Au début de 2024, des commissaires canadiens à la protection de la vie privée ont pris part au ratissage international annuel sur la protection de la vie privée (le « ratissage ») du Global Privacy Enforcement Network (GPEN). Cet exercice portait sur les mécanismes de conception trompeuse, aussi appelés « interfaces truquées ».
On définit les mécanismes de conception trompeuse comme des moyens « utilisés sur les sites Web et les applications mobiles dans le but d’influencer, de manipuler ou de contraindre les utilisateurs à prendre des décisions qui ne sont pas dans leur intérêt1 ». En outre, ils « peuvent empêcher les utilisateurs de prendre des décisions éclairées sur la collecte, l’utilisation et la communication de leurs renseignements personnels et les amener à renoncer à leurs droits en la matière dans une mesure plus grande qu’ils ne le souhaiteraient2 ».
Le 9 juillet 2024, le Commissariat à la protection de la vie privée du Canada (le « CPVP » ou le « Commissariat ») a publié son Rapport sur le ratissage du Commissariat à la protection de la vie privée du Canada de 2024 : Mécanismes de conception trompeuse (le « rapport ») pour présenter les résultats de l’exercice et ses principales observations.
En lien avec la publication du rapport, le CPVP a aussi produit un nouveau guide pour aider les entreprises à éviter ces mécanismes, et les particuliers à y voir plus clair (le « guide »). Pour en savoir plus, reportez-vous aux pages Web du CPVP intitulées Méfiez-vous de la conception trompeuse : Conseils sur l’utilisation des sites Web et des applications mobiles et Une conception respectueuse de la vie privée : Cinq pratiques exemplaires pour éviter les mécanismes de conception trompeuse.
Le rapport et le guide mettent tous deux en lumière les attentes du CPVP en ce qui a trait à l’obtention d’un consentement éclairé en ligne.
Pour se conformer aux exigences du CPVP, les organisations faisant des affaires au Canada devraient ainsi passer en revue leurs plateformes Web et y apporter les changements requis. Même si les deux publications présentent des pratiques optimales plutôt que des règles exécutoires, elles mettent la table pour une potentielle prise de mesures coercitives et offrent des exemples visuels concrets de ce que le CPVP juge acceptable ou non. Toute société souhaitant garder une longueur d’avance devrait d’ores et déjà songer à corriger ses pratiques conformément aux recommandations du CPVP, plutôt que d’attendre le dépôt d’une plainte officielle ou la tenue d’une enquête.
Le ratissage
Le processus s’est déroulé du 29 janvier au 2 février 2024, avec la collaboration du CPVP et de 25 autres autorités chargées de l’application des lois sur la protection de la vie privée. Plus de 1000 sites Web et applications mobiles ont fait l’objet d’un examen, dont 145 par le CPVP. Le ratissage mettait l’accent sur cinq mécanismes précis de conception trompeuse :
- Langage complexe et déroutant : des politiques de confidentialité difficiles à comprendre, car elles sont trop longues ou rédigées dans un langage trop technique.
- Interférence d’interface : des éléments de conception qui peuvent influencer la perception et la compréhension par les utilisateurs de leurs options en matière de protection de la vie privée.
- Harcèlement : des invites répétées demandant aux utilisateurs de prendre des mesures précises susceptibles de porter atteinte à leurs intérêts en matière de protection de la vie privée.
- Obstruction : l’ajout d’étapes supplémentaires inutiles entre les utilisateurs et leurs objectifs en matière de protection de la vie privée.
- Action forcée : le fait d’exiger des utilisateurs qu’ils communiquent plus de renseignements personnels pour accéder à un service que ce qui est nécessaire pour fournir ce service, ou de les inciter à le faire par la ruse3.
Bien que l’utilisation de mécanismes de conception trompeuse ne soit pas explicitement proscrite par les lois canadiennes sur la protection de la vie privée, elle augmente les risques qu’une organisation manque à ses obligations de protéger les renseignements personnels qu’elle recueille, notamment en n’obtenant pas le consentement « éclairé » des utilisateurs.
Le rapport et le guide pressent les entreprises de rendre leurs politiques et leurs paramètres de protection de la vie privée facilement accessibles aux utilisateurs, et de tenir compte de leur public cible (par exemple, les enfants). En contexte législatif sur la protection du consommateur, la Cour suprême du Canada avait déjà appliqué un critère juridique selon lequel le « consommateur moyen » est « crédule et inexpérimenté ». Par conséquent, les organisations doivent être conscientes de ce qu’entend la Cour par « consommateur moyen » lorsqu’elles se servent de mécanismes de conception trompeuse, car cette définition peut servir à déterminer si lesdits mécanismes empêchent un utilisateur d’accéder à la politique et aux paramètres de protection de la vie privée ou de les comprendre, et si ces mêmes organisations contreviennent aux lois en la matière.
Le rapport et le guide
Vous trouverez ci-après un résumé du rapport et du guide comprenant des exemples de chaque mécanisme de conception trompeuse, les conclusions clés du rapport et les recommandations du CPVP pour éviter ces stratagèmes.
Droit à la vie privée des enfants
Dans le cadre du ratissage, le CPVP a aussi collaboré avec le Commissariat à l’information et à la protection de la vie privée de l’Alberta (Office of the Information and Privacy Commissioner of Alberta, ou l’OIPC-AB) et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (Office of the Information and Privacy Commissioner for British Columbia, ou l’OIPC-BC) pour examiner l’utilisation de mécanismes de conception trompeuse sur 67 sites Web et applications destinés aux enfants. Le rapport fait donc également état des engagements que ces trois entités ont pris en regard du droit des enfants à la vie privée, et aborde la vulnérabilité des jeunes qui pratiquent des activités en ligne.
Le rapport indique ce qui suit : « S’il importe que les organisations évitent les mécanismes de conception trompeuse sur leurs sites Web et leurs applications pour que les utilisateurs puissent faire des choix éclairés en matière de protection de la vie privée, et ce, sans être manipulés, le Commissariat, le Commissariat à l’information et à la protection de la vie privée de l’Alberta et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique souhaitent souligner qu’il est crucial de garantir aux utilisateurs des pratiques qui protègent la vie privée par défaut sur les sites Web et applications susceptibles d’être attrayants pour les enfants4. »
Collaboration internationale et voie vers une prise potentielle de mesures coercitives
Le ratissage reflète une collaboration grandissante entre les différentes autorités responsables de l’application des lois sur la protection de la vie privée et autres. De plus, pour la première fois en 2024, le GPEN a coordonné son action avec celle de l’International Consumer Protection and Enforcement Network (ICPEN). Le rapport du GPEN qualifie le ratissage « d’exemple le plus complet à ce jour de coopération réglementaire entre les autorités de protection de la vie privée et les autorités de protection des consommateurs » qui « tient compte de l’intersection croissante des deux sphères réglementaires dans l’économie numérique »5.
