Comme j’ai pu l’aborder dans mon précédent article mixant RGPD, design de la privacy et droits humains ainsi que dans la conférence que j’ai donné au Web2Day : la gestion des demandes de consentement en contexte et en juste à temps est à privilégier pour plus de compréhension, de transparence, de libre arbitre et de confiance de l’utilisateur pour le service utilisé quant à sa vie privée.

Cette contextualisation n’est cependant pas possible dans tous les cas. Un certain nombre de services tiers requièrent un consentement générique et donc global car collectant des données à caractère personnel ne pouvant être contextualisées (solutions de tracking, de ciblage publicitaire, de personnalisation type A/B tests, etc), provoquant une coupure inévitable dans la navigation de l’utilisateur (qui n’a rien demandé par ailleurs).

C’est l’entrée en matière de la fameuse bannière cookies afin de récupérer un consentement licite de l’utilisateur, nécessaire en regard du RGPD mais également de la loi Informatique et Libertés modifiée datant pour sa première version de … 1978.

Pour faire simple, les services tiers et la publicité représentent les deux cibles principales à abattre pour se dédouaner de ces modaux de consentement à la vie privée dégradant l’expérience utilisateur.

En regard de cela et via mon activité de DPO (Data Protection Officer) chez NewQuest, j’ai pu mener un travail de « recherche » et d’analyse d’usages autour de la mise en place de bannières cookies réellement conformes (on y revient plus loin). L’étude porte plus particulièrement sur les choix des utilisateurs en fonction des différentes modalités proposées et notamment celle de la croix fermante. C’est parti.

Rappels réglementaires

Le règlement définit à l’article 4 la notion de consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque » et « par un acte positif clair ». Les lignes directrices du CEPD (Contrôleur Européen de la Protection des Données) précisent que « le silence ou l’inactivité de la personne concernée, ainsi que le simple fait qu’elle continue à utiliser un service, ne peuvent être considérés comme une indication active de choix ».
Ces lignes directrices ne représentaient jusqu’à maintenant (mi-2019) qu’une jurisprudence possible. La CNIL a spécifié en juillet 2019 ses directives en passant de dispositions pouvant être utilisées, à dispositions inscrites dans le marbre et donc à utiliser comme tous autres principes RGPD.

Oublions tout ce qui est à base de « en poursuivant votre navigation... » ou « ce site utilise... » (pas de choix réel). Il faut attendre le recueillement d’un consentement clair via une action positive de l’utilisateur avant de déclencher les tiers et autres éléments non-vitaux. Sinon, cela revient ni plus ni moins à forcer au consentement, ce qui l’invalide.

Bannière cookies non conforme et bullshit
C'est NON ! Non licite... et bullshit

Rappelons également qu’il n’est pas envisageable de bloquer l’accès à un service via une popin de cookie ou une bannière gigantesque empêchant d’accéder au site. Les tiers non indispensables au fonctionnement primaire du site ne peuvent-être une condition de refus à l’accès.

Ça change quelques trucs quand même tout ça...

Bannière CNIL conforme
C'est OUI !

… puisque l’utilisateur peut :

Cette représentation n’est pas exhaustive dans le sens ou le RGPD impose certes des règles et des obligations, mais ni la forme ni le fonctionnement.
Nous pourrions très bien envisager de remplacer le bouton « Personnaliser » par « Je refuse » et ajouter un lien vers la page confidentialité à la suite de la mention de gauche. Cela compliquerait cependant davantage quelque chose qui l’est finalement déjà beaucoup trop…
Qui sait ce qu’est un cookie ? Un traceur ? Du fingerprinting ? Qui comprend réellement ce qu’il se passe ? Les initiés, c’est tout ! Mais le citoyen utilisateur avec peu de connaissance dans le numérique est exclu par défaut et du coup by design de cette « transparence ».

Malgré cela et par rapport à ce que demande le règlement, nous sommes contents, c’est conforme et ça respect a priori l’utilisateur...

Venons en aux faits

Le constat

Il est question ici de se baser sur un exemple précis via les services tiers de suivi en ligne type Google Analytics, et de l’inévitable baisse du tracking observée suite à une mise en conformité réelle.
Il n’y a pas de secret, les seules techniques efficaces de protection de la vie privée diminuent les données collectées.

Seules techniques protégeant la vie privée réduisent les données collectées
Les seules techniques efficaces de protection de la vie privée diminuent les données collectées

Fort de ce constat (auquel on s’attendait soyons honnête !), sortons les outils et analysons cela afin de quantifier un peu tout ça. Pour cela, je me suis appuyé sur une vingtaine de sites mis en conformité par nos soins.

Voici le cadre de l’étude :

Deux scénarios d’usages ont ainsi été étudiés : avec et sans croix fermante.

J’en conviens, nous ne sommes pas sur une recherche très académique ou dans un parfait état de l’art, mais vous allez voir que les résultats sont saisissants et remettent en perspective le RGPD même et ses implications.

Les résultats

Options PC Mobile
3 éléments 50% croix fermante augmentation résultats PC
2 éléments 90% > 98% j'accepte augmentation résultats PC

Ils sont sans appel. Lorsque la croix fermante, n’activant rien est présente, une personne sur deux choisit cette modalité et refuse donc tous services tiers. Inversement lorsqu’elle n’est pas disponible, nous nous retrouvons avec un taux d’acceptation entre 90 et 98 % via l’action « J’accepte ».

Pourquoi un tel changement ? Qui plus est, constaté sur l’ensemble des sites étudiés sans exception.

La réponse est en fait assez triviale et à mettre en lien avec les biais cognitifs d’ancrages subit depuis nos tout premiers usages numériques. Le web commercial a rendu normal et acceptable la dégradation des usages avec toutes sortes de modalités interactives telles que les popins de newsletter ou de promotions, les bandeaux, les notifications, etc... Et bien sûr la bannière cookies !

Tous ces éléments provoquent une saturation cognitive et conative de l’utilisateur qui a prit pour habitude de s’en dédouaner dès que possible pour accéder rapidement à la satisfaction de ses besoins réels. A priori lorsque l’on va à la boulangerie du coin, nous ne nous retrouvons pas face à une dizaine de personnes nous démarchant pour telle ou telle chose.

Ainsi, le seul moyen pour l’utilisateur « gavé » de tous ces éléments qu’il subit en permanence sans en avoir été le commanditaire revient :

Troll croix fermante
« C’est fou comme juste un si petit truc [la croix fermante],
ben... ça change la vie [l’usage et le comportement des utilisateurs] »

Notons que la page « Confidentialité » n’est que très peu visitée dans les deux scénarios étudiés : entre 2 et 4 % des visites uniquement. Aussi, certains utilisateurs, bien que très minoritaires, ne font aucune action sur la bannière et continue à naviguer sur le site. La bannière n’étant pas une condition valable de refus à l’accès, la bannière ne doit pas être imposante et ne perturber que de manière très relative la navigation sur le site.

Les résultats sont enfin fortement exponentiels si l’on prend en compte la variable de la résolution des écrans. Plus la résolution va être faible plus la bannière va gêner et même empêcher l’utilisateur de naviguer sur le site. Résultat : davantage de croix fermante ou de « j’accepte » en fonction du scénario et une problématique naissante : la bannière devient alors peu à peu une condition de refus à l’accès ou à un accès très limité du service sous-jacent, remettant finalement en cause la licéité même de cette dernière.

Les conclusions

Au travers de cette analyse d’usage ressortent différentes problématiques. La première rencontrée est celle de la fatigue au consentement. L’utilisateur accepte sans lire car il se retrouve face à une surabondance de demandes de consentement, popins, bandeaux, notifications, etc.

Cette problématique est d’autant plus inquiétante dans le sens ou est récupéré finalement pas ce que l’utilisateur veut vraiment, mais ce qui est issue de ce qui va le plus vite pour lui en rapport avec son confort d’usage. L’attention étant une ressources précieuse et limitée chez l’utilisateur, il ne peut tout simplement pas effectuer cette charge cognitive à chaque interface consultée.

D’où l’émergence d’un questionnement basique : peut-on caractériser un consentement recueillit dans ses conditions comme étant licite et donc conforme au règlement ? La Ma réponse est NON !

Cette fatigue au consentement est à coupler avec une seconde problématique liée elle à la surcharge informationnelle. À force de trop informer est produit l’inverse : l’utilisateur est perdu. C’est le cas sur la mention générique de la bannière où il est compliqué d’expliquer simplement ce qu’il se passe globalement sur le service, et donc d’informer. Hormis à prendre de grands raccourcis, néfastes au final dans la plupart des cas au libre-arbitre de l’utilisateur.

C’est aussi le cas de la page « Confidentialité » qui peut contenir des centaines (oui des centaines vous avez bien lu !) de services tiers que l’utilisateur doit pouvoir appréhender et configurer. Ce qui n’est cognitivement pas faisable et acceptable pour chaque service utilisé. Associons à cela la faible exploration de cette page par les utilisateurs, révélatrice de cette incapacité.

Dernière problématique, celle de la localisation des données qui est aussi à prendre en compte. Le problème ? Une véritable inception est en place avec des services tiers incluant eux-mêmes des services tiers, incluant eux-mêmes des services tiers, etc. Que l’on soit initié ou non, il est très complexe d’avoir un mappage simple et compréhensible de qui collecte quoi et comment, partage quoi et comment, etc.

La maîtrise des données ne pouvant être affirmée, les collecteurs de données et les utilisateurs sont dans l’incapacité de savoir qui brasse quelles données et comment.

Ce qui nous amène à une nouvelle problématique utilisateur, qui se retrouve dans l’incapacité de prendre des décisions éclairées et en transparence car il ne comprend pas ce qu’il se passe du fait que personne ne sait ce qu’il se passe.

Retour vers une vision macro et à l’esprit de conformité

En somme, un beau panel de problématiques liées aux modalités génériques de demandes de consentements relatives à la vie privée.

Nous voyons bien qu’il n’y a pas de solutions simplistes à ces problèmes à moins d’abandonner l’usage de services tiers, ce qui semble plus que compliqué compte tenu de l’industrie actuelle. Il faut donc se tourner vers l’utilisation, mais aussi le développement de services tiers comportant intrinsèquement en eux, des valeurs de protection des données et de respect de la vie privée.

Des alternatives existent déjà telles que Matomo (solution analytique), OpenStreetMap (solution de cartographie), etc. Elles font cependant face à des services sur-acceptés et non contestés par toute une industrie. Qui n’a pas déjà entendu : « c’est une grosse entreprise, elle doit savoir ce qu’elle fait et respecter la loi. Fonçons ! ».

Rappelons au passage que la plupart de ces services proviennent de sociétés dont une part importante de leur CA est liée à leur statut d’annonceur (plus de 80 % du CA pour Alphabet Google et plus de 90 % pour Facebook). Pour faire de la publicité qui marche avec un ROI intéressant notamment, pas de magie, il faut personnaliser finement et constituer des profils utilisateurs précis, ce qui va à l’encontre même des principes de vie privée inscrits dans la DDHC de 1948 au passage.

Les alternatives respectueuses, en plus d’être dans la plupart des cas auto-hébergeables et donc respecter le principe de maîtrise des données par défaut, permettent, en plus de ne pas partager les données à l’ensemble de la Terre, de ne pas avoir à recueillir un consentement car ne collectant pas de données rattachables à une personne physique identifiée ou identifiable. Il ne s’agit donc pas de données personnelles.

De cette manière, l’utilisateur n’a plus de choix à prendre dans la mesure ou nativement, le service va le respecter via le respect de ses données. Permettant de surcroît un bien être à l’utilisation du fait de la libération de ses capacités attentionnelles limitées.

Fini donc les stratégies en tout genre pour duper les utilisateurs et récupérer des consentements au mieux à demi licites via ces bannières cookies ou ces demandes de consentement permanentes et interrompant l’utilisateur.

Cette manière de penser et de faire va être difficile à universaliser, tant un nombre important d’acteurs ayant pignon sur rue n’entendent pas cela de la sorte pour mettre toujours plus de beurre dans les épinards au détriment d’un intérêt commun.

Les questions liées à la privacy vont bien plus loin qu’un simple contexte numérique. Il s’agit en réalité de problématiques sociétales profondes.

Que souhaitons-nous ? Des Internets et un Web dans lequel l’utilisateur est la proie de tous ou plutôt un bien commun ou règne le partage, le respect des droits fondamentaux et l’émancipation des individus ?

Ma conférence au Web2Day 2019

07 juin 2019Nantes|Vidéo-Slides

Smells like GDPR compliance spirit… design de la privacy et droits humains