Hacker le consentement utilisateur


Cet article est une traduction a posteriori d'un billet d'abord publié en anglais, parfois des mois en arrière, mais que je tiens à traduire.

Il y a des moyens assez subtiles de traquer l’activité des utilisateurs et qui passent en dessous du radar de la RGPD.

Les dark patterns ou, peut-on dire en français, les modèles malicieux, pullulent sur le web et permettent aux sites de forcer le consentement des utilisateurs.

Permalien pour la section Politique de vie privée vs. design sécurisé Politique de vie privée vs. design sécurisé

“Privacy by design”, en français “protection de la vie privée par le design”, est certainement meilleur pour l’utilisateur qu’une politique de vie privée. Chaque couche de l’application est conçue dans un objectif de respect de la vie privée et la protection est activée par défaut.

Au lieu de réagir à une fuite massive de données, l’architecture en place limite la collecte et le stockage de données confidentielles pour minimiser le risque en cas d’incident.

Par ailleurs, les utilisateurs bénéficient d’une protection de bout en bout (End-to-End) avec une authentification et un cryptage partout où la donnée circule.

Dans un tel système centré sur l’utilisateur, celui-ci va pouvoir accorder OU révoquer son consentement: l’utilisateur est propriétaire de ses données.

Permalien pour la section L’Opt-out est possible… quelque part L’Opt-out est possible… quelque part

Les sites web ont l’obligation légale d’obtenir le consentement des utilisateurs pour tracer leurs activités et collecter leurs données.

Il y a cependant une grande variété de ruses et de schémas permettant d’influencer le choix final. Une technique extrêmement courante consiste, par exemple, à rédiger les demandes de permissions avec un charabia juridique incompréhensible, si bien que les utilisateurs ne peuvent pas savoir si la demande est légitime ou non et finiront par accepter par défaut.

Techniquement c’est un consentement et c’est parfaitement légal mais ça a franchement tout d’une arnaque.

S’ajoute que dans la pratique le bouton “accepter” sera souvent stylisé avec une grosse taille de police, une couleur bien reconnaissable et même parfois une icône, alors que le bouton “refuser” sera laissé tel quel sans style et placé après un pavé de texte imbittable, si bien que l’utilisateur aura de grandes chances de le louper.

Permalien pour la section “Abonnez-vous à notre newsletter” 😈 “Abonnez-vous à notre newsletter” 😈

Pas mal de sites se contentent de placer le formulaire d’inscription à la newsletter à des endroits stratégiques et fréquemment visités, ce qui est une pratique tout à fait acceptable.

D’autres, en revanche, vont lancer une popup dès l’arrivée sur le site avec un champ email bien visible et stylisé proprement ainsi qu’un gros bouton pour valider l’inscription. Il n’y a parfois même pas de bouton de fermeture de la popup, ce qui oblige à envoyer le formulaire pour accéder aux contenus.

Lorsque le bouton “fermer” est présent, il est bien souvent non stylisé ou avec une police d’écriture minuscule avec des messages peu clairs comme “non, je ne veux pas profiter des dernières news”, alors que l’idée est juste de fermer la popup.

Il y a parfois des messages extravagants comme “Non, je ne veux pas être malin”. Ce biais psychologique va décourager le clic car l’esprit n’aura pas envie de valider le fait qu’il n’est pas malin.

Ces schémas malicieux sont assez honteux mais en même temps très efficaces à court terme pour constituer une liste d’emails pour sa newsletter, ce qui explique que ces techniques soient aussi populaires.

Permalien pour la section Tout est permis avec la pub Tout est permis avec la pub

Certaines pratiques de publicité sont contestables du point de vue utilisateur. Nombreux sont les sites à les placer juste à côté ou en dessous du contenu mais lorsque l’utilisateur tente de fermer ces fenêtres non souhaitées, le clic est quand même déclenché parce que le bouton de fermeture est délibérement trop petit.

Cette ruse est connue et permet d’augmenter artificiellement le nombre d’impressions, en particulier avec les écrans tactiles et les téléphones mobiles. C’est un exemple assez frappant de schéma malicieux car, le plus souvent, l’utilisateur n’aura pas d’autres choix que de fermer les fenêtres en question pour accéder au contenu.

Les marketeux et les publicitaires utilisent maintenant des expressions vagues comme “préférences d’utilisation” ou “publicités personnalisées” au lieu de “traçage des données” car ils savent que ce genre de terminologie peut provoquer de la méfiance.

J’ai même eu affaire au “scroll consent”, technique qui considérait que l’utilisateur donnait son consentement à partir du moment où il avait scrollé 10% ou 20% de la page ! 😈

Permalien pour la section Les schémas malicieux peuvent être dangereux pour la santé mentale Les schémas malicieux peuvent être dangereux pour la santé mentale

YouTube a déclaré la guerre aux fake news et justifie ainsi la censure automatique de certaines vidéos.

J’ai quand même de très sérieux doutes sur les objectifs à y regarder de plus près. Leur intelligence artificielle (IA) collecte tout un tas de données confidentielles pour personnaliser les recommandations et, par dessus tout, garder les utilisateurs sur la plateforme.

Les personnes enclines aux théories complotistes ou aux pensées un peu sombres accèdent à tout le contenu biaisé qu’ils recherchent si ce n’est plus.

Les algos YouTube n’ont pas vocation à susciter la curiosité intellectuelle ou l’ouverture d’esprit. C’est même plutôt le contraire car les utilisateurs se voient recommander des contenus qu’ils approuvent déjà à la base.

Ce fonctionnement semble acceptable pour du divertissement mais beaucoup moins pour de l’information politique et la plateforme aura au final plus de chances d’aggraver la désinformation que de la déconstruire.

Permalien pour la section Conclusion Conclusion

J’ai listé quelques schémas bien connus dans d’autres contextes.

Ces ruses d’escrocs ne sont pas apparues avec les plateformes mais la technologie a amplifié et systématisé l’arnaque à un niveau sans précédent.

Même si le législateur tentre d’encadrer les pratiques, c’est très compliqué à mettre en place au final et les schémas malicieux permettent aux exploitants de données confidentielles de contourner la loi en hackant le consentement des utilisateurs.

Cette page est aussi disponible dans d'autres langues :