Fuzzy est un constructeur de smartphones qui ambitionne de concurrencer des acteurs plus traditionnels. Pour cela, la marque mise sur la simplicité avec une interface épurée et sur la transparence du traitement des données mis en œuvre.
Cette étude de cas s’inscrit dans une démarche de médiation par le LINC autour du design des interfaces. Elle traduit sous forme de service fictif des décisions prises par la CNIL afin de les rendre claires et accessibles. Elle illustre des manquements au Règlement Général pour la Protection des Données (RGPD) identifiés par la CNIL dans le design des interfaces et des parcours utilisateurs, afin de pouvoir les éviter dans vos produits et services. L’étude ne traite pas l’intégralité du parcours utilisateur et se concentre sur certains points saillants. A ce titre, elle ne couvre pas nécessairement toutes les exigences du RGPD.
Contexte du service
Fuzzy, est un constructeur montant de smartphones qui lance son propre système d’exploitation. Fuzzy installe par défaut sur les téléphones ses applications natives dont une partie nécessitent la création d’un compte FuzzyConnect. Ce compte promet la gestion aisée et intuitive du téléphone et des services associés en utilisant un seul et même identifiant. En proposant de passer uniquement par ses services, le constructeur vise à créer une expérience sans couture de ses services avec un parcours utilisateur uniformisé. Il ambitionne ainsi de détourner les consommateurs des acteurs plus traditionnels. Fuzzy mise aussi sur la transparence des traitements qu’il met en œuvre et sur le fait de redonner la main à l’utilisateur sur ses données pour attirer et fidéliser ses clients. L’ensemble de ces tactiques sont mises en place pour obtenir la confiance des utilisateurs.
Seulement, après un lancement plutôt convaincant, la marque a rapidement attiré les critiques quant à ses promesses. Ainsi, un manque global de transparence à l’égard de ses utilisateurs, les laissant parfois particulièrement dans le flou quant au traitement de leurs données et la protection de leur vie privée, lui a été reproché par de nombreux acteurs du numérique. Dans ce contexte, quelles sont les pratiques mises en place par Fuzzy qui lui font défaut quant à la transparence de ses traitements, et de façon plus large, à la conformité des traitements qu’il met en œuvre ?
Parcours utilisateur et moments clés
La configuration nécessaire d’un téléphone à son initialisation permet de paramétrer certaines des préférences de l’utilisateur vis-à-vis de la collecte et de l’usage de ses données personnelles. Ces premières interactions que l’utilisateur a avec le téléphone sont déterminantes pour qu’il puisse se saisir des informations en lien avec ses données personnelles et comprendre comment les réglages impactent leur utilisation par le smartphone, et par extension, par les applications installées dessus. Si ces informations ne sont pas clairement énoncées ou accessibles, il est facile pour un usager un peu trop pressé ou inattentif de passer à côté de points importants. À ce titre, le règlement général sur la protection des données définit des critères de concision, compréhensibilité et d’accessibilité de l’information pour tous et toutes.
Certaines pratiques mises en place pour la configuration d’un téléphone peuvent conduire à des manquements RGPD, par exemple en ne permettant pas aux individus d’être pleinement informés sur la façon dont leurs données personnelles seront traitées. Il peut s’agir :
- de situations d’incitation au partage des données personnelles en influençant l’utilisateur dans l’expression de son consentement ou dans la volonté de se créer un compte ;
- d’un manque de clarté des informations fournies. Si l’utilisateur n’est pas en mesure de comprendre les informations données, il ne peut ni exercer ses droits, ni appréhender l’impact que le traitement peut avoir sur sa vie privée.
- un défaut global d’accessibilité aux informations qui concernent la vie privée de la personne par une architecture complexe des interfaces et des parcours d’accès.
Des incitations au partage de données
Au cours d’une des premières étapes de la configuration de son smartphone, l’utilisateur choisit de créer ou non un compte FuzzyConnect. L’interface incite l’utilisateur à le créer en utilisant un bouton vert qui se distingue clairement des autres éléments visuels de l’interface de paramétrage. À l’inverse, la possibilité d’ignorer cette étape est disponible via un bouton sans fond, de la même couleur que le texte principal et situé en bas de l’écran.
Si l’utilisateur choisit d’ignorer cette création de compte en cliquant sur le bouton correspondant, une fenêtre questionnant ce choix s’ouvre. Dans celle-ci, des arguments sont mis en avant indiquant que certaines fonctionnalités du téléphone ne seront pas disponibles sans compte. Insistant uniquement sur les aspects négatifs d’un tel choix, cette approche peut inciter l’utilisateur à partager des données : le texte précise que toutes les fonctionnalités et les applications ne seront pas accessibles sans ce compte, mais ne donne pas d’informations concernant le nombre d’applications dont l’accès sera impacté. L’information n’est ni claire, ni exhaustive à ce propos. En effet, aucun élément n’indique précisément que des applications de base propre à un smartphone, comme le calendrier, les documents, les emails, les notes, voire les appels seront ou non accessibles. Malgré cet avertissement, l’utilisateur refuse de se créer un compte.
Point d’attention
Un peu plus tard dans la phase de paramétrage de son téléphone, l’utilisateur dispose de quelques réglages concernant l’utilisation de la géolocalisation par les services Fuzzy. Sans manipulation préalable, les réglages associés sont pré-cochés. Qui plus est, un bouton poursuivre est ostensiblement mis à disposition en haut de l’écran, invitant l’utilisateur à cliquer dessus immédiatement. Par cette pratique, les concepteurs de Fuzzy savent que la probabilité pour que l’utilisateur continue son parcours sans modifier les réglages est plus forte : lorsque des choix sont présélectionnés ou cochés en amont, l’utilisateur a tendance à garder cet état par défaut par économie d’efforts d’attention et de réflexions. Ce principe est plus communément reconnu comme « l’effet par défaut » (default effect). Or, dans ce cas de figure, cela signifie que l’utilisateur ne prendrait pas connaissance des informations relatives à l’usage de la géolocalisation mais « accepterait » tout de même son utilisation par Fuzzy. Le consentement ainsi recueilli ne pourrait être considéré comme libre, informé et volontaire et n’est donc pas conforme aux principes explicités par le RGPD.
Point d’attention
Des informations peu claires…
Après avoir terminé l’initialisation de son téléphone, se rendant compte que plusieurs fonctionnalités ne lui sont pas accessibles, l’utilisateur prend finalement l’initiative de créer un compte FuzzyConnect pour pouvoir utiliser l’intégralité des fonctionnalités du téléphone. Dans le cadre du parcours de création de compte, il se voit directement proposer des informations dites de premier niveau (finalités du traitement, identité du responsable du traitement, description des droits des personnes concernées et renvoi vers la politique de confidentialité) relatives au traitement de ses données personnelles associé aux services proposés par Fuzzy, dont ceux obligatoirement soumis à l’utilisation d’un compte FuzzyConnect. Pourtant, tel que rédigé, ce premier niveau ne lui permet pas d’identifier clairement la finalité du traitement, ni d’appréhender les effets sur sa vie privée. En effet, s’il est en mesure de savoir qu’un traitement aura lieu – « Nous effectuons un traitement des données générées par votre activité » –, les finalités mentionnées – « Nous faisons ceci pour : effectuer de la publicité personnalisée » –, restent vagues et ne reflètent pas le caractère massif et intrusif du traitement. L’utilisateur ne peut ni savoir qui aura accès à ses données et pourquoi, ni mesurer l’éventuel impact sur sa vie privée.
Point d’attention
Souhaitant mieux comprendre ces possibles impacts, il consulte le second niveau d’information du traitement, à savoir la politique de confidentialité. Là encore, les informations restent génériques et n’apportent pas la lumière espérée sur la portée des traitements de ses données personnelles et de leurs conséquences. Par exemple, des phrases comme « Nous stockons les données fournies à la création du compte FuzzyConnect », « Nous stockons les données générées par les activités liées aux services proposés par Fuzzy » ou encore « Nous utilisons vos données personnelles en fonction de vos usages mobiles » sont présentes. Alors que le traitement concerne de nombreux aspects de sa vie privée en se basant sur des données provenant de sources extrêmement variées, les informations disponibles ne permettent pas à l’utilisateur d’identifier clairement le degré d’intrusion dans sa vie privée car elles sont trop imprécises et manquent de clarté. En effet, l’historique de recherche peut révéler avec précision des données sensibles, comme une opinion politique ou des convictions personnelles, la localisation peut dévoiler des habitudes de déplacements, etc. Par ailleurs, les informations fournies ne donnent aucune granularité sur les données utilisées pour le fonctionnement de chaque service : il n’est pas précisé si la géolocalisation est utilisée pour la navigation uniquement ou également pour les photos ou encore associée au compte lui-même et utilisées dans tous les services (magasin d’application, navigateur web, applis tierces, etc.).
Le RGPD demande que toute information concernant le traitement de données personnelles soit complète, compréhensible, simple et claire. Elle doit permettre à la personne concernée de comprendre la façon dont ses données personnelles seront traitées, de la portée des traitements et de savoir comment maîtriser ses données. Le Comité Européen de la Protection des Données recommande notamment de délivrer une information par strates qui permet d’une part d’avoir une information adaptée au bon moment et d’autre part d’avoir, si besoin, une information complète. L’information mise en place par Fuzzy ne permet pas cela et ne répond donc pas aux principes de clarté de l’information et de transparence du traitement requis par le RGPD.
… et difficiles d’accès
Poursuivant sa quête d’information, l’utilisateur est confronté à des difficultés pour toutes les trouver et les rassembler, pour ainsi atteindre le niveau d’information souhaité et pouvoir gérer ses données. Par exemple, pour gérer l’utilisation des données de géolocalisation, plusieurs parcours sont possibles.
Les deux parcours ci-dessous, ne représentant pas la totalité des chemins envisageables, montrent à quel point les informations ou les moyens de gérer ses données sont éparpillés au sein des interfaces et mobilisent de nombreuses interactions avant d’atteindre celle souhaitée. Retrouver l’intégralité des informations liées à un aspect du traitement ou s’assurer qu’une de ses préférences de traitement des données soit bien prise en compte sur tous les traitements est particulièrement difficile à cause de parcours d’accès complexes et multiples.
Point d’attention
Point d’attention
Ainsi, dans le premier parcours représenté, cinq clics consécutifs sont requis pour savoir si la localisation est activée dans le cas d’une application précise. Pour le deuxième parcours, quatre clics sont nécessaires pour savoir si celle-ci est active de manière générale. Un autre niveau d’information est disponible après cette étape et concerne l’utilisation du Wi-Fi et le Bluetooth pour améliorer la précision de la localisation. Comme on peut le voir, les informations sont éclatées à plusieurs niveaux, non centralisées, ce qui les rend particulièrement difficiles d’accès. Il est presque impossible pour l’utilisateur de s’assurer d’avoir vérifié tous les endroits où paramétrer ses préférences pour l’usage de la géolocalisation. De plus, à aucun moment l’utilisateur peut apprécier la finalité du traitement des données ni la pertinence de l’accès à cette information dans tel ou tel service.
La multiplication des actions nécessaires ne satisfait pas aux exigences de transparence et d’accessibilité de l’information et témoigne d’un défaut global d’accessibilité, ne respectant pas les principes du RGPD. Pour que l’utilisateur soit en capacité de trouver facilement et intuitivement les informations qu’il recherche concernant ses données, l’architecture d’accès à l’information doit être pensée pour minimiser le nombre de clics nécessaires à l’obtention d’une information ou d’une action en lien avec ses données. Par conséquent, les informations communiquées à la personne ne devraient pas être éparpillées ni fragmentées en plusieurs endroits au sein du service ou d’un parcours utilisateur visant à fournir l’information.
Conclusion
Cette étude de cas illustre des situations concrètes de non-conformité en montrant certains dark patterns pouvant être utilisés dans les interfaces et parcours. Ici, ces pratiques cherchent à cacher des informations, par exemple en les rendant accessibles qu’après de nombreux clics, ou encore à influencer les choix des utilisateurs en utilisant des cases pré-cochées pour le recueil du consentement. Elle montre ainsi qu’un parcours utilisateur peut être complice du non-respect des exigences de clarté et de transparence du RGPD en créant, entre autres, des défauts de clarté et d’accessibilité aux informations.
Cette illustration concerne aussi bien concepteurs qu’utilisateurs, l’un pour la mise place de futures d’interfaces respectueuses à tous les niveaux en comprenant ce qui peut lui faire défaut, l’autre pour comprendre ses droits et identifier soi-même des situations illicites dans ses propres expériences.