Lors de sa session plénière du 14 mars 2022, le Comité Européen de Protection des Données (CEPD) ou « European Data Protection Board » (EDPB) en anglais s'est penché sur la problématique, très actuelle, des « dark patterns » et sur celle, plus formelle, des modes de coopération des autorités de contrôle européennes entre elles, d'une part, et avec des pays tiers, d'autre part. Le régulateur européen a ainsi adopté deux nouveaux documents.
Le premier est un projet de lignes directrices portant sur comment reconnaître et éviter les « dark patterns » sur les plateformes de réseaux sociaux, et ouvert à consultation publique jusqu'au 2 mai 2022.
Armes privilégiées de l' « économie de l'attention », les « dark patterns » (qui pourraient être traduites littéralement comme « configurations de l'ombre ») sont définies par l'EDPB comme « des interfaces et des expériences utilisateur mises en œuvre sur les plateformes de médias sociaux qui amènent les utilisateurs à prendre des décisions involontaires et potentiellement préjudiciables concernant le traitement de leurs données personnelles, en influençant le comportement desdits utilisateurs afin d'entraver leur capacité à protéger efficacement leurs données personnelles et à faire des choix conscients. »
Présentes à tous les stades de la vie d'un compte sur un réseau social, depuis sa création jusqu'à sa suppression, les principales catégories de « dark patterns » sont définies et illustrées par l'EDPB :
- la « surcharge » (« overloading ») : il s'agit de présenter aux utilisateurs une avalanche de demandes, d'informations, d'options ou de possibilités en vue de les inciter à partager davantage de données ou de faire en sorte qu'ils autorisent involontairement le traitement de leurs données
- le « saut » (« skipping ») qui consiste à concevoir l'interface ou l'expérience afin que ceux-ci oublient en tout ou partie les aspects liés à la protection des données
- l'« agitation » (« stirring ») : il s'agit d'influencer le choix des utilisateurs en faisant appel à leurs émotions ou en utilisant des stimuli visuels
- l'« entrave » (« hindering ») qui permet de gêner ou bloquer les utilisateurs dans leur quête d'information ou de gestion de leurs données en rendant l'action difficile ou impossible à réaliser
- l'« inconstance » (« fickle ») : il s'agit de rendre difficile la navigation de l'utilisateur dans les différents outils de contrôle de la protection des données et la compréhension de la finalité du traitement en présentant une interface incohérente et peu claire
- « laisser dans l'obscurité » (« left in the dark ») : pratique consistant à concevoir une interface de manière à cacher des informations, les outils de contrôle de la protection des données ou à laisser les utilisateurs dans l'incertitude quant à la manière dont leurs données sont traitées (ex : lorsque l'utilisateur s'apprête à supprimer son compte, absence d'information sur la durée de conservation de ses données post suppression ; basculement automatique de la page consultée vers la langue du pays dans lequel se trouve l'utilisateur alors que ce dernier a déjà sélectionné une langue différente dans une page précédente ; lorsque l'utilisateur clique sur un lien destiné à l'exercice de ses droits, les informations ne sont pas fournies dans la ou les langues officielles de l'Etat du pays de l'utilisateur, mais en anglais, alors que le service l'est).
En prenant des exemples précis, le régulateur européen adresse ainsi aux fournisseurs de réseaux sociaux, des recommandations précises afin de leur permettre de respecter les règles et principes du RGPD particulièrement pertinents dans ce contexte, à savoir notamment :
- les principes de licéité et de transparence (notamment en ce qui concerne l'accessibilité de l'information), ainsi que les principes de minimisation des données (notamment en ce qui concerne les paramétrages par défaut) et de limitation des finalités (notamment en ce qui concerne l'information communiquée aux utilisateurs lors de la désactivation de leur compte)
- les conditions du consentement ; mais également les conditions d'exercice des droits des personnes concernées
- les principes de protection des données dès la conception et protection des données par défaut.
L'EDPB a également adopté des lignes directrices sur l'application de l'article 60 du RGPD posant le principe de coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées afin de répondre au mécanisme de « guichet unique » (« one-stop shop ») instauré par le RGPD.
Constituant l'une des innovations les plus importantes du RGPD, le mécanisme de « guichet unique » implique en effet, dans le cas des traitements transfrontaliers de données personnelles, que l'autorité de contrôle de l'Etat membre du principal établissement du responsable du traitement ou du sous-traitant soit l'autorité qui chapeaute l'application effective du RGPD pour les activités de traitement transfrontalières concernées, et ceci en coopération avec toutes les autorités de contrôle pouvant être confrontées aux effets desdites activités de traitement. Pour ce faire, le régulateur européen analyse les termes de l'article précité afin de préciser la manière dont cette procédure doit être appliquée et suivie par les autorités, notamment en ce qui concerne : leur indépendance ; l'impact des règles de procédure nationales ; l'échange de toute information utile ; etc.
Outre ces lignes directrices, l'EDPB a également mis en place une « boîte à outils » sur les garanties essentielles en matière de protection des données personnelles pour la coopération en matière d'application de la législation relative à la protection des données personnelles entre les autorités de protection des données de l'Espace Economique Européen (EEE) et les autorités de protection des données des pays tiers. Prenant appui sur l'article 50 du RGPD – posant le principe de coopération internationale dans le domaine de la protection des données personnelles – l'EDPB propose des modèles de clauses à insérer dans :
- les « administrative arrangements » (arrangements administratifs) élaborés au sein de l'EDPB par les autorités de protection elles-mêmes afin d'encadrer les transferts de données personnelles par la fourniture de garanties appropriées conformément à l'article 46.3.b) RGPD,
- les accords internationaux négociés par la Commission Européenne.
Ces clauses couvrent de nombreux sujets, tels que : les droits exécutoires des personnes concernées ; le respect des principes de protection des données ; le recours juridictionnel des personnes concernées ; la confidentialité et le secret professionnel.
Via ces orientations générales, l'EDPB propose d'apporter une nouvelle fois des recommandations utiles pour nombre de parties prenantes, qu'il s'agisse des autorités de contrôle à la protection des données ou des responsables de traitement de données tels que les fournisseurs de réseaux sociaux.
