2018, 25 mai. Nul n’est censé ignorer l’entrée en application du RGPD (Règlement européen Général sur la Protection des Données personnelles). Européen, mais disposant d’une portée internationale car s’appliquant à l’ensemble des citoyens européens utilisant des services en ligne, de tout horizon et devant donc leur être conformes.

Est introduit et réintroduit tout un ensemble de grands principes en faveur de la protection des données personnelles, respectant ainsi les droits humains les plus fondamentaux. Le droit à la vie privée étant inscrit dans d’éminents textes nationaux et internationaux : l’article 12 de la Déclaration des Droits de l’Homme de 1948, l’article 8 de la convention européenne des Droits de l’Homme, l’article 9 du code civil français ou encore le plus connu, la loi informatique et libertés modifiée.
Le RGPD l’inclus dès son article 1er :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ».
- Article 1 sur l'objet et les objectifs du règlement

Est érigé certes un ensemble de règles, mais le règlement n’impose ni la forme ni le fonctionnement (pourvu qu’il y ait l’ivresse). Il convient de laisser de côté la rage commune envers le législatif pour créer des mécanismes et présentations au service des interfaces et de la vie privée que nous devons à tous humains.

Nous sommes actuellement à l’heure du pas vu pas pris comme l’affaire Uber le démontre, ou encore des excuses répétées lorsque des fuites de données ont lieu. Facebook en fait d’ailleurs très largement la promotion de manière quasi hebdomadaire au fur et à mesure des scandales (, ici, ou encore).
Les processus de collectes de données sont sans précédent dans l’Histoire, tout du moins concernant le caractère systématique et de masse rendu possible par le numérique qui tend à sauvegarder tout sans même qu’il y est un effort à produire ou une réflexion à mener.

L’économie numérique repose sur un « No privacy by design » (pas de vie privée par défaut) puisque son fondement même repose sur la disposition des individus à délivrer des données personnelles. Cela, orchestré aussi bien au niveau étatique et politique qu’au niveau entrepreneurial.
D’un côté, l’État doit jouer un exercice périlleux entre souhait de protéger la vie privée des individus, et participation au développement de l’économie numérique du pays. A partir du moment ou ces activités sont créatrices de valeurs et donc d’emplois, l’État relègue vite ces problématiques en seconde zone comme le démontre d’ailleurs le rapport Villani sur l’IA de 2018. Rapport que l’on peut résumer en #TraduisonsLes : « ok on respecte la vie privée mais par contre si c’est pour faire de l’innovation et du business il faut qu’on puisse passer outre ».
De l’autre, les industries de conception et de production de services en ligne priorisent l’esthétisme, les stratégies de ventes et les profits bien avant les problématiques de sécurité, de confidentialité ou de protection de la vie privée.

Rappelons que la Déclaration des Droits de l’Homme et du Citoyen instituait à l’époque comme seul risque de violation possible : l’État. Quelques siècles plus tard, la donne a changé. Les acteurs non-étatiques sont eux aussi bel et bien concernés, souhaitant récupérer une part du juteux gâteau que représente l’exploitation des données personnelles. Nous passons au fil du temps d’une sacralité de la personne humaine à celle de la donnée.

Pour être en mesure de mener à bien une réflexion sur des problématiques de vie privée et de confidentialité, il faut au préalable accepter de changer de posture, de se détacher des tendances du marché et des impératifs économiques qui nous sont présentés comme la clé d’ajustement de tous les maux. Remettre l’humain et le respect de ses droits au centre des préoccupations, et ainsi ne pas laisser ces problématiques aux seules mains des États, organisations et entreprises.
La vie privée ne peut être réservée aux seuls geeks compétents et disposant de beaucoup de temps libre, mais à l’ensemble des citoyens.

PS1 : bien que ce dossier se veut le plus exhaustif possible sur le règlement, certains éléments spécifiques seront omis afin de mieux traiter du trio design – droit – vie privée.

PS2 : une mise en application du RGPD ne peut être réalisée sans implications directes sur le design. Il est cependant évident que ces implications aient des répercussions voir d’ailleurs même des fondements sur des aspects tant techniques qu’organisationnels.

Datagueule - responsabilités - licornes

Depuis l’arrivée du web commercial et plus largement de la monétisation des réseaux numériques, tout un ensemble de disciplines comportementales ont peu à peu vu le jour afin d’augmenter le ROI (Retour Sur Investissement), les ventes ou le temps passé.

Savoir données

La captologie, science permettant d’identifier les corrélations entre les techniques de persuasion et le numérique en est un premier exemple. Elle comprend la conception d’outils dont l’objectif premier est de changer le comportement des utilisateurs.

Le neuromarketing consiste quant à lui en « l’étude des réponses sensorimotrices, cognitives et émotionnelles des consommateurs ». C’est le fameux « like » Facebook et sa libération de dopamine, créant une boucle infinie de plaisir et de reviens-y.

Le but poursuivi ? Scruter le comportement humain et le soumettre à analyse fine pour en déduire des patterns (modèles) ou segments marketing. Ceux-ci permettront de proposer à ces humains, qui deviennent d’ailleurs des « cibles », « target » ou « goals », des services personnalisés et surtout adaptés à leur fonction de consommateur vers laquelle on tend à les enfermer. Derrière cette personnalisation, améliorant à coup sûr notre expérience, se camoufle bien souvent des partages de données compliquées à assumer. En effet, en quoi une publicité, me traquer ou me pousser à l’achat améliore mon expérience ?

Bullshit meilleure expérience
Exemple typique d'une bannière cookies bullshit sans choix et sans information

Ces études permettent notamment d’avoir recours à un arsenal de pratiques à l’éthique douteuse et nocives. Il est question d’aborder ici les biais cognitifs et les darkpatterns.
Un biais cognitif correspond à un schéma de pensée trompeur à l’origine d’une altération du jugement. Il permet la prise de décision rapide d’un individu et donc son influence. Un darkpattern (modèle d’expérience utilisateur sombre) quant à lui, est un moyen de forcer un utilisateur à faire un choix ou une action plutôt qu’une autre.

Ces pratiques ne sont jamais dans l’intérêt de l’utilisateur, provoquant diverses incidences :

Garantie sans éthique contrôlée

Il est également question d’influence sur le consentement, pilier phare et l’une des 6 bases légales du RGPD brandit aux articles 4, 6 et 7 ainsi que dans les considérants 42 et 43. Mais aussi du déroutement par surcharge informationnelle ou de la création de frictions volontaires par dégradation de l’UX notamment relatives aux actions liées à la protection des données.

Le design fait figure de dernier rempart entre le système, ses possibilités et les individus quant à leurs choix et leurs représentations des possibles. Ceci impactant la capacité dont nous disposons à faire valoir et respecter nos droits au prisme de notre libre arbitre.

Comment savoir en tant qu’utilisateur ce qui ce trame dans l’obscurité des fonctionnalités ? Quels sont les recours que je peux intenter et ce qui m’est possible si cela n’est pas transcrit dans l’interface et au(x) bon(s) moment(s) ?

Un individu ne peut être tenu pour responsable s’il n’a pas lu les 50 000 sigles des 12 pages relatives à la vie privée, en plus cachées à 15 endroits sans lien entre-elles. Il ne doit pas avoir à prendre des mesures actives pour rechercher les informations. Le fameux « nul n’est censé ignorer la loi » ne peut fonctionner. A l’interface de transpirer de transparence, d’informations et de demandes de consentements légaux.

Noir, blanc ou gris ?

Le designer doit cependant, pour modeler son concept, prendre des décisions sur les interfaces qu’il conçoit. Décisions qui auront forcément un impact sur leurs usages et donc sur leurs utilisateurs. Chaque designer se retrouve en permanence confronté à ces dilemmes : proposer telle présentation, tel parcours, tel fonctionnement, modelant la vision et les capacités des individus à interagir avec tout ou partie du système.

Le design de la privacy (design de la vie privée) n’échappe pas à la règle. Le designer va imposer aux utilisateurs une manière de circuler, de prendre connaissance des différents éléments qui s’offre à lui afin de pouvoir prendre des décisions en conscience sur des questions de confidentialité, de sécurité et de vie privée. Ces décisions vont impliquer indubitablement la mise en place de mécanismes d’incitations, modifiant les comportements et les prises de décision des utilisateurs. Mais cette fois, sans passer sous l’emprise de la contrainte ou de l’obligation. On parlera alors de nudge (coup de pouce) ou d’incitation douce.

Comment ne pas penser que ces incitations ne peuvent être en aucun cas manipulatoires ? Si l’on prend la définition Larousse du verbe inciter pour se rassurer, c’est raté : « Verbe transitif. Pousser vivement quelqu’un à quelque chose : Publicité qui incite le client à acheter ». Décidément la pub et le business sont partout !

Néanmoins, des choix doivent être définis afin d’avoir la possibilité de proposer des services. Et c’est sur ces choix que nous allons devoir concentrer toute notre attention. Vous l’aurez compris, un nudge n’est pas blanc comme neige, un darkpattern n’est pas forcément noir intense non plus. Ce sont différentes tonalités de gris qui se dégagent de l’ensemble, posant des problématiques au niveau de leurs délimitations et acceptations.

Rappelons que le rôle du designer est de concevoir de telle manière qu’un utilisateur, qu’importe son expérience et ses usages, soit correctement guidé et informé tout en lui proposant des architectures de choix vertueuses et non trompeuses. L’humain doit en effet être capable, après une phase de découverte raisonnable, être en mesure de modéliser sa propre map mentale du service utilisé, tant au niveau des actions permises que de leurs effets.
Il n’est cependant pas le seul responsable du design et de son éthique. Son équipe projet ainsi que ses clients doivent l’accompagner dans cette quête, ce qui ne s’avouera pas forcément chose aisée.
Notons ici l’importance crucial des choix par défaut des systèmes puisque l’écrasante majorité des utilisateurs les conserveront. D’où notre responsabilité importante mais non-exclusive face aux services conçus et à leurs utilisateurs.

Moutons de Panurge

Les pratiques sombres, mise en scène par le design sont de nos jours sur-acceptées, érigées en grands principes à copier pour performer et donc non contestés. Celles-ci faisant même partie de la checklist indispensable pour tout bon projet.

Qui n’est jamais tombé face à une bannière de cookies sans avoir d’autres options que de l’accepter ? Et encore si cela est proposé... Autre problématique importante, l’effet de cadrage, consistant à inciter fortement un individu à préférer une action plutôt qu’une autre via par exemple, deux styles de boutons et de tailles différentes pour deux choix, appartenant pourtant au même niveau hiérarchique.

Bannière cookie avec effet de cadrage
Effet de cadrage et incitation à l'action "J'accepte" au détriment de "Personnaliser"

Mais il n’y a pas que ces astuces douteuses qui sont admises sans contestation aucune. Un ensemble d’outils et services proposés par de grands acteurs (ou non ! #startups) telles que les solutions d’analytiques comme Google Analytics (GA) sont en cause.

Services permettant au responsable du traitement (RT) (le « propriétaire » du site) d’analyser les usages de son site après études de différentes métriques, et à Google, de centraliser toutes les données récupérées des différents services où il est installé (GA est installé sur plus de 30 millions de sites) pour obtenir un suivi très précis des utilisateurs in-site et cross-site. Ce croisement des données permet notamment la désanonymisation facile des données (si toutefois elles l'ont été car pas par défaut), rendue possible par la centralisation de ces dernières dans ces gros silos.

La firme de MountainView ne fait que mettre à disposition un ensemble d’outils potentialisant des choses. Ces services sont tellement bien pensés, faciles d’utilisation, pratiques, qu’une poignée de secondes suffit pour la mise en place et se retrouver avec un ensemble d’outils pré-configurés datavores et violant les droits humains par défaut.
Il faut questionner cette capacité que nous avons à nous tendre nos propres pièges.

Paillettes, strass, licornes

Il est question d’un surcroît de « user-friendly » (facile à utiliser, convivial), de fun, de paillettes qui permettent effectivement une prise en main simplifiée des services. Cependant, c'est à coupler à une amnésie fonctionnelle totale des utilisateurs et notamment concernant le fonctionnement même du service, des données collectées et leurs traitements. Emerveillement partout, analyse plus tard.

Faire croire que tout est simple est un piège intellectuel. Le numérique, comme tout autre domaine n’est ni simple ni inné. Penser qu’Internet et le Web doivent être des outils sans aucun apprentissage est une erreur fondamentale. Lorsque l’on apprend l’écriture, cela passe par des milliers d’heures de travail pour certes apprendre à poser la plume sur le papier, mais également pour savoir quoi dire et adapter son type de langage en contexte de situations et de personnes. Pour y arriver, nous avons dû apprendre, nous former, à partir de règles et de codes afin de nous les approprier pour enfin pouvoir les utiliser à notre convenance. Avec le numérique, même combat, il n’y a pas de magie.

L’humain, cet agrégat de données à défendre

Le fait de ne pas influencer, tromper, rendre captif l’attention des humains ou encore le fait de les placer à armes égales des services traitant leurs données paraît relever du bon sens.

Malheureusement, l’économie numérique ne repose pas sur ces dogmes. Il faut donc, en plus du bon vouloir et des compétences de chacun, introniser des valeurs éthiques et de respects afin que tout le monde joue les règles du jeu permettant à chaque individu d’avoir toutes les cartes en main.

Pour cela, le RGPD est une approche pertinente. Bien sûr, il est décrié, remis en question, accusé de ne pas aller assez loin ou encore de laisser des trous béants tel que la base légale de l’intérêt légitime que nous aborderons dans un second temps, rendant son contournement ou son modelage possible pour toute personne le maîtrisant. Effectivement, force est de constater que cela peut-être en partie vrai.

Malgré cela, ce texte représente avant tout un acte que l’on pourrait qualifier de fondateur de nos vies privées. C’est une première pierre qui va nous permettre d’itérer puisque oui, cela est loin d’être suffisant. Il a cependant l’intérêt d’emmener avec lui tout un ensemble de problématiques et de questionnements, aussi bien du côté des particuliers que des professionnels. C’est cette effervescence qui est pertinente et qui permettra, je l’espère, d’élever au plus haut la protection des données personnelles. C’est enfin une réponse permettant au régulateur, mieux équipé dans l’exercice de ses fonctions, d’utiliser cet arsenal juridico-technique renforcé dans le but de remettre l’humain au centre du numérique.

Rappelons que les droits humains ne sont pas absolus car entrant en conflit entre-eux. C’est le cas par exemple du droit à la liberté d’expression et celui de la vie privée dans la situation où l’on souhaite empêcher la publication de données personnelles. Une architecture technique ne peut pas comprendre cela et donc en tenir compte, validant ainsi le législatif comme l’un des piliers nécessaire, mais loin d’être exclusif.

World of GDPR : au droit et à l’oeil

Le RGPD, c’est 3 grands principes dont découlent un ensemble de règles. On parlera de :

En tant qu’humain et utilisateur de services numériques, je dois pouvoir ...

Être informé

en contexte de mes actions et de mes découvertes. Les services utilisés doivent m’assurer un principe de transparence représenté dans les articles 12 à 14. Cette information peut être catégorisée en trois types :

  • informations sur le(s) traitement(s) : qu’est-ce qui est collecté ? La nature du traitement et donc à quoi va servir la collecte ? Repose-t-il bien sur l’une des 6 bases légales autorisée ? Y-a-t-il partage de données ? Si oui avec quels tiers ? Les données restent-elles dans l’Union Européenne ou y-a-t-il transfert à l’extérieur ? Quel est le temps de conservation des données ? Il est enfin question d’indiquer à la personne concernée si elle est dans l’obligation de fournir ces données et qu’elles seront les conséquences si elle ne les fournit pas.
  • Mention newsletter conforme RGPD
    Mention complète, fournie avant une potentielle action de l'utilisateur
  • informations sur les droits : nous avons un droit de paternité sur nos données et leurs traitements, nous donnant un certain nombre de droits annexes. Droit d’information, d’accès, à la suppression/ à l’oublie, à la rectification, à la portabilité, au non profilage, à la réparation, au retrait de consentement, ainsi qu’à faire appel à une autorité de contrôle (CNIL) ou encore à se faire représenter par une organisation/ association.
  • informations dans des cas spécifiques tels que les violations de données personnelles : cela devant être notifié aux personnes concernées ainsi qu’à l’autorité de contrôle afin que la mise en conformité ou le correctif puisse être appliqué dans les meilleurs délais. Dans le même temps, permettre aux personnes concernées d’exercer leurs droits à la réparation par exemple.
Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités.
– Considérant 60

Plusieurs problématiques cependant. Cela impose d’une part que le RT soit en mesure d’établir la traçabilité des données aussi bien entrantes que sortantes comme lui impose l’article 30, indiquant qu’il doit tenir « un registre des activités de traitement effectuées sous sa responsabilité ». Mais c’est pas gagné, nous y reviendrons plus loin.

D’autre part, une problématique de représentativité de cette masse d’informations sur les interfaces. L’utilisateur devant être informé de manière « aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples » d’après le considérant 39, mais également « au moment de l’obtention des données » comme le rappel l’article 13. Le G29 précise enfin dans ses lignes directrices que le RT peut ne pas afficher directement toutes les mentions si celles-ci sont accessibles dans un avis de confidentialité par exemple. Page imposée par le règlement afin de servir de base centrale d’informations. Cette pirouette est loin d’être idéale dans le sens où l’on tend vers une surcharge informationnelle inutile sur une unique page, différente de celle en cours alors qu’il serait possible de gérer cela en juste à temps pour davantage de compréhension, de transparence et donc de libre arbitre.

Toute information relative à la vie privée écrite en police de caractère minime, tous boutons de refus ou de configuration d’un consentement comportant une mise en forme le dévalorisant potentiellement d’autres boutons et actions, ne peut aboutir à une validité du consentement car obtenu de manière non libre et éclairé.
L’idée d’un design engagé, éthique et indépendant serait plutôt une mise en valeur des différents choix ainsi qu’un accompagnement pédagogique des utilisateurs dans leur compréhension des mécanismes numériques.

Impact sur le design : mobilisation des possibles en contexte

L’obligation d’information peut se faire simplement par l’ajout de mentions d’informations à chaque fois qu’il y a traitement de données que se soit de l’initiative ou non de l’utilisateur. Par exemple avec les formulaires de saisie de données ou part les techniques de suivi et de stockages (cookies, traceurs, fingerprinting), déposant cookies et scripts sur le service.

Attention, qui dit transparence ne dit pas forcément mentions exhaustives. Aux intervenants autour du projet de mobiliser les possibles pour obtenir un résultat cohérent en passant par différents niveaux d’informations, pages d’aide, la présence de l’iconographie, de fenêtres contextuelles, d’agents conversationnels, etc.

Lorsque c’est de l’initiative de l’utilisateur, les notifications dites push (poussées à l’utilisateur) en juste à temps sont à privilégier car permettent d’apporter aux moments les plus opportuns la fourniture d’informations tout en les rendant digestes et compréhensibles en contexte au lieu d’être noyées dans une politique de confidentialité longue comme le bras. L’individu y étant également plus enclin car s’attendant à s’y confronter. Il saura que faire en connaissance de cause.

Information cookies Twitter
L'utilisateur est informé en contexte et à le choix

Donner mon consentement

ou non, le paramétrer ou le retirer.

Il se définit comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque » et « par un acte positif clair » comme le rappel l’article 4. Le G29, dans ses lignes directrices sur le consentement ajoute que « le silence ou l’inactivité de la personne concernée, ainsi que le simple fait qu’elle continue à utiliser un service, ne peuvent être considérés comme une indication active de choix ».

Le consentement fait partie des différentes bases légales du règlement offrant un véritable choix à l’utilisateur quant à son acceptation ou son refus, permettant la licéité du traitement. Adieu cases pré-cochées, traceurs et cookies placer par défaut entre autre.

Il peut être refusé sans risquer de conséquences négatives en terme d’usages ou d’accès. A noter que le blocage d’accès à un service par un mur infranchissable de cookies ou par l’absence d’alternative sans tracking n’est pas licite.

Si divers consentements sont demandés pour différentes finalités, le RT doit en récupérer autant et de manière distinct afin de respecter un principe de granularité. A l’inverse, s’il est regroupé dans un ensemble de mentions contractuelles ou légales non-négociables, il ne pourra être présumé avoir été donné librement car non considéré comme une action affirmative claire par finalité.

« Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat ».
– Article 7 sur les conditions applicables au consentement

S’il a été donné, il peut-être retiré à tout moment et de la même manière qu’il a été donné afin d’éviter des efforts supplémentaires jugés excessifs pour les utilisateurs et qui le rendrait illégal. La désinscription d’une newsletter se faisant par voie postale alors que l’inscription était en ligne est un effort disproportionné au regard du règlement, au même titre que de cacher la fonctionnalité.

Le consentement marche de pair avec l’information et la transparence des services. C’est d’ailleurs pour cela que l’information de retirer son consentement doit être donnée avant même de consentir pour être licite.

Si un design peut être définit comme abusif ou trompeur via démonstration significative et pouvant constituer des troubles au consentement, cela entraînera une invalidité du traitement et donc son illégalité. Céder n’est pas consentir.

Impact sur le design : l’important c’est le choix

Bien avoir en tête qu’il ne s’agit pas uniquement de modifier le contenu des politiques de confidentialités ou autre politiques de cookies pour se mettre en conformité, mais bien de définir des mécanismes de consentement réglementaires.

C’est aussi l’idée d’informer la personne concernée comme vu précédemment : mentions avant actions, liens d’accès directs aux pages spécifiques (politique de confidentialité, tableau de bord de la confidentialité), ou encore ajout de cases à cocher lorsqu’il faut récupérer des consentements distincts pour diverses finalités. Mais également toute sorte d’éléments graphiques et fonctionnels.

Note importante (excluant la récupération de consentements pour plusieurs finalités) : consentement ne veut pas dire nécessairement cases à cocher, qui ne sont en aucun cas obligatoires. Inutile de soumettre aux utilisateurs des actions inutiles, ils ont déjà bien assez à faire avec les services qu’ils utilisent. Si l’utilisateur a le nécessaire pour prendre ses décisions, c’est ok.

Le designer possède une palette conséquente de possibilités pour informer, faire comprendre et récupérer des consentements licites. L’article 12 relatif à la transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée précise cela :

« Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens. »
– Article 12 sur la transparence des informations

Est discuté ici de moyens oraux ou électroniques. Mais un swipe sur un écran peut tout à fait être licite pour donner son consentement à partir du moment ou il existe une modalité interactive aussi simple et prédictible pour tous de le retirer à tout moment.

Les informations peuvent arriver en juste à temps comme vu précédemment. A l’inverse, lorsqu’il s’agit de proposer une vision globale et paramétrable, les notifications pull (tirées par l’utilisateur) facilitent l’accès à l’information pour la gestion des autorisations ou consentements liés à la vie privée. Ces tableaux de bord de la confidentialité, recueillant les informations légales nécessaires pour la thématique vie privée contiennent un certain nombre d’éléments obligatoires tels que : l’identité et le contact du RT, les définitions des éléments configurables y figurant à base de cookies et traceurs, une manière de les accepter ou non, ainsi que l’information sur les droits de la personne concernée.

Page confidentialité RGPD
Page confidentialité de l'agence NewQuest Group

Ces éléments doivent être présentés dans des pages dédiées et séparées des autres mentions et conditions, facilement accessibles par « un lien direct vers cette déclaration ou cet avis sur la protection de la vie privée (devant) être clairement visible sur chaque page de ce site internet sous un terme communément utilisé (comme « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée ») » en regard des lignes directrice du G29 au sujet de la transparence. Evitant ainsi de longues envolées bourrées de jargon juridique, emmêlées de différentes spécialités, induisant une surcharge informationnelle à l’utilisateur qui n’est alors ni maître de son libre arbitre, ni informé en transparence. Petite précision pour les apps mobiles, cette page doit être accessible en moins de 2 coups, soit au maximum dans un menu secondaire.

Il tombe sous le sens que les demandes de consentements ne doivent pas affecter inutilement l’usage d’un service. Cependant, il peut être nécessaire d’interrompre l’utilisation pour recueillir un consentement valide. C’est par exemple le cas des services tiers de tracking tel que GA et Hotjar . Ces tierces parties affectent forcément l’usage du fait d’un fonctionnel global et non aux abords de certaines fonctionnalités, ne pouvant ainsi pas arriver en contexte mais directement par le point d’entrée sur le service.
Reste à voir si imposer une coupure dans l’usage est pertinent en regard de ce que ces services apportent côté utilisateur : soit le néant dans la plupart des cas.

Prenons l’exemple de la fameuse bannière de cookies qui va nous permettre également d’introduire la notion de récupération du consentement en couche. Si bannière il y a, elle doit comporter une mention d’information et au minimum deux actions distinctes avec des variantes possibles, mises en avant de manière équitable afin de proposer un réel choix :« J’accepte »/ « Je refuse » ou « J’accepte »/ « Personnaliser ».

Bannière cookies conforme RGPD
Résumé des potentiels traitements et choix réels : consentement ("J'accepte"), paramétrage ("Personnaliser") ou refus (croix fermante)

La mention joue le rôle de première couche d’information et doit permettre à l’utilisateur d’avoir un aperçu clair des traitements sous-jacents non encore déclenchés afin de pouvoir, à ce stade déjà, avoir la possibilité de prendre une décision de manière éclairée. S’il souhaite plus d’informations, il peut passer par « Personnaliser » et ainsi accéder aux autres couches d’informations lui permettant de configurer son consentement ou de ne finalement pas le fournir.

Cette notion de consentement est la pierre angulaire du règlement, impactant directement la conception.
Prenons un dernier exemple : s’il est décidé de centrer un service sur une fonctionnalité principale telle que la géolocalisation de l’utilisateur. Comment gérer les fonctionnalités en découlant telles que le recentrage de la map sur la position récupérée, l’affichage d’éléments présents dans un rayon de proximité, si la personne décide de ne pas donner son consentement pour cette finalité de localisation ? Qu’affiche-t-on ? Qu’elles sont les parcours utilisateurs prenant le relai ou à instituer dès le départ ? Doit-on faire un persona parano et extrémiste en terme de protection de sa vie privée ? Doit-on repenser la fonctionnalité mère ? A-t-on des solutions techniques pour palier à cela ?

En découle tout un ensemble de problématiques à se saisir en amont côté designer et équipe projet.

Maîtriser mes données

à tout moment. Les services que je fréquente ne peuvent en aucun cas m’obliger à dévoiler des informations additionnelles non nécessaires pour le traitement auquel je participe. Ils ne peuvent pas non plus avoir comme configuration par défaut le partage de mes données.

Le principe de minimisation des données est introduit dans l’article 5 : « les données à caractères personnelles doivent-être : […] limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées […] ». L’article 25 poursuit sur la protection des données dès la conception et par défaut en indiquant que  : « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».

Les ordinateurs, ordiphones et services en ligne tendent à tout sauvegarder, ce qui est rarement utile et bien souvent jamais nécessaire. Face à cela, il n’y a pas de miracle, les seules techniques efficaces de protection de la vie privée diminuent les données collectées.

« Un responsable du traitement ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes ».
– Considérant 64

Pour appliquer cette obligation de minimisation, le RT doit avoir au préalable établit un registre des activités de traitement, défini à l’article 35, afin d’être en mesure de recenser l’ensemble des traitements mis en œuvre. Leurs finalités, les catégories de personnes concernées (clients, prospects, employés, etc), les catégories de données personnelles (identité, données de connexion, localisation, bancaires, etc), les catégories de destinataires de ces données, les transferts de données vers un pays tiers, les délais prévu pour l’effacements des différentes catégories de données ainsi qu’une description générale des mesures de sécurité techniques et organisationnelles mise en œuvre. Cela lui permet de pouvoir assumer son rôle, imposant de faire respecter mes droits en cas de demande d’effacement de données par exemple, et donc, de bien propager ma demande à l’ensemble des sous-traitants.

Une donnée se caractérise par son extrême volatilité en raison de sa structure même : duplicable, stockable, transférable et évolutive à souhait. Ce qui pourrait expliquer en partie la complexité de la propagation des demandes par le RT.

La théorie paraît simpliste. En pratique, force est de constater que cela relève d’un véritable casse-tête, et notamment sur la partie des données collectées.

Données sous X

Où sont les données ? Bonne question !
Bien souvent dans les systèmes techniques, l’utilisateur se trouve dans une situation de dépendance avec un nombre conséquents de tiers qu’il ne connaît même pas. Tiers pouvant d’ailleurs avoir des tiers qui auront aussi potentiellement des tiers, etc. #Inception

Cela est d’ailleurs prit en compte par l’introduction de la notion d’« intérêt légitime » à l’article 4 comme l’une des bases légales possible. Il peut être définit comme étant un procédé permettant de traiter ou de faire traiter des données sans avoir à en demander le consentement à l’utilisateur. Un garde-fou, faiblard tout de même : l’utilisateur « peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée » comme l’indique le considérant 47. Il poursuit d’ailleurs sur le fait que « les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur ».

L’intérêt d’un tel mécanisme est compréhensible si l’on prend l’exemple d’un e-commerçant, utilisant un transporteur pour l’envoi et le suivi des colis. Il est dans l’obligation de partager un jeu de donnée, ni plus ni moins, juste ce dont le transporteur a besoin, pour pouvoir bénéficier du service. Cela fait partie intégrante du contrat entre le RT, son sous-traitant de transport et ses utilisateurs afin qu’ils soient livrés. L’utilisateur s’attendant raisonnablement à ce que le transporteur utilise ses données pour le livrer.

Ce mécanisme pouvant être vu comme une parade est cependant dégainé dès que possible et sans vergogne par une grande partie de professionnels, alors que l’on reste pourtant toujours sur une base légale avec des règles associées à valider pour être licite. Un tracking ne peut par exemple être présenté comme relevant d’un quelconque intérêt légitime.

Statistiques intérêt légitime : bullshit
Statistiques sous couvert de la base légale de l'intérêt légitime : non licite !

Sortons de l’intérêt légitime et revenons aux tableaux de bord de confidentialité évoqués précédemment. Lorsque l’on se place dans la peau d’un RT et que l’on doit configurer ces pages, se présente deux soucis majeurs :

  • le fait que bon nombre d’informations sur les cookies ne sont pas disponibles ou difficilement trouvables même via inspection fonctionnel de son propre site en jouant aux devinettes. Ajoutons à cela les scripts tiers dont on ne peut savoir avec certitude ce qu’ils font précisément et la boucle est bouclée.
    Le script analytics.js de Google Analytics est par exemple présent sur des interfaces sensibles telles que bancaires. Ces scripts sont chargés sans que l’on sache précisément ce qu’ils font. Une modification partielle pendant un laps de temps donné serait d’ailleurs non perceptible. Laissant le doute de tous les possibles.
  • Script Analytics sur interface bancaire
    La Banque Postale : Google Analytics certes, mais pas que..
  • l’information, si trouvée est souvent partielle quant aux données collectées et ne permettant pas d’informer avec transparence. Tout du moins pas dans ce que dimensionne le règlement.

De ce fait, nous nous retrouvons face à une brèche informationnelle dans le sens ou même une partie importante des sites que nous visitons ne savent pas eux-mêmes ce qui se trame au niveau des traitements de données sur leurs propres sites, bien qu’ils en soient responsable.

Plusieurs tentatives d'explication à cela :

  • les collecteurs de données n’ont pas une connaissance précise de comment ils utiliseront les données qu’ils collectent en masse, mais également de ce que chaque partie du site collecte précisément.
  • les traitements de données s’inscrivent dans des écosystèmes complexes, en perpétuels évolutions et interconnexions de tiers rendant leurs maîtrises complètes délicate.

Conclusion : les utilisateurs sont amenés à prendre des décisions sans avoir une pleine compréhension de ce qui se passe. Traduction : personne ne sait qui brasse quoi et comment.

Impact sur le design : diminution des données collectées et processus de récupération

L’association design/ minimisation des données comporte un certain nombre d’éléments à prendre en compte et de manière non-exhaustive :

  • le traitement des formulaires de données personnelles via une gestion précise des champs obligatoires. S’il y a aussi des champs optionnels, bien préciser leur caractère facultatif et expliquer à quoi leur collecte pourrait servir. Théoriquement, il ne devrait pas y avoir de champs optionnels.
    Il est pertinent à cette étape de récupérer le listing des sous-traitants et de leurs implications dans le service à partir du registre des activités de traitement afin de balayer les données obligatoires, leurs transferts ou non à des tiers ainsi que de vérifier cohérence et légitimité en regard des traitements sous-jacents.
  • l’ajout de mentions explicatives. Des recherches ont d’ailleurs permis de démontrer qu’un individu se rendant sur un site ne possédant aucune explication en contexte, puis sur un site en possédant, avait une prise de conscience par rapport à ceux n’en possédant pas. La notion de confiance se retrouve ici en jeu.
  • privilégier lorsque cela est envisageable d’avoir recours à des traitements ne nécessitant pas la collecte de données personnelles ou tout du moins de manière réduite. C’est par exemple le cas des guest checkout (compte invité) en e-commerce et permettant de passer une commande sans créer de compte. A charge du RT de ne conserver les données nécessaires que durant la réalisation du contrat : ici la livraison, la gestion de la commande et la rétention des données de facturation (elles imposées légalement à 10 ans), puis de supprimer les données dont il n’a alors plus besoin.

Au-delà de cela, il est pertinent de se pencher sur le rapport entre la transparence la plus fine et la surcharge cognitive des utilisateurs.

En effet, autant il ne faut pas laisser croire à l’utilisateur qu’il peut tout contrôler et rien accepter en terme de traitement. Autant, traiter des données à tout va, via différents canaux et partagées à un ensemble de prestataires pose ce souci. Le risque est de se retrouver avec une montagne d’information, configurable, sur les différents traitements qui se jouent et allant jusqu’au burn-out conatif et cognitif (surmenage intellectuel lié à l’effort) des individus. Être informé oui, mais jusqu’où pour rester pertinent dans la démarche ?

Listing tiers slate.fr
Après deux clics sur des liens non mis en avant, on se retrouve face à un listing impressionnant de tiers (495) à qui les données sont partagées.. Le respect de la vie privée est-il vraiment la priorité ?

Le design, en tant qu’interface direct entre l’outil et l’humain, reste le vecteur principal de prise d’information, de connaissance et de pédagogie des utilisateurs que se soit sur la vie privée ou la découvrabilité des fonctionnalités et usages.

Ne pas oublier cependant que d’autres éléments prennent place à proximité du design qui ne peut résoudre, à lui seul, les problématiques de protection des données personnelles. L’architecture technique, les méthodes de mise en place et de déploiement, la configuration et les décisions du RT sont autant d’éléments à prendre en compte.

Dans une majorité écrasante de cas, une bannière cookies est mise en place dans la mesure ou la loi Informatique et libertés de 1978 modifiée et le RGPD l’imposeraient. Le fait est que l’action de fermer ces bandeaux et autres popins contextuels machinalement, sans en avoir relevé l’information est devenu en quelques décennies une expérience soutenable car intégrée par les expérience antérieures des utilisateurs de part les biais d’ancrage.
Le fait de rendre ces fenêtres avec davantage de complexité et de paramétrage pour l’utilisateur est un véritable non-sens. Cela lui impose une surcharge d’informations qui ne lui rend finalement pas service.

C’est parfois dans le fait de ne pas avoir de choix qu’est le confort. C’est en tout cas ce qu’à théorisé Cass Sunstein, juriste américain, démontrant que le fait d’avoir le choix est souvent vu comme un enjeu positif incontesté et majeur alors que parallèlement, cela demande du temps et de l’attention, ressources précieuses et limitée chez l’individu. Le fait de ne pas choisir peut être vu comme étant un moyen d’augmenter bien-être d’utilisation et liberté. D’où l’importance des problématiques de confiance que peuvent avoir les individus avec les services qu’ils utilisent mais également des choix par défaut de ces systèmes.

RGPD ready : de la suite dans les idées

Il n’y a pas de secret pour se passer de ce type d’éléments. Il va falloir procéder à un grand ménage et se questionner sur les valeurs d’un environnement numérique sein, éthique et respectueux de la personne humaine. Dernière cela, toujours cette idée de ne pas contraindre de manière insidieuse les individus.
Portons également notre attention sur des thématiques transverses de qualité, d’accessibilité ou encore de performances, car tout est lié. Un ensemble d’acteurs proposent des bonnes pratiques ou des checklists telles que celles d’Opquast avec la création d’une spéciale RGPD pour suivre l’actualité législative du moment.

Pisteur, arrête de pister

Soyons honnête, les services tiers et les publicités représentent les plus grands défis que nous avons pour se dédouaner des modaux de consentement à la vie privée dégradant l’expérience utilisateur. Ces éléments génériques demanderont forcément d’interrompre l’utilisateur pour recueillir ou non son consentement car non spécifique et donc non rattachable à un contexte particulier.
L’objectif va donc tendre à supprimer les services tiers, à en changer, ou encore à les gérer différemment si cela est toutefois possible, afin de remettre la main notamment sur les flux de données en transits et stockés. Il y a davantage de cohérence à avoir la pleine maîtrise de certains types de données en interne ou par le biais de sous-traitants fiables, plutôt que de sous-traités à la terre entière des traitements de données personnelles sensibles et qui seront soumises à diverses politiques de confidentialité ou diverses lois nationales à des années lumières d’être toutes claires et respectueuses des humains. En résumé : maîtrisons ce que l’on peut.

En interne, si et seulement si compétences il y a, il s’agira d’auto-héberger un maximum de solutions. Quant aux sous-traitants fiables, de se rapprocher d’entreprises, d’organisations ou de communautés dont les valeurs premières sont la protection de la vie privée, la confidentialité et/ou l’open source. On peut citer CozyCloud, NextCloud, OpenStreetMap, ou encore les services Framasoft, dont PeerTube, une alternative de YouTube vient de sortir.

Une fois que nous serons en accord sur le fait que monétiser les utilisateurs dans leurs dos est loin d’être acceptable, il sera aisé de réfléchir à des alternatives respectant la vie privée et ce, qu’importe le secteur. Il serait donc tout à fait envisageable de rendre compatible vie privée et monétisation de la publicité, aussi fou que cela puisse paraître. Cela permettrait enfin de propager des valeurs qui deviendraient des normes reconnues et acceptées de tous.

Le « monde » en ligne est en réalité la symétrie parfaite de la vie hors-ligne. Les problèmes liés aux réseaux ne sont en rien différents des problématiques hors-lignes, ils reflètent simplement les capacités de l’humain et ce qu’il a été capable de faire comprendre et de faire faire aux machines qui ne décident pas à sa place. Le virtuel n’est pas cette chose insaisissable, impalpable comme on tend à nous le faire croire. Le cloud (nuage numérique) par exemple n’est pas ce si doux nuage pulpeux mais ni plus ni moins que l’ordinateur d’un autre.
Dans la quasi totalité des pays du monde, la vente d’êtres humains ou d’organes est strictement interdite (et heureusement). Dans quelle mesure pouvons-nous alors autoriser la vente de morceaux de soi, nos données, à des acteurs s’en servant pour retenir notre attention, extorquer nos économies, notre temps et nos activités de chaque instant ?

Touchons l’esprit de conformité

Face à ce constat, il faut accepter de changer de posture et aller voir le champ des possibles pour protéger les utilisateurs de ces services.
Il ne convient pas de s’y intéresser en se demandant si telle fonctionnalité, ou tel élément demandera une bannière de cookies, mais plutôt orienter sa pensée pour définir un fonctionnement natif respectant l’esprit de cette conformité. Traduction : se demander dans quelles mesures la vie privée des utilisateurs est en danger, ainsi que se questionner sur leurs ressentis quant à leur perception de la gestion de leur vie privée sur le service en cours.

Cette idée d’esprit de conformité est particulièrement bien mise en avant par Ryan Carlo, professeur de droit à l’Université de Washington DC :

« Vous pouvez poser des affiches partout dans la ville afin de rappeler aux piétons que les véhicules électriques sont silencieux, ou alors vous pouvez demander aux constructeurs automobiles d’introduire un bruit de moteur dans leur véhicule » ; de la même manière, « vous pouvez rédiger des politiques de confidentialité complètes et très longues que peu de personnes liront, ou alors vous pouvez concevoir votre site (ou application) de telle manière que les utilisateurs puissent être sur leurs gardes au moment de la collecte de leurs données, ou alors de pouvoir démontrer la manière dont leurs données sont effectivement utilisées ».

La mise à disposition de l’information n’est cependant pas le seul facteur déterminant. Encore faut-il la proposer aux bons endroits et qu’elle soit correctement mise en forme afin que les utilisateurs puissent exercer leurs libre-arbitre.

DuckDuckGo vie privée cookies YouTube
L'utilisateur est informé au bon endroit et avant l'action.

Soulignons ici une fois de plus l’importance de l’expérience utilisateur pour la protection des données personnelles. Protection pourtant décrite habituellement exclusivement au travers des prismes techniques et juridiques.

En ce sens, les différentes CNIL européennes appuient sur ce qu’elles appellent le principe de « responsabilité d’innovation » à destination notamment des industries de création de services numériques, afin de permettre la modélisation de nouvelles solutions fonctionnant selon les paramètres attendus de la loi. Il n’y a en théorie plus d’excuses à faire mieux en regard de situations éthiques plus que discutables qui ne peuvent qu’aboutir à des situations juridiquement délicates.

En mon sens, cette mise à disposition en contexte appelle également une autre approche : celle du Privacy by Using (PbU) pourtant non incluse dans le RGPD. A la différence du Privacy by Design et du Privacy by Default incluent dans le Règlement, le PbU se caractérise principalement par son approche dynamique et par apprentissages successifs. Les individus sont invités à réintroduire des processus initiatiques relevant de l’expérience et de l’incertitude des usages. Le but étant d’injecter le « learning by doing » (l’apprentissage par le faire), où l’individu va apprendre davantage en testant et en réalisant ses propres expériences au lieu d’être uniquement spectateur.
Ces processus d’apprentissages et d’expériences sont primordiaux pour permettre aux individus de s’émanciper de leurs incompréhensions en terme de protection de leurs données personnelles.

Contrebalançons cependant en prenant le sujet de la fatigue au consentement, imposant une charge cognitive importante et potentiellement différente à chaque service consulté pour l’utilisateur.
Le fait d’innover peut-être une bonne chose, néanmoins, s’il est proposé une multitude de fonctionnements novateurs et expérimentaux à chaque service, nous allons rendre encore plus délicate la compréhension des problématiques liées à la vie privée aux utilisateurs. En conséquence, nous en revenons toujours aux mêmes actions : informer, guider, accompagner.
Comme pour toute réalité, il y a bien des décisions à prendre en contexte de projets et d’utilisateurs, chose pour laquelle ce dossier ne dresse pas un listing bien précis de ce qu’il faut faire ou ne pas faire puisque c’est tout bonnement impossible et dépendant d’un nombre trop élevé de facteurs propres à chaque projet, usage, type d’utilisateurs, etc.
C’est les compétences de chacun couplées à l’expérience utilisateur (recherche et tests notamment) qui va amener à une union innovation/ protection des données personnelles.

Petit bémol et pas des moindres, dans le cas d’une relation prestataire/ entreprise, ou plutôt sous-traitant/ RT pour utiliser le vocabulaire RGPD adéquate, le RT reste seul décisionnaire et tous nos efforts peuvent être balayés d’un revers de main. La pédagogie reste donc la meilleure alliée dans ces cas respectifs.

Synthétisons :

  • premièrement : tu aideras à faire le ménage.
  • deuxièmement : tu aideras à la réappropriation des services in fine les traitements de données, ou alors tu conseilleras leur gardiennage avec sûreté et respect à des acteurs remarqués sur ces sujets.
  • troisièmement : tu ne lésineras pas sur tes efforts de recherche et de tests utilisateurs validant un fonctionnel respectueux, simple et accessible.
  • quatrièmement : tu useras de pédagogie avec les réfractaires. Ils ne s’associeront peut-être pas directement à la fête, mais la graine aura été planté pour la suite. Expliquer oui, convaincre non.

A nous de jouer !

A travers cette étude, nous avons pu remarquer que même si le législatif avait certes une portée importante et nécessaire dans nos sociétés, il ne pouvait assumer à lui seul l’ensemble des problématiques sous-jacentes rattachées à une thématique donnée. Le RGPD ne déroge pas à la règle. Son impact est à la fois minime car ne pouvant s’en servir comme point unique de réflexion, mais fondamental pour faire germer et mettre en place des normes respectueuses et égalitaires pour les humains.

Comme l’a introduit Bruce Schneier, spécialiste en sécurité informatique : « La sécurité est un compromis », que l’on peut d’ailleurs élargir aux notions de vie privée et de confidentialité. Cependant, ce compromis n’a d’intérêt que si la personne qui fait les choix est compétente dans le domaine en question. L’édification de normes est bien indispensable pour remettre tout le monde par défaut à armes égales.

Côté professionnels du numérique, cela implique également de ne jamais croire que son service, son infrastructure, son organisation est un véritable coffre-fort inviolable, garantie par diverses normes ISO, PCI et autres certifications en tout genre. Mais plutôt partir sur la base que tout service numérique, tout au long de sa vie sera vulnérable, potentiellement hacké, les données rendues indisponibles ou accessibles à des tiers. A partir de ce constat certes alarmiste, naît le besoin de se poser les bonnes questions afin de réduire chacune des tensions énoncées. Mais restons modeste, personne, même l’esprit le plus brillant, incontesté et doué soit-il, ne peut se prémunir d’une erreur, penser à tout ou être compétent dans toutes les spécialités.

Le design, bien que non exclusif pour traiter de sujets autour de la vie privée et de la protection des données personnelles, reste un vecteur d’information et de représentation visuelle et fonctionnelle de premier plan. Il peut permettre aussi d’engendrer une relation de confiance envers ses utilisateurs, ce qui peut être problématique lorsque l’on a conscience de la partie sombre de cette discipline.

Mais comme un couteau peut servir aussi bien à tartiner qu’à tuer, un design peut s’impliquer éthiquement et humainement en soutient aux besoins réels de ses utilisateurs et non créés par l’outil. Ou alors les piétiner, les torturer et leur extorquer tout ce qui peut l’être.
Il apparaît clairement que c’est un travail à la fois personnel et collectif à mener sur ce que nous souhaitons mais aussi sur ce que nous acceptons ou non. A chacun de faire un point sur ses pratiques et agissements.

Enfin, c’est l’idée de ne pas tomber dans une techno-béhatitude à base d’états euphoriques et de contentements pour la moindre fonctionnalité paillette : faisant de manière autonome et magique une action (coucou unlock FaceTime), n’écoutant apparement qu’à certains moments (Hello Google, Alexa et ses amis) ou encore s’adaptant à nos besoins (régies publicitaires Google).

C’est en fait pratiquer ni plus ni moins le néo-ludisme. A savoir, le fait de toujours adopter une posture réflexive et critique, aller derrière l’écran voir ce qu’il s’y passe, les tensions et parties prenantes avant d’adopter un fonctionnel, une posture ou une décision. En résumé, ne pas croire ce qui est servi en première page mais aller chercher les informations dans les petites lignes pour entrer dans un état de conscience et réagir (c'est une allégorie hein, on a dit que c'était pas conforme si c'était pas clair :)).

Attention, il n’est pas question de freiner des quatre fers toute innovation, simplification ou changement, qu’il soit mineur ou majeur. Mais bien de se poser 5 minutes dans le but d’analyser la situation afin d’intégrer dans le processus créatif l’ensemble des composantes humaines qui font notre société et dont le droit à la vie privée et à la protection de ses données est partie prenante.