Cookies : le consentement biaisé des internautes
Une étude de cinq universitaires (MIT, UCL, Aarhus University) montre que 88 % des fenêtres pop-up de recueil du consentement des internautes ne respectent pas la loi européenne. Les utilisateurs sont incités par conception à accepter le dépôt de cookies.
Par Sébastien Dumoulin, Florian Dèbes
C'est devenu une routine pour les internautes européens. Depuis l'entrée en vigueur du RGPD (règlement général sur la protection des données) il y a un an et demi, sites Web et applications mobiles ne cessent de demander l'autorisation de suivre leurs activités en ligne, principalement au moyen de cookies. Le texte requiert en effet un consentement « libre, spécifique, éclairé et univoque » des personnes pour les pister.
Mais ce feu d'artifice de fenêtres pop-up est loin d'avoir répondu aux exigences du législateur, selon une récente étude menée par cinq universitaires (du MIT, de UCL et de Aarhus University). Les chercheurs ont analysé les plates-formes de recueil de consentement (CMP) des cinq principaux éditeurs de ce type de solutions logicielles (Cookiebot, Crownpeak, OneTrust, Quantcast et TrustArc) utilisées par les 10.000 sites les plus visités du Royaume-Uni.
Bilan : neuf sur dix ne respectent même pas les conditions minimales du cadre légal (l'obligation d'un consentement explicite, la possibilité de refuser les cookies aussi facilement que de les accepter et l'absence de cases précochées).
New paper (for #CHI2020) on dark patterns in consent pop-ups after the GDPR. We (w/ I Liccardi @mikarv @karger L Kagal) scraped 10K UK sites and found the biggest pop-up providers are configured illegally 88.2% of the time, with big impacts on answershttps://t.co/y0BiJGkMij
— Midas Nouwens (@MidasNouwens) January 12, 2020
1/9 pic.twitter.com/kW8TWtqT8s
Pratiques illégales
L'étude montre aussi l'impact des choix de conception de ces outils sur les décisions des internautes. En n'affichant pas de bouton « Tout refuser » au même niveau que « Tout accepter » (souvent en requérant de cliquer sur une deuxième, voire une troisième fenêtre), la probabilité d'obtenir leur consentement augmente ainsi de près d'un quart.
A l'inverse, montrer des options plus détaillées (sur les usages prévus des cookies ou les sociétés tierces impliquées) diminue la probabilité d'acceptation de 8 à 20 %.
Les universitaires notent que les pratiques illégales « prévalent aujourd'hui, avec des fournisseurs de CMP fermant les yeux sur - ou pire, incitant à utiliser - des configurations clairement illégales de leurs outils. L'application de la loi fait cruellement défaut ».
De Verizon à AppNexus (AT&T), les éditeurs de CMP sont souvent des entreprises américaines spécialisées - c'est un paradoxe - dans la publicité numérique. Sur ce marché, le californien Quantcast fait figure de leader. Il revendique plus de 10 millions de consentements collectés depuis son lancement en mai 2018… avec un taux d'acceptation supérieur à 90 %.
Sébastien Dumoulin et Florian Dèbes