[IP6] La nécessaire régulation du design et des architectures de choix

05 mars 2019

Ces textes sont tirés de la quatrième partie du cahier IP 6, "La Forme des choix - Données personnelles, design et frictions désirables".

Faire entrer le design et l'analyse des interfaces dans le champs de l'analyse de conformité des régulateurs

 

La mise en oeuvre pratique, par les concepteurs de services, des conditions nécessaires à un consentement libre, spécifique, éclairé et univoque, pose de nombreuses questions. Dans un contexte de surcharge informationnelle et d’essor des tactiques manipulatrices au service de modèles économiques dopés à l’engagement, les individus ne sont pas toujours en mesure de comprendre aisément les ressorts et objectifs (finalités) de la collecte et de l’utilisation des données qui les concernent. Comment concilier cet état de fait avec les principes cardinaux du RGPD tels que le principe de licéité, loyauté et transparence ? C’est en effet tout l’édifice du respect des droits fondamentaux des personnes qui se trouverait alors remis en cause.

La protection des données personnelles est traditionnellement analysée au travers des prismes juridiques et techniques. De même, les réponses apportées par les professionnels ou par les régulateurs ont tendance à se concentrer sur ces deux aspects qui, s’ils sont fondamentaux, ne sont pourtant pas suffisants pour répondre aux enjeux décrits dans les parties précédentes. Ils ne tiennent pas suffisamment compte de l’espace d’interaction entre l’individu et la machine, la couche d’échanges entre l’individu et le traitement de ces données. Le design des interfaces - entendu au sens large, depuis l’architecture du service jusqu’à la mise en forme des dispositifs d’information et de consentement –est bien un médium essentiel par lequel se joue la mise en application réelle du règlement et la conformité des services dans cet espace contraint.

Comme nous le relevions en introduction de ce cahier, le concept de privacy by design reste bien souvent trop disjoint des préoccupations, des pratiques et des concepts des professionnels de la conception que sont les designers. L’article 25 du RGPD, qui impose d’intégrer les mesures appropriées de protection des données « dès la conception » implique pourtant en toute logique que la responsabilité de la conformité soit un enjeu réparti plus équitablement dans ces processus de conception, et que les designers prennent toute leur place et puissent offrir leurs compétences au service de la protection des droits des utilisateurs. C’est par leur action, leur responsabilité et une meilleure prise en compte par les régulateurs de celles-ci, que le privacy by design deviendra réellement un concept opérationnel plutôt qu’une approche méthodologique un peu abstraite.

Il est donc temps de faire entrer plus directement le design dans un triangle de régulation, avec les analyses juridiques et les analyses techniques. Une telle approche trouvera en particulier tout son sens dans la mise en application du principe de transparence, dans l’expression du consentement et dans la conception de l’exercice des droits des personnes concernées (accès, rectification, suppression, portabilité, …).

La transparence et l’information des personnes, clé de voûte d’un traitement loyal

Le règlement européen précise que tout traitement de données à caractère personnel doit être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques soient collectées, utilisées, consultées ou traitées d’une autre manière, et la mesure dans laquelle ces données sont ou seront traitées, devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relative au traitement de données à caractère personnel soit aisément accessible, facile à comprendre et formulée en des termes clairs et simples.

Autrement dit : sans transparence, pas de loyauté. Comme le rappellent les lignes directrices sur la transparence du Comité européen de protection des données (CEPD ou EDPB en anglais), « son objectif premier est de susciter la confiance dans les processus applicables aux citoyens en leur permettant de comprendre et, au besoin, de contester lesdits processus ». La transparence est un concept juridique éminemment centré sur l’utilisateur, et non sur les aspects légaux. En cela, il parait souvent moins concret aux professionnels du droit, et peut apparaitre, à tort, comme une sorte de principe général de peu de portée autre que symbolique. En réalité, là aussi, comme le rappellent les autorités européennes, il « se concrétise dans plusieurs articles par des exigences pratiques spécifiques applicables » (notamment dans les articles 12 à 14 du RGPD). Globalement, en matière de transparence la qualité, l’accessibilité et l’intelligibilité des informations sont aussi importantes que le contenu formel des informations fournies aux personnes concernées.

Le principe général est de présenter des informations de façon efficace et succincte, en utilisant la connaissance que le responsable du traitement a à la fois des personnes sur lesquelles il collecte des informations et du contexte spécifique du service qu’il propose.

Naturellement, tout comme consentement ne veut pas nécessairement dire case à cocher, transparence ne veut pas nécessairement dire texte exhaustif. Les professionnels doivent mobiliser tous les outils possibles des interfaces et parcours utilisateurs actuels et futurs : différents niveaux d’information, FAQs, fenêtres contextuelles, agentsconversationnels, icônes, etc.

Enfin, les travaux sur les parcours utilisateur pourraient être mis à profit par les responsables de traitement. Comme le soulignent ces lignes directrices de la CNIL et de ses homologues européens sur la transparence, il est recommandé aux responsables du traitement d’organiser des tests utilisateurs (avec des panels représentatifs, par exemple, ou d’autres formes de tests reconnus voire normalisés, comme sur la lisibilité ou l’accessibilité) en vue de lever les incertitudes sur la compréhension réelle des utilisateurs. Ce processus d’amélioration, de mesure, d’évaluation et de test peut d’ailleurs avoir vocation à faire partie intégrante de la stratégie de reddition de comptes (accountability) des responsables du traitement : les autorités compétentes pourraient alors être informées des résultats de ces tests, et en évaluer la pertinence au regard des principes d’accessibilité et de simplicité de l’information.

Le consentement éclairé par le travail des designers

Comme le rappelle la CNIL sur son site web, le consentement « assure aux personnes concernées un contrôle fort sur leurs données, en leur permettant de comprendre le traitement qui sera fait de leurs données, de choisir sans contrainte d’accepter ou non ce traitement et de changer d’avis librement ».

Le consentement devrait, selon le Règlement européen, être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. Le Comité européen de protection des données, dans ses lignes directrices sur le consentement, précise que l’adjectif libre implique un choix et un contrôle réel pour les personnes concernées et que « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable ».

Les CNILs européennes insistent sur la responsabilité d’innovation que cette contrainte engendre afin de trouver de nouvelles solutions qui fonctionnent selon les paramètres de la loi et favorisent davantage la protection des données à caractère personnel ainsi que les intérêts des personnes concernées.

Cependant, il pourrait être considéré que le design abusif ou trompeur (cf . supra.) des services numériques peut engendrer divers troubles au consentement, d’une nature suffisamment objective et démontrable pour qu’il entraine son invalidité. Le contrôle de la personne concernée sur ses données devenu illusoire, le consentement ne constituerait alors pas une base valable pour leur traitement, de ce fait l’activité de traitement illicite si une autre base légale ne pouvait être valablement invoquée.

Par exemple, le CEPD souligne que « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable ». Le design abusif ou trompeur pourrait aussi être considéré comme une volonté du responsable de traitement d’influencer de manière inappropriée la personne. Cette influence devrait se lire à la lumière de la notion de rapport de forces, dont le CEPD/EDPB rappelle qu’elle peut s’appliquer dans toute situation présentant des signes de contrainte, de tromperie, d’intimidation, de pression ou d’incapacité d’exercer un véritable choix.

Le design et le consentement sont liés, soit en positif, dès lors que les pratiques de design visent à améliorer la capacité des individus à faire des choix en conscience, soit en négatif, lorsqu’elles visent à tromper par des pratiques de design abusif ou trompeurs.

La création de grammaires ou de design patterns conçus au regard de l’intérêt exclusif des responsables de traitement et pourtant réutilisés ad nauseam par tous les acteurs au point qu’ils en deviennent des sortes de standards sont également une voie pouvant aboutir à fausser le consentement. Comme le soulignait ainsi le CEPD, les utilisateurs reçoivent ainsi chaque jour de nombreuses demandes de consentement auxquelles ils doivent répondre par un clic ou en balayant leur écran. Cela peut mener à une certaine lassitude : lorsque trop souvent rencontré, l’effet d’avertissement des mécanismes de consentement diminue. Il en résulte une situation où les informations de consentement cessent d’être lues.

En effet, le problème n’est pas tant la création de standards de fait de design que la démultiplication de messages ou call to action dénués de sens pour l’individu. Une telle accumulation normalisée de demandes aberrantes à travers des services différents le lasse nécessairement.

La fatigue du consentement (consent fatigue) évoquée par certains acteurs est donc moins une excuse qu’une raison supplémentaire de faire mieux et d’innover face à une situation éthiquement insatisfaisante qui ne peut qu’aboutir in fine à une situation juridiquement délicate (voir ici sur le sujet des droits).

Faciliter l’exercice des droits par la conception des parcours

Les individus disposent d’un certain nombre de droits, qui sont d’ailleurs renforcés et complétés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement44.

Le RGPD prévoit que les organisations qui traitent des données personnelles doivent mettre en oeuvre des solutions pratiques réelles pour permettre aux personnes concernées (utilisateurs, clients, collaborateurs, prestataires, …) d’exercer ces droits de manière effective.

Or, l’exercice de ces droits est éminemment une affaire de parcours utilisateur et de contexte : l’information sur l’exercice de droits doit être simple, pratique, et présente partout où elle fait sens dans des interfaces entre l’utilisateur et le service. Il ne faut pas seulement penser à rappeler au bon endroit que ces droits existent, mais fournir des manières simples de les exercer. Cet exercice simple et concret est de l’intérêt de l’organisation responsable des données : plus cet exercice est organisé, moins il est complexe à gérer en interne en terme de réponse dans des délais raisonnables.

Au-delà de la somme des informations à présenter aux utilisateurs, c’est la mise en forme même de ces informations qui importe. Le RGPD va dans ce sens, en la rendant opposable. Une notice d’information rédigée dans une police de caractère minuscule saurait-elle être considérée comme « aisément accessible » ? Un bouton de refus du consentement dont les teintes de couleurs et la mise en forme le rendent presque invisible peut-il aboutir à un consentement « libre et éclairé » valide ? Le fait de finir par répondre positivement par lassitude ou par erreur à des demandes d’autorisation de collecte de données réitérées de manière répétées – à la limite du harcèlement – peut-il être considéré comme un acte positif de la part des utilisateurs ? Imposer à l’utilisateur un parcours du combattant pour trouver où et comment exercer son droit d’accès ou de portabilité des données est-il vraiment compatible avec l’obligation de faciliter cet exercice des droits ?

Lorsqu’un concepteur crée un système, ses choix de design influencent inévitablement l’utilisateur. Un tel pouvoir est nécessairement un titre de responsabilité et qualifie ses concepteurs comme des « architectes de choix » (Sunstein / Thaler), sorte de pendant conceptuel de la notion de responsable de traitement « qui détermine les finalités et les moyens du traitement » (selon la définition de l’article 4 du RGPD). L’architecte de choix décide (volontairement ou involontairement) le contexte social, technique et politique dans lequel les individus exercent leur pouvoir de choisir (ou de ne pas choisir). Toute architecture de choix, qu’elle soit conçue intentionnellement pour affecter le comportement des utilisateurs ou non, aura une incidence sur la façon dont les utilisateurs interagissent avec un système.

La régulation des architectures de choix est peut-être l’un des champs de régulation les plus importants de la société numérique pour les 10 ans à venir, bien au-delà des seules questions de protection des données et de la vie privée. Les régulateurs et législateurs doivent donc dès maintenant construire une grille d’analyse rigoureuse des architectures de choix et de leurs conséquences sur les individus comme sur la société, dans une orientation éthique et politique qui va au-delà à la fois d’une approche purement juridique comme d’une approche uniquement instrumentale du design.

 

Construire une régulation partagée et ouverte s'appuyant sur des outils nouveaux

 

Renforcer les autorités de protection en compétences tierces, intégrées et/ou mutualisées au profit d’une régulation des architectures de choix

Si les régulateurs veulent continuer d’objectiver leur analyse des patterns de design et d’interface, ils doivent développer les compétences professionnelles adaptées à l’analyse rationnelle et professionnelle de ces enjeux. Pour certains ces sujets paraissent moins rigoureux que le droit ou la technique, mais ce n’est pas une malédiction du design de n’être qu’une affaire d’instinct ou de goût : il s’agit bien de pratiques analysables et décomposables.

Pour ajouter la face manquante au triangle de régulation, les autorités de protection des données en Europe devraient recruter davantage de compétences nécessaires à l’analyse des interfaces, en faisant appel de manière ponctuelle ou plus régulière à des équipes de designers et de spécialistes des questions de psychologie des individus. Selon les cas, il pourrait être intéressant d’internaliser ces compétences et cette expertise, il serait également envisageable de constituer des laboratoires transversaux, inter-autorités de protection européennes des données, ou inter-autorités de régulation françaises. Avec, dans ce deuxième scénario, le risque d’une expertise appliquée moins poussée, mais l’opportunité qu’elle soit plus partagée, au-delà des questions de protections de la vie privée.

Cette montée en compétence des régulateurs est une condition nécessaire pour réduire l’asymétrie d’information entre régulateur et régulés, et donc une condition d’efficacité de l’action publique à l’ère numérique

Construire une approche non-concurrente et open source des bonnes pratiques de design

Un régulateur comme la CNIL marche sur deux jambes : la jambe d’accompagnement et la jambe répressive. Si le régulateur pourrait être conduit à tenir compte du design pour conclure à la non-conformité de certaines pratiques, il peut aussi aider les professionnels à créer des bonnes pratiques. Mais cela ne veut surtout pas dire que créer ces solutions soit le travail du régulateur : il doit y inciter, et non fournir des solutions clés en main. Si tel était le cas, le régulateur sortirait de son rôle, produirait probablement un résultat peu efficient qui briderait les opportunités d’innovation et de créativité d’autres acteurs, dont les efforts seraient alors considérés comme superflus par leurs pairs et leurs interlocuteurs métiers.

Les professionnels du développement et du design ont des codes et un vocabulaire qui leur sont propres et qui sont complétés par une palette d’outils et de méthodes de conception (guidelines, boîte à outils, design patterns, canevas) sur lesquels ils ont pour habitude de s’appuyer. Par leur adoption massive, ces pratiques de conception ont tendance à homogénéiser les formes d’interactions et d’interfaces, ce qui participe à la création de grammaires des interfaces qui forment la base des usages et interactions entre humains et produits numériques.

En plus d’être soumis à des contraintes internes (par exemple des départements juridiques ou marketing), les designers n’ont pas suffisamment d’outils à disposition pour formuler des réponses innovantes à ces nouveaux besoins. Ils se replient alors sur leurs outils et méthodes traditionnels ainsi que les pratiques dominantes d’UI et d’UX, qui ne sont pas toujours adaptées (par exemple, dark patterns, bandeaux cookies et politiques de confidentialité actuellement majoritaires, etc.).

La CNIL pourrait participer à la production de tels outils, dans un format ouvert et sous des licences de partage, à envisager comme des moyens de faire penser la vie privée aux designers. Cela pourrait aboutir à la production d’analyses au service de la conception d’interfaces respectueuses de la vie privée des utilisateurs (acculturation aux sujets de protection des données, questions à intégrer à la démarche de conception, briques de base, grands principes et règles, etc.) et des recommandations concrètes (« do » / « don’t », design patterns, typologie de mécanismes de transparence et loyauté, etc.).

De tels outils pourraient permettre aux professionnels d’échanger sur leurs pratiques respectives et de partager leur propre approche des enjeux de vie privée, cela afin de co-construire la pratique du design de la vie privée et fédérer une communauté de designer sur ce sujet.

En parallèle de la publication de ce cahier IP, la CNIL prévoit le lancement d’une première ébauche de cette boite à outils, comme une ouverture de ce processus qui devra se construire progressivement et comme un appel à la constitution d’une communauté du design responsable au plan de la protection des données.

Encourager la rétro-ingénierie des pratiques de design

Les milieux de la sécurité informatique mettent régulièrement en place des Bug Bounty, des programmes permettant aux développeurs de découvrir et de corriger des bugs avant que le grand public n’en soit informé, évitant ainsi des abus. Ces programmes sont lancés par les entreprises elles mêmes qui proposent des récompenses aux développeurs qui leur permettront de repérer – et donc de prévenir ou réparer – des failles de sécurité. Dans une version design, une bonne régulation par le marché devrait permettre de voir apparaître ce type d’initiatives directement portées par les pourvoyeurs de services numériques qui s’assureraient de leurs bonnes pratiques en ouvrant des canaux de remontée de design abusif et trompeur. Les acteurs des écosystèmes de l’innovation pourraient ainsi mettre en place des programmes de rétro-design des plateformes, à l’image de ce que développe la Fing dans son exploration Retro Design de l’attention, et faire travailler des chercheurs en sciences humaines et des designers afin de décortiquer les processus et pointer les axes de progression pour les plateformes numériques.

Les entreprises sont devenues friandes des hackathons, prototypages rapides ou design sprint. Transposer dans le monde de la conformité et de l’implémentation de solutions de conception au service du respect des droits des utilisateurs est donc une opportunité à saisir.

En parallèle, les régulateurs des données et de la vie privée doivent aussi approfondir la « régulation par les incitations réputationnelles » (sunshine regulation). Parier sur la mise en transparence des pratiques des acteurs afin que le grand public en tire ses propres conclusions, et puisse par exemple choisir de quitter un service aux mauvaises pratiques : l’enjeu de réputation est crucial dans les modèles économiques de plateformes. C’est par exemple ce que LINC a décidé de faire, en application d’un article de la Loi pour une République Numérique donnant à la CNIL une mission de promotion « de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données », en publiant une « cartographie des outils et pratiques de protection de la vie privée » qui référence des outils et services décrivant dans leurs fonctionnalités ou technologies des pratiques protectrices, d’une manière ou d’une autre, des données de leurs utilisateurs.

Mettre en débat sur la place publique les pratiques de design abusif ou trompeur pourrait avoir pour conséquence des phénomènes de « punition par le marché » : un moyen efficace pour pousser les acteurs à modifier leurs méthodes, et pour informer les individus de la manière dont ces pratiques sont mises en oeuvre. Une telle mission n’est pas nécessairement l’apanage d’un régulateur seul : les universitaires, les associations militantes, les citoyens et les législateurs ont chacun toute leur place dans ce champ de débat public. C’est même un enjeu majeur de ces voies additionnelles de régulation que de pouvoir mieux associer les citoyens, en complément des outils classiques de régulation.

 

La recherche et l'éducation comme pistes pour la régulation d'après-demain

 

Financements d’études sur les impacts du design abusif ou trompeur

Si la littérature scientifique s’étoffe de plus en plus sur les pratiques abusives de design, que ce soit dans le champ de l’économie de l’attention, de l’économie comportementale, ou de la psychologie, etc., les travaux de recherche appliqués au design de la privacy restent encore relativement peu nombreux. Il conviendrait ainsi d’encourager et d’accompagner la recherche universitaire interdisciplinaire dans ce domaine afin de mieux connaître, quantifier et analyser les impacts concrets des pratiques décrites dans ce cahier. Non seulement le régulateur, mais aussi les médias et la société dans son ensemble pourraient ainsi se saisir des résultats de ces travaux pour mieux réguler, mieux informer et mieux réagir face aux sollicitations des plateformes numériques.

Accompagner l’éducation aux plateformes et interfaces numériques

L’alphabétisation numérique est l’un des enjeux pour l’éducation de jeunes et des moins jeunes, dans un monde où l’ensemble de nos interactions tend à passer par le vecteur d’interfaces numériques et désormais naturelles (assistants vocaux, etc.). Chacun de ces outils développe sa propre grammaire et son propre langage, avec parfois la volonté de produire du flou afin de mieux influencer les individus. La CNIL développe et anime le réseau EducNum, un collectif né en 2013 et réunissant des acteurs très divers, issus du monde de l’éducation, de la recherche, de l’économie numérique, de la société civile, de fondations d’entreprises et d’institutions, pour porter et soutenir des actions visant à promouvoir une véritable culture citoyenne du numérique.

Pousser des nouvelles initiatives, par ce biais, visant à éduquer à la compréhension des plateformes et à l’interaction avec les interfaces devra permettre de limiter les effets négatifs des tentatives de design abusif. Plus les individus seront vigilants et sauront les reconnaître, moins ces tentatives de manipulation auront d’effets sur les internautes. Par ailleurs, comme le montrent nos scénarios de prospective, l’une des questions les plus intrigantes par rapport au futur réside dans l’effet de ces outils et pratiques sur nos cerveaux et nos processus cognitifs. Or, il n’est pas nécessaire d’avoir une vision simplement passive : apprendre, c’est aussi changer sa manière de penser, de résoudre des problèmes, de réagir à des situations avec un mode cognitif plus rapide, instinctif et émotionnel (le « système 1 » pour reprendre la distinction de Kanheman dans Thinking fast and slow).

Bien souvent, dans une tradition républicaine bien ancrée, l’éducation au numérique est pensée pour s’orienter vers le « système 2 », le plus analytique, logique et… lent. On explique, on fait comprendre, on oriente les individus vers de nouveaux comportements ou de nouvelles pratiques. Mais rien n’interdit de penser, avec précaution, des politiques publiques d’apprentissage numérique plus orientées vers le système 1. Par exemple, peut-on muscler la réactance, ce « mécanisme de défense psychologique mis en oeuvre par un individu qui tente de maintenir sa liberté d’action lorsqu’il la croit ôtée ou menacée » (wikipedia) ? Comment accroitre la vigilance, aider les citoyens à détecter les points suspects, sensibles, étonnants ? Comment pouvons-nous imaginer des manières d’entrainer les citoyens à réagir instinctivement pour défendre leurs droits ?

Dans son rapport de synthèse du débat public qu’elle a animé en 2017 sur les enjeux éthiques des algorithmes et de l’intelligence artificielle, la CNIL avait mis en avant ce grand principe de vigilance : « il s’agit d’organiser une forme de questionnement régulier, méthodique et délibératif à l’égard de ces objets mouvants ». Renforcer notre capacité individuelle et collective à la vigilance et à la réflexivité parait, dans la société numérique de demain, un objectif louable de politiques publiques et d’intérêt général.

Penser le sujet ainsi, c’est également appliquer les principes fondateurs du RGPD (l’auto-détermination informationnelle et le contrôle réel d’un individu informé, le renforcement des droits, les actions collectives, …) et de la Loi Informatique et Libertés de 1978 (en particulier de son article 1er : « l’informatique doit être au service de chaque citoyen. (…) Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».


Illustration : Getty Images