Dark Pattern : le côté obscur de l'UX
8 mois. Depuis 8 mois maintenant, les entreprises doivent composer avec le RGPD. Rares sont les bons élèves mais rares aussi sont les bons outils qui ont été mis au point pour assurer le respect du texte. L’homme est ainsi fait que si vous lui interdisez de rentrer par la porte, il tentera de rentrer par la fenêtre. Ainsi en est-il des Dark Patterns, véritable côté obscur de l’UX visant à tout faire pour vous amener à vous abandonner à la délivrance d’un consentement cosmétique en rien compatible avec les exigences légales imposant qu’il soit « libre, spécifique, éclairée et univoque ». Les Dark Patterns ont pour objet tout au contraire, de vous contraindre, de vous embrouiller, de vous lasser, bref… de vous amener à renoncer à faire jouer vos droits par souci de facilité et de rapidité.
"Andy se hâte, Andy se méfie, Andy se tâte (...), Dis-moi oui Annnndy..."
Il s’agit en réalité d’une tentative de contournement du texte et également de son esprit. La CNIL commence d’ailleurs à s’agacer et on peut sans aucune hésitation affirmer que les sanctions tomberont à moyen terme.
De surcroît les statistiques semblent démontrer qu’au delà de la coloration illégale de ces méthodes de contournement du recueil de consentement, les dark patterns sont également aussi inefficaces et le taux d’acceptation des cookies serait d'ailleurs en chute libre depuis le 25 mai. Une petite recherche rapide sur le web semble acréditer l'affirmation.
Enfin dernier point, faut-il rappeler aux tenanciers du côté obscur du recueil du consentement que nous sommes dans l’attente de la promulgation (En 2019 ? En 2020 ?) du petit frère du RGPD, le règlement e-privacy, lequel traitera normalement spécifiquement des cookies ? Quand on connaît la première mouture, on ne peut que s'étonner que les utilisateurs de ces techniques obscures ne s'accordent pas un poil le temps de la réflexion pour tenter d'anticiper.
Bref, disons le de manière fort peu juridique : utiliser la technique des dark patterns… c’est très con.
Le droit de dire "non"...
Pourtant vous avez tous été confrontés au moins une fois à ces bandeaux qui remplissent la moitié de votre écran, vous expliquant à quel point votre vie privée importe la société que vous visitez. Au regard des configurations mises en place par ces sites web on peut se dire sans peur de se tromper que la préservation de notre vie privée ils s’en moquent comme de leur première chemise et le constat qui s'est imposé chez la plupart est le suivant : gros bandeau cookies = grosse arnaque. simpliste sans doute, mais pas complètement faux si on raisonne du strict point de vue du respect du RGPD.
Exemple simple : vous êtes sur Facebook et cliquez sur un lien pour lire un article qui vous intéresse. L’affreux bandeau de Zorro apparaît instantanément et vous masque l’article : vous êtes "invité" à accepter les cookies. Si vous avez de la chance, on vous propose même de les refuser, ou vous avez téléchargé cette petite appli pratique d'un ancien de la CNIL qui vous permet d’adjoindre un onglet « refuser » à côté de celui vous invitant à accepter.
Mais si vous cliquez sur « refuser », vous quittez alors l’article que vous souhaitiez consulter et êtes redirigé vers la page d’accueil du site par exemple. En somme, vous êtes sanctionné pour ce refus…
Or la lecture du considérant 42 du RGPD dit ceci : « Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».
D’autres dispositions du texte expliquent que l’internaute ne doit pas subir de conséquences inutiles du fait du choix qu’il fait. J'ai le droit de dire non si je veux. Et toc...
Sauf qu'en l’espèce, le choix d’un refus transforme votre session de surf en parcours du combattant.
"- Luke Skywalker : Le côté obscur est le plus fort ?
- Yoda : Non ! Non. Plus rapide, plus facile, plus séduisant". (Star Wars : épisode V - L'Empire contre-attaque - 1980)
Pardon à mes illustres confrères férus de citations fameuses mais je ne vois pas mieux que cet extrait de Star Wars pour illustrer parfaitement mon propos : plus rapide, plus facile, plus séduisant… Merci Maître YODA de cette analyse qui sied parfaitement à l’analyse des Dark Patterns, l’UX du côté obscur.
L’analyse est économico-juridique et le RGPD le dit (lisez le…au moins un peu...) : les entreprises qui feront le pari de la collaboration avec les particuliers et recueilleront leurs données personnelles en toute transparence ferons de cette démarche un facteur de croissance et de compétitivité. Faut-il encore le comprendre : les utilisateurs du web ont mûri, ils se sont instruits et refusent qu’on continue à les prendre pour des imbéciles.
Le RGPD, c’est en réalité une forme de politesse retrouvée : « - Permettez-vous que j’use quelque peu de vos données Monsieur ? - Si vous n’en abusez pas gentleman, faites donc. - Vous êtes bien aimable cher Monseur… »
Il s’agit en réalité d’une tentative de contournement du texte et également de son esprit. La CNIL commence d’ailleurs à s’agacer et on peut sans aucune hésitation affirmer que les sanctions tomberont à moyen terme.
De surcroît les statistiques semblent démontrer qu’au delà de la coloration illégale de ces méthodes de contournement du recueil de consentement, les dark patterns sont également aussi inefficaces et le taux d’acceptation des cookies serait d'ailleurs en chute libre depuis le 25 mai. Une petite recherche rapide sur le web semble acréditer l'affirmation.
Enfin dernier point, faut-il rappeler aux tenanciers du côté obscur du recueil du consentement que nous sommes dans l’attente de la promulgation (En 2019 ? En 2020 ?) du petit frère du RGPD, le règlement e-privacy, lequel traitera normalement spécifiquement des cookies ? Quand on connaît la première mouture, on ne peut que s'étonner que les utilisateurs de ces techniques obscures ne s'accordent pas un poil le temps de la réflexion pour tenter d'anticiper.
Bref, disons le de manière fort peu juridique : utiliser la technique des dark patterns… c’est très con.
Le droit de dire "non"...
Pourtant vous avez tous été confrontés au moins une fois à ces bandeaux qui remplissent la moitié de votre écran, vous expliquant à quel point votre vie privée importe la société que vous visitez. Au regard des configurations mises en place par ces sites web on peut se dire sans peur de se tromper que la préservation de notre vie privée ils s’en moquent comme de leur première chemise et le constat qui s'est imposé chez la plupart est le suivant : gros bandeau cookies = grosse arnaque. simpliste sans doute, mais pas complètement faux si on raisonne du strict point de vue du respect du RGPD.
Exemple simple : vous êtes sur Facebook et cliquez sur un lien pour lire un article qui vous intéresse. L’affreux bandeau de Zorro apparaît instantanément et vous masque l’article : vous êtes "invité" à accepter les cookies. Si vous avez de la chance, on vous propose même de les refuser, ou vous avez téléchargé cette petite appli pratique d'un ancien de la CNIL qui vous permet d’adjoindre un onglet « refuser » à côté de celui vous invitant à accepter.
Mais si vous cliquez sur « refuser », vous quittez alors l’article que vous souhaitiez consulter et êtes redirigé vers la page d’accueil du site par exemple. En somme, vous êtes sanctionné pour ce refus…
Or la lecture du considérant 42 du RGPD dit ceci : « Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».
D’autres dispositions du texte expliquent que l’internaute ne doit pas subir de conséquences inutiles du fait du choix qu’il fait. J'ai le droit de dire non si je veux. Et toc...
Sauf qu'en l’espèce, le choix d’un refus transforme votre session de surf en parcours du combattant.
"- Luke Skywalker : Le côté obscur est le plus fort ?
- Yoda : Non ! Non. Plus rapide, plus facile, plus séduisant". (Star Wars : épisode V - L'Empire contre-attaque - 1980)
Pardon à mes illustres confrères férus de citations fameuses mais je ne vois pas mieux que cet extrait de Star Wars pour illustrer parfaitement mon propos : plus rapide, plus facile, plus séduisant… Merci Maître YODA de cette analyse qui sied parfaitement à l’analyse des Dark Patterns, l’UX du côté obscur.
L’analyse est économico-juridique et le RGPD le dit (lisez le…au moins un peu...) : les entreprises qui feront le pari de la collaboration avec les particuliers et recueilleront leurs données personnelles en toute transparence ferons de cette démarche un facteur de croissance et de compétitivité. Faut-il encore le comprendre : les utilisateurs du web ont mûri, ils se sont instruits et refusent qu’on continue à les prendre pour des imbéciles.
Le RGPD, c’est en réalité une forme de politesse retrouvée : « - Permettez-vous que j’use quelque peu de vos données Monsieur ? - Si vous n’en abusez pas gentleman, faites donc. - Vous êtes bien aimable cher Monseur… »
Le bilan juridique est assez simple en réalité : développer des stratégies ou des outils visant à obtenir un consentement par des voies détournées constitue en réalité une violation du texte. Nous sommes encore dans la phase 1 du RGPD depuis sa promulgation : celle durant laquelle sur bien des aspects, les professionnels ont souhaité pour la plupart soigner la présentation de la vitrine sans mettre les mains dans le cambouis de la conformité, car cela réclame du travail et des efforts. Fort bien. Mais cette attitude ne pourra durer éternellement. Car ceux qui jouent le jeu le feront savoir et en réalité ce n'est pas tant les sanctions de la CNIL qu'il faut craindre, mais le bad buzz.
Croyez-vous vraiment qu'à l'heure de la publicité comparative ceux qui investissent dans la conformité ne se serviront pas de cet atout contre ceux qui continueront à enfumer le public? Soyons sérieux...
Le génie des rédacteurs du RGPD, c'est d'avoir su écrire un texte dont les effets infusent de manière irréversible dans le corps économique. Le RGPD est en réalité un texte viral : par la conception de la responsabilité, par l'imbrication des acteurs (responsables de traitement, sous traitant), par le principe de coresponsabilité qu'il pose, par son caractère international...
Il s'imposera à tous et sans doute bien plus vite qu'on ne le pense mais il faut pour en tirer parti en l'adoptant accueillir bien plus que sa lettre : sa philosophie.
Si la profession de traider juridique existait, ma recommandation serait très claire au sujet de la valeur RGPD : achetez! achetez! achetez!
Et le côté lumineux du consentement dans tout ça me direz-vous? Existe-il, quelque part dans la galaxie des start-up, une poche de résistance?
J'ai un tuyau...
Des rumeurs persistantes laissent à penser qu’un petit groupe de rebelles se cacheraient dans la Galaxie Occitanie, secteur de Montpellier, sur la Planète BIC. On les appellerait les Axeptiotes.
Une drôle de tribu entrée en résistance contre l'Empire du Dark Pattern et qui offrirait au contraire un UX novateur et collaboratif permettant de recueillir le consentement des personnes intéressées de manière ludique et transparente.
Comme le dirait ce bon vieux Yoda : "De débuter vient juste, la guerre des données personnelles…"
