Dark pattern

Un dark pattern ou dark UX^[1] (en français : interface truquée^[2]) est une interface utilisateur qui a été volontairement conçue pour tromper ou manipuler un utilisateur^[3],[4]. Ces choix peuvent aussi être décrits comme des éléments mis en place pour solliciter davantage l'utilisateur et faire en sorte que celui-ci reste plus longtemps sur un service à l'aide de biais cognitifs^[3],[5].

Par exemple, pour obtenir le consentement d'un utilisateur afin de collecter ses données personnelles, celui-ci est souvent interrompu par un menu affiché inopinément et qui l'empêche alors de continuer à utiliser le service comme il le souhaite. Ce menu contient un bouton pour refuser cette collecte et un autre pour l'accepter^[6]. Ce dernier est généralement d'une couleur vive afin d'encourager l'utilisateur à ne pas lire ou à ne pas envisager les modalités d'un service, et donc à ne pas comprendre ce à quoi il consent^[6].

Le néologisme « dark pattern » a été inventé par Harry Brignull, spécialiste du design d'interfaces utilisateur, en août 2010^[3],[7].

Différents types de dark patterns

Il existe différentes formes de dark patterns. L'une des plus courantes est celle de la « question piégée ». Il s'agit de demander à l'utilisateur de cocher une case pour ne pas s'abonner à une newsletter par exemple. Il s'agit d'une interface piégeuse, car faisant appel au principe de double négation, lourd cognitivement, alors que l'usage habituel consiste simplement à cocher une case pour s'abonner^[8] (ou encore à la décocher pour se désabonner / éviter l'abonnement).

Une autre interface trompeuse est celle de la « fausse publicité » ou du « faux contenu ». Il s'agit, par exemple, lors de la navigation sur un site de téléchargement de fichier, d'afficher une publicité qui, formellement, ressemble à s'y méprendre à un lien de téléchargement ; ou sur un site d'information, d'afficher une publicité qui adopte les mêmes codes typographiques et de présentation que le reste de l'article légitime. Si l'utilisateur n'est pas averti, il risque de se retrouver sur un site publicitaire, en cas de clic^[9].

Sur mobile, il est fréquent de trouver des dark patterns. Par exemple, lorsque le bouton permettant de refuser une option commerciale est rendu bien moins visible que le bouton pour l'accepter^[10].

Le Dark Patterns se retrouve sous plusieurs formes sur le web et bien souvent ce sont des stratégies minutieusement mises en places pour duper l'utilisateur, voici quelques exemples de Dark Patterns auxquelles on fait face aujourd'hui^[11]:

L'enjeu des données personnelles et de la vie privée

Plusieurs dark patterns ont été observés depuis l'entrée en vigueur du règlement général sur la protection des données (RGPD) au sein de l'Union européenne le 25 mai 2018, mais le procédé n'est pas pour autant nouveau^[3],[5].

Dans l'Union européenne

Le 21 mars 2022, le Comité européen de la protection des données (CEPD), rassemblement des 27 autorités de protection des données de l'Union, a publié un projet de lignes directrices relatives aux dark patterns sur les réseaux sociaux. Ce projet fait l'objet d'une procédure de consultation publique avant publication de sa version adoptée par le CEPD^[12].

Depuis février 2024, le DSA impose, sous peine d’amendes, de nouvelles obligations à toutes les plateformes en ligne pour mieux protéger les utilisateurs contre les contenus illégaux. Le règlement interdit par exemple les interfaces trompeuses, et impose une transparence accrue sur les algorithmes utilisés pour cibler les internautes. Il oblige à contrôler l’identité des vendeurs sur les plateformes et à bloquer les fraudeurs récidivistes.

En mai 2024, une fédération d’associations européennes, le Bureau européen des unions de consommateurs (BEUC), dépose une plainte auprès de la Commission européenne et des autorités nationales compétentes contre la plateforme en ligne Temu pour des pratiques d’interfaces trompeuses^[13].

En France

Le laboratoire d'innovation numérique de la CNIL a publié en janvier 2019 une étude sur les dark patterns dans son Cahier IP n° 6 : La Forme des Choix^[14]. Il y est notamment affirmé que « ces pratiques peuvent pour certaines rester conformes du point de vue du RGPD, mais selon le moment, la manière et les données concernées, elles peuvent soit poser des questions éthiques, soit devenir non conformes »^[15] et que :

« Lorsque les différentes techniques [de dark pattern] sont mises en œuvre dans l’objectif d’accumuler plus de données que nécessaire sur les individus, clients ou citoyens, celles-ci ne posent plus seulement de questions d’éthique et de responsabilité des services numériques face à la captation de l’attention notamment, mais elles viennent se confronter aux principes de bases du RGPD, qui donne aux individus des droits plus importants sur l’exploitation qui est faite des données qui les concernent^[15]. »

La CNIL identifie alors quatre objectifs pour les dark pattern^[15] :

• « Pousser l'individu à partager plus que ce qui est strictement nécessaire »
• « Influencer le consentement »
• « Créer de la friction aux actions de protection des données »
• « Dérouter l'individu »

À la suite de cette publication, la CNIL a entrepris plusieurs actions visant à encadrer et réguler l'utilisation de dark pattern à des fins de captation de données ou de recueil du consentement.

En septembre 2020, la CNIL a publié des lignes directrices^[16] et une recommandation^[17] portant sur les cookies et autres traceurs dans lesquelles elle pousse à l'adoption de mécanismes et de design garantissant la transparence des informations et la liberté de choix des utilisateurs de service en ligne.

« De manière générale, afin d’être compréhensible et de ne pas induire en erreur les utilisateurs, la Commission recommande aux organismes concernés de s’assurer que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée^[17]. »

Elle y mentionne plusieurs pratiques de dark pattern comme étant contraires au RGPD et à la Loi Informatique et Libertés, notamment :

• L'activation ou le précochage de cases de recueil de consentement
• La poursuite de l'activité sur un site internet ou une application comme le signe d'un consentement au dépôt de cookies ou à l'utilisation de traceurs
• L'absence de possibilité de refuser en une seule action l'ensemble des traitements de données effectuées par le service sur la base du consentement (bouton « Tout refuser »)
• Une action plus complexe pour refuser le dépôt de cookies ou l'utilisation de traceurs que pour l'accepter

Outre ces actions répressives, la CNIL souhaite accompagner les acteurs du numérique dans leur mise en place de design respectueux des choix des utilisateurs. Elle a mis en ligne un site^[18] proposant des ressources et des études de cas, ainsi qu'une communauté « Données et Design » accessible via la plateforme Slack^[19].