Les "dark patterns" constituent un ensemble de techniques utilisées par les plateformes en ligne, par exemple, pour dissuader un internaute de se retirer d'un service auquel il a souscrit ou l'amener à partager involontairement ses données privées. Aux États-Unis, si la législation cherche depuis quelques années à mettre fin à cette pratique, la Californie vient de faire un grand pas dans ce sens. En adoptant une nouvelle réglementation lundi, elle interdit désormais aux entreprises d'utiliser certaines formes de dark patterns. Cette nouvelle réglementation vient renforcer la loi historique sur la protection de la vie privée, la California Consumer Privacy Act (CCPA).Les autorités californiennes s'attaquent aux interfaces truquées
Lorsqu’ils écrivent leurs programmes, les développeurs peuvent parfois avoir recours à certaines pratiques obscures qui sont condamnables du point de vue de la morale ou de la loi. Ces pratiques sont appelées "dark patterns" (en français : interfaces truquées) et peuvent être intégrées dans un concept qu'on désigne par le Dark Programming (la programmation obscure). Ils constituent des astuces utilisées lors du développement de sites ou d’applications Web pour amener les utilisateurs à acheter ou à souscrire à des offres ou services sans leurs accords, pour ne citer que ceux-là.
Plus précisément, les Dark Patterns sont des interactions UX/UI trompeuses, conçues pour induire en erreur ou tromper les utilisateurs afin de leur faire faire quelque chose qu'ils ne veulent pas faire. Ce terme a été inventé en 2010 après le boom des industries du e-commerce sur le Web. Afin de générer plus de ventes, d'obtenir des abonnements et d'atteindre les objectifs en matière de transactions…, les concepteurs et les associés ont commencé à créer des interfaces utilisateur trompeuses pour manipuler les utilisateurs. Les dark patterns peuvent toutefois être retrouvés ailleurs que sur le Web.
Depuis le 15 mars, la loi californienne sur la protection de la vie privée des consommateurs a été actualisée pour interdire aux entreprises d'utiliser certains dark patterns. La loi interdit des astuces telles que le fait d'accabler les utilisateurs d'un langage confus ou de les obliger à cliquer sur plusieurs écrans au cours du processus de refus de la vente de leurs informations. La nouvelle réglementation, approuvée par le bureau de droit administratif de l'État de Californie (OAL - Office of Administrative Law), a été annoncée par le procureur général, Xavier Becerra, dans un communiqué de presse publié lundi.
Becerra a déclaré que cette réglementation vient renforcer la CCPA approuvée en août 2018. La CCPA est l'une des lois les plus strictes en matière de protection des données aux États-Unis. Certains le comparent d'ailleurs au RGPD (Règlement général sur la protection des données) en Europe. La CCPA donne aux Californiens le droit de "dire non à la vente d'informations personnelles", mais le gouvernement de l'État craint manifestement que ces options soient noyées sous des menus subtils. En interdisant les dark patterns, la Californie veut garantir que les consommateurs ne seront pas "trompés".
Selon Becerra, cela garantit que les Californiens ne seront pas déroutés ou induits en erreur lorsqu'ils chercheront à exercer leurs droits en matière de confidentialité des données. « La Californie est à la pointe de la protection de la vie privée en ligne, et cette toute nouvelle approbation de l'OAL lève encore plus d'obstacles pour permettre aux consommateurs d'exercer leurs droits en vertu de la California Consumer Privacy Act », a déclaré Becerra. « Ces protections garantissent que les consommateurs ne seraient pas confus ou trompés lorsqu'ils chercheront à exercer leurs droits en matière de confidentialité des données ».
Le règlement n'interdit pas toutes les formes de dark patterns
Le règlement approuvé lundi n'interdit pas toutes les utilisations de dark patterns. Il interdit uniquement les dark patterns ayant pour but de compromettre ou d'entraver le choix d'un consommateur de se retirer des systèmes dans lesquels ses données personnelles sont vendues. Le règlement donne un certain nombre d'exemples de ces dark patterns, dont les suivants :
- l'utilisation d'un langage déroutant comme les doubles négations (par exemple "Ne pas vendre mes informations personnelles"
; - obliger les utilisateurs à cliquer ou écouter les raisons pour lesquelles ils ne devraient pas soumettre une demande de désinscription avant de confirmer leur demande ;
- obliger les utilisateurs à rechercher ou faire défiler le texte d'une politique de confidentialité ou d'un document ou d'une page Web similaire afin de localiser le mécanisme permettant de soumettre une demande de retrait.
Les entreprises qui ne se sont pas encore conformées à la CCPA ont reçu un "avis de correction", qui leur donne 30 jours pour modifier leurs services. « Depuis que l'application du CCPA a commencé le 1er juillet 2020, le ministère a constaté une conformité généralisée de la part des entreprises faisant des affaires en Californie », indique le bureau de Becerra. Pour aider à normaliser l'accès à ces dispositifs d'exclusion, l'État de Californie a conçu ce qu'il appelle une icône "accrocheuse" que les entreprises peuvent utiliser pour diriger les utilisateurs vers l'exercice de leurs droits.
Bien que le nouveau règlement n'interdise les dark patterns que dans des scénarios spécifiques, il y a eu d'autres tentatives pour sévir contre ce type de conception trompeuse de manière plus générale. En 2019, les sénateurs Mark Warner (D-VA) et Deb Fischer (R-NE) ont présenté un projet de loi qui interdirait aux plateformes Internet comptant plus de 100 millions d'utilisateurs d'utiliser tout dark pattern qui incite les utilisateurs à transmettre des données personnelles. Si la loi venait à être votée, la manière dont les entreprises telles que Facebook ou Twitter invitent les utilisateurs à partager avec eux leurs données pourrait changer à l’avenir.
En effet, dans la plupart des cas où les utilisateurs consentent à fournir leurs données personnelles, le reste, c’est-à-dire la nature réelle des données qui sont collectées et ce que l’entreprise qui accueille ses données en fait ne leur sont plus communiqués par la suite, en tout cas, pas de façon très explicite. Les entreprises estiment bien souvent que le traitement de vos données se fait sur la base du respect de la vie privée ou selon une once d’éthique. Mais la réalité des faits est toute autre. Les réseaux sociaux surtout se retrouvent très souvent au milieu de scandales de violation de données de tout genre.
Selon plusieurs rapports d'étude, il arrive parfois que certains internautes refusent aux entreprises de collecter ou d’utiliser leurs données, mais, même dans ce cas, leurs données personnelles peuvent être récupérées de façon implicite. Selon les sénateurs, cela démontre en effet que le consentement n’est pas ce que l’on croit, mais qu’il s’agit bien souvent d’un leurre de la part de ces entreprises. Le projet de loi des sénateurs n'a toutefois jamais été voté par le Congrès.
Source : Commmuniqué du procureur général Xavier Becerra
Et vous ?
Quel est votre avis sur le sujet ? Êtes-vous pour ou contre l'utilisation des dark patterns ? Pourquoi ? Pensez-vous qu'il est suffisant de limiter l'interdiction à quelques dark patterns ?Voir aussi
Sur 11 000 magasins en ligne, 1254 utiliseraient des « dark patterns » pour amener les utilisateurs à acheter ou à souscrire à des offres ou services sans leur accord, selon une étude Des sénateurs américains présentent un projet de loi interdisant aux plateformes de médias sociaux d'utiliser des dark patterns La Californie adopte une loi sur la protection de la vie privée qui rendra plus difficile pour Facebook et Google de suivre les utilisateurs et de recueillir leurs données personnelles Google et Facebook sous le coup de 4 accusations dans 4 pays pour avoir enfreint le RGPD quelques heures seulement après son entrée en vigueur USA : le Sénat vote une loi pour interdire l'usage des produits de Kaspersky au niveau fédéral, après que le DHS a donné 90 jours pour les supprimer 
