Camille Gruhier
Données personnellesLes petits arrangements de Google et Facebook
Depuis l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD), le 25 mai 2018, les consommateurs reçoivent de nombreux messages les invitant à revoir les paramètres de confidentialité de leurs différents comptes Internet. Les sites doivent en effet obtenir l’accord des utilisateurs pour continuer à collecter les données personnelles qui ne sont pas indispensables au service qu’ils proposent. Dans une étude publiée aujourd’hui, nos confrères norvégiens du Forbrukerrådet estiment que Facebook, Google et Microsoft orientent délibérément les utilisateurs vers les options qui les arrangent, en usant d’astuces graphiques et sémantiques. Et s’interrogent sur la compatibilité de telles pratiques avec la nouvelle réglementation.
L’œil humain est plus attiré par un gros bouton en couleur que par un petit texte gris clair. Dans l’univers du Web, tout le monde l’a compris depuis longtemps, et c’est grâce à des repères visuels que les sites guident les internautes dans leur navigation. Mais quand les géants du Web abusent d’astuces graphiques pour pousser les utilisateurs vers des choix qui les arrangent, la pratique n’est-elle pas éthiquement contestable ? C’est ce qu’affirme le Forbrukerrådet, qui publie aujourd’hui une étude accablante sur les pratiques de Facebook, Google et Microsoft en matière de collecte de données personnelles. Les homologues norvégiens de l’UFC-Que Choisir ont en effet analysé les messages que ces trois géants ont envoyés à leurs utilisateurs pour se mettre en conformité avec le Règlement européen sur la protection des données personnelles (RGPD), en vigueur depuis le 25 mai 2018. Conclusion : ces messages affichent un design, des symboles et des mots délibérément choisis pour détourner les utilisateurs des options les plus respectueuses de leur vie privée.
Des interfaces trompeuses
La nouvelle réglementation entérine un principe fort, couramment appelé le « Privacy by default » (ou « vie privée par défaut »). Concrètement, tous les sites Internet doivent garantir par défaut le plus haut niveau possible de protection des données. L’étude montre que dans les pop-ups affichés à l’attention de leurs utilisateurs, Facebook et Google n’ont fait que peu de cas de ce principe. Comme on le voit sur les captures d’écran ci-dessous, le pop-up de Facebook exige de l’utilisateur qu’il clique sur « Manage data settings » (« gérer les paramètres de confidentialité ») pour refuser les publicités basées sur les données de partenaires. Si l’utilisateur clique tout de suite sur le bouton bleu, plus visible, ces publicités sont automatiquement acceptées.
De même, chez Google, l’utilisateur doit se rendre dans son compte pour désactiver la personnalisation des pubs et le partage des applications utilisées. Forbrukerrådet se réjouit toutefois que l’historique des positions de l’utilisateur et ses activités vocales et audio soient désactivées par défaut.
Une argumentation fallacieuse
Nos confrères norvégiens s’agacent par ailleurs de l’information partielle que Facebook et Google donnent à leurs utilisateurs concernant certaines options. Facebook présente ainsi la reconnaissance faciale comme une aide pour « vous protéger d’inconnus qui utiliseraient votre photo », sans l’informer du scope complet des utilisations potentielles. Comme par exemple utiliser les expressions du visage et les émotions pour afficher des publicités ciblées.
Autre exemple chez Google cette fois. Lorsqu’un utilisateur a désactivé la publicité ciblée, Google lui explique que la publicité qu’il verra « sera inutile » et insiste en lui demandant de confirmer à nouveau son choix.
Chez Microsoft, la mise à jour de Windows 10 consécutive au règlement européen présente le fait d’accepter la publicité ciblée comme une expérience positive, une idée brillante, plus optimiste et donc plus engageante qu’un défaitiste refus.
Récompenses et punitions
Dans leurs argumentations pour inciter les utilisateurs à autoriser la collecte de leurs données, Facebook, Google et Microsoft jouent aussi à récompenser les choix qu’ils considèrent comme corrects et à « punir » ceux qui lui sont défavorables avec des menaces. S’il refuse les conditions mises à jour, l’utilisateur n’a alors d’autre choix chez Facebook que de supprimer son compte.
Les conclusions de cette étude interrogent sur un point. Ces pratiques sont-elles vraiment en accord avec le RGPD ? Elles semblent non seulement contraires au « Privacy by default », mais, de surcroît, le texte du règlement est précis concernant la manière dont l’utilisateur donne son accord au recueil de ses données : la demande doit « être présentée sous une forme qui la distingue clairement », « compréhensible et aisément accessible, et formulée en des termes clairs et simples » (art. 7). Les astuces graphiques et sémantiques des géants du Web ne correspondent pas exactement à cette définition… C’est pourquoi l’UFC-Que Choisir a décidé d’interroger la Cnil (Commission nationale de l’informatique et des libertés) sur ces points.