une main qui tient une guitare

Perspectives

Le ratissage sur les « interfaces truquées » met en lumière les attentes du Commissariat à la protection de la vie privée pour l’obtention d’un consentement éclairé en ligne

Au début de 2024, des commissaires canadiens à la protection de la vie privée ont pris part au ratissage international annuel sur la protection de la vie privée (le « ratissage ») du Global Privacy Enforcement Network (GPEN). Cet exercice portait sur les mécanismes de conception trompeuse, aussi appelés « interfaces truquées ».

On définit les mécanismes de conception trompeuse comme des moyens « utilisés sur les sites Web et les applications mobiles dans le but d’influencer, de manipuler ou de contraindre les utilisateurs à prendre des décisions qui ne sont pas dans leur intérêt1 ». En outre, ils « peuvent empêcher les utilisateurs de prendre des décisions éclairées sur la collecte, l’utilisation et la communication de leurs renseignements personnels et les amener à renoncer à leurs droits en la matière dans une mesure plus grande qu’ils ne le souhaiteraient2 ».

Le 9 juillet 2024, le Commissariat à la protection de la vie privée du Canada (le « CPVP » ou le « Commissariat ») a publié son Rapport sur le ratissage du Commissariat à la protection de la vie privée du Canada de 2024 : Mécanismes de conception trompeuse (le « rapport ») pour présenter les résultats de l’exercice et ses principales observations.

En lien avec la publication du rapport, le CPVP a aussi produit un nouveau guide pour aider les entreprises à éviter ces mécanismes, et les particuliers à y voir plus clair (le « guide »). Pour en savoir plus, reportez-vous aux pages Web du CPVP intitulées Méfiez-vous de la conception trompeuse : Conseils sur l’utilisation des sites Web et des applications mobiles et Une conception respectueuse de la vie privée : Cinq pratiques exemplaires pour éviter les mécanismes de conception trompeuse.

Le rapport et le guide mettent tous deux en lumière les attentes du CPVP en ce qui a trait à l’obtention d’un consentement éclairé en ligne.

Pour se conformer aux exigences du CPVP, les organisations faisant des affaires au Canada devraient ainsi passer en revue leurs plateformes Web et y apporter les changements requis. Même si les deux publications présentent des pratiques optimales plutôt que des règles exécutoires, elles mettent la table pour une potentielle prise de mesures coercitives et offrent des exemples visuels concrets de ce que le CPVP juge acceptable ou non. Toute société souhaitant garder une longueur d’avance devrait d’ores et déjà songer à corriger ses pratiques conformément aux recommandations du CPVP, plutôt que d’attendre le dépôt d’une plainte officielle ou la tenue d’une enquête.

Le ratissage

Le processus s’est déroulé du 29 janvier au 2 février 2024, avec la collaboration du CPVP et de 25 autres autorités chargées de l’application des lois sur la protection de la vie privée. Plus de 1000 sites Web et applications mobiles ont fait l’objet d’un examen, dont 145 par le CPVP. Le ratissage mettait l’accent sur cinq mécanismes précis de conception trompeuse :

  1. Langage complexe et déroutant : des politiques de confidentialité difficiles à comprendre, car elles sont trop longues ou rédigées dans un langage trop technique.
  2. Interférence d’interface : des éléments de conception qui peuvent influencer la perception et la compréhension par les utilisateurs de leurs options en matière de protection de la vie privée.
  3. Harcèlement : des invites répétées demandant aux utilisateurs de prendre des mesures précises susceptibles de porter atteinte à leurs intérêts en matière de protection de la vie privée.
  4. Obstruction : l’ajout d’étapes supplémentaires inutiles entre les utilisateurs et leurs objectifs en matière de protection de la vie privée.
  5. Action forcée : le fait d’exiger des utilisateurs qu’ils communiquent plus de renseignements personnels pour accéder à un service que ce qui est nécessaire pour fournir ce service, ou de les inciter à le faire par la ruse3.

Bien que l’utilisation de mécanismes de conception trompeuse ne soit pas explicitement proscrite par les lois canadiennes sur la protection de la vie privée, elle augmente les risques qu’une organisation manque à ses obligations de protéger les renseignements personnels qu’elle recueille, notamment en n’obtenant pas le consentement « éclairé » des utilisateurs.

Le rapport et le guide pressent les entreprises de rendre leurs politiques et leurs paramètres de protection de la vie privée facilement accessibles aux utilisateurs, et de tenir compte de leur public cible (par exemple, les enfants). En contexte législatif sur la protection du consommateur, la Cour suprême du Canada avait déjà appliqué un critère juridique selon lequel le « consommateur moyen » est « crédule et inexpérimenté ». Par conséquent, les organisations doivent être conscientes de ce qu’entend la Cour par « consommateur moyen » lorsqu’elles se servent de mécanismes de conception trompeuse, car cette définition peut servir à déterminer si lesdits mécanismes empêchent un utilisateur d’accéder à la politique et aux paramètres de protection de la vie privée ou de les comprendre, et si ces mêmes organisations contreviennent aux lois en la matière.

Le rapport et le guide

Vous trouverez ci-après un résumé du rapport et du guide comprenant des exemples de chaque mécanisme de conception trompeuse, les conclusions clés du rapport et les recommandations du CPVP pour éviter ces stratagèmes.

Droit à la vie privée des enfants

Dans le cadre du ratissage, le CPVP a aussi collaboré avec le Commissariat à l’information et à la protection de la vie privée de l’Alberta (Office of the Information and Privacy Commissioner of Alberta, ou l’OIPC-AB) et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (Office of the Information and Privacy Commissioner for British Columbia, ou l’OIPC-BC) pour examiner l’utilisation de mécanismes de conception trompeuse sur 67 sites Web et applications destinés aux enfants. Le rapport fait donc également état des engagements que ces trois entités ont pris en regard du droit des enfants à la vie privée, et aborde la vulnérabilité des jeunes qui pratiquent des activités en ligne.

Le rapport indique ce qui suit : « S’il importe que les organisations évitent les mécanismes de conception trompeuse sur leurs sites Web et leurs applications pour que les utilisateurs puissent faire des choix éclairés en matière de protection de la vie privée, et ce, sans être manipulés, le Commissariat, le Commissariat à l’information et à la protection de la vie privée de l’Alberta et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique souhaitent souligner qu’il est crucial de garantir aux utilisateurs des pratiques qui protègent la vie privée par défaut sur les sites Web et applications susceptibles d’être attrayants pour les enfants4. »

Collaboration internationale et voie vers une prise potentielle de mesures coercitives

Le ratissage reflète une collaboration grandissante entre les différentes autorités responsables de l’application des lois sur la protection de la vie privée et autres. De plus, pour la première fois en 2024, le GPEN a coordonné son action avec celle de l’International Consumer Protection and Enforcement Network (ICPEN). Le rapport du GPEN qualifie le ratissage « d’exemple le plus complet à ce jour de coopération réglementaire entre les autorités de protection de la vie privée et les autorités de protection des consommateurs » qui « tient compte de l’intersection croissante des deux sphères réglementaires dans l’économie numérique »5.

Le choix des mécanismes de conception trompeuse comme thème de cette année laisse planer l’idée que ceux-ci pourraient faire bientôt l’objet d’une surveillance accrue des autorités chargées de l’application des lois au Canada et à l’échelle mondiale. Si l’application de mesures coercitives entourant les mécanismes de conception trompeuse devait devenir une priorité, le CPVP pourrait en venir à enquêter non seulement sur le fond des politiques et des pratiques en ligne de protection de la vie privée mises en place par les entreprises (sites Web et applications mobiles), mais aussi sur leur forme. Conséquemment, les organisations doivent être au fait des mécanismes de conception jugée trompeuse et des moyens de les éviter, surtout lorsqu’elles cherchent à obtenir un consentement éclairé en ligne.

Consentement éclairé

Les lois canadiennes sur la protection de la vie privée stipulent que les entreprises privées doivent obtenir un consentement éclairé pour pouvoir recueillir, utiliser et divulguer des renseignements personnels. Même si les formulations et les obligations varient d’un texte législatif à l’autre, on en comprend que toute personne doit être informée du type de renseignements personnels collectés, utilisés et divulgués, et des fins auxquelles cette information est recueillie. En outre, un consentement ne peut être obtenu par la ruse ou la tromperie.

Le CPVP a déjà établi des lignes directrices sur la sollicitation d’un consentement éclairé à l’intention des organisations. Pour en savoir plus, reportez-vous aux textes Lignes directrices pour l’obtention d’un consentement valable (publication conjointe du CPVP, de l’OIPC-AB et de l’OIPC-BC), Troisième principe relatif à l’équité dans le traitement de l’information de la LPRPDE – Consentement du CPVP, et Lignes directrices 2023-1 – Consentement : critères de validité de la Commission d’accès à l’information du Québec.

Le CPVP a également proposé des pratiques optimales et des conseils aux entreprises œuvrant en ligne. Les publications que voici sont d’excellentes sources de renseignements à ce sujet : Une occasion à saisir : Développer des applis mobiles dans le respect du droit à la vie privéeDix conseils pour améliorer votre politique de confidentialité en ligne et la transparence de vos pratiques en matière de protection de la vie privée et Dix conseils pour faire connaître les pratiques en matière de protection de la vie privée aux utilisateurs de votre application.

Dans son rapport comme dans son guide, le CPVP bonifie de façon pratique le contenu de ses publications précédentes en offrant aux entreprises des mesures à mettre en œuvre dans la conception de leurs plateformes Web. Le rapport et le guide mettent tous deux l’accent sur la protection de la vie privée dès la conception et par défaut, et illustrent les attentes du CPVP en ce qui a trait à l’obtention d’un consentement éclairé en ligne.

Même si la législation canadienne sur la protection des renseignements personnels demeure neutre sur le plan technologique et n’interdit pas l’usage de mécanismes de conception jugée trompeuse par le CPVP, les organisations risquent de manquer à leur obligation d’obtenir un consentement éclairé en en mettant en place dans leurs sites Web et leurs applications mobiles.

Le CPVP s’est déjà prononcé sur certaines caractéristiques de conception comme la longueur (le nombre de pages et de mots) et la lisibilité (la taille de police et les liens) d’une politique de confidentialité en ligne, le moyen de consulter celle-ci (par exemple, un appareil mobile) et l’utilisation de commutateurs pour établir l’existence ou non d’un problème entourant le consentement. Pour plus d’information, consultez entre autres le rapport d’enquête Investigation Report P2021-IR-02 Investigation into Babylon by TELUS Health’s compliance with Alberta’s Personal Information Protection Act (en anglais seulement).

Points à retenir

Le CPVP a fait clairement savoir qu’il avait les mécanismes de conception trompeuse dans sa mire. Les entreprises doivent donc se préparer à revoir le fond et la forme de leurs politiques de protection de la vie privée, et leurs pratiques de confidentialité sur leurs sites Web et leurs applications mobiles advenant une plainte ou une enquête. De plus, les sites et les applications ciblant les enfants pourraient faire l’objet d’un examen beaucoup plus attentif.

Les organisations devraient passer en revue le rapport et le guide, puis leurs politiques, procédures et pratiques actuelles de protection de la vie privée sur leurs sites Web et leurs applications mobiles, et travailler de concert avec leurs équipes de conception d’expérience utilisateur pour réduire la présence de mécanismes de conception trompeuse. Elles devraient également s’assurer que tous les consentements qu’elles recueillent en ligne sont éclairés et valides en considération des exigences du CPVP quant aux mécanismes de conception trompeuse à éviter.


1 Commissariat à la protection de la vie privée du Canada. Rapport sur le ratissage du Commissariat à la protection de la vie privée du Canada de 2024 : Mécanismes de conception trompeuse [fichier PDF], 2024, page 3. Également disponible en ligne : www.priv.gc.ca. Ci-après le « rapport ».
2 Ibid.
3 Les ratisseurs ont sélectionné cinq mécanismes précis de conception trompeuse en fonction des critères établis par l’Organisation de coopération et de développement économiques (OCDE) dans son article intitulé Dark Commercial Patterns (en anglais seulement), publié le 26 octobre 2022 et offrant une définition ad hoc du terme « interfaces truquées ».
4 Rapport, p. 28.
5 Global Privacy Enforcement Network. Ratissage du GPEN 2024 : « Mécanismes de conception trompeuse » [fichier PDF], 2024, p 3.

Principaux contacts

  • Frédéric Wilson

    Frédéric Wilson

    Coresponsable national, Respect de la vie privée

    Montréal
    FWilson@blg.com
    514.954.2509

    Frédéric Wilson

    Coresponsable national, Respect de la vie privée

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Conformité à la législation sur le respect de la vie privée et la protection des renseignements personnels
    • Enquêtes des organismes de réglementation en matière de protection de la vie privée
    • Protection de la vie privée et atteintes à la sécurité
    • Technologies de l’information

    • Voir la biographie
    Voir la biographie
  • Simon Du Perron

    Simon Du Perron

    Avocat

    Montréal
    SDuPerron@blg.com
    514.954.2542

    Simon Du Perron

    Avocat

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Technologies de l’information
    • Technologies
    • Publicité et marketing
    • Intelligence artificielle (IA)
    Voir la biographie
  • Daniel  J.  Michaluk

    Daniel J. Michaluk

    Coresponsable national, Respect de la vie privée et cybersécurité

    Toronto
    DMichaluk@blg.com
    416.367.6097

    Daniel Michaluk

    Coresponsable national, Respect de la vie privée et cybersécurité

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Protection de la vie privée et atteintes à la sécurité
    • Différends en matière de cybersécurité
    • Éducation
    • Gouvernement et secteur public

    • Voir la biographie
    Voir la biographie
  • Eric  S. Charleston

    Eric S. Charleston

    Coresponsable national, Cybersécurité

    Toronto
    ECharleston@blg.com
    416.367.6566

    Eric Charleston

    Coresponsable national, Cybersécurité

    Services
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    • Droit des sociétés et droit commercial
    • Litiges
    Voir la biographie
  • Danielle  Windt

    Danielle Windt

    Avocate

    Vancouver
    DWindt@blg.com
    604.640.4120

    Danielle Windt

    Avocate

    Services
    • Droit des sociétés et droit commercial
    • Fusions et acquisitions
    • Contrats commerciaux
    • Sociétés fermées
    • Cybersécurité, respect de la vie privée et protection des renseignements personnels
    Voir la biographie