What is the Cost of Non-Compliancy to GDPR?

No Trick or Treat but Digital Tricks and Traps: About Dark Patterns in Cookie Banners.
Charlotte Bourguignon

Pas de truc ou de friandises mais des astuces et des pièges numériques.

à propos des Dark Patterns dans Cookie Banners.

cookies

écrit par : Charlotte Bourguignon

Avec Halloween qui approche, il est tout à fait approprié de penser à d’autres choses sombres, comme les dark patterns dans le marketing. La plus grosse amende du RGPD (Règlement général sur la protection des données) à ce jour, une sanction de 746 millions d’euros contre Amazon, a été émise pour avoir poussé leurs utilisateurs à accepter les cookies par défaut, et avoir rendu l’opt-out trop difficile. Ce type de nudging est un excellent exemple d’un dark pattern.

En général, les dark patterns sont utilisés pour décrire des techniques permettant d’influencer le choix des consommateurs dans la direction souhaitée. Ces modèles fournissent une user interface conçue pour inciter les utilisateurs à prendre des mesures qui ne sont pas nécessairement dans leur meilleur intérêt, ou qu’ils n’auraient pas prises si leur consentement n’avait pas été manipulé. En particulier dans le domaine de la protection de la vie privée, les dark patterns posent un problème car ils sont non seulement discutables en termes d’éthique, mais ils vont sans aucun doute à l’encontre du RGPD.

Que sont les cookies, s’ils ne sont pas consommables ?

Selon la politique de cookies de Google, les cookies sont de « petits fichiers texte envoyés à votre navigateur via le site Web consulté. Grâce à ces cookies, le site Web mémorise des informations sur votre visite. Cela peut renforcer l’utilité de ce site pour vous et faciliter votre visite suivante. » Cependant, certains cookies peuvent également stocker des informations vous concernant, c’est pourquoi le consentement de l’utilisateur est nécessaire en dans le cadre du RGPD. Et c’est là que ça devient intéressant…

 

De nombreux sites Web utilisent des dark patterns pour inciter leurs visiteurs à accepter les cookies.  Il est impossible de donner un consentement valide RGPD à une bannière de cookies lorsque le bouton de refus n’existe pas ou presque invisible. Il s’agit là d’un excellant exemple d’un dark pattern car il est très simple, mais ce n’est pas toujours le cas. Les dark pattterns utilisent la psychologie humaine pour inciter les gens à réagir, ce qu’on appelle le nudging. Ils peuvent être extrêmement efficaces, car la plupart des utilisateurs ne savent même pas qu’ils sont « guidés ».

RGPD et cookies

Le RGPD n’interdit pas explicitement les dark patterns, mais il exige que le consentement soit donné librement lorsqu’il s’agit de stocker et de traiter des données (personnelles). Le considérant 32 du RGPD stipule que :

“Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale.”

Si l’utilisateur ne peut pas accepter ou rejeter librement les cookies, et que la conception trompe intentionnellement l’utilisateur, cette pratique est contre le RGPD et vous risquez une amende. De manière choquante, une étude allemande de 2019 a montré que plus de 57,4% des sites Web populaires en Europe incitent les gens à donner leur consentement à leurs bannières de cookies. Cela montre qu’il y a encore beaucoup de travail à faire.

Comment utiliser correctement les bannières de cookies?

Alors que les autorités de surveillance deviennent plus strictes et que les gens deviennent plus conscients de la valeur de leurs données personnelles, les spécialistes du marketing sont poussés à concevoir des moyens astucieux pour pousser les gens à accepter les cookies. Bien que l’originalité soit une bonne chose, les dark patterns ne le sont pas. Voici quelques choses à faire et à ne pas faire lorsque vous concevez votre bannière de cookies.

1. Avoir une bannière de cookies en premier lieu

Celle-ci peut sembler évidente, mais une bannière de cookie est une obligation légale si votre site Web utilise des cookies (qu’il s’agisse de cookies de première partie ou de tiers).  De plus, le RGPD vous oblige à divulguer à vos visiteurs le type d’informations que vous collectez auprès d’eux, ce que vous faites avec ces données et quels sont les droits du visiteur en ce qui concerne ces cookies. Ces informations doivent être divulguées dans votre politique en matière de cookies, dans un langage clair et concis. L’absence totale de bannière de cookies est la plus grande erreur qu’un hébergeur de site Web pourrait faire.

2. Ajouter un bouton « Refuser » à la bannière

Nous savons que vous souhaitez recueillir autant de données que possible auprès des visiteurs de votre site Web, mais la personne concernée doit pouvoir choisir elle-même si elle souhaite partager ces données ou non. Plutôt que d’omettre le bouton de rejet, rédigez un texte brillant qui attire l’attention mais laisse toujours la possibilité au visiteur de décider lui-même s’il veut accepter les cookies ou non. Plus tôt cette année, Google a reçu une amende énorme de 150 millions d’euros de la part de la CNIL pour avoir rendu le processus de rejet de ses cookies inutilement confus et difficile pour ses utilisateurs. Évidemment, Google a maintenant ajouté un bouton « tout refuser » à leur bannière de cookies.

3. N’utilisez pas de lien trompeur au lieu d’un bouton de rejet

Celui-ci est fortement lié au point précédent. Certains sites Web ajoutent un bouton « rejet » sous la forme d’un long lien. Par exemple, « cliquez ici pour voir vos options » ou, pire encore, un lien « paramètres ». Il n’est pas clair pour les utilisateurs qu’ils peuvent refuser les cookies via ce lien, ce qui les conduit à cliquer automatiquement sur « accepter ».

4. Soyez prudent avec les couleurs manipulatrices

Le RGPD ne vous interdit pas explicitement d’utiliser des couleurs sur vos boutons dans les bannières de cookies, mais soyez prudent lorsqu’elles sont utilisées intentionnellement pour manipuler le comportement de clic. Cette technique de nudging psychologique a été jugée illégale dans le passé par l’AS danoise (le Datatilsynet). En 2021, Datatilsynet a constaté que la conception de la bannière de cookies d’une entreprise danoise trompait ses utilisateurs par l’utilisation de couleurs vives.

5. Évitez les options présélectionnées

Selon une étude réalisée en 2020, 46,5 % des sites web européens populaires utilisent la présélection pour orienter les consommateurs vers des paramètres non respectueux de la vie privée dans leurs avis de consentement aux cookies. Le fait de devoir décocher manuellement toutes les cases est lourd à supporter pour l’utilisateur. Par défaut, seuls les cookies nécessaires doivent être cochés, les autres devant être facultatifs (d’où « une case vide ») pour le visiteur. Dans son affaire contre la société de loterie allemande Planet49, la CJUE (Cour de justice de l’Union européenne) a ordonné que les cases pré-cochées dans les bannières de consentement aux cookies ne soient pas considérées comme « consensuelles ».

En conclusion, l’installation d’une bannière de cookie sur votre site Web n’est pas quelque chose à craindre, mais à connaître. N’utilisez pas des dark patterns pour orienter le comportement des gens, mais utilisez plutôt un texte clair et attrayant pour gagner l’attention de vos visiteurs. Vous pouvez vous demander si tous les cookies utilisés sur votre site Web sont vraiment nécessaires pour suivre nos performances. Comme d’habitude, moins donne plus, surtout quand il s’agit de cookies (comestibles ou non).  😉

Hi! How can we help? 

Questions, remarks, feedback or compliments? The fastest way to reach us is through the form below.





    For urgent matters, you can contact us via 02 310 39 63.