Dark patterns : pratiques interdites par le DSA et la CNIL

Dark patterns : pratiques interdites par le DSA et la CNIL

Les dark patterns (ou “interfaces trompeuses”) désignent les techniques de conception d’interfaces qui manipulent les utilisateurs pour les amener à prendre des décisions qu’ils n’auraient pas prises en connaissance de cause : accepter des cookies, partager des données, souscrire un abonnement, renoncer à un droit. Longtemps tolérés, ces procédés sont désormais explicitement interdits par le Digital Services Act (DSA), le RGPD et les recommandations de la CNIL. Les sanctions se multiplient. Cet article dressé un inventaire juridique complet des pratiques interdites et fournit les critères permettant d’évaluer la conformité de vos interfaces.

Cadre juridique : une interdiction multi-sources

Le RGPD et le consentement

Le RGPD ne mentionné pas explicitement le terme “dark patterns”, mais ses exigences en matière de consentement interdisent de facto la plupart de ces pratiques. L’article 4, paragraphe 11 définit le consentement comme une manifestation de volonté “libre, spécifique, éclairée et univoque”. L’article 7 precise les conditions de validité. Le considérant 42 indique que “le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée n’a pas véritablement la possibilité d’un libre choix”.

Le Comité européen de la protection des données (CEPD) a adopté en mars 2022 des lignes directrices spécifiques sur les dark patterns dans les réseaux sociaux (Lignes directrices 3/2022), qui identifient six catégories de dark patterns : surcharge (overloading), dissimulation (skipping), agitation emotionnelle (stirring), obstruction (hindering), inconsistance (fickle) et piège (left in thé dark). Bien que centrees sur les réseaux sociaux, ces catégories sont transposables à toute interface collectant des données personnelles.

Le Digital Services Act (DSA)

Le Règlement (UE) 2022/2065 relatif au marché unique des services numériques (DSA), applicable depuis le 17 février 2024, interdit explicitement les dark patterns dans son article 25. Ce texte dispose que “les fournisseurs de plateformes en ligne ne concoivent pas, n’organisent pas et ne gerent pas leurs interfaces en ligne de manière a tromper ou manipuler les destinataires de leur service ou de manière a altérer ou compromettre substantiellement la capacité des destinataires de leur service à prendre des décisions libres et éclairées”.

L’article 25 visé spécifiquement les pratiques qui mettent en évidence certains choix lorsque le destinataire est invité à prendre une décision, les pratiques qui sollicitent de manière répétée un destinataire pour qu’il fasse un choix, et les pratiques qui rendent la procédure de résiliation d’un service plus difficile que la procédure d’inscription.

La directive sur les pratiques commerciales déloyales

La directive 2005/29/CE relative aux pratiques commerciales déloyales interdit les pratiques trompeuses (actions et omissions trompeuses) et les pratiques agressives. Les dark patterns relèvent de ces deux catégories selon les cas. La Commission européenne a publié en 2022 des orientations interpretatives confirmant que les interfaces trompeuses constituent des pratiques commerciales déloyales.

Les recommandations CNIL

La CNIL a intègre la lutte contre les dark patterns dans ses priorités de contrôle. Ses recommandations du 1er octobre 2020 sur les cookies et traçeurs décrivent précisément les pratiques non conformes en matière de bandeaux de consentement. La CNIL a sanctionné plusieurs entreprises pour des dark patterns sur leurs bandeaux cookies, confirmant l’application concrète de cette interdiction.

Inventaire des pratiques interdites

Le faux dilemme sur les bandeaux cookies

Le bandeau de consentement qui propose deux boutons – “Accepter tout” en couleur visible et “Parametrer mes choix” en texte discret renvoyant vers des sous-menus complexes – constitue un dark pattern par asymétrie. La CNIL exigé que le refus soit aussi simple que l’acceptation. La solution conforme est un bouton “Refuser tout” aussi visible que le bouton “Accepter tout”, au même niveau d’interface.

La CNIL a sanctionné Google (150 millions d’euros) et Facebook (60 millions d’euros) en janvier 2022 précisément pour cette asymétrie dans leurs bandeaux cookies. Ces décisions ont clairement établi que l’absence d’un bouton de refus au même niveau que le bouton d’acceptation est non conforme. Pour les règles complètes applicables aux cookies et au RGPD, consultez notre guide.

La présélection des cases

Toute case précochée par défaut (inscription à une newsletter, acceptation de partagé de données avec des partenaires, acceptation de publicité ciblée) est interdite par le RGPD. La Cour de justice de l’Union européenne a confirmé cette interdiction dans l’arrêt Planet49 (C-673/17). L’utilisateur doit effectuer un acte positif clair pour donner son consentement. Les boutons bascule (toggles) actives par défaut posent le même problème.

Le parcours labyrinthe

Le parcours de désabonnement ou de suppression de compte qui impose de naviguer à travers de multiples écrans, de répondre à des questions, de confirmer plusieurs fois, voire d’appeler un service téléphonique, constitue un dark pattern par obstruction. L’article 7.3 du RGPD impose que le retrait du consentement soit aussi simple que son octroi. L’article 25 du DSA interdit les procédures de résiliation plus complexes que les procédures d’inscription.

Le sentiment de culpabilité (confirmshaming)

Les formulations qui utilisent la culpabilité ou l’emotion pour dissuader l’utilisateur de refuser – “Non merci, je ne souhaité pas protéger mes données”, “Je prefere recevoir des publicités non pertinentes” – constituent des dark patterns par agitation emotionnelle. L’alternative refusée doit être présentée de manière neutre : “Refuser” ou “Non, merci”.

La sollicitation répétée

Demander à l’utilisateur d’accepter les cookies ou de s’inscrire à chaque page, ou afficher un bandeau de consentement à chaque visité malgré un refus précédent, constitue une pratique de lassitude. L’utilisateur finit par accepter pour faire cesser la sollicitation, ce qui privé le consentement de son caractère libre. Le CEPD identifie cette technique comme un dark pattern de type “surcharge”. La CMP doit conserver le choix de l’utilisateur et ne pas le solliciter à nouveau avant l’expiration d’un délai raisonnable (la CNIL recommandé six mois).

L’illusion de contrôle

Presenter à l’utilisateur des paramètres de confidentialité granulaires mais dont la modification n’a en pratique aucun effet constitue un dark pattern par dissimulation. L’utilisateur croit contrôler le traitement de ses données alors que les paramètres n’ont pas d’incidence réelle. Cette pratique violé le principe de loyauté (article 5.1.a du RGPD) et constitue une pratique commerciale trompeuse.

Le mûr de cookies (cookie wall)

Le cookie wall consiste à bloquer l’accès au contenu tant que l’utilisateur n’a pas accepté les cookies. La CNIL a initialement considéré que cette pratique privait le consentement de son caractère libre. Le Conseil d’État a nuancé cette position en 2020, estimant que le cookie wall pouvait être admis dans certains cas, notamment pour les sites proposant une alternative (abonnement payant). La question reste débattue et la conformité dépend du cas d’espèce.

Conséquences juridiques et sanctions

Sanctions CNIL

Les sanctions pour dark patterns en matière de cookies et de consentement sont désormais régulières et significatives. Outre les sanctions Google et Facebook mentionnées, la CNIL a sanctionné Microsoft Ireland (60 millions d’euros en décembre 2022) pour le dépôt de cookies publicitaires sans consentement via le moteur de recherché Bing. Apple Distribution International a été sanctionné de 8 millions d’euros. Les sanctions RGPD constituent un risque financier majeur.

Sanctions DSA

Le DSA prévoit des amendes pouvant atteindre 6 % du chiffre d’affaires annuel mondial pour les plateformes en ligne qui ne respectent pas l’interdiction des dark patterns. En France, l’ARCOM est le coordinateur des services numériques charge de l’application du DSA.

Risque réputationnel

Les dark patterns sont de plus en plus visibles et dénoncés par les utilisateurs, les associations de consommateurs et les médias. L’utilisation de ces techniques peut générer un backlash significatif, en particulier pour les entreprises qui se positionnent sur des valeurs de transparence et de respect des utilisateurs.

Comment auditer ses interfaces

Grille d’évaluation

Pour chaque interface collectant des données ou des choix de l’utilisateur, vérifier les points suivants :

Le refus est-il aussi simple que l’acceptation ? Le bouton de refus est-il au même niveau d’interface, de même taille, de même visibilité que le bouton d’acceptation ? L’utilisateur doit-il parcourir des écrans supplémentaires pour refuser ?

La présentation est-elle neutre ? Les formulations sont-elles factuelles ou cherchent-elles a orienter le choix ? Les visuels (couleurs, tailles, positions) sont-ils équilibrés entre les options ?

Les paramètres par défaut respectent-ils la vie privée ? Les cases sont-elles décochées par défaut ? Les paramètres de confidentialité sont-ils règles sur le niveau le plus protecteur par défaut (privacy by default, article 25.2 du RGPD) ?

La désinscription est-elle aussi simple que l’inscription ? Le processus de retrait du consentement, de désabonnement ou de suppression de compte est-il accessible et rapide ? L’utilisateur peut-il exercer ses droits en un nombre d’étapes raisonnable ?

Pour les aspects techniques de la mise en oeuvre des consentements, consultez notre guide sur Google Tag Manager et le RGPD. Les dark patterns ne se limitent pas aux bandeaux cookies – les formulaires de lead génération et les parcours d’inscription sont également concernés.

Tests utilisateurs

Un audit de dark patterns doit idéalement inclure des tests utilisateurs pour vérifier si des utilisateurs réels comprennent les choix proposés, font des choix éclairés et ne sont pas manipulés par le design de l’interface. Ces tests peuvent être conduits avec un panel représentatif et les résultats documentés.

La conformité comme avantage concurrentiel

Privacy by design

L’article 25 du RGPD impose la protection des données des la conception (privacy by design) et par défaut (privacy by default). Cette obligation implique que la conception des interfaces doit prendre en compte la protection des données dès les premières étapes de développement. Les dark patterns sont l’antithèse de cette approche. Les entreprises qui adoptent une démarche sincère de privacy by design se differencient positivement.

Confiance et conversion

Des études montrent que la transparence sur l’utilisation des données et le respect des choix des utilisateurs ameliorent la confiance et, in fine, les taux de conversion a long terme. Un utilisateur qui a consenti de manière éclairée est un utilisateur plus engagé. À l’inverse, un consentement obtenu par manipulation genere des plaintes, des désabonnements et une dégradation de la relation client.

FAQ

Un bouton “Tout accepter” plus visible que le bouton “Refuser” est-il un dark pattern ?

Oui. La CNIL a explicitement sanctionné cette pratique dans ses décisions contre Google et Facebook en janvier 2022. Le bouton de refus doit être aussi visible et accessible que le bouton d’acceptation. L’asymétrie de taille, de couleur ou de position entre les deux boutons constitue un dark pattern qui vicie le consentement. La solution conforme consiste à placer deux boutons equivalents (“Accepter tout” et “Refuser tout”) au même niveau d’interface, avec un troisième lien vers les paramètres détaillés.

Le DSA s’applique-t-il à mon site web d’entreprise ?

Le DSA s’applique aux fournisseurs de services intermédiaires, et plus spécifiquement aux plateformes en ligne (places de marché, réseaux sociaux, App stores). Un site web d’entreprise classique (site vitrine, blog, e-commerce direct) n’est pas directement soumis à l’article 25 du DSA. Toutefois, les dark patterns restent interdits pour ces sites au titre du RGPD (consentement non libre), de la directive ePrivacy (cookies), de la directive sur les pratiques commerciales déloyales, et du droit de la consommation français. L’interdiction est donc de portée générale, le DSA ne faisant que la renforcer pour les plateformes.

Comment détecter les dark patterns sur son propre site ?

La détection passe par un audit systématique de toutes les interfaces de collecte de données et de consentement. Vérifiez les bandeaux cookies (symétrie des choix, libellé des boutons, nombre d’étapes pour refuser), les formulaires d’inscription (cases précochées, couplage de finalités), les parcours de désinscription (nombre d’étapes, confirmshaming), et les paramètres de confidentialité (défaut protecteur, effectivité des choix). Des outils automatisés de détection des dark patterns existent (Deceptive Patterns, Dark Pattern Tip Line) et peuvent compléter un audit humain. La CNIL publié régulièrement des guides pratiques sur la conformité des interfaces.