Vous les avez déjà vus. A la fois omniprésents, peu accommodants, gênants. Souvent vagues, incompréhensibles ou bloquants votre arrivée. C’est devenu votre premier contact avec une interface numérique.

Il s’agit des CMP pour Consent Management Plateform, ces surcouches de récupération de consentements utilisateurs relatifs à la protection des données personnelles, devenues pléthores depuis l’entrée en application du Règlement (européen) Général sur la Protection des Données – RGPD – le 25 mai 2018. Mais également au-travers d’autres textes tel que le California Consumer Privacy ActCCPA – entré en vigueur le 1er janvier 2020 dans l’État de Californie aux États-Unis. Ces deux textes instaurent un principe d’application internationale, extra-territorial sur les personnes concernées : européennes et californiennes, qu’importe leurs localisations.
(N.B. : pour la suite, il conviendra sans précision de relier les propos légaux au RGPD).

Leurs objectifs sont simples. D’une part, rendre conforme les gestionnaires de projets numériques en quelques clics et de manière quasi-automatique aux diverses législations se basant sur la récupération d’un consentement utilisateur. D’autre part, permettre d’informer leurs utilisateurs afin qu’ils puissent faire jouer leur libre arbitre et entreprendre des choix éclairés et en transparence concernant leurs données personnelles.
Ces solutions peuvent, dans une certaine mesure répondre aux exigences légales, mais non sans attention, discernement et dévouement lors de leur mise en place. Cependant, la façon dont ils sont déployés et mis sur le marché pose question.

Ils engendrent nombre de problèmes d’usage, d’ergonomie et d’incompréhensions allant jusqu’à penser pour certains, qu’il s’agit d’un « virus publicitaire » ou d’un hack. Mais aussi de problèmes fonctionnels lorsque rien ne marche ou que partiellement, de détérioration des performances avec l’ajout d’un tiers supplémentaire, ou encore de problèmes légaux avec le blocage d’accès via un mur ou overlay.

Face à cela, je vous propose de faire un état des lieux des éléments en présence, d’en analyser les problématiques et d’en faire émerger des solutions. Solutions qui ne seront, ni triviales, ni magiques, mais adéquates en regard de problématiques multi-factorielles.

Un jour fut le consentement

Comment en sommes-nous arrivé là ?

L’écosystème numérique repose sur une économie de marché, induisant des recettes pour vivre et de la croissance pour prospérer. Cela est presque tout le temps atteint au travers d’un système publicitaire, mais pas que. Il est également question du tracking des usages et comportements des utilisateurs afin de comprendre leurs « besoins » et d’agir en adéquation, mais nécessitant une identification et une collecte de données.

Cette logique impose dans la plupart des cas la mise en place de tiers, recourant à diverses pratiques (scripts, cookies, fingerprinting, etc), dont les traitements (actions) sont plus ou moins attentatoires aux libertés individuelles et à la vie privée des utilisateurs en fonction notamment de la technique employée et des objectifs attendus de la dite collecte.

Pourquoi en sommes-nous arrivé là ? Et bien parce que...

Bref, des solutions qui nous propose de nous dédouaner de ces sujets tout en souscrivant à l’offre recommandée, embrassant les divers éléments législatifs à notre place.
Sur le papier, ça paraît un tantinet canon non ? La limonade n’est cependant pas aussi douce et sucrée qu’elle n’y paraît. Allons nous-y désaltérer.

Quelles problématiques ? Quels reproches ?

Anti-ergonomique & incomplet

Les darkpatterns ou solutions anti-ergonomiques y sont légions. Différences de styles entre deux éléments pour en favoriser un, ratio diminué entre la couleur d’une typographie et son arrière-plan pour y dissimuler, sont les plus appréciés. Sans oublier le fameux blocage d’accès afin de récupérer un consentement positif global avant toute chose pour compléter le podium.

Côté usages et apprentissages :

  • Changements de présentation ou de fonctionnements potentiels sur chaque site consulté. Allons-nous sur un site pour son contenu ou pour configurer des paramètres relatifs à nos données personnelles ?
  • Les personnes ayant une ou des déficiences sont comme souvent, mises de côté. Est estimé entre 20 et 30 % la part des personnes déficientes en France, pouvant représenter jusqu’à 20 millions de personnes. Doutons fortement qu’un e-commerçant prenant conscience de cela laisse de côté 20/ 30 % théorique de CA. Que se soit pour de la vente pure ou l’accès même à son site via une solution de recueil du consentement qui ne serait pas accessible empêchant de fait d’y accéder.
  • Ils ne permettent pas nativement et facilement une gestion fine et contextualisée des différents consentements impactant les interfaces. Une pub ou une vidéo YouTube non consentie ne devra pas se charger et donc s’afficher. Sans prévention et aide à la compréhension, l’interface pourra être soi cassée par décalage, soi incompréhensible si l’utilisateur attend un élément qu’il ne voit pas et qu’en plus il n’en a pas l’explication.
  • La gestion d’une part de contenu qui ne peut pas être pondu automatiquement et allant au-delà de ce que permet la CMP.

Éthique un jour, éthique toujours ?

Aucun doute possible, l’éthique est le cadet des soucis des entreprises éditrices de CMP. Leur mantra : « Sois évasif et tu vendras ! ».

Avec ces solutions, la conformité peut paraître apparente pour le néophyte ne sachant comment vérifier les aspects fonctionnels car complexes sans aucune compétence technique. Cette impression de conformité est à la fois néfaste et perverse aussi bien pour l’éditeur du site que pour ses utilisateurs. Une part sera dupée par un site en apparence conforme, tandis qu’une autre part sera agacée de la supercherie et du mensonge.

Ajoutons à cela une communication bullshit de leur part, mais également des médias sur ces outils « magiques » : « Ceci est une révolution ! ». Ces prises de position, dignes d’un apprenti en herbe disruptant le digital souffrent d’importantes lacunes, relevant du contenu putaclic afin de produire visibilité et rentabilité. Visibilité réalisée bien sûr sur des sites eux-mêmes non conformes et exposant par la même une bonne dose de contenus publicitaires afin de générer des revenus. La boucle est bouclée !

Enfin, le déclenchement d’un tiers supplémentaire – la CMP, collectant vraisemblablement des données personnelles pour se conformer en regard de problématiques de protection des données personnelles pose… question.

« Ça va marcher beaucoup moins bien forcément »

L’impression de conformité est à relier au fonctionnement intrinsèque de ces solutions, qui ne peut réellement être viable car dépendant d’un écosystème global. L’ajout d’un service tiers entraîne bien souvent lui même l’ajout d’autres tiers pour fonctionner, ajoutant eux-mêmes un ou plusieurs tiers à cette boucle continue. Il est de fait très compliqué de constituer un recensement précis sur un projet donné, comprenant toutes les données personnelles collectées, leurs liaisons ainsi que les buts poursuivis, et d’autant plus dans la durée. Cela va de mise avec la caractéristique volatile de ce que constitue une donnée : un fragment copiable, dispersable, combinable, vendable, utilisable et réutilisable à souhait.

La bonne gestion d’une CMP revient donc pour un gestionnaire de site à comprendre ce qui se passe sur son système en tout temps. C’est loin d’être évident !

Ces dernières années ont vu arriver une évolution notable dans les processus de conception et de gestion : la systématisation des CMS, induisant délégation technique et séparation des métiers. Dans l’idée, le technicien met en place les gabarits de page et son package technique, quand la personne en charge de la rédaction injecte directement ses contenus dans le système. C’est sans doute très positif pour la communauté, chacun pouvant simplement être générateur de contenu.
Mais c’est justement cette simplification de la saisie dans des interfaces WYSIWYG qui va poser problème dans une optique vie privée. Puisque quiconque ayant les accès peut modifier du contenu avec des composants plus ou moins avancés, quiconque va pouvoir ajouter des scripts, iframe, vidéos, etc, qu’une CMP, en fonction de la caractéristique attentatoire à la vie privée de chaque élément, va devoir être en mesure de prendre en compte, débloquer/ bloquer et gérer au travers des consentements utilisateurs. Problème, cette gestion n’est pas aussi subtile avec ces solutions.

Résumons : une CMP, c’est pas la panacée !

Aparté pratique : la solution Quantcast Choice

Faisons connaissance

Comme la plupart de ses concurrents, Quantcast, leader actuel de ce type de solutions, n’est pas une entreprise spécialisée dans la vie privée mais… dans la publicité. Je propose de mettre directement fin à l’aparté. Nous pourrions en rester là, mais allons plus loin.

Jusqu’en 2018, les deux produits phares de la société américaine sont Quantcast Measure pour le suivi de la fréquentation, et Quantcast Advertise correspondant à une place de marché publicitaire collectant et utilisant d’importants volumes de données utilisateurs. À partir de 2018, un petit nouveau s’invite, Quantcast Choice aka le doux nom de la CMP qui va nous intéresser.

Sur leur site, la balise titre annonce la couleur : « Quantcast: AI-driven Audience Insights, Targeting & Measurement ». En présence également, la salade habituelle : « Chez Quantcast, nous prenons la confidentialité des consommateurs très au sérieux. La confidentialité par conception est au cœur de notre philosophie de développement de produits depuis notre création ». Notons qu’ils ne parlent pas d’humains ou d’utilisateurs mais de consommateurs.

Quantcast revendique aujourd’hui plus de 26 000 sites utilisant Choice avec un taux moyen de consentement annoncé au-dessus des 90 %. Ce qui pose quelques interrogations lorsque l’on consulte les résultats de recherches avec des résultats tout autres. La conclusion de l’une d’elle indique que si les avis de consentement étaient conformes, les sites récupèreraient moins de 0,1 % des consentements à l’utilisation des cookies tiers. Il y a comme un petit delta.

Je m’étais également prêté à l’exercice dans l’un de mes précédents articles, basé sur un ensemble de cas concrets, dans lequel j’indiquais qu’en fonction des modalités présentes sur la barre de consentement, on passait de plus de 90 % à seulement 50 % de taux de consentement si l’on ajoutait une dose d’éthique et de conformité.

Pour clore le tableau, la société dont l’établissement principal en Europe est établi à Dublin est actuellement visée par une enquête staturaire de la DPC irlandaise, l’homologue de la CNIL française, relatif à l’agrégation de données personnelles à des fins de profilages et l’utilisation des profils générés pour de la publicité ciblée. En soit, rien à voir pour le moment avec l’outil Choice, mais le décor est planté.

Quantcast bien ou Quantcast mal ?

Nous nous retrouvons face à un outil :

  • Incorporant par défaut des darkpatterns stars dont la différentiation de styles pour des actions censées être équivalentes et permettre le libre-arbitre. Relevons d’ailleurs sur ce point que Quantcast ne respecte pas lui même la réglementation sur son site, tout en recommandant pour la configuration de sa solution, de laisser les valeurs par défaut (pas vraiment conformes) pour limiter au maximum les risques de non conformité... Ou plutôt pour ne pas réduire le taux de consentement.
  • Pouvant bloquer l’accès au contenu tant qu’une action n’a pas été faite au travers de la CMP.
  • Popin de demande de consentement avec darkpattern et blocage d'accès
    Darkpattern + blocage d'accès au contenu = combo gagnant
  • Affichant une simplification toute relative pour sa configuration : « Conformité par défaut » mais quand même : « Une grande configuration s’accompagne d’une grande responsabilité » selon l’intéressé. Il n’y a pas d’accompagnement à la configuration bien que paraissant intuitive. Notons que le bouton de refus du consentement est conditionné à l’activation d’une case à cocher en opt-in natif, soit non cochée.
  • La configuration du bouton de refus est désactivé de base.
    Le bouton de refus est nativement désactivé sans action.

Si l’on prend la solution dans sa globalité, il reste difficile de se prononcer de manière tranchée et définitive sur la chose, tant il pourrait permettre à une partie des gestionnaires de sites d’opter pour une solution clé en main qui pourrait dans certains cas être toute proche d’une conformité avec l’ajout de connaissances et de compétences additionnelles.

Beaucoup d’éléments pourraient être à redire sur la manière de configurer Choice. Mais tout dépend de l’interprétation qui est faite des règles législatives dont une forte latitude est possible, mais aussi de ses propres valeurs éthiques et morales.

Reprenons l’exemple du bouton de refus du consentement non activé par défaut et qui peut faire débat en soi. D’après le RGPD, le bouton n’est pas obligatoire directement sur un premier niveau d’information. L’utilisateur doit bien pouvoir s’opposer à un traitement aussi facilement qu’il en a donné le consentement, mais il peut le faire en passant par une étape intermédiaire via un bouton « Personnaliser ». Bien que cela puisse permettre au passage de récupérer nombre de consentements, l’utilisateur ne souhaitant pas perdre de temps à chaque site consulté et optant donc pour « J’accepte ». Nous touchons ici à un point faible de la réglementation. Le refus devrait être sur un pied d’égalité avec l’acceptation et obligatoirement proposé en première interaction afin de ne pas tomber dans du blanchiment de consentement, forçant l’utilisateur à le donner malgré lui.

Problème, avec Choice, les différentes propositions d’interactions, « J’accepte » et « Personnaliser » ne peuvent être présentées de la même manière nativement, sans aller réaliser des overrides CSS directement dans le code. Combien de gestionnaires de sites sont en mesure de faire les modifications sans connaissance technique aucune ?

C’est là qu’une telle solution, si elle était de bien commun, devrait par défaut donner des styles équivalents à ces éléments, tout en alertant si un changement contrevenant à cette règle était opéré. Tout cet accompagnement vers la conformité n’est pas présent et c’est un gros problème.
Qu’une configuration assez libre et donc potentiellement non conforme dans certains cas soit proposée et permise, pourquoi pas, le gestionnaire du site restant le responsable de traitement et le responsable tout court de son site. Mais il serait bon de prendre en compte pour ce responsable, s’il a été informé au préalable que ce qu’il s’apprêtait à faire ne pourrait correspondre dans une certaine mesure à la légalité attendue. On obtiendrait ainsi d’un côté une entreprise précisant les choses et faisant son travail dans sa globalité, de l’autre un gestionnaire informé.

Rappelons-nous aussi que Quantcast reste une entité privée, seule détentrice de son éthique et de sa morale. Dans son cas, attachée à ses résultats quant au taux de consentement, claironné sur tous les toits pour vendre son produit : « Mens et tu vendras mon fils ». Ce pour quoi la conformité ne peut être atteinte uniquement avec ces outils, restant sur-marketés comme des solutions zéro effort produisant de la conformité vers l’infini et l’au-delà.

Il faut bien avoir en tête que nous restons sur quelque chose de compliqué à appréhender, justement parce que les éléments en présence sont loin d’être triviaux.

Parlons peu, parlons législatif

Des différences de blocs

Chaque pays, État, fédération ou länder possède sa propre organisation légale avec ses spécificités.
Est souvent décrit en relation avec la protection des données personnelles, des philosophies divergentes entre l’Europe et l’outre-Atlantique.

Les États-Unis favorisent la libre circulation de l’information et sa patrimonialisation, tout en aménageant des droits importants pour son État, notamment concernant la poursuite d’infractions et la lutte contre le terrorisme. Une vision clairement matérielle et mercantile, la vie privée étant perçue comme nocive pour le marché. En ce sens, aucun texte général relatif à la protection des données à caractère personnel n’existe au pays de l’oncle Sam, où le législateur n’est intervenu que sporadiquement sur ces questions.

Aux antipodes en Europe, l’Allemagne s’est dotée en premier et dès 1977 d’un texte législatif sur la protection des données, comme la France a pu le faire un an plus tard avec la première version de la loi Informatique et Libertés . Leur but, introduire un nouveau droit constitutionnel relatif au principe « d’autodétermination informationnelle ». À savoir, le droit pour chaque individu de décider lui-même de la communication et de l'emploi des informations le concernant.
Ces similitudes et la structuration même de l’Union Européenne ont vu naître un règlement communautaire – le RGPD – en 2016 afin d’harmoniser les problématiques liées à la protection des données personnelles.

Des méthodes et des philosophies antinomiques donc, induisant forcément des différences de résultats et de problématiques. À ce propos, vous avez peut-être déjà entendu parler de l’histoire d’une boîte US de publicité concoctant une solution de recueil de consentements pour une réglementation européenne...

Il reste complexe pour une entreprise d’entité extra-territoriale, de mettre en place un outil pour une réglementation dont il n’est pas pleinement soumis sur son propre sol, devant s’adapter avec une culture, un fonctionnement et un état d’esprit bien différent.
Un parallèle peut-être fait avec le puritanisme à l’américaine exercé par Facebook sur le monde au-travers de ses algorithmes de gestion de contenu et de censure, décidant de ce qui est convenable de ce qui ne l’ai pas. Le géant, insuffle ses positions à l’ensemble de ses utilisateurs (mondiaux), en bloquant par exemple L’Origine du monde de Courbet, les photos d’Helmut Newton/ Willy Ronis ou encore la petite sirène de Copenhague car contenant des … connotations sexuelles. Devant le tollé, des modifications avaient été apportées dans les conditions d’utilisation afin d’accepter : « les photos de femmes qui défendent activement l’allaitement ou qui montrent les cicatrices post-mastectomie de leur poitrine ». Quelle avancée !

Tableau L'Origine du monde par Gustave Courbet - 1866
L'Origine du monde par Gustave Courbet - 1866.
Du gros porn à l'américaine.
Statue la Petite Sirène de Copenhague
La Petite Sirène de Copenhague
Photo modifiée, le Danemark n'autorise pas la liberté de panorama pour les œuvres d'art. La vraie ici.
Benoît Prieur / Wikimedia Commons / CC BY-SA 4.0
Helmut Newton, Tied-up torso, Ramatuelle 1980 © Helmut Newton Estate
Helmut Newton, Tied-up torso, Ramatuelle 1980 © Helmut Newton Estate
« Couvrez ce sein que je ne saurais voir :
- Par de pareils objets les âmes sont blessées,
- Et cela fait venir de coupables pensées »
– Tartuffe, ou l'imposteur (1664), III, 2, Tartuffe de Molière

Face à cela, il convient de se demander si une solution de recueil du consentement étrangère à une réglementation bien que possédant une portée internationale, est pertinente.

Des responsabilités en question

Malgré les différences se distingue un commun dans le marché numérique. Sans transition ci-dessous, deux phrases tirées du livre « MINDFUCK - Le complot Cambridge Analytica pour s'emparer de nos cerveaux » de Christopher Wylie – lanceur d’alerte (dont je recommande chaudement la lecture) :

  • « En appelant leurs architectures des "services", les entreprises essaient de faire porter la responsabilité sur l'utilisateur par le biais de son "consentement" ».
  • « Ce "blanchiment de consentement" a permis aux grandes entreprises spécialisées dans les nouvelles technologies de continuer à défendre leurs pratiques manipulatrices grâce au langage hypocrite du "choix du consommateur" ».

Ça, c’est fait !

La question des responsabilités est centrale. L’éditeur de la CMP devrait-il être tenu pour responsable ou cela revient au gestionnaire du site qui est déjà de toute façon responsable devant la loi ? Lorsque l’éditeur dupe dès le début le gestionnaire, les dés ne seraient-ils pas pipés ?

Pour y répondre, l’une des dispositions du RGPD introduit un principe de responsabilité conjointe via la qualification de responsable conjoint du traitement pour une finalité commune.
Les jurisprudences rendues, ont déjà permis de donner des détails et notamment avec la décision de la CJUE (Cour de Justice de l’Union Européenne) du 29/07/2019, précisant qu’un éditeur de site ayant ajouté un module de réseau social permettant la communication des données personnelles de ses utilisateurs à ce réseau est responsable conjoint de ce traitement. Dès lors, le gestionnaire du site a une obligation d’information et doit recueillir le consentement préalable de ses utilisateurs, faute de quoi il sera étiqueté comme responsable.

Extrapolons la chose sur la conclusion d’un contrat de traitement entre une entreprise éditrice d’une CMP et un gestionnaire de site. Affaire à suivre.

Uniformisation un jour, uniformisation pas toujours

Une uniformisation n’ai ni souhaitable, ni envisageable. Il faudrait sinon en appeler à une intelligence et une éthique collective dont nous ne disposons pas.
De plus, les interprétations du corpus législatif et des choix en découlant impactent tout un ensemble devenant non-standard par nature.

La non-uniformisation est également un point non discutable d’un point de vu créatif. Comme dans de nombreuses disciplines ou même notre vie quotidienne, le contexte prime et exerce ses particularités en fonction de situations. C’est ce contexte qui va permettre dans notre cas une gestion optimisée des problématiques de vie privée par interface. A ce sujet, il a été défini par exemple comme plus pertinent la mise à disposition d’informations en juste à temps, plutôt qu’au travers d’un lien hypertexte de renvoi sur une seconde interface recueillant l’ensemble des explications. L’utilisateur a ainsi directement toutes les informations pour faire ses choix en transparence. J’ai abordé et détaillé ce point dans mon premier article et dans ma conférence au Web2Day 2019.

La mise en contexte permet également l’émulation de tout un écosystème afin d’y voir émerger des grands principes – guidelines – réutilisables en contextes favorables identiques. En ce sens, il n’est pas envisageable d’avoir un unique fonctionnement et une unique présentation des interfaces de récupération du consentement.

Les CMP privilégient quant à elles une concentration des informations afin d’en simplifier l’usage en apparence, tout en tendant à maximiser la probabilité d’un consentement positif global.

Moi Lobby, moche et méchant

L’ensemble de ces éléments légaux, bien que débattus, votés et en application, souffrent d’une adoption compliquée et toute relative. Et ce pour deux motifs principaux :

  • Un fort lobbying exercé par toute une industrie, marketing et publicitaire pour ne pas l’a nommer. Le sujet principal de discorde : le dépôt des cookies désormais conditionné au recueil d’un consentement explicite et d’une information préalable de l’utilisateur. Il n’est plus possible de se satisfaire d’une poursuite de la navigation pour en déduire un accord. Face à la pression, la CNIL a concédé un an de répit aux dites industries afin de consulter les différents acteurs et générer des lignes directrices que l’on espère cette fois définitives et appliquées.
  • Une non prise de responsabilité et de fermeté claire de la part des autorités en compétences type CNIL, ne cessant de décaler une mise en place pleine de certains principes issues du RGPD. Au préalable d’un report, cela avait déjà débuté avec une période de transition de 6 mois à 1 an avant les premières sanctions, alors que les règles étaient connues de tous depuis 2016..

La CNIL est de plus en plus cantonnée à un rôle consultatif, voir même a posteriori. Pour compliquer les choses, le CEPD (Comité Européen de la Protection des Données, regroupant les 29 CNIL européennes et ex G29), qui édite un certain nombre de lignes directrices, n’ont qu’une portée purement normative. Elles peuvent influencer la jurisprudence, mais il est tout de même possible d’aller à l’encontre de ces travaux. Pour exemple, le RGPD n’interdit pas en soi de manière claire, une définition simpliste des objectifs de traitements poursuivis pour un motif « à des fins marketing » ou « statistiques ». Ce que le CEPD fustige pour des raisons de transparence évidentes.

Autre interrogation, la possibilité éventuelle de fonder un traitement sur l’intérêt légitime, lorsque la finalité, bien que n’étant pas strictement nécessaire à l’exécution d’un contrat, « reste (…) pertinente » pour cette exécution. Et là vous allez me dire « mais oui mais ça dépend du contexte, tu viens de le dire ! », et vous auriez raison. Contrepartie, cette petite bombe à vite fait le tour de la toile, bien sûr sans en approfondir la question et donnant lieu à des communications du type : « Le RGPD c’est comme avant, osef ! ».

Le revers d’un lobbying appuyé et d’un laxisme avéré permet aux CMP de prendre de la valeur face à cet enchevêtrement d’interprétations et d’informations pourtant nécessaires en contexte. « C’est mieux que rien ! ». Bien que controversés, ils apparaissent à défaut comme étant à peu près dans les clous et c’est bien dommage.

Des solutions ?

Les solutions sont finalement souvent les mêmes, pas de surprise.

  1. S’informer.
  2. Se former.
  3. Se faire accompagner/ conseiller.
  4. Et surtout… retrousser ses manches !

Comprendre, il faudra

Revenir à l’essentiel et comprendre comment ça fonctionne. C’est la règle n°1 : aller gratter derrière la couche bullshito-marketingo digitale afin de revenir à la base, la compréhension. Comprendre pour être maître de ses choix, mais également pour informer et proposer des architectures de choix transparentes et respectueuses à ses utilisateurs. Il faut donc en passer par la compréhension des tiers, des réseaux d’annonceurs, des divers textes de loi, etc. Oui c’est long et oui c’est fastidieux, mais c’est nécessaire.

Le but, réduire l’asymétrie des connaissances entre soi et cette réalité quant à l’usage des données utilisateurs. Pour atteindre ce socle de connaissances, la constitution d’un registre des activités de traitement est nécessaire afin de se rapprocher de la gouvernance des données. C’est également l’occasion pour nombre d’éditeurs de sites de remettre en cause leurs pratiques.

Des interrogations demeurent cependant sur certaines pratiques telle que l’usage du fameux nuage ou Cloud Computing, soulevant d’importantes problématiques en raison de la grande autonomie dont disposent les prestataires. Leurs clients se retrouvent dans une position dans laquelle ils ne sont plus capables de décider seuls de certains éléments pourtant essentiels du traitement : types de données collectées, durée de conservation, partages, dépendances à des tiers, etc.

La compréhension d’une CMP sélectionnée, son fonctionnement et ses articulations est centrale, tout comme l’écosystème dans lequel il s’inscrit.

Rédiger tes contenus, tu feras

La rédaction permet d’atteindre un niveau de compréhension et peut-être se rendre compte qu’il y a des lacunes. Si oui, se référer au point précédent.

Une fois ok, l’apport d’une simplification à ses contenus ainsi que sa touche en contexte projet devient chose aisée et essentielle pour assurer la transmission à ses utilisateurs. Cela concerne certes, le bandeau et la zone destinée aux différents traitements et partages de données, la CMP en d’autres termes. Mais également toutes les mentions en contexte des différents traitements, non gérés par ces derniers. Il s’agit par exemple des formulaires (contact, création de compte, newsletter, etc.), des cases à cocher de consentement telles que celles relatives à la réception d’offres partenaires ou de newsletters, ou encore la gestion des cas spécifiques sans retour d’un consentement positif (notre exemple de vidéo YouTube pouvant casser l’organisation d’une interface). Ne pas oublier également la page confidentialité dédiée à la vie privée et recensant les informations essentielles telles que l’identification et les moyens de contact du responsable de traitement, ainsi que des informations et définitions relatives aux techniques employées dans les traitements de données en présence (cookies, traceurs, etc).

A noter, le droit impose un travail réellement déterminant de description des finalités, conditionnant la licéité même d’un traitement. La CNIL et le CEPD considèrent qu’il doit revenir au responsable du site, d’assurer l’information auprès des personnes concernées car c’est bien souvent le seul point de contact des utilisateurs. Accessoirement, il est aussi censé savoir ce qu’il fait.
Pas d’informations ou dans un jargon technico-juridique incompréhensible, et la licéité de l’ensemble peut-être remise en question. Ballot.

En somme, une CMP peut être une solution, mais à ne pas prendre dans son individualité propre et sans prise en charge complémentaire.

Challenger le design, tu devras. Prendre des décisions, il te reviendra

Des principes sont édictées avec des impacts multiples, c’est un fait. Mais rien n’est figé, aucune modalité est imposée de telle ou telle sorte. C’est à chacun de trouver la meilleure manière de procéder afin de présenter les fonctionnalités et éléments requérant de la collecte de données personnelles.

Il est faux de penser que les textes législatifs brident le design, les avancées voir, osons le terme : les « innovations ». Il faut y voir un ensemble de règles garantissant les droits des individus contre les dérives possibles.

Il est du devoir du designer de proposer des architectures de choix conformes, respectueuses et vertueuses. Des contraintes oui, mais c’est bien le rôle du designer que de jongler entre celles-ci, en s’adaptant aux demandes des commanditaires, mais également en y faisant naître une relation avec les attentes et besoins des utilisateurs finaux.

Il est du devoir du gestionnaire de site, que de faire appel aux compétences pluridisciplinaires du designer, du technicien, du juridique ou du rédacteur, s’il ne les possède pas.

Le fait de questionner et de réfléchir l’usage va amener inévitablement à faire des choix, à se positionner et prendre des décisions. Le jeu peut s’avérer périlleux, mais c’est bien de ces prises de position dont va dépendre la licéité même des traitements.

Prendre position sur des sujets liés au législatif est souvent perturbant pour les personnes puisque dans l’imaginaire collectif, le droit est quelque chose de carré, rigide, universel et donc inadaptable. Mais c’est faux, chaque cas peut avoir ses propres cas en contexte, auxquels il va falloir s’adapter encore et toujours au contexte global. Impossible de stipuler dans un texte de loi toutes les possibilités et éventualités. Le droit étant là pour donner une ligne et un ensemble à suivre, pas une liste exhaustive de possibilités.

Tout ce travail d’étude, de prise de position, de rédaction et de conception en situation ne peut être assuré avec une CMP installée en quelques clics.

Conclusion

Nous sommes loin du compte. Les outils de surcouche pour la récupération de consentements ne rendront pas votre site conforme. Ils sont plutôt une bonne excuse aux réglementations en vigueur, qu’un couteau suisse multi-fonctions dont il manquerait d’ailleurs pile le pas de vis dont vous auriez besoin.
Le marché se retrouve saturer de ces solutions, non conformes et comportant nombre de biais de conception, techniques, graphiques ou fonctionnels. Les entreprises éditrices, sans scrupule se présentent toutes comme bienfaitrices avec pour unique objectif le respect de la vie privée de vos utilisateurs et votre bonheur au travers de leur service. Service restant, et il faut le reconnaître, beaucoup moins cher qu’une gestion complète de la vie privée pour un projet donné. Sans surprise, le résultat n’a pas grand-chose à voir non plus. Quoiqu’il en soit, ces solutions ne peuvent être que complémentaires à une conformité réelle et entière.

À la différence de nombreux secteurs, le numérique est le seul à pouvoir faire des mises sur le marché de produits non finalisés, non-testés et potentiellement illégaux. Le moindre startuper peut apparemment s’affranchir des règles pour mener à bien sa révolution « digital ». L’héritage était déjà tout tracé par Facebook avec sa devise originelle : « Move fast and break things » pour « Avancer vite, casser les codes ». Business is business.
Les entreprises spécialisées dans les nouvelles technologies ne devraient pas avoir le droit et pouvoir faire de telles mises sur le marché sans contrôle préalable. Aussi, un recentrage des débats sur une réglementation fondée non plus sur des technologies mais sur des principes, afin notamment de mettre un terme à la course effrénée vers la technique de tracking la plus sophistiquée pour toujours garder un coup d’avance sur le législateur, ne serait pas un mal.

Au final, la question n’est plus tant d’être pour ou contre une solution de CMP, patchant ce qu’elle veut peut tout en servant ses propres intérêts. Ou encore pour ou contre ce type d’interactions de récupération du consentement, mais plutôt de s’intéresser à la création d’interfaces respectueuses par défaut, sans action de la part des utilisateurs. La problématique est abyssale puisque demandant de revoir tout un écosystème et son économie de marché. Vous l’aurez donc compris, tout ou presque reste à créer, inventer, modeler, quant à la prise en compte des problématiques de vie privée dans le numérique.

Des hypothèses commencent à se dessiner telles que des préférences configurables directement dans le navigateur (encore faut-il avoir confiance en lui et savoir l’utiliser), ou de concepts issues de la recherche comme la confidentialité différentielle, portant sur une anonymisation des données plus avancée. Une fois encore, nous sommes face à des procédés de bricolage ne remettant pas en cause le fonctionnement, l’éthique et la morale de toute une industrie. Évident que ceux-ci soient alors étudiés par les mastodontes numériques de ce monde.

Peut-être aimez-vous la magie, mais nous sommes dans un monde de moldus dans lequel la magie n’existe pas. Une CMP ne peut être une solution en soi.

Ma conférence au Web2Day 2019

07 juin 2019Nantes|Vidéo-Slides

Smells like GDPR compliance spirit… design de la privacy et droits humains