Cookies walls : Remise en question du consentement libre des internautes face à l’influence du design

Le 1er octobre 2020, la Commission nationale de l’informatique et des libertés (CNIL) avait publié des recommandations concernant les « cookies et autres traceurs » en indiquant notamment que « la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute à l’utilisation de traceurs. (…) ; la recommandation propose différentes modalités pratiques de recueil du consentement ainsi que du refus de l’utilisateur ; elle recommande plusieurs façons permettant aux acteurs de fournir l’identité des responsables du ou des traitements auxquels la personne donne son consentement ; elle vient proposer des modalités pratiques par lesquelles les responsables du ou des traitements qui déposent des traceurs peuvent apporter une preuve du consentement. » Selon ces recommandations, « les cookies et autres traceurs feront l’objet d’actions de mise en conformité au cours de l’année 2021 ». Certes, cela ne fait que trois mois que l’année 2021 a débutée, mais aucun changement au niveau de ces « cookies et autres traceurs » ne s’est fait ressentir, et ne semble prévu de manière effective pour les neuf prochains mois.

Selon la définition proposée par la CNIL « Un cookie est un petit fichier stocké par un serveur dans le terminal (…) d’un utilisateur et associé à un domaine web. (…) Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d’un site marchand, le contenu courant de votre panier d’achat, la langue d’affichage de la page web, un identifiant permettant de tracer votre navigation à des fins statistiques ou publicitaires, etc. ». Concrètement, l’accès à ces informations stockées sur un terminal permet d’obtenir de nombreuses données de l’utilisateur, et plus précisément des données personnelles. Cela peut être utile pour que le site internet puisse s’adapter à nous et donc personnaliser au mieux le contenu proposé.

Ces dernières années, un type de format particulier, mentionnant la présence de cookies, est apparu : le « pop-up ». Vous ne savez pas ce qu’est un pop-up ? Bien que cela puisse vous paraître surprenant, vous savez malgré vous ce qu’est un pop-up, car en tant qu’internaute, vous y êtes constamment confronté. Néanmoins, pour obtenir une définition concrète, il convient d’en rechercher le sens sur internet.

Tentez l’expérience de chez vous : Tapez « Définition de pop-up » sur la barre de recherche, et cliquez sur n’importe quel site proposé. Il y a de très grandes chances que vous vous retrouviez soudainement nez-à-nez face à une petite fenêtre s’ouvrant devant la fenêtre principale à laquelle vous souhaitiez accéder initialement. Surprise. Voilà ce que l’on nomme un pop-up.

Pour trouver l’origine de ce terme anglais, il a fallu se rendre sur le site Wordreference, mais en voulant obtenir l’information, un pop-up est (bien évidemment) apparu : « Welcome to WordReference Dictionaries (…) ». Quel accueil… Pour revenir à l’origine de ce terme, la définition revient au verbe français « surgir ». Cela correspond précisément au rôle d’un pop-up, qui est donc de surgir soudainement, sans l’avoir demandé, et cela désormais sur la quasi-totalité des pages internet consultés.

Ces pop-ups existaient déjà auparavant, notamment pour faire passer des publicités. Classiquement, les pop-ups ayant une vocation publicitaire pouvaient comporter des contenus tels que la fameuse formule « Gagnez de l’argent sans bouger de chez vous ! ». C’est le scientifique Ethan Zuckerman qui est considéré depuis la fin des années 1990 comme l’inventeur du pop-up commercial. Ainsi, des enseignes commerciales ont commencé à utiliser des fenêtres intrusives pour proposer des réductions alléchantes telles que « Profitez de -20% sur votre première commande en vous inscrivant à la newsletter ».

Mais plus récemment, un nouveau genre de pop-up est apparu, dit « cookie wall », et lié quant à lui à l’élaboration d’un choix pour établir la gestion des données personnelles. C’est précisément de ce type de pop-up que le développement qui suit traitera.

 

Apparition du cookie wall permettant d’effectuer un choix pour le traitement de nos données personnelles

Ces cookies wall, donc des pop-ups liés au traitement des données personnelles, viennent préciser à l’utilisateur via cette apparition soudaine de texte, que le site en question a recours à l’utilisation de cookies.

Cette question de collecte et traitement de données à caractère personnel est un enjeu majeur de ces dernières années, et c’est la raison pour laquelle, à l’échelle européenne, et comme précédemment mentionné, le Règlement général sur la protection des données, connu sous le nom de RGPD, a été élaboré et est entré en vigueur le 23 mai 2018. Or l’article 7 du RGPD expose la nécessité du consentement par les personnes concernées, du traitement des leurs données personnelles. Le deuxième alinéa de cet article 7 précisait notamment que la demande de consentement doit être « présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Depuis, les sites internet ont du se conformer, et est alors apparu une averse de pop-up liée à ce traitement des données personnelles de l’internaute, l’objectif étant que ce dernier soit libre d’accepter ou refuser ces cookies.

Bien que l’incitative et la mise en conformité au RGPD est à saluer, la mise en forme de ces pop-ups est en réalité conçue de telle sorte que l’utilisateur ne sera pas véritablement libre faire un choix sur son consentement ou son absence de consentement quant au traitement de ses données personnelles.

 

Message déguisé orientant indirectement le choix de l’internaute

Il existe en réalité divers procédés savamment orchestrés pour que l’internaute ne fasse pas son choix seul.

Tout d’abord, il convient de constater que les pop-ups liés aux données personnelles, les cookies walls, disposent souvent de titres assez rassurants : « Choisir vos préférences en matière de cookies », « Votre vie privée est importante pour nous », « Nous prenons à cœur de protéger vos données », ou encore « Nous respectons votre vie privée! ». Ces termes sont utilisés pour faire un sorte que le choix de l’utilisateur lui appartient pleinement, et que certes il est question de « données personnelles », de « vie privée », et que donc c’est « important », mais que les sites internet sont bienveillants et « respectent » ou prennent à cœurs » toutes ces questions sensibles. En réalité la collecte sera approximativement la même d’un site à l’autre, et de tels titres ne servent qu’à faire illusion.

Ensuite, il existe sur des sites internet non pas des pop-ups mais des « bandeaux cookie », souvent présents en haut ou en bas de la page d’accueil. Par exemple le site du ministère de l’enseignement supérieur, de la recherche et de l’innovation, place en bas de sa page d’accueil un bandeau cookie mentionnant la présence de cookies et proposant à l’utilisateur soit de « tout accepter » avec à gauche un bouton vert très voyant et avec un signe d’approbation, soit de « personnaliser » via un bouton à droite, gris terne, se fondant dans le paysage du site, et avec un dessin d’engrenage. Lequel choisiriez-vous ? Il est clair que le choix des couleurs et des icônes n’est pas laissé au hasard. Avec cette association de la couleur verte, liée au positif, et du signe d’approbation, un utilisateur pourra très clairement s’orienter vers ce choix, plus attrayant.

Source : https://www.enseignementsup-recherche.gouv.fr/

Parfois même une seule option est proposée : «J’’ai compris ». Mais si, contrairement à ce que le site prétend, vous n’avez pas « compris », et c’est normal, il faudra alors réussir à déchiffrer le bandeau cookie et identifier puis cliquer sur une partie du texte, souvent dans une couleur un peu plus claire ou plus foncée, pour accéder à plus d’information. Rien d’évident donc…

Les bandeaux cookies permettent l’accès au site même lorsque l’utilisateur ne fait pas de choix et donc ne clique sur aucun bouton. Souvent cette absence de choix est associé à une acceptation, et certains bandeaux de cookies précisent d’ailleurs qu’en poursuivant la navigation sur le site en question, l’utilisateur acceptez les cookies. Pourtant, la CNIL précise bien dans ses recommandations que la poursuite de la navigation ne peut valoir acceptation des traceurs : « le consentement de l’utilisateur doit se matérialiser par un acte positif clair comme, par exemple, un clic sur un bouton « tout accepter ». L’absence de manifestation claire de volonté d’accepter le dépôt de cookie doit s’entendre comme un refus ».

A la différence des bandeaux cookies, les pop-ups liés au traitement des données personnelles, imposent à l’utilisateur de faire un choix pour accéder au site. Ici aussi le schéma est souvent une option colorée mentionnant le terme « accepter » et une option fondue dans l’encadré, proposant « personnaliser » ou « en savoir plus ».

Source : https://www.easyvoyage.com/vols/guide-compagnies-aerienne

Sur l’image ci-dessus, on peut constater une particularité, qui est qu’au terme « accepter » est associé le terme « fermer ». Or pour rappel un pop-up de type cookie wall impose de faire un choix, donc un utilisateur sera plus sensible au souhait de fermer rapidement cette fenêtre qui le gêne pour accéder au contenu, et par conséquent c’est très fréquemment ce bouton qui sera choisi. Par ailleurs le bouton « en savoir plus », outre sa couleur grise, est accompagné une flèche. Cette flèche, pointant innocemment vers « accepter et fermer », coïncidence ?, signifie qu’il faudra accéder à une autre page pour véritablement « en savoir plus ». Pour les utilisateurs les plus intéressés sur cette question du traitement des données personnelles, et les plus patients il faut l’admettre, voilà ce qui peut apparaître.

 Source : https://www.easyvoyage.com/vols/guide-compagnies-aerienne

Encore une fois, même stratégie, le jeu des couleurs, des positionnements, peut orienter vers « Accepter tout », mais il convient ici de noter que pour la première fois un bouton « Refuser tout » est proposé. Il convient ici de mentionne a nouveau les recommandations de la CNIL du 1er octobre 2020, assurant que « les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide ». Ainsi, à l’issue de l’accès à ces paramètres, et comme l’illustre clairement l’image ci-dessus, un choix reste encore à faire.

La présentation prise en exemple reste accès claire et simple de compréhension, mais il arrive que ces pages « en savoir plus » deviennent de véritables catalogues d’informations, étendues sur les pages entières.

Certes ces dernières auront d’un côté le mérite d’être transparentes, mais d’un autre côté il y  aura de grandes chances que le lecteur perdre patience et se rabatte finalement sur le bouton d’acceptation. Cette illustration peut s’assimiler à la présentation des chartes de données personnelles, qui deviennent de plus en plus longues. Il est incontestables que les informations présentent dans une charte de données personnelles sont importantes et doivent être un minimum développées pour être clairement comprises. Toutefois, la lecture est particulièrement longue. Or généralement, lorsqu’une personne est confrontée à une quantité très importante d’informations, elle s’y perd. Il est souvent reproché à cette surinformation de ne pas pouvoir aisément démêler les multiples informations. C’est le phénomène de surcharge informationnelle qui incite à ignorer en globalité plutôt que de sélectionner des éléments pertinents. Ainsi une charte peut s’avérer tellement longue, qu’il est très fréquent que l’utilisateur ne la lise pas, mais y consent, pour accéder à une application par exemple. Même des professionnels spécialisés dans le domaine des données personnelles ne lisent pas systématiquement les chartes de vies privées, en raison de leur longueur. L’idée serait, semble-t-il, de surinformer pour désinformer…

Par ailleurs cette longueur est désormais en contradiction avec l’article 12 du RGPD précisant notamment que le traitement des données personnelles devait être fait « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». En réalité, cette mise en forme n’est pas laissée au hasard, mais est intentionnellement établie de la sorte.

 

« Privacy by design » , « Dark patterns », «Nudge»

Dans un article paru sur Numerama le 28 janvier 2021, l’auteur de l’article, Julien Cadot, se posait une question qui est, selon moi, primordiale : « Toujours plus d’information et de friction : est-ce la bonne méthode pour proposer un choix éclairé et positif sur la collecte des données personnelles ? ». Pour débuter son développement, Julien Cadot citait des propos de Steve Jobs lors d’une conférence « All Things Digital » en 2010 : « Je pense que les gens sont intelligents et que certaines personnes veulent partager plus de données que d’autres. Demandez-leur. Demandez-leur tout le temps. Faites en sorte qu’ils vous demandent d’arrêter de leur demander. Laissez-les savoir précisément ce que vous ferez avec leurs données ». Ces propos peuvent s’assimiler à la stratégie pop-up liés aux données personnelles, et plus précisément à la mise en œuvre visuelle de ces derniers.

Il est question du concept de « Privacy by Design ». Cette idée est attribuée à la commissaire de  l’information et à la protection de la vie privée de l’Ontario, au Canada, Ann Cavoukian. « By design » peut faire référence à la prise en compte dès l’origine, dès la conception, des règles de droit. Mais ce n’est pas ici le sens qu’il convient de développer. Il faut ici s’intéresser à « Privacy by Design » dans le sens de la prise en compte des règles de droit dans la mise en forme. Il faut rappeler que « design » en anglais signifie également le mot « forme« . Ainsi, la manière dont ces règles de droit seront présentées sera précisément réfléchie. Comme illustré précédemment, la stratégie de mise en forme pourra orienter l’utilisateur dans son choix.

Cette idée d’orienter l’utilisateur peut rejoindre l’idée de le piéger. Dans cette optique il faudra identifier la présence de « dark patterns », soit des modèles de conceptions qui inciter un utilisateur à réaliser une action.

Le terme a été inventé en 2010 par Harry Brignull, se qualifiant lui-même d’expert en design trompeur. Les dark patterns peuvent être rapprochés à cette mise en forme réfléchie des pop-ups liés au traitement de données personnelles, de ces cookies walls, notamment car le choix des mots, des couleurs ou des positionnements peuvent d’une certaine manière manipuler l’utilisateur, tout autant que le fait de rediriger vers d’autres pages pour obtenir plus d’informations, ce qui est un moyen de dissimuler des éléments.

Dans un récent article du 14 février 2021 écrit par Julien Hernandez pour Le Figaro, les dark patterns sont illustrés comme étant des « armes machiavéliquement conçues pour exploiter les failles de notre cognition ». En dehors des cookies walls, aujourd’hui les dark patterns sont partout et c’est la raison pour laquelle il est très complexe d’y échapper de manière effective.

Un article nommé « Les dark patterns ou comment ruiner la navigation Internet » en date du 8 février 2021 et écrit par Lorraine Redaud pour le journal Charlie Hebdo, avait relevé un dark patterns assez original, c’est le moins qu’on puisse dire, d’une marque de chaussures, consistant à mettre un faux cheveu sur une publicité pour que l’utilisateur clique sur son écran tactile et soit redirigé vers le site en question, sans son libre consentement.

Puis il convient de faire référence à la notion de « nudge », développée par le professeur d’économie comportementale à l’Université, Chicago Richard H. Thaler, et le professeur de droit à l’Université d’Harvard, Cass R. Sunstein. Cette notion est devenue particulièrement connue en 2017 lorsque Richard Thaler a obtenu le prix Nobel d’économie pour cette théorie du nudge. Ce terme signifie « coup de coude » ou « coup de pouce » en français, et vise à changer les comportements de manière douce, sans contrainte, comme de subtiles inspirations à prendre telle ou telle décision. Pour comprendre la notion il convient de prendre des exemples du quotidien : C’est par exemple le fait d’être davantage attiré par un prix à 9.99€ que 10€. Comme l’environnement est modifié, l’individu va inconsciemment modifier sa décision. Mais contrairement aux dark patterns, le nudge se veut éthique. Par conséquent celui-ci doit être transparent et contournable. Cette notion est située au carrefour du design et de la norme. Comme l’indique le sixième numéro des « Cahiers IP, innovation & prospective » élaboré par le Laboratoire d’Innovation Numérique de la CNIL (LINC) de Janvier 2019, « L’incitation douce cherchera toujours à intégrer les bonnes pratiques dans les versions « par défaut », ce qui rejoint d’ailleurs l’obligation de « privacy by default » de l’article 25 du RGPD ».

Mais comme le disait très justement Célia Hodent, spécialiste en psychologie des jeux vidéo, « le problème avec les discours sur le nudge ou les dark patterns est qu’ils teintent tout en blanc ou en noir, alors que nous sommes face à beaucoup de nuances de gris ». Donc comme les dark patterns, les nudges posent la question d’un frein au libre-arbitre, car l’architecture des choix amène tout de même à une orientation. Finalement, a-t-on vraiment le choix ?

En réalité ces manœuvres dans le monde virtuel peuvent être rapprochées aux manœuvres dans le monde réel, et plus précisément sur les divers contrats et actes. En effet, il existe depuis très longtemps un problème d’extorsion du consentement des parties aux contrats, par exemple au moyen de clauses rédigées en petits caractères dans l’objectif qu’elles ne soient pas lues. Ces problèmes soulevés par la présentation des contrats, se prolongent désormais en matière d’acceptation des cookies. Cela amène donc à s’intéresser à l’encadrement d’un nouveau formalisme sur internet, un formalise sur les écrans.

Aujourd’hui, les acteurs majeurs d’internet prennent de plus en plus conscience que ces pop-ups sont excessifs et inappropriés. Comme le faisait comprendre les recommandations de la CNIL précédemment étudiées, un véritable problème de consentement découle de l’usage de ces pop-ups. Par ailleurs, dans une communication de juin 2017 l’administrateur mondial de la publicité avait indiqué que les pop-ups et de manière générale les formats « surgissants » devraient être à « bannir ». Toutefois, pour l’instant aucune solution intermédiaire n’est proposée, et comme l’indique les recommandations de la CNIL « la licéité du recours à un « cookie wall » doit être appréciée au cas par cas ». Il convient de surveiller durant l’année 2021 la mise en place effective des ambitieuses recommandations de la CNIL.

Mais il faut pour le moment tenter au mieux de faire ses choix quant au traitement des données personnelles, sans influence, en prenant du recul sur la mise en forme des pop-ups. La partie est loin d’être gagnée …

 

Sincères remerciements à Monsieur Arnaud Latil, Maître de conférences en droit privé à la Sorbonne Université et dispensant le cours de « Libertés individuelles et nouvelles techniques » à la Faculté Jean Monnet, Université Paris-Saclay, pour avoir pris le temps de généreusement m’aider et me conseiller afin de mener à bien l’aboutissement de cet article.

 

Mélinda GUREN

 

 

Sources :

 

MasterIPIT