Récemment, le Commissariat à la protection de la vie privée du Canada (CPVP) a non seulement coordonné le ratissage international de plus de 1 000 sites Web et applications mobiles afin de déceler les mécanismes de conception trompeuse qui empêchent les utilisateurs de prendre des décisions éclairées concernant leurs renseignements personnels, mais il y a également participé. La quasi totalité des applications et des sites Web canadiens examinés par les ratisseurs du CPVP étaient conçus à partir de mécanismes de conception trompeuse. Le présent bulletin décrit les résultats du ratissage pour la protection de la vie privée et fait ressortir les points clés que les entreprises doivent prendre en considération au moment de concevoir des interfaces utilisateurs numériques.
Ratissage pour la protection de la vie privée
Le ratissage pour la protection de la vie privée (le « ratissage ») est le fruit d’un effort international du Global Privacy Enforcement Network (GPEN), un réseau informel d’autorités chargées de l’application des lois sur la protection de la vie privée (les « autorités ») qui favorise l’échange d’information, le renforcement des capacités et la collaboration internationale sur les questions en lien avec l’application de la loi. Cette année, 25 autorités du monde entier ont participé au ratissage, y compris le CPVP, le Commissariat à l’information et à la protection de la vie privée de l’Alberta et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique.
Le ratissage a été mené en collaboration avec l’International Consumer Protection and Enforcement Network (ICPEN), qui représente des autorités chargées de la protection des consommateurs du monde entier, dont le Bureau de la concurrence du Canada. Cette collaboration témoigne de l’intersection croissante entre la protection de la vie privée et la protection des consommateurs.
Résultats du ratissage pour la protection de la vie privée
Le rapport sur le ratissage du Commissariat à la protection de la vie privée du Canada de 2024 : Mécanismes de conception trompeuse (le « rapport ») résume les résultats du CPVP, qui a examiné 145 applications et sites Web canadiens dans divers secteurs, dont la vente au détail, les actualités et le divertissement, les médias sociaux et les sites de rencontre, les voyages et l’hébergement ainsi que les services bancaires et financiers. En outre, le CPVP a publié l’article intitulé « Une conception respectueuse de la vie privée : Cinq pratiques exemplaires pour éviter les mécanismes de conception trompeuse » dans lequel figurent les lignes directrices sur la façon d’éviter les pratiques de conception trompeuse qui apparaissent le plus fréquemment dans le rapport.
Le rapport et les lignes directrices du CPVP permettent aux organisations d’aider leurs clients à faire des choix éclairés en matière de protection de la vie privée, l’objectif étant que ces choix soient exempts d’influence, de manipulation et de coercition. En évitant les pratiques de conception trompeuse, les organisations s’assurent de remplir leurs obligations en vertu des lois canadiennes sur la protection de la vie privée. À titre d’exemple, une organisation qui élimine les pratiques de conception trompeuse augmente ses chances d’obtenir un consentement valable en ne recueillant que les renseignements personnels nécessaires aux fins déterminées et en informant les personnes concernées de ses politiques et de ses pratiques en matière de protection de la vie privée.
Mécanismes de conception trompeuse à éviter
Le ratissage du CPVP s’est concentré sur cinq types de mécanismes de conception trompeuse employés dans le but d’influencer, de manipuler ou de contraindre les utilisateurs à prendre des décisions qui ne sont pas dans leur intérêt. Ces mécanismes peuvent empêcher les utilisateurs de prendre des décisions éclairées concernant la collecte, l’utilisation et la communication de leurs renseignements personnels.
La grande majorité des applications et des sites Web examinés contenaient au moins un des indicateurs de conception trompeuse décrits ci-après.
1. Langage complexe et déroutant
Le type de mécanisme de conception trompeuse le plus souvent relevé dans le ratissage était l’utilisation d’un langage complexe et déroutant, particulièrement dans les politiques de confidentialité. Parmi les applications et les sites Web ratissés, 96 % d’entre eux employaient un langage exagérément technique ou avaient des politiques de confidentialité de plus de 3 000 mots. Parmi les politiques de confidentialité ratissées, 83 % d’entre elles se sont avérées difficiles à lire, nécessitant un niveau de lecture de premier cycle universitaire ou des cycles supérieurs.
2. Interférence d’interface
L’interférence d’interface s’entend de tout élément d’une interface qui est distrayant ou conflictuel et qui peut occasionner des perturbations ou de la confusion chez l’utilisateur. Le ratissage s’est concentré sur trois types d’interférence d’interface :
- Les « fausses hiérarchies », où l’accent est mis sur certains éléments visuels pour diriger les utilisateurs vers des options qui protègent moins la vie privée.
- La « présélection », où l’option la plus attentatoire à la vie privée est présélectionnée.
- La « manipulation émotionnelle », qui exploite un langage à connotation émotionnelle pour pousser les utilisateurs à se tourner vers les options privilégiées par l’organisation.
- Les mécanismes de conception trompeuse susmentionnés sont souvent utilisés de manière combinée. Il peut s’agir, par exemple, d’un titre déroutant qui pousse les utilisateurs à croire que le choix présélectionné est celui qui protège le plus la vie privée.
3. Harcèlement
La tactique du « harcèlement » consiste à envoyer de manière répétée aux utilisateurs les mêmes invites ou requêtes pour les inciter à faire un choix particulier. Le CPVP a observé du harcèlement dans 15 % des interactions sur les plateformes qui ont fait l’objet du ratissage. Le harcèlement était le plus souvent observé lors du processus d’inscription et de suppression d’un compte. Certains sites Web, par exemple, ont demandé de manière répétée aux internautes de passer à leur application plutôt que de continuer avec le navigateur, l’application permettant de recueillir et d’utiliser un plus grand nombre de renseignements personnels que le site Web.
4. Obstruction
L’« obstruction » crée des obstacles inutiles qui visent à dissuader les utilisateurs désireux de protéger leur confidentialité. Parmi les types d’obstruction courants figure la « lassitude du clic », qui oblige les utilisateurs à accomplir un nombre déraisonnable d’étapes pour trouver les paramètres de confidentialité ou supprimer leur compte. Les ratisseurs du CPVP n’ont pu trouver l’option de supprimer un compte en deux clics ou moins que sur 25 % des sites Web et applications.
5. Action forcée
Les mécanismes de conception trompeuse à action forcée obligent les utilisateurs à prendre des mesures précises afin d’accomplir la tâche visée. Certains sites Web peuvent, par exemple, obliger les utilisateurs à communiquer des renseignements personnels supplémentaires avant de pouvoir supprimer leur compte. Ce mécanisme de conception trompeuse a été relevé dans 16 % des applications et des sites Web ratissés.
Conception trompeuse et vie privée des enfants
Dans une analyse distincte, les ratisseurs du CPVP ont étudié l’utilisation des mécanismes de conception trompeuse sur les applications et les sites Web destinés aux enfants. Conclusion : ils y sont encore plus répandus. Lorsqu’un site Web ou une application est susceptible d’attirer les enfants, le CPVP conseille aux entreprises d’éviter – ou à tout le moins de réduire le plus possible – la collecte de renseignements personnels auprès des utilisateurs.
Dans les cas où il est nécessaire de recueillir des renseignements personnels auprès des enfants, les entreprises doivent employer des mécanismes de conception adéquats pour protéger leur vie privée. Le rapport du CPVP dévoile entre autres comment un fabricant de jouets y est parvenu en intégrant à sa politique de confidentialité de courtes vidéos adaptées aux enfants. Mettant en vedette le « Capitaine Sécurité », ces vidéos expliquent la façon dont sont utilisés les témoins (cookies).
Conclusion
Le ratissage pour la protection de la vie privée confirme que la vaste majorité des sites Web et des applications font appel à des mécanismes de conception trompeuse pour manipuler la prise de décisions des utilisateurs, voire compromettre la protection de leurs renseignements personnels. Ces pratiques n’ont pas seulement pour effet de miner la confiance des consommateurs, elles présentent d’importants risques juridiques et d’atteinte à la réputation. Pour pallier la situation, les organisations doivent revoir leurs interfaces numériques pour s’assurer de respecter par défaut la vie privée des utilisateurs.
Si vous avez des questions, n’hésitez pas à communiquer avec l’équipe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken.
Groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken
Forte de plusieurs années d’expérience, notre équipe nationale de protection de la vie privée et cybersécurité est composée de 36 avocats et avocates et offre une vaste gamme de services. Qu’il s’agisse de traiter de questions complexes liées à la protection des renseignements personnels et aux incidents de confidentialité ou de fournir des conseils sur le RGPD de l’Union européenne et les nouveaux régimes juridiques, nous offrons des conseils juridiques complets dans l’ensemble des secteurs d’activité. Notre groupe est reconnu comme un chef de file dans son domaine, ayant reçu de nombreuses distinctions, comme le prix « Équipe de protection de la vie privée de l’année » lors des Prix PICCASO, en plus d’avoir été reconnu par les répertoires Chambers Canada et Best Lawyers in Canada. Pour de plus amples renseignements, veuillez consulter notre site Web.
