Prix CNIL-Inria 2025 : les bannières de consentement sont-elles efficaces pour empêcher le traçage de vos données ?

Le 1er juillet 2024, les coprésidents du jury du Prix CNIL-Inria, Benjamin Nguyen et Vincent Toubiana, ont remis le Prix de la protection de la vie privée à Nataliia Bielova, directrice de recherche chez Inria, Cristiana Santos, professeur assistant à la faculté de droit de l'université d'Utrecht (Pays-Bas) et Colin M. Gray, professeur associé à l'université d'Indiana Bloomington (États-Unis) pour leur article « Two worlds apart ! Closing the gap between regulating EU consent and user studies ».

L'étude primée, publiée dans le Harvard Journal of Law & Technology, est le résultat d'une collaboration transdisciplinaire de longue date qui a débuté en 2020 et qui vise à identifier les passerelles et les lacunes entre la recherche en informatique et la conformité réglementaire dans le domaine de la vie privée et de la protection des données.

Divergences entre le comportement utilisateurs et les lignes directrices règlementaires

Dans le contexte du règlement général sur la protection des données (RGPD) et de la directive « vie privée et communications électroniques » de l'UE, l'étude a consisté en une analyse approfondie, d'une part, de seize lignes directrices publiées par les régulateurs suggérant les meilleures pratiques pour la conception conforme de bannières demandant le consentement des utilisateurs et utilisatrices à être suivis sur un site web et, d'autre part, de onze études empiriques sur le comportement des utilisateurs face à ces bannières au cours des dix dernières années.  « Nous avons identifié de nombreuses divergences entre les régulateurs de l'UE, mais aussi entre les lignes directrices décrivant les meilleures bannières de consentement, telles qu'établies par les régulateurs, et le comportement réel des utilisateurs observé dans les études d'utilisateurs lorsqu'ils interagissent avec de telles bannières » , déclare Nataliia Bielova, qui insiste sur le fait que : « C'est comme s'il y avait deux mondes séparés : les lignes directrices réglementaires d'un côté, et le comportement des utilisateurs de l'autre ».

Les tactiques de manipulation sont répandues

Les régulateurs agissant dans chaque pays européen ne sont pas nécessairement d'accord sur les règles de conception à appliquer pour rendre les bannières de consentement conformes à la législation européenne. De plus, il est très difficile de réglementer l'interface utilisateur, car il existe un nombre infini de possibilités. Les trois chercheurs issus de disciplines différentes (droit, interaction Homme-machine IHM, informatique) ont constaté qu'entre les bonnes pratiques conformes à la loi et les bannières véritablement hors la loi, il existe une vaste zone grise. Une zone dans laquelle les pratiques de consentement ne garantissent pas que les utilisateurs ont librement donné leur accord pour être suivis sur le site web qu'ils visitent. 

Pour améliorer la situation, les conclusions de cette étude formulent des recommandations concrètes à l'intention des régulateurs et orientent le monde universitaire vers des évaluations supplémentaires de la recherche sur les utilisateurs qu'il serait utile de réaliser. « Enfin, nous recommandons aux régulateurs de l'UE, aux spécialistes de l'interaction Homme-machine et aux chercheurs et chercheuses en design d'engager un dialogue transdisciplinaire pour combler le fossé entre les lignes directrices de l'UE et les études d'utilisateurs », conclut Nataliia Bielova.