEN.
Dans un communiqué, et consécutivement à l’analyse des sites français, la CNIL livre des observations légèrement plus optimistes. A la première connexion, il paraît plus facile de choisir l’option la plus protectrice pour la vie privée, et, lorsqu’on s’inscrit à un site, on parvient plus souvent à se déconnecter.
Mais ces observations doivent être considérées avec prudence car elles concernent un tout petit échantillon de dix-huit sites mobiles : six services commerciaux, six sites audiovisuels et six éditeurs de presse.
Dans son communiqué, la CNIL laisse entendre que les manquements les plus graves ne resteront pas impunis : « les préoccupations soulevées cette année serviront à alimenter des travaux de la sensibilisation auprès d’organismes, mais aussi à l’orientation de la politique contrôles pour les cas les moins satisfaisants ».