Le GPEN a scruté les méthodes de 1.010 sites et applis en matière de protection des données. Pour 97% d’entre eux, il y avait matière à redire. (Photo: Shutterstock)

Le GPEN a scruté les méthodes de 1.010 sites et applis en matière de protection des données. Pour 97% d’entre eux, il y avait matière à redire. (Photo: Shutterstock)

L’étude annuelle du Global Privacy Enforcement Network démontre que 97% des sites et applications ont recours à des méthodes abusives pour tromper les internautes présents sur leurs pages.

«Les résultats du ratissage de cette année suggèrent une très forte occurrence des mécanismes de conception trompeuse par les sites web et les applications à l’échelle mondiale: il est donc probable que les utilisateurs soient confrontés, dans la majorité des cas, à au moins un mécanisme de conception trompeuse lors de leurs interactions», écrit le Global Privacy Enforcement Network (GPEN), réseau international de protection des données réunissant plusieurs dizaines d’agences à travers le monde, dont la Commission nationale pour la protection des données (CNPD), au Luxembourg, qui n’y a pas participé.

Vingt-six d’entre elles ont passé au crible plus d’un millier de sites et d’applications, à la recherche de «dark patterns» («interfaces trompeuses») pour les besoins de l’édition 2024 du ratissage du GPEN. Et le constat est sans appel: «De nombreux sites web et applications ont été conçus pour encourager les utilisateurs à prendre des décisions en matière de protection de la vie privée qui pourraient ne pas être dans leur intérêt supérieur. Le ratissage montre plusieurs domaines dans lesquels les organisations pourraient améliorer la conception de leurs plateformes pour permettre aux utilisateurs de mieux comprendre et de contrôler l’utilisation et la divulgation de leurs données personnelles.» Mais ce n’est évidemment pas le but recherché…

Vente au détail, sites de rencontres, achat pour les enfants, services bancaires… À l’issue de son enquête menée entre la fin janvier et le début du mois de février, le GPEN a repéré des anomalies sur 97% des sites et applis visités. Cinq indicateurs étaient observés.

1. Le langage utilisé

La formulation «complexe et déroutante» des politiques de confidentialité s’est révélée problématique dans 89% des cas. C’est d’ailleurs la technique la plus fréquemment repérée par le GPEN.

«En outre, les autorités participantes ont indiqué que 55% des politiques de confidentialité des sites web et des applications ratissés comptaient plus de 3.000 mots, et que 65% d’entre elles ne comprenaient pas de menu ou de table des matières, ce qui rendait plus difficile pour les utilisateurs de trouver des informations précises», écrit le GPEN. Par ailleurs, 76% des politiques de confidentialité scrutées «exigeaient une capacité de lecture d’étudiant de premier cycle ou supérieure, et 20% requéraient une capacité de lecture d’étudiant de cycle supérieur, au minimum».

Plus c’est compliqué (à lire), plus c’est dissuasif… (Infographie: GPEN)

Plus c’est compliqué (à lire), plus c’est dissuasif… (Infographie: GPEN)

2. Les interférences d’interface

«Les interférences d’interface consistent dans l’utilisation d’éléments de conception et de méthodes de présentation qui modifient la perception et la compréhension des options de protection de la vie privée par les utilisateurs. Certains éléments de conception de plateforme subtils peuvent nuire à la capacité de ces derniers de faire des choix qui reflètent leurs préférences réelles en matière de protection de la vie privée», pose le GPEN.

Résultat, 57% des sites et applis avaient «recours à une fausse hiérarchie pour inciter les utilisateurs à sélectionner les choix protégeant moins la vie privée». Par exemple en mettant en surbrillance le bouton incitant à accepter tous les cookies, ou en disposant les boutons de manière à orienter le geste de l’utilisateur.

Par défaut, 48% des sites et applis présélectionnaient même d’autorité le bouton d’acceptation des cookies. Sans parler des messages du type «Êtes-vous vraiment certain de vouloir supprimer votre compte?» décelés dans 29% des cas.

3. Le harcèlement

Une technique visant à obliger l’utilisateur à répéter plusieurs fois la même opération jusqu’à l’amener à la décision que le site ou l’appli souhaiterait qu’il prenne. «35% des sites web et des applications dotés d’une option de création de comptes se livraient à du harcèlement en invitant plus d’une fois les utilisateurs à reconsidérer leur intention de supprimer leur compte», pointe le GPEN.

4. L’obstruction

Cela désigne toutes les actions séparant l’utilisateur de son objectif final, histoire de faire diversion et de tromper sa vigilance. Voire d’épuiser sa patience.

«Les ratisseurs ont examiné la manière dont les sites web et applications utilisaient l’obstruction auprès des utilisateurs en créant une “lassitude de clic” en obligeant les utilisateurs à faire de nombreux clics pour se renseigner sur la protection de la vie privée ou faire des choix de protection de la vie privée», dépeint le GPEN. «En moyenne, les ratisseurs ont constaté de l’obstruction dans 39% des interactions. Le taux d’occurrence le plus élevé s’est manifesté pendant le processus de suppression de compte, où 55% des ratisseurs n’ont pas été en mesure de trouver l’option pour supprimer le compte.»

De l’art de vouloir décourager l’usager de supprimer son compte… (Infographie: GPEN)

De l’art de vouloir décourager l’usager de supprimer son compte… (Infographie: GPEN)

5. Les actions forcées

«Les mécanismes de conception trompeuse à action forcée obligent les utilisateurs à fournir leurs renseignements personnels pour accéder aux services ou les amènent par la ruse à penser qu’il est nécessaire de fournir ces renseignements, alors qu’en réalité, ces informations ne sont pas nécessaires à la prestation du service», explique le GPEN. Plus d’un site sur quatre (26%) s’y adonnait.

Articles Associés