Données personnelles : Facebook, Google et Microsoft accusés de « manipuler » les utilisateurs
Données personnelles : Facebook, Google et Microsoft accusés de « manipuler » les utilisateurs
L’agence norvégienne de défense des consommateurs dénonce, dans un rapport relayé par l’UFC-Que Choisir, les pratiques « trompeuses » de ces entreprises pour collecter plus de données.
Depuis quelques semaines fleurissent sur les écrans d’ordinateurs et de smartphones de petites pop-up, incitant les internautes à « vérifier » un certain nombre de paramètres. Ces fenêtres sont la conséquence du nouveau réglement européen sur les données personnelles (RGPD), entré en vigueur le 25 mai, qui impose aux entreprises d’être plus explicites sur la façon dont elles les collectent, et sur les choix donnés aux utilisateurs.
Mercredi 27 mai, la Forbrukerradet, l’agence norvégienne de défense des consommateurs, un organisme public, a pourtant mis en doute la conformité de trois importants services avec le RGPD : Facebook, Google et Windows 10. Dans un rapport sévère, elle estime que « ces entreprises nous manipulent pour partager des informations sur nous » et utilisent des stratagèmes « pour nous décourager d’exercer nos droits à la vie privée ».
L’agence s’est intéressée uniquement à ces trois plates-formes en raison de leurs « positions dominantes ». Elle a examiné en détail la façon dont ces pop-up étaient conçues et les choix présentés. Conclusion : elles l’ont été, selon, elle, pour « pousser les utilisateurs à choisir des options intrusives pour la vie privée ».
Des boutons « accepter » plus visibles
Certaines options sont activées par défaut sur Facebook. Il faut généralement plus de clics avant de désactiver certains paramètres moins protecteurs de la vie privée.
Elle évoque par exemple des options activées, dit-elle, par défaut. A l’instar de la publicité ciblée sur la version mobile de Google. « Qui plus est, [Google et Facebook] dissimulent certaines options préselectionnées pour que les utilisateurs qui cliquent simplement sur les boutons “accepter” ne voient jamais ces paramètres », estime l’agence.
Elle donne aussi l’exemple de la reconnaissance faciale sur Facebook. Désactivée en Europe depuis 2012 après une polémique, le réseau social a profité de l’arrivée du RGPD pour la réintroduire. Le réseau social a donné le choix aux utilisateurs de l’activer ou non, mais sa façon de faire a déplu à la Forbrukerradet.
« Les utilisateurs qui veulent activer la reconnaissance faciale n’ont rien à faire à part cliquer sur le bouton “accepter et continuer”. Les utilisateurs qui ne veulent pas l’activer doivent aller dans les paramètres. (...) Choisir l’option la plus respectueuse de la vie privée nécessite 4 clics de plus. »
Le rapport pointe aussi le design choisi pour ces fenêtres. « Le contraste entre les boutons bleus pour accepter et le gris insipide pour changer les réglages est un exemple de design conçu pour pousser les utilisateurs à choisir la réponse qu’on attend d’eux. » Ou celui des icones : s’il salue le fait que sur la mise à jour de Windows 10, le nombre de clics pour répondre « non » soit le même que pour dire « oui », il souligne que les symboles associés à plus de collecte sont généralement positifs. Comme une ampoule allumée, contrairement à l’ampoule éteinte des options de collecte moindre, ou une cible au centre de laquelle est plantée une flèche.
Sur Windows 10, les options collectant davantage de données personnelles sont associées à des icônes plus positives.
La CNIL interpellée
L’agence dénonce aussi le discours utilisé pour convaincre les utilisateurs de fournir plus de données. Ces entreprises « se concentrent sur les aspects positifs d’un choix, sans s’attarder sur les aspects potentiellement néfastes ». Encore une fois, l’exemple de la reconnaissance faciale de Facebook est utilisé, présenté par le réseau social comme une manière de « protéger » les utilisateurs d’inconnus qui pourraient utiliser leur image, ou encore d’aider les personnes non-voyantes à identifier qui se trouve dans une photo. Cette façon de présenter les choses « pousse les utilisateurs à faire un certain choix, en présentant l’alternative comme éthiquement contestable ou risquée », estime la Forbrukerradet.
Si les conclusions de ce rapport critiquent les méthodes de Facebook et Google, elles se montrent moins sévères à l’encontre de Windows 10. La Forbrukerradet a adressé le jour de sa sortie un courrier au gendarme norvégien des données personnelles pour « attirer son attention ». « Les pratiques mises en lumière dans ce rapport soulèvent plusieurs questions, notamment en ce qui concerne le respect par ces entreprises du RGPD », écrit-elle.
Dans la foulée, l’association française de défense des consommateurs UFC Que Choisir a relayé l’étude et annoncé qu’elle allait « interroger la CNIL [Commission nationale de l’informatique et des libertés] sur ces points ».
« Notre approche respecte la loi », assure Facebook dans un communiqué transmis au Monde, « suit les recommandations d’experts en vie privée et en design, et est conçue pour aider les gens à comprendre leurs choix et comment fonctionne la technologie ». De son côté, Google souligne, comme Facebook, avoir travaillé pendant dix-huit mois pour se mettre en conformité avec le RGPD. « Nous avons pris des mesures pour mettre à jour nos produits, nos politiques et nos dispositifs pour apporter de la transparence sur les données à tous nos utilisateurs, ainsi qu’un contrôle direct. »