Avec son annonce, au début du mois d’août 2023, d’offrir à l’avenir aux utilisateurs la possibilité de désactiver les recommandations personnalisées de contenus pour se conformer à la législation européenne, en particulier au Digital Services Act (DSA), ou Règlement européen sur les services numériques, la plateforme TikTok reconnaît à mots couverts le caractère potentiellement néfaste de telles recommandations.
Depuis les années 2000, ces systèmes de recommandation, soit des «ensembles de filtres personnalisés intégrés à un système de repérage dont la fonction est de suggérer des ressources informationnelles susceptibles d’intéresser les usagers», permettent un ciblage précis des utilisateurs, comme l’ont décrit Namkee Park, Seungyoon Lee, Hyea Kyeong Kim et Jae Kyeong Kim dans un article paru en 2012 (A literature review and classification of recommender systems research, Expert Systems with Applications, 39/11, p. 10059–10072). Ce résultat est possible grâce à un algorithme pouvant prédire le rang des nouvelles les plus intéressantes pour un utilisateur ou encore les annonces publicitaires les plus aptes à être lues.
Pour définir l’algorithme, on empruntera à la Commission nationale française de l’informatique et des libertés, la CNIL, la jolie métaphore de la recette de cuisine, soit ce qui permet d’obtenir un plat à partir de ses ingrédients… Et l’autorité de l’illustrer à travers la combinaison de diverses informations pour obtenir des résultats comme la propagation de la grippe en hiver ou le pilotage automatique de véhicules routiers (Profilage et décision entièrement automatisée, 29 mai 2018, disponible ici: cnil.fr/fr/profilage-et-decision-entierement-automatisee). Mais ces informations peuvent aussi résulter de la collecte et du traitement des données personnelles de leurs utilisateurs, et le résultat, en un profilage de ceux-ci permettant un ciblage de leurs préférences.
Cette utilisation d’algorithmes par les acteurs économiques est aujourd’hui admise, elle l’est plus particulièrement encore par ceux que l’on appelle les plateformes. Parties prenantes de nos vies, ces entités virtuelles permettent de communiquer à travers les réseaux sociaux, d’acquérir des biens et des services sur des places de marché, de s’informer en consultant un moteur de recherche et bien plus encore. Le phénomène est tel que l’on parle même de plateformisation, mot traduit de l’anglais platformization et qui tend à appréhender le rôle joué par le web dans l’économie, mais aussi dans la société.
Il y a fort à parier qu’on trouvera le terme prochainement dans le dictionnaire, à l’instar de celui déjà inscrit d’«ubérisation». Si les modèles économiques des plateformes reposent sur divers critères, comme leur secteur économique (transport, logement, etc.) ou leur destinataire (professionnels ou personnes privées), l’on s’accorde, on l’a dit, sur l’utilisation accrue d’algorithmes mathématiques comme l’une de leurs caractéristiques communes.
Les opérations proposées par les plateformes ont souvent lieu dans un rapport «prestation du fournisseur contre données personnelles de l’acquéreur».
On assiste ainsi à la valorisation des données personnelles, donnant à la transaction un caractère onéreux, nonobstant son apparence de gratuité, telle que vantée par les fournisseurs. Ce qui est certain, c’est l’opposition de deux courants, l’un tendant à reconnaître aux données personnelles un statut patrimonial autorisant un droit de propriété sur celles-ci, l’autre se voulant profondément défenseur d’un rattachement à la personnalité, interdisant de les considérer comme des marchandises.
Dans tous les cas, la stratégie commerciale, explicitée dans les conditions générales d’utilisation de certaines plateformes, à l’instar de Facebook («nous utilisons vos données personnelles afin de définir les publicités à vous montrer»), réside dans la collecte en grand nombre de données personnelles dans le but d’être exploitées, notamment pour retenir l’attention de leur titulaire à travers la définition de son profil, constituant par là le support d’annonces publicitaires personnalisées.
La succession d’opérations et son résultat sont devenus un véritable pan de l’économie, celui de l’attention comme marchandise, ce que le professeur de droit de Columbia Tim Wu, conseiller du président Joe Biden pendant près de deux ans, décrit dans son ouvrage de 2016 The Attention Merchants à la lumière de l’industrialisation des médias et de la publicité aux États-Unis.
Dans un avis publié en février 2021, le Contrôleur européen de la protection des données a de son côté décrit «l’économie de l’attention» comme les «services et les applications étant conçus de manière à maximiser l’attention et l’engagement afin de recueillir davantage de données sur les clients, de mieux cibler la publicité et d’augmenter les revenus» (Avis 1/2021 concernant la proposition de législation sur les services numériques, p. 7).
Le Sénat français s’en est fait l’écho dans un rapport d’information déposé en décembre 2021 dans lequel il souligne les dangers de ce modèle économique qui revient à «maximiser par tous les moyens le temps passé par les utilisateurs sur leurs services, jusqu’à porter atteinte à leur bien-être et leur sécurité» (Rapport d’information déposé le 8 décembre 2001, «Proposition de résolution au nom de la commission des affaires européennes, en application de l’article 73 quater du Règlement, sur la proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques: Amplifier la législation européenne sur les services numériques (DSA) pour sécuriser l’environnement en ligne»).
Au Chapitre IV de leur livre Nous sommes les réseaux sociaux, paru en 2022, Serge Abiteboul et Jean Cattan constatent que le revenu principal des réseaux sociaux réside dans la publicité, choisie à partir d’un système sophistiqué d’enchères, qui a lieu en une fraction de seconde. Les réseaux sociaux doivent ainsi maximiser la présence des internautes, dans la logique des déclarations aux médias du président de Netflix Reed Hastings: «nous sommes en concurrence avec le sommeil (…) et nous sommes en train de gagner».
La capture de l’attention s’opère à travers des techniques visant l’augmentation du temps passé par les internautes sur des plateformes à publicités ciblées. Ce sont les dark patterns ou interfaces trompeuses, connues également en économie comportementale sous le terme de sludge, soit le coup de pouce du diable (evil nudge), qui ne tarissent pas d’inventivité pour inciter les utilisateurs à accepter la collecte de davantage de données ou à poursuivre leur navigation sur un site notamment, comme l’explique Marylou Le Roy dans La loyauté des plateformes, excellente thèse de doctorat parue en 2022 (N 183).
Dans son article Dark patterns: quelle grille de lecture pour les réguler? publié en 2019, Estelle Harry, reprend les résultats d’une étude effectuée à Princeton sur 53 000 pages web de 11 000 sites de commerce électronique. Ont été recensés 1841 cas d’utilisation de dark patterns, d’interfaces trompeuses. Harry rapporte ainsi les sept catégories qui s’en dégagent:
1. Les interfaces tentent de donner une fausse représentation de l’action de l’utilisateur, à cacher ou retarder l’affichage d’une information à laquelle l’utilisateur s’opposerait si elle lui était amenée de façon transparente;
2. Les interfaces imposent une date butoir pour une vente ou une promotion afin de créer un sentiment d’urgence chez l’utilisateur et accélérer sa prise de décision et son passage à l’achat;
3. Les interfaces s’appuient sur l’utilisation de visuels, d’éléments de langage ou de réactions émotionnelles pour pousser les utilisateurs vers un choix plutôt qu’un autre;
4. Les interfaces s’appuient sur la tendance conformiste des individus pour accélérer la prise de décision et le passage à l’achat;
5. Les interfaces signalent la quantité limitée ou la demande forte d’un produit afin d’augmenter sa valeur et désirabilité perçue;
6. Les interfaces visent à rendre la réalisation d’actions plus difficile que nécessaire afin de décourager l’utilisateur de les mener à bien;
7. Les interfaces forcent l’utilisateur à réaliser une action additionnelle afin de pouvoir terminer la tâche initialement entreprise.
Outre de mettre en évidence le côté manipulateur des interfaces, ce qu’a d’ailleurs souligné en Suisse la Fédération romande des consommateurs à travers les résultats d’une enquête menée conjointement avec Public Eye et publiée le 13 septembre 2022 (Dark patterns: quand les interfaces web nous manipulent), l’énumération ci-dessus pointe la façon dont ces interfaces exploitent le temps de l’utilisateur. Ce ne sont toutefois pas les seules pratiques pour que ce dernier «reste» davantage.
On pense au ciblage des individus rendu possible grâce à la collecte massive de leurs données personnelles. Disposer d’informations précises sur une personne permet en effet de définir des contenus publicitaires au plus proche de ses champs d’intérêts, ce qui augmente les chances d’obtenir son attention.
Emmanuel Netter l’explique ainsi dans son ouvrage paru en 2019 Numérique et grandes notions du droit privé: «la manière même de naviguer sur Internet fait l’objet d’une recension très précise. Faire défiler une page Internet puis ralentir tout à coup face à un élément particulièrement intéressant, avant de reprendre le défilement plus rapide, cela revient souvent à produire une information, qui pourra être exploitée à des fins publicitaires notamment» (N 50).
L’«empreinte de l’appareil» n’est pas en reste, son utilisation permettant, selon le Commissariat à la protection de la vie privée du Canada, de saisir «également les données sur l’appareil utilisé par une personne, comme l’adresse IP, le numéro d’identification unique d’un appareil (d’un téléphone cellulaire, par exemple) ou les données que le navigateur utilisé par la personne a recueillies (comme les données sur les fonctions, le fuseau horaire, le module d’extension et la taille de l’écran)» (Position de principe sur la publicité comportementale en ligne, délivrée en décembre 2015, révisée le 13 août 2021).
Les données récoltées par les plateformes sont vendues à des intermédiaires, les courtiers de données, qui les revendent à leur tour à diverses fins dont le ciblage publicitaire, après les avoir façonnées grâce à des croisements et des assemblages avec d’autres données, pour construire des profils associés à des utilisateurs. Le métier de courtier en données ou data broker est toutefois peu connu et peu encadré, à l’image de ce que relève Cécile Frangne dans son article Data brokers, un nouveau métier du numérique (2018).
Rien d’étonnant au constat de Laurane Ralmondo dans Sécurité et Défense Magazine d’octobre 2020: «qui détient la donnée a le pouvoir de surveiller, contrôler, influencer les populations. D’où une très forte culture du secret des sociétés de courtage». Cette culture passe évidemment par le caractère opaque du fonctionnement des algorithmes utilisés pour profiler un utilisateur.
Les pratiques destinées à convaincre de consommer plus ne sont pas nouvelles: un dirigeant de la chaîne française TF1 se serait même risqué à s’exprimer en 2004 en ces termes: «Ce que nous vendons à Coca-Cola, c’est du temps de cerveau disponible». Avec internet, ce qui change, c’est ce qu’a décrit en 2018 Alizé Papp dans sa publication L’infobésité, une épidémie à l’âge des nouvelles technologies de l’information et de la communication, à savoir le sentiment de trop-plein d’informations généré par les technologies de la communication et de l’information de même que la massification des pratiques grâce à ces technologies.
Or trop d’information étouffe l’information… et réduit l’attention, constatait déjà Herbert Simon au début des années septante. Ce futur double lauréat du Prix Turing et du Nobel d’économie soulignait le fait que «dans un monde riche en information, l’abondance d’information entraîne la pénurie d’une autre ressource: (…) l’attention de ses receveurs. Donc une abondance d’information crée une rareté de l’attention et le besoin de répartir efficacement cette attention parmi la surabondance des sources d’informations qui peuvent la consommer».
Dans l’ouvrage de Judith Rochfeld, Les Grandes notions du droit privé (2022), sous «La personne», on peut lire que la monétisation des données personnelles «fonde (…) une économie de la surveillance, où les profilages que l’on infère permet [sic] à de grands opérateurs de faire fructifier des marchés juteux. (…) L’ensemble se fonde sur les potentialités supposées de ces traitements de données de permettre des prédictions de comportements, que celles-ci servent les pouvoirs privés comme publics» (N 35).
La liberté de choix s’en trouve altérée, sans que le consommateur s’en rende compte. D’où le constat alarmant du Contrôleur européen de la protection des données, qui n’hésite pas à utiliser le terme de «manipulation» (Avis 3/2018), comme celui du Bureau européen des unions de consommateurs quant au perfectionnement constant des techniques pour surveiller et cibler les consommateurs (Avis d’octobre 2018). Et ces techniques ouvrent de nouveaux espaces aux détenteurs des clés de leur utilisation, puisqu’elles leur permettent de susciter l’émotion (avis précité) et d’identifier les personnes les plus aptes à réagir à de telles sollicitations.
En janvier 2022, ce même bureau a expressément reconnu que la vulnérabilité était désormais aussi numérique, sur la base de l’asymétrie entre consommateurs et professionnels, en raison notamment de l’exploitation de l’attention des individus. Célia Zolinsky, Marylou Le Roy et François Levin avaient d’ailleurs dénoncé en 2019 dans L’économie saisie par le droit – Plaidoyer pour un droit à la protection de l’attention que «la capture de l’attention des consommateurs sur les plateformes est bien souvent présentée comme le résultat d’une négociation entre l’individu et le service ou média qu’il utilise, elle est rarement le fruit d’un consentement à l’extraction et à la revente de son attention. Sur les plateformes, l’exploitation de notre attention vise rarement à permettre une liberté de choix de l’individu».
Comment le droit peut-il protéger l’attention? L’arsenal législatif de l’Union européenne s’est enrichi ces dernières années pour s’adapter à la transition numérique. On pense d’abord à la Directive 2019/2161 du 27 novembre 2019 ou Directive «omnibus» en ce qui concerne une meilleure application et une modernisation des règles de l’Union en matière de protection des consommateurs. Le législateur européen a ainsi consacré au considérant 31 du préambule la contre-prestation formée de données personnelles, complétant par-là la Directive 2011/83 du 25 octobre 2011 relative aux droits des consommateurs.
À l’art. 3 de la Directive «omnibus», on trouve des prescriptions en matière d’information précontractuelle pour la place de marché (à savoir le «service utilisant un logiciel, y compris un site Internet, une partie de site Internet ou une application, exploité par un professionnel ou pour son compte qui permet aux consommateurs de conclure des contrats à distance avec d’autres professionnels ou consommateurs»). Le législateur suisse pourrait se faire l’écho de ces exigences d’information précontractuelle aux art. 40a ss. CO.
Davantage d’informations sur le courtage en données personnelles, comme le propose Marylou Le Roy, à travers un outil donnant à chacun la possibilité d’effectuer une recherche globale sur les données vendues, permettrait de prendre la mesure de ce marché et d’adopter des comportements protecteurs lors de leur navigation sur Internet (La loyauté des plateformes, N 287).
Cependant, si l’information a plusieurs mérites, notamment celui de favoriser la transparence, elle n’agit pas suffisamment sur la détérioration du libre choix du consommateur. La formation de sa volonté ne repose pas seulement sur la connaissance – de surcroît souvent potentielle – puisqu’il est possible de cliquer qu’on a lu sans l’avoir fait. Il faut faire appel à d’autres moyens de protection, comme les règles de contrôle des conditions générales.
En Suisse, c’est un travail de titan que de combattre les clauses abusives. Il manque en effet un système de contrôle efficace des clauses standardisées avant leur utilisation, sans compter les difficultés d’accès à la justice: les procès restent longs et chers. Ailleurs, nous avions pour cette raison défendu la thèse d’un mandat en matière de lutte contre les clauses déloyales confié à la Confédération. Certes, le Secrétariat d’État à l’économie dispose d’un droit d’action, mais sa vocation est d’être un «centre de compétence de la Confédération pour toutes les questions centrales liées à la politique économique».
D’autres entités rattachées à l’Administration fédérale pourraient être sollicitées, tel le Bureau fédéral de la consommation, puisqu’il s’agit de rétablir le déséquilibre dont sont victimes les consommateurs destinataires des conditions générales, conformément à l’art. 8 LCD. Le temps est venu de se pencher sur la question, en évaluant cette proposition tout comme d’autres options qui pourraient s’offrir. La lutte pour des clauses standardisées plus loyales devrait de surcroît avoir lieu dans un contexte plus global, à tout le moins en synergie avec les forces de l’Union européenne.
Une idée à explorer serait que les instances helvétiques puissent être associées aux négociations avec les plateformes lorsqu’il s’agit de se pencher sur l’admissibilité de leurs conditions générales, tel n’avait pas été le cas lors des négociations ayant eu lieu en 2018 entre la Commission européenne, Google, Twitter et Facebook, anciennement ainsi nommés.
Certes, les Directives du 20 mai 2019 UE 2019/770 relative aux contrats de fourniture de contenus numériques et de services numériques et 2019/771 relative à certains aspects concernant les contrats de vente de biens protègent dans une certaine mesure le consommateur de biens ou de services numériques, mais l’exposent de l’autre, puisque la contrepartie à ces biens ou services peut être autre que monétaire, dès lors que l’acquéreur peut fournir ou s’engager à fournir des données à caractère personnel.
Outre le fait que le législateur de l’Union européenne a ainsi inscrit en toutes lettres dans ses textes le phénomène de la valorisation des données, se pose la question du caractère applicable de certaines sanctions prévues par ces directives, telle la réduction du prix lorsque le consommateur a consenti à payer en données personnelles.
À propos du marché des données personnelles, le flou régnant actuellement sur l’encadrement du consentement dans le droit de la protection des données n’est pas là pour rassurer. Il faudra à notre avis répondre par l’affirmative à certaines questions comme celle de savoir si le consentement prévu par la législation sur la protection des données doit être distinct de la manifestation de volonté, en général une acceptation, liée à la conclusion du contrat lorsqu’il s’agira d’appliquer la législation suisse 2023 en matière de protection des données aux transactions: données personnelles contre prestation.
La même interrogation existe déjà en lien avec le RGPD, ce que précise Nathalie Martial Braz en ces termes: «le consentement est présumé douteux chaque fois que la personne concernée ne dispose pas de la faculté de donner un consentement distinct ou si l’exécution du contrat est subordonnée au consentement alors que celui-ci n’est pas nécessaire à son exécution» dans l’ouvrage Droit des données personnelles – Les spécificités du droit français au regard du RGPD, qu’elle a coédité avec Judith Rochfeld en 2019 (N 920).
La protection de l’attention comme un droit apparaît plus clairement dans le DSA, complété par le DMA (Digital Market Act) ou Règlement européen sur les marchés numériques. On y trouve des obligations pour tous les acteurs en ligne, qui s’imposent à eux au plus tard au début de l’année 2024, sauf pour les très grandes plateformes et les très grands moteurs de recherche, dont la liste établie par la Commission européenne a été publiée le 21 avril 2023, qui doivent s’y conformer dès la fin du mois d’août 2023.
Leur position dominante sur le marché explique cette application précoce. Si les mesures sont graduées selon les acteurs en ligne, eu égard à la nature de leurs services et à leur taille, on trouve une exigence générale d’information quant au fonctionnement des recommandations de contenus à vocation publicitaire en fonction du profil des utilisateurs.
En droit suisse, rien de tel. C’est avant tout dans la loi contre la concurrence déloyale (LCD) que l’on peut trouver quelques outils. L’art. 2 LCD condamne en effet les comportements trompeurs ou contrevenant «de toute autre manière à la bonne foi».
Ne devrait-on pas considérer les dark patterns comme tels? Toute la difficulté réside dans le caractère général de l’art. 2, qui suppose pour celui qui l’invoque de démontrer au préalable que le comportement visé est de nature à influencer la concurrence ou les rapports entre fournisseurs et clients. On admet ainsi que peut constituer un comportement influant sur la clientèle au sens de l’art. 2 celui consistant à tromper le consommateur avec des informations fausses.
Un tel comportement peut résulter de publicité émotionnelle ou suggestive. Cela ne peut-il pas être le cas de la publicité personnalisée, si elle ne respecte pas certaines obligations, comme celle d’information, de façon claire et compréhensible, des paramètres utilisés pour émettre des recommandations? Les réserves des tribunaux suisses à appliquer la clause générale, comme le relèvent Michèle Burnier, Nando Lappert et Simon Winkler (Consumer manipulation through online behavioural advertising, Jusletter du 2 août 2021, N 77 ss.), laisse dubitatif quant à la réponse à donner à cette question.
Lever le doute supposerait que la LCD soit complétée par une disposition légale s’inspirant de l’art. 25 al. 1 DSA: «Les fournisseurs de plateformes en ligne ne conçoivent, n’organisent ni n’exploitent leurs interfaces en ligne de façon à tromper ou à manipuler les destinataires de leur service ou de toute autre façon propre à altérer ou à entraver substantiellement la capacité des destinataires de leur service à prendre des décisions libres et éclairées», sur la conception et l’organisation des interfaces en ligne.
La publicité ciblée doit elle aussi être prise au sérieux par le législateur suisse, non seulement eu égard aux personnes vulnérables clairement identifiées, comme les mineurs (art. 28 DSA), mais aussi à l’ensemble des utilisateurs, dès lors que la collecte de données est d’une intensité et d’une précision telles qu’elle peut se révéler un danger pour la vie privée, lequel ne peut être atténué par la seule information.
À cela s’ajoute la portée très limitée de l’art. 3 al. 1 let. h LCD, puisque la disposition s’applique uniquement aux méthodes susceptibles de conduire directement à la conclusion du contrat (arrêt du TF 6B_1074/2016 c. 2.1), à l’exclusion des seules méthodes de publicité.
Il faut dans tous les cas songer à des procédés techniques, telle une désactivation par défaut, le choix de l’affichage de ces publicités revenant alors à l’utilisateur, ce qu’avait d’ailleurs proposé en 2021 une députée européenne lors des délibérations autour de l’adoption du DSA (Christel Schaldemose, 28 mai 2020), tandis qu’un autre souhaitait la suppression progressive de la publicité ciblée pour protéger les utilisateurs (Patrick Breyer, 25 mai 2021).
Ces mesures doivent se coupler avec des sanctions dissuasives. Or en l’état, l’art. 2 LCD ne peut être assorti de sanctions pénales, puisqu’il ne figure pas dans la liste de l’art. 23 LCD. À cela s’ajoute que les sanctions civiles et administratives de la LCD restent anecdotiques, si on les compare aux sanctions prévues dans les États membres de l’Union européenne.
C’est de surcroît la Commission européenne qui surveille les très grandes plateformes en ligne et les très grands moteurs de recherche, en les condamnant à des amendes allant jusqu’à 6 % de leur chiffre d’affaires mondial et, en cas de violation répétée, en leur interdisant le marché européen.
L’engagement du législateur européen dans la construction de l’avenir numérique trouve déjà un écho aux États-Unis. Le 11 janvier 2023, le président Biden a en effet appelé de ses vœux à travers la presse une position unie des démocrates et des républicains contre les «Big Tech Abuses». Le temps est désormais venu pour le législateur suisse de consacrer son attention à la question, pour offrir aux utilisateurs de l’espace numérique un environnement plus sûr et donner aux entreprises des conditions plus équitables de concurrence.
Puissent nos lignes contribuer à forger la conviction du Conseil fédéral sur ce besoin dans la rédaction du rapport dont le Conseil national l’a chargé le 7 juin 2022, en votant en faveur du Postulat 22.3190 «Dark patterns. Documenter la nébuleuse» déposé par Sophie Michaud Gigon. Il faut toutefois bien garder à l’esprit que la lutte contre les interfaces trompeuses n’est qu’un pan de l’économie de l’attention: le cadre juridique doit donc aussi tenir compte de la personnalisation et de la publicité ciblée.
