Les modèles sombres et le consentement implicite sont omniprésents dans les plateformes de gestion du consentement RGPD: étude – Econsultancy

Les plates-formes de gestion du consentement (CMP) sont un élément clé des efforts de conformité du RGPD de nombreuses entreprises, mais selon une nouvelle étude menée par des chercheurs du MIT, de l’UCL et de l’Université d’Aarhus, elles ne sont pas à la hauteur.

À l’aide d’un grattoir, les chercheurs ont examiné les conceptions utilisées par les cinq CMP les plus utilisés sur les 10 000 sites Web d’Alexa au Royaume-Uni et ils ont constaté que «les motifs sombres et le consentement implicite sont omniprésents». Numériquement, seulement 11,8% des dessins sont conformes au droit européen sur la base des critères suivants:

Le consentement doit être explicite et fourni par une action positive, telle que cliquer sur un bouton.
L’acceptation de toutes les options de consentement doit être aussi simple que le rejet de toutes les options de consentement.
Le consentement ne doit pas être sélectionné automatiquement pour des raisons ou des fournisseurs non nécessaires.

Au total, sur les sites utilisant les CMP, près d’un tiers avaient un consentement implicite basé sur des actions telles que la navigation dans un site ou le rafraîchissement de la page, un peu plus de la moitié n’avait pas de bouton «rejeter tout» et encore plus (56%) de cases à cocher pré-cochées consentant à des fins facultatives et à des fournisseurs.

En plus d’évaluer les CMP sur la base de données grattées, les chercheurs ont mené une expérience impliquant 40 personnes qui a évalué la performance de huit conceptions de CMP différentes. La constatation la plus importante était que l’absence d’un bouton «rejeter tout» visible sur la première page et l’affichage d’une liste d’options groupées avant les options granulaires rendaient plus probable le consentement des utilisateurs. Cela, selon les chercheurs, viole le principe du RGPD exigeant que le consentement soit «librement donné» et est problématique étant donné que ces modèles de conception sont monnaie courante.

Les CMP pourraient devenir une cible d’application du RGPD

Étant donné que les CMP sont censés aider les organisations à se conformer au RGPD, le fait qu’ils ne le font apparemment malheureusement pas soulève une question évidente: pourquoi?

Les chercheurs suggèrent qu’il est possible que les sites configurent les CMP de manière non conforme, que les sites ne parviennent pas à mettre à jour leurs CMP utilisés depuis longtemps conformément au RGPD, ou que les fournisseurs de CMP eux-mêmes ferment les yeux ou même encourager la non-conformité.

À ce jour, l’application du RGPD s’est concentrée sur un certain nombre d’incidents très médiatisés. Alors que des mesures d’application comme l’amende de 183 millions de livres sterling de British Airways de l’ICO indiquent clairement que le RGPD n’est pas édenté, l’étude du MIT, de l’UCL et de l’Université d’Aarhus, ainsi que d’autres recherches qu’il cite, suggère également que de nombreuses pratiques du GDPR étaient supposées y mettre fin sont encore courants.

Une raison probable à cela est que les régulateurs n’ont tout simplement pas assez de bande passante pour prendre des mesures contre chaque entreprise qui utilise le consentement implicite, coche automatiquement une case à cocher, le fournisseur non nécessaire, etc.

Mais comme environ 1200 des 10000 meilleurs sites du Royaume-Uni utilisent l’un des cinq meilleurs CMP, les chercheurs du MIT, de l’UCL et de l’Université d’Aarhus évoquent la possibilité que les régulateurs ciblent les CMP et les obligent à n’utiliser que des conceptions conformes. Ils déclarent que “cette application peut être possible car la Cour de justice indique que les concepteurs de systèmes de plugins peuvent être des” contrôleurs conjoints “avec les sites Web … et l’ICO britannique indique qu’elle pourrait être disposée à forcer les organismes de publicité à modifier leurs normes.”

Alors, que devraient faire les organisations utilisant les CMP?

Bien qu’ils puissent trouver un certain soulagement dans la connaissance que la non-conformité semble être répandue et que les CMP pourraient être une cible plus facile pour les agences chargées de l’application du RGPD, ils doivent également se rappeler que leurs responsabilités en matière de conformité en vertu du RGPD ne disparaissent pas simplement parce qu’ils utiliser un CMP qui facilite ou encourage directement ou indirectement la non-conformité.

Dans cette optique, il incombe aux organisations de s’assurer que leur collecte et leur utilisation des données des utilisateurs sont légitimes et défendables même si leur CMP n’est pas à la hauteur.

Plus de ressources de Econsultancy