Le CEPD a publié le 14 mars, une première version des lignes directrices sur les Dark Patterns (en français : interfaces truquées) dont l’objet est de fournir des recommandations permettant aux concepteurs et aux utilisateurs des réseaux sociaux d’identifier et d’éviter les interfaces malveillantes pouvant porter atteinte à la protection des données personnelles.
Pour mémoire, les Dark patterns sont des interfaces posées sur les plateformes de réseaux sociaux, qui peuvent conduire les concepteurs et les utilisateurs à prendre involontairement des décisions ou à adopter des comportements susceptibles de compromettre leurs données personnelles.
Après avoir exposé une liste des catégories des Dark patterns, les lignes directrices rappellent d’abord les principes généraux applicables à l’utilisation de ces interfaces, de manière à les rendre conformes aux dispositions du RGPD. Il s’agit plus particulièrement de l’exigence de base légale lors de la collecte et du traitement des données, de la nécessité de déterminer clairement la finalité du traitement et de faciliter aux personnes concernées l’accès et l’exercice de leurs droits sur leurs données.
Ensuite, le CEPD fournit certaines recommandations sur les pratiques à suivre par les concepteurs et les responsables du traitement afin de pouvoir implémenter les interfaces conformément au RGPD.
Les lignes directrices exposent enfin une liste non-exhaustive des exemples pratiques qui peuvent être rencontrés par les concepteurs et les utilisateurs lors de la l’installation ou de l’utilisation de ces interfaces.
D’ailleurs, cette version est ouverte à la consultation du public jusqu’au 2 mai 2022.
Consultez ici l’intégralité du document en anglais : Guidelines 3/2022 on Dark patterns in social media platform interfaces : How to recognise and avoid them
Avec la loi n° 2022-309, qui a été publiée au Journal Officiel le 3 mars 2022, la protection des données des consommateurs en ligne sera prochainement davantage renforcée.
En effet, ce texte ajoute un nouvel article L.111-7-3 au Code de la consommation applicable aux plateformes en ligne qui proposent un service de comparaison des produits et des prix, en vue de la vente ou de la mise en relation entre un professionnel et un consommateur. Il impose désormais à ces intermédiaires, de réaliser un audit de cybersécurité portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers. Il leur impose également de sécuriser leurs propres outils de traitement et de transfert des données.
Nous pensons bien évidemment ici aux sites de comparateurs d’assurance susceptibles de collecter un certain nombre d’informations personnelles de prospects dans le but notamment de proposer la réalisation de devis en ligne.
L’audit en question devra-t-être réalisé par des prestataires d’audit qualifiés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Les intermédiaires en lignes devront également informer les consommateurs des résultats de leur audit de façon lisible, claire et compréhensible.
Des textes réglementaires viendront définir ultérieurement les modalités de la mise en œuvre de ces évolutions. En effet, un décret pris en Conseil d’état fixera le seuil d’activités à partir duquel l’audit sera exigible, et un arrêté pris après avis de la CNIL définira aussi la durée de sa validité.
Ces nouvelles dispositions entreront en vigueur le 1er octobre 2023.
Consultez ici le texte de la loi : Loi n° 2022-309 du 3 mars 2022
Le 10 décembre 2021, la Cour de cassation a saisi le Conseil constitutionnel d’une Question Prioritaire de Constitutionnalité (QPC). Celle-ci portait sur la conformité à la constitution de l’article L34-1 du Code des Postes et des Communications Électroniques (CPCE), concernant le traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques.
Sont contestées les paragraphes II et III de l’article L34-1 du CPCE, qui imposent aux opérateurs d’effacer ou de rendre anonymes les données relatives au trafic, enregistrées à l’occasion des communications électroniques dont ils assurent la transmission.
De plus, les requérants reprochaient à ces dispositions d’imposer aux opérateurs la conservation générale et indifférenciée des données de connexion, sans la réserver à la recherche d’infractions graves et sans même soumettre cette conservation à une autorisation ou à un contrôle d’une juridiction ou d’une autorité indépendante.
Enfin, il était reproché le fait qu’il existait d’autres moyens d’investigations moins attentatoires au respect de la vie privée.
Suite à ces contestations, le Conseil Constitutionnel constate d’abord que ces données de connexion conservées portent sur l’identification des utilisateurs des services de communications, mais aussi sur la localisation de leur équipement.
Au regard de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, ces données fournissent ainsi des informations nombreuses et précises, particulièrement attentatoires à la vie privée.
Le Conseil relève ensuite qu’une telle conservation s’applique de manière générale à tous les utilisateurs et que cette obligation de conservation porte indifféremment sur toutes les données de connexion de l’utilisateur, sensibles ou non, sans considération de la nature et de la gravité des infractions recherchées.
Le Conseil Constitutionnel déduit, dans sa décision du 25 février 2022, que ces dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée consacré dans l’article2 de la Déclaration des droits de l’homme et du citoyen de 1789 (DDHC).
Consultez ici le communiqué de presse et la décision : Décision n° 2021-976/977 QPC du 25 février 2022 – Communiqué de presse | Conseil constitutionnel (conseil-constitutionnel.fr) ; Décision n° 2021-976/977 QPC du 25 février 2022 ; Conseil constitutionnel (conseil-constitutionnel.fr)
