S’il est une obligation du RGPD qui déchaîne les passions, c’est bien celle d’obtenir un consentement au traitement des données personnelles.
Rappelons pourtant que :
- cette exigence existait déjà dans la Directive 95/46/CE et dans la loi informatiques et libertés française de 1978,
- le consentement n’est qu’une des 6 bases juridiques sur lesquelles un traitement de données personnelles peut valablement être effectué. Il n’est donc pas systématiquement requis.
L’article 4 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Le consentement doit donc être libre et éclairé. Sur le fond, il faut avoir à l’esprit que :
- La liberté implique un choix réel pour la personne concernée,
- Un éclairage est nécessaire par le biais d’une information préalable, claire et complète sur les tenants et aboutissants du traitement envisagé.
En parallèle, la forme, c’est-à-dire la manière de présenter les choses a aussi son importance, car elle a une influence sur le consentement. Aussi faut-il se demander dans quelle mesure le design/l’ergonomie de la demande de consentement peut biaiser celui-ci ?
Les enseignements des décisions et orientations de la CNIL sur les formes à proscrire
Grâce à la jurisprudence de la CNIL, on sait de source sûre que certaines pratiques de design au sens large ne permettent pas d’obtenir un consentement libre et éclairé.Sont à bannir notamment :
- L’éparpillement des informations sur le traitement : ainsi Google a été condamné le 21/01/2019 (voir ici notre article détaillé sur le sujet) notamment parce que l’utilisateur devait consulter une grande quantité d’informations sur de multiples pages web avant de pouvoir identifier les données pertinentes puis recouper et comparer ces dernières afin de comprendre quelles données étaient traitées par Google et pourquoi.
- Les formulations trompeuses sur ce à quoi la personne consent : ainsi la société Direct Energie a été mise en demeure pour défaut de recueil d’un consentement valable car elle demandait à ses clients leur accord simultanément sur la mise en service du compteur Linky et sur la collecte des données de consommation horaires, présentée comme le corollaire de l’activation du compteur, alors que l’installation de Linky est obligatoire et ne dépend pas de Direct Energie, donnant l’impression fausse aux utilisateurs qu’ils choisissent d’activer leur compteur alors qu’ils ne font que consentir à la collecte de leurs données personnelles (CNIL, 05/03/2019 – voir ici notre news sur cette affaire)
- Les finalités exprimées de manière trop vagues : par exemple dans l’affaire Google précitée, l’utilisateur était informé que ses données seraient collectées pour « améliorer les services proposés » par Google, sans savoir quels services, par quel biais et ce que cela impliquait réellement pour lui.
Les pistes de réflexion sur les formes borderline
Au sein des cahiers Innovation & Prospective de janvier 2019, la CNIL dresse une typologie (non contraignante et non exhaustive) de pratiques de design potentiellement non conformes, qui sont une source d’inspiration fort intéressante.
On citera notamment :
- Détourner l’attention, par exemple en faisant apparaître le bouton accepter en grand et en couleur tandis que le bouton refuser serait en petit et en gris.
- Utiliser un discours culpabilisant. C’est le cas souvent pour les sites qui génèrent des revenus par l’affichage de publicité : par exemple lorsque l’internaute utilise un bloqueur de publicité, le site affiche un message lui indiquant qu’il ne peut survivre que grâce à la publicité.
- Répéter la même demande de consentement plusieurs fois au cours de l’expérience utilisateur pour inciter à répondre positivement.
- Rendre le refus bien plus compliqué que l’acceptation: ce sera le cas par exemple lorsqu’un internaute peut donner son consentement simplement en cliquant sur un bouton « accepter » tandis que pour refuser un traitement de données personnelles, il doit se rendre sur une autre page et procéder à un paramétrage pour chaque finalité de traitement.
D’autres pratiques pourraient être discutables à notre avis, par exemple :
- Recourir à un bandeau de demande de consentement de taille excessive, qui va gêner la lecture d’une page, poussant l’internaute à dire oui uniquement pour faire disparaître « l’obstacle » et poursuivre sa navigation dans des conditions normales, et d’autant plus quand la possibilité de refuser n’est pas accessible de manière simple,
- « Noyer » la demande de consentement au traitement des données personnelles dans de multiples requêtes faites de manière rapprochée pour pousser l’internaute à cliquer machinalement sur « accepter ».
Toutes ces pratiques sont très fréquentes, en particulier sur internet, et ont pour objectif d’influencer le choix de l’internaute, ce qui ne saurait être reproché en soit aux entreprises.
Il est bien légitime en effet de vouloir convaincre l’internaute et c’est là le jeu du commerce.
Prudence cependant la frontière est parfois mince entre influence et pression, incitation et leurre. Pour obtenir un consentement libre et éclairé, donc valable, il faudra donc que chacun veille à trouver le bon équilibre.
Ce qu’il faut retenir
Le responsable de traitement avisé prendra garde de porter autant de soin à la forme qu’au fond de sa demande de consentement.
Tromper ou contraindre n’est pas une option. Si l’objectif d’un design est d’inciter et séduire, il convient de faire preuve de mesure, par exemple en évitant de cumuler plusieurs pratiques borderline, au risque de détenir un consentement :
- dénué de valeur juridique, avec donc une prise de risque vis-à-vis de la CNIL et des amendes prévues par la loi,
- dénué de valeur commerciale, ce qui risque d’engendrer l’insatisfaction de la clientèle et de générer un problème d’image de marque.
Charlotte Urman & Carole Isoard
Conseil et juriste en propriété industrielle – Département Data-IT du cabinet INLEX IP EXPERTISE