Dark patterns : pratiques interdites par le DSA et la CNIL

Les dark patterns (ou “interfaces trompeuses”) designent les techniques de conception d’interfaces qui manipulent les utilisateurs pour les amener a prendre des decisions qu’ils n’auraient pas prises en connaissance de cause : accepter des cookies, partager des donnees, souscrire un abonnement, renoncer a un droit. Longtemps toleres, ces procedes sont desormais explicitement interdits par le Digital Services Act (DSA), le RGPD et les recommandations de la CNIL. Les sanctions se multiplient. Cet article dresse un inventaire juridique complet des pratiques interdites et fournit les criteres permettant d’evaluer la conformite de vos interfaces.

Cadre juridique : une interdiction multi-sources

Le RGPD et le consentement

Le RGPD ne mentionne pas explicitement le terme “dark patterns”, mais ses exigences en matiere de consentement interdisent de facto la plupart de ces pratiques. L’article 4, paragraphe 11 definit le consentement comme une manifestation de volonte “libre, specifique, eclairee et univoque”. L’article 7 precise les conditions de validite. Le considerant 42 indique que “le consentement ne devrait pas etre considere comme ayant ete donne librement si la personne concernee n’a pas veritablement la possibilite d’un libre choix”.

Le Comite europeen de la protection des donnees (CEPD) a adopte en mars 2022 des lignes directrices specifiques sur les dark patterns dans les reseaux sociaux (Lignes directrices 3/2022), qui identifient six categories de dark patterns : surcharge (overloading), dissimulation (skipping), agitation emotionnelle (stirring), obstruction (hindering), inconsistance (fickle) et piege (left in the dark). Bien que centrees sur les reseaux sociaux, ces categories sont transposables a toute interface collectant des donnees personnelles.

Le Digital Services Act (DSA)

Le Reglement (UE) 2022/2065 relatif au marche unique des services numeriques (DSA), applicable depuis le 17 fevrier 2024, interdit explicitement les dark patterns dans son article 25. Ce texte dispose que “les fournisseurs de plateformes en ligne ne concoivent pas, n’organisent pas et ne gerent pas leurs interfaces en ligne de maniere a tromper ou manipuler les destinataires de leur service ou de maniere a alterer ou compromettre substantiellement la capacite des destinataires de leur service a prendre des decisions libres et eclairees”.

L’article 25 vise specifiquement les pratiques qui mettent en evidence certains choix lorsque le destinataire est invite a prendre une decision, les pratiques qui sollicitent de maniere repetee un destinataire pour qu’il fasse un choix, et les pratiques qui rendent la procedure de resiliation d’un service plus difficile que la procedure d’inscription.

La directive sur les pratiques commerciales deloyales

La directive 2005/29/CE relative aux pratiques commerciales deloyales interdit les pratiques trompeuses (actions et omissions trompeuses) et les pratiques agressives. Les dark patterns relevent de ces deux categories selon les cas. La Commission europeenne a publie en 2022 des orientations interpretatives confirmant que les interfaces trompeuses constituent des pratiques commerciales deloyales.

Les recommandations CNIL

La CNIL a integre la lutte contre les dark patterns dans ses priorites de controle. Ses recommandations du 1er octobre 2020 sur les cookies et traceurs decrivent precisement les pratiques non conformes en matiere de bandeaux de consentement. La CNIL a sanctionne plusieurs entreprises pour des dark patterns sur leurs bandeaux cookies, confirmant l’application concrete de cette interdiction.

Inventaire des pratiques interdites

Le faux dilemme sur les bandeaux cookies

Le bandeau de consentement qui propose deux boutons – “Accepter tout” en couleur visible et “Parametrer mes choix” en texte discret renvoyant vers des sous-menus complexes – constitue un dark pattern par asymetrie. La CNIL exige que le refus soit aussi simple que l’acceptation. La solution conforme est un bouton “Refuser tout” aussi visible que le bouton “Accepter tout”, au meme niveau d’interface.

La CNIL a sanctionne Google (150 millions d’euros) et Facebook (60 millions d’euros) en janvier 2022 precisement pour cette asymetrie dans leurs bandeaux cookies. Ces decisions ont clairement etabli que l’absence d’un bouton de refus au meme niveau que le bouton d’acceptation est non conforme. Pour les regles completes applicables aux cookies et au RGPD, consultez notre guide.

La preselection des cases

Toute case precochee par defaut (inscription a une newsletter, acceptation de partage de donnees avec des partenaires, acceptation de publicite ciblee) est interdite par le RGPD. La Cour de justice de l’Union europeenne a confirme cette interdiction dans l’arret Planet49 (C-673/17). L’utilisateur doit effectuer un acte positif clair pour donner son consentement. Les boutons bascule (toggles) actives par defaut posent le meme probleme.

Le parcours labyrinthe

Le parcours de desabonnement ou de suppression de compte qui impose de naviguer a travers de multiples ecrans, de repondre a des questions, de confirmer plusieurs fois, voire d’appeler un service telephonique, constitue un dark pattern par obstruction. L’article 7.3 du RGPD impose que le retrait du consentement soit aussi simple que son octroi. L’article 25 du DSA interdit les procedures de resiliation plus complexes que les procedures d’inscription.

Le sentiment de culpabilite (confirmshaming)

Les formulations qui utilisent la culpabilite ou l’emotion pour dissuader l’utilisateur de refuser – “Non merci, je ne souhaite pas proteger mes donnees”, “Je prefere recevoir des publicites non pertinentes” – constituent des dark patterns par agitation emotionnelle. L’alternative refusee doit etre presentee de maniere neutre : “Refuser” ou “Non, merci”.

La sollicitation repetee

Demander a l’utilisateur d’accepter les cookies ou de s’inscrire a chaque page, ou afficher un bandeau de consentement a chaque visite malgre un refus precedent, constitue une pratique de lassitude. L’utilisateur finit par accepter pour faire cesser la sollicitation, ce qui prive le consentement de son caractere libre. Le CEPD identifie cette technique comme un dark pattern de type “surcharge”. La CMP doit conserver le choix de l’utilisateur et ne pas le solliciter a nouveau avant l’expiration d’un delai raisonnable (la CNIL recommande six mois).

L’illusion de controle

Presenter a l’utilisateur des parametres de confidentialite granulaires mais dont la modification n’a en pratique aucun effet constitue un dark pattern par dissimulation. L’utilisateur croit controler le traitement de ses donnees alors que les parametres n’ont pas d’incidence reelle. Cette pratique viole le principe de loyaute (article 5.1.a du RGPD) et constitue une pratique commerciale trompeuse.

Le mur de cookies (cookie wall)

Le cookie wall consiste a bloquer l’acces au contenu tant que l’utilisateur n’a pas accepte les cookies. La CNIL a initialement considere que cette pratique privait le consentement de son caractere libre. Le Conseil d’Etat a nuance cette position en 2020, estimant que le cookie wall pouvait etre admis dans certains cas, notamment pour les sites proposant une alternative (abonnement payant). La question reste debattue et la conformite depend du cas d’espece.

Consequences juridiques et sanctions

Sanctions CNIL

Les sanctions pour dark patterns en matiere de cookies et de consentement sont desormais regulieres et significatives. Outre les sanctions Google et Facebook mentionnees, la CNIL a sanctionne Microsoft Ireland (60 millions d’euros en decembre 2022) pour le depot de cookies publicitaires sans consentement via le moteur de recherche Bing. Apple Distribution International a ete sanctionne de 8 millions d’euros. Les sanctions RGPD constituent un risque financier majeur.

Sanctions DSA

Le DSA prevoit des amendes pouvant atteindre 6 % du chiffre d’affaires annuel mondial pour les plateformes en ligne qui ne respectent pas l’interdiction des dark patterns. En France, l’ARCOM est le coordinateur des services numeriques charge de l’application du DSA.

Risque reputationnel

Les dark patterns sont de plus en plus visibles et denonces par les utilisateurs, les associations de consommateurs et les medias. L’utilisation de ces techniques peut generer un backlash significatif, en particulier pour les entreprises qui se positionnent sur des valeurs de transparence et de respect des utilisateurs.

Comment auditer ses interfaces

Grille d’evaluation

Pour chaque interface collectant des donnees ou des choix de l’utilisateur, verifier les points suivants :

Le refus est-il aussi simple que l’acceptation ? Le bouton de refus est-il au meme niveau d’interface, de meme taille, de meme visibilite que le bouton d’acceptation ? L’utilisateur doit-il parcourir des ecrans supplementaires pour refuser ?

La presentation est-elle neutre ? Les formulations sont-elles factuelles ou cherchent-elles a orienter le choix ? Les visuels (couleurs, tailles, positions) sont-ils equilibres entre les options ?

Les parametres par defaut respectent-ils la vie privee ? Les cases sont-elles decochees par defaut ? Les parametres de confidentialite sont-ils regles sur le niveau le plus protecteur par defaut (privacy by default, article 25.2 du RGPD) ?

La desinscription est-elle aussi simple que l’inscription ? Le processus de retrait du consentement, de desabonnement ou de suppression de compte est-il accessible et rapide ? L’utilisateur peut-il exercer ses droits en un nombre d’etapes raisonnable ?

Pour les aspects techniques de la mise en oeuvre des consentements, consultez notre guide sur Google Tag Manager et le RGPD. Les dark patterns ne se limitent pas aux bandeaux cookies – les formulaires de lead generation et les parcours d’inscription sont egalement concernes.

Tests utilisateurs

Un audit de dark patterns doit idealement inclure des tests utilisateurs pour verifier si des utilisateurs reels comprennent les choix proposes, font des choix eclaires et ne sont pas manipules par le design de l’interface. Ces tests peuvent etre conduits avec un panel representatif et les resultats documentes.

La conformite comme avantage concurrentiel

Privacy by design

L’article 25 du RGPD impose la protection des donnees des la conception (privacy by design) et par defaut (privacy by default). Cette obligation implique que la conception des interfaces doit prendre en compte la protection des donnees des les premieres etapes de developpement. Les dark patterns sont l’antithese de cette approche. Les entreprises qui adoptent une demarche sincere de privacy by design se differencient positivement.

Confiance et conversion

Des etudes montrent que la transparence sur l’utilisation des donnees et le respect des choix des utilisateurs ameliorent la confiance et, in fine, les taux de conversion a long terme. Un utilisateur qui a consenti de maniere eclairee est un utilisateur plus engage. A l’inverse, un consentement obtenu par manipulation genere des plaintes, des desabonnements et une degradation de la relation client.

FAQ

Un bouton “Tout accepter” plus visible que le bouton “Refuser” est-il un dark pattern ?

Oui. La CNIL a explicitement sanctionne cette pratique dans ses decisions contre Google et Facebook en janvier 2022. Le bouton de refus doit etre aussi visible et accessible que le bouton d’acceptation. L’asymetrie de taille, de couleur ou de position entre les deux boutons constitue un dark pattern qui vicie le consentement. La solution conforme consiste a placer deux boutons equivalents (“Accepter tout” et “Refuser tout”) au meme niveau d’interface, avec un troisieme lien vers les parametres detailles.

Le DSA s’applique-t-il a mon site web d’entreprise ?

Le DSA s’applique aux fournisseurs de services intermediaires, et plus specifiquement aux plateformes en ligne (places de marche, reseaux sociaux, App stores). Un site web d’entreprise classique (site vitrine, blog, e-commerce direct) n’est pas directement soumis a l’article 25 du DSA. Toutefois, les dark patterns restent interdits pour ces sites au titre du RGPD (consentement non libre), de la directive ePrivacy (cookies), de la directive sur les pratiques commerciales deloyales, et du droit de la consommation francais. L’interdiction est donc de portee generale, le DSA ne faisant que la renforcer pour les plateformes.

Comment detecter les dark patterns sur son propre site ?

La detection passe par un audit systematique de toutes les interfaces de collecte de donnees et de consentement. Verifiez les bandeaux cookies (symetrie des choix, libelle des boutons, nombre d’etapes pour refuser), les formulaires d’inscription (cases precochees, couplage de finalites), les parcours de desinscription (nombre d’etapes, confirmshaming), et les parametres de confidentialite (defaut protecteur, effectivite des choix). Des outils automatises de detection des dark patterns existent (Deceptive Patterns, Dark Pattern Tip Line) et peuvent completer un audit humain. La CNIL publie regulierement des guides pratiques sur la conformite des interfaces.