[Privacy Research Day] Du point de vue des utilisateurs

Comment la régulation est-elle comprise par les utilisateurs ? Pour répondre à cette question, Estelle Hary designer au sein du LINC, a procédé à une présentation des travaux du laboratoire sur les designs trompeurs et des bonnes pratiques dans la conception de bannières cookies. Les résultats de l’enquête réalisée par le LINC et la Direction Interministérielle de la Transformation Publique (DITP) montrent que le design a un effet sur la façon dont l’utilisateur va exprimer son consentement, mais également qu’il existe un effet d’apprentissage : les personnes ayant été confrontées à des bannières cookies incitant visuellement à accepter les cookies, sont plus enclines à accepter ensuite les cookies sur des bannières « neutres ».

La première intervenante, Lin Kyi (Doctorante en science informatique, Institut Max Planck, Allemagne), a ensuite mis en avant les représentations par les utilisateurs des différentes options sur les bandeaux et la façon dont ils perçoivent la notion « d’intérêt légitime ». Cette notion a fait son apparition dans nombre de bannières cookies ces dernières années, notamment du fait du Transparency and Consent Framework (TCF) de l’IAB Europe. À travers une première étude, Lin a montré que 4,74% des sites analysés font référence à un intérêt légitime, parmi lesquels 13,7% ne spécifient pas ce qui constitue cet intérêt légitime. De façon générale, des pratiques trompeuses semblent être légion concernant les sections associées à l’intérêt légitime, notamment en faisant reposer le dépôt des mêmes cookies à la fois sur la base de l’intérêt légitime et sur la base du consentement. Or, contrairement au consentement, l’acceptation de cookies sur la base de l’intérêt légitime est le plus souvent activée par défaut, nécessitant que les utilisateurs le désactivent manuellement (opt-out). À travers une deuxième étude, Lin a exploré grâce à une enquête auprès d’un échantillon de 399 personnes, les impressions et intentions des utilisateurs lorsqu’ils sont confrontés à un bandeau faisant mention de l’intérêt légitime. Elle a ainsi montré que les utilisateurs sont enclins à percevoir le fonctionnement, la correction de bugs et la mise en conformité comme des intérêts légitimes de l’organisation. À l’inverse, la publicité personnalisée et le partage de données avec des tierces parties n’apparaissent tendanciellement pas comme des intérêts légitimes. Grâce à cette double enquête publiée à la 2023 CHI Conference on Human Factors in Computing Systems, Lin montre que dans l'ensemble les utilisateurs sont conscients de la collecte de leurs données quelle que soit la base sur laquelle elles sont collectées (consentement ou intérêt légitime), et sont même suspicieux d’une collecte de leurs données lorsque aucune autorisation n’a été donnée à la plateforme. Lin en déduit alors que les pratiques trompeuses des plateformes renforcent le soupçon des utilisateurs et contribuent à mal les informer. Elle en a profité pour encourager les intermédiaires de la régulation à donner un plus grand rôle aux utilisateurs dans la fabrique de la protection des données.

Dans un deuxième temps, Sunny Consolvo (Chercheuse UX, Google, États-Unis) est intervenue pour souligner l’importance de la prise en compte la spécificité et la diversité des utilisateurs. Les utilisateurs dits « à risque » ont notamment été définis par Sunny comme faisant l’objet de facteurs contextuels qui augmentent ou amplifient leur chance d’être attaqués et/ou de souffrir d’une attaque en ligne (qu’il s’agisse par exemple de personnes ayant été victimes de violence conjugales ou de personnes publiques investies dans des activités politiques). Les types d’utilisateurs à risque sont par essence diversifiés, et leurs besoins peuvent être contradictoires. Par conséquent, l’objectif de la recherche de Sunny et de son équipe était de rassembler dans un même cadre d’analyse une synthèse de la connaissance produite sur la diversité de ces situations. Pour ce faire, l’équipe a analysé 95 papiers académiques portant sur l’expérience d’utilisateurs à risque, publiés entre 2016 et 2020. D’après leur analyse, il existe 10 facteurs contextuels qui amplifient le risque. Dans le cadre de sa présentation, Sunny a choisi de se concentrer sur deux de ces facteurs : l’accès privilégié à des ressources (par exemple, les journalistes sont attaqués pour leur accès à des données confidentielles) et la notoriété (par exemple, les artistes et créateurs). Bien entendu, ces facteurs peuvent interagir et s’amplifier mutuellement : une personne ayant de la notoriété peut dans le même temps avoir accès à des informations confidentielles, redoublant ainsi son exposition au risque. Quelles sont alors les stratégies qui sont mises en œuvre par les usagers pour se protéger ? Selon Sunny, il existe à la fois des stratégies sociales (utiliser son réseau, informer du risque les personnes de son entourage, etc.), des stratégies de distanciation (auto-censure, évitement de certaines plateformes, etc.) et des stratégies techniques (chiffrement, double authentification, etc.). Un certain nombre de barrières vont toutefois empêcher d’employer pleinement ces stratégies : les besoins matériels immédiats sont souvent prioritaires sur la protection des données, le manque de connaissance et d’expérience limite l’aptitude à savoir quand mobiliser quelle stratégie, et le fait que les outils technologiques eux-mêmes vont souvent à l’encontre de la protection des utilisateurs à risque. Sunny a conclu sa présentation en incitant les DPAs comme les acteurs du numérique à mieux intégrer ces spécificités, et les chercheurs à compléter ce cadre analytique.

Enfin, Karel Kubicek (Doctorant en sécurité informatique, ETH Zurich, Suisse) a clos le panel pour montrer l’intérêt pour les utilisateurs d'automatiser leurs paramètres en fonction des finalités des cookies. Son travail hérite d’un projet collectif visant à contrer les défaillances et ambiguïtés associées au contentement des utilisateurs au cours du dépôts de cookies. Comme le rappelle Karel, les études montrent que jusqu’à 80% des sites ne seraient pas conformes, et que des jeux d’interface trompent régulièrement les utilisateurs dans leur consentement. La solution CookieBlock développée par Karel et son équipe a ainsi pour but d’empêcher, grâce une prédiction par machine learning, tout dépôt de cookies qui n’aurait pas fait l’objet d’un consentement explicite de la part de l’utilisateur. Pour développer leur solution, ils ont utilisé un crawler afin d’identifier 37 500 sites fonctionnant avec un outil de management du consentement des utilisateurs (Consent Management Platform, CMP) leur permettant de collecter les déclarations de consentement des utilisateurs et de les comparer à la façon dont les cookies étaient effectivement utilisés. L’utilisation du machine learning a en effet permis à Karel et son équipe de déterminer avec une bonne précision l’objectif effectif de chaque cookie en pratique (cookies nécessaires et fonctionnels, cookies de métriques, et cookies publicitaires). En comparant les déclarations aux utilisations effectives des cookies, Karel a pu mettre en évidence au moins 3 types de problèmes récurrents : sur 82,5% des sites, les cookies ne sont pas listés dans la déclaration de consentement, sur 69,7%, les cookies sont déposés avant le consentement exprimé par l’utilisateur, et sur 21,3%, les cookies sont déposés malgré le non consentement des utilisateurs. Une majorité des sites cumulaient ainsi plusieurs de ces violations. Pour conclure, Karel a incité les DPAs à mobiliser ce type d’outil pour automatiser la détection de violations et donc mieux sanctionner.

Les discussions concluant la table ronde ont ensuite porté sur les types d’utilisateurs à risque qui ne seraient pas identifiés ou moins considérés dans la littérature scientifique (populations du Sud et non-occidentales en général), posant des enjeux d’accès au terrain et aux objets d’enquête. Des questions ont également porté, comme dans le premier panel, sur l’intentionnalité des développeurs et le besoin de fournir des outils aux praticiens de l’économie du numérique, ainsi que sur les possibilités d’un usage malicieux des outils développés pour détecter les interfaces trompeuses du consentement.