Une enquête récente de l'association allemande des consommateurs (vzbv) montre que les sites Internet sont souvent utilisés pour tromper les consommateurs : Grâce à des designs manipulateurs, les grands groupes Internet veulent notamment amener les utilisateurs à accepter un regroupement de données personnelles aussi large que possible. Comment les gatekeepers procèdent-ils et pourquoi enfreignent-ils ainsi le Digital Markets Act.
Les gatekeepers sont soumis au Digital Markets Act dans l'UE depuis mars 2024
Depuis le 7 mars 2024, les six grands groupes numériques Amazon, Alphabet, Apple, Meta, Microsoft et TikTok (Bytedance) doivent, en tant que gatekeepers, respecter intégralement toutes les obligations découlant de la loi sur les marchés numériques (Digital Markets Act, DMA).
Le vzbv a maintenant examiné si ces six gatekeepers respectaient notamment les règles de l'article 5, paragraphe 2 de la DMA (regroupement des données) et de l'article 5, paragraphe 8 de la DMA (interdiction de couplage) dans leurs services.
L'article 5, paragraphe 2, de la DMA limite la fusion des données à caractère personnel provenant des services de la plate-forme centrale avec les données à caractère personnel provenant d'autres services de la plate-forme centrale, d'autres services des gatekeepers et de services de tiers. En principe, les données à caractère personnel ne peuvent pas être combinées, sauf si l'utilisateur y consent.
L'article 5, paragraphe 8 DMA oblige les gatekeepers à ne pas coupler l'utilisation des services de plateforme centrale qu'ils proposent avec certains autres services de la même entreprise. En particulier, les fournisseurs ne doivent pas exiger des utilisateurs qu'ils s'abonnent à d'autres services de plateforme centrale proposés par le gatekeeper ou qu'ils s'enregistrent auprès de ces services lorsqu'ils utilisent un service de plateforme centrale du gatekeeper, y accèdent, s'y connectent ou s'y enregistrent.
Conseil de lecture : DSA - Temu et Shein doivent fournir des informations à l'UE
Les gatekeepers utilisent des dark patterns pour la fusion de données
Selon les défenseurs des consommateurs, il existe des designs manipulateurs (dark patterns) dans tous les services analysés. Celui-ci vise à ce que les utilisateurs autorisent les gatekeepers à recouper autant que possible les données personnelles. Les dark patterns concernent par exemple la conception visuelle de la fenêtre de sélection, le cadrage linguistique des possibilités de choix pour les utilisateurs ou l'effort nécessaire pour adapter ou modifier individuellement la fusion des données.
Exemple concret du vzbv : "Si l'on choisit sur Facebook Marketplace la variante sans échange de données avec Facebook, la bannière 'Vous utilisez la version non personnalisée de Marketplace' apparaît en haut de l'écran d'accueil de Marketplace. Tu trouveras plus d'informations et de choix ici (lien).' Dans ce cas, les utilisateurs accèdent à l'option 'Modifier mes choix' via le lien, puis au menu de sélection". En revanche, dans la version personnalisée (avec consentement), cette bannière n'apparaît pas sur l'écran d'accueil de Marketplace.
En revanche, TikTok (ByteDance) joue délibérément sur l'inquiétude des utilisateurs, qui craignent que l'offre devienne payante s'ils n'acceptent pas le regroupement des données. "Autorisez-nous à utiliser vos données pour vous montrer des publicités pertinentes afin que TikTok reste gratuit", écrit la plate-forme vidéo, particulièrement appréciée des jeunes.
Les défenseurs des consommateurs déplorent également que l'option de consentement à l'échange de données figure en premier ou en tête de tous les services analysés, parfois même en couleur.
"Tous les services examinés continuent d'utiliser des designs manipulateurs pour obtenir davantage de données", déclare Ramona Pop, directrice de la vzbv. L'objectif des fournisseurs est de pouvoir rassembler le plus de données possible pour établir des profils.
Jusqu'à huit clics pour se rétracter - si les utilisateurs trouvent la possibilité de le faire
Apparemment, il ne s'agit pas seulement de tricher pour obtenir un consentement. Dans son rapport, le vzbz déplore que tous les gatekeepers étudiés rendent difficile pour les utilisateurs de révoquer les consentements qu'ils ont donnés une fois pour le regroupement de données provenant de plusieurs services.
"En moyenne, six clics sont nécessaires pour révoquer le consentement", selon le vzbz. Les services de Meta analysés se distinguent de manière particulièrement négative, puisqu'il faut en moyenne huit clics pour révoquer le consentement à l'échange de données.
En outre, on déplore que la possibilité de révocation soit parfois particulièrement bien cachée. En tant qu'utilisateur, il faudrait faire défiler un vaste menu jusqu'en bas pour trouver la possibilité de révocation dans des catégories non spécifiques comme "LinkedIn Services" (Microsoft) ou "Utilisation des informations pour les produits Facebook" (Meta).
De l'avis du vzbv, les services des gatekeepers examinés enfreignent ainsi l'article 7, paragraphe 3, phrase 4 du RGPD et, par conséquent, l'article 5, paragraphe 2 de la DMA qui y fait référence.
Violation de l'interdiction de couplage sur Facebook ?
Lors de l'examen de l'interdiction de couplage, les défenseurs des consommateurs sont surtout gênés par le couplage étroit de Facebook et de Facebook Marketplace. "Bien que Marketplace ait été désigné comme service de plateforme central et ne puisse donc pas être couplé à Facebook, il reste que Meta ne fournit aucune option permettant d'utiliser le service entièrement sans compte Facebook. Au contraire, le Gatekeeper oblige les utilisateurs qui souhaitent acheter ou proposer des produits sur Marketplace à se connecter avec un compte Facebook".
Chez Google (Alphabet) et Apple, la vérification a montré que les services examinés ne sont pas directement liés entre eux. En revanche, un compte d'utilisateur interservices de l'entreprise Gatekeeper est nécessaire pour une utilisation complète.
Pour Chrome, Google Android, Google Maps, Google Play, Google Shopping, Google Search et YouTube, la connexion avec un compte Google est la seule option d'enregistrement disponible. La situation est similaire pour l'App Store, iOS et Safari. Les services peuvent être utilisés avec le même identifiant Apple et ne peuvent être pleinement utilisés qu'en tant qu'utilisateur connecté.
Il ne semble toutefois pas y avoir ici de violation de l'interdiction de couplage : L'identifiant Apple et le compte Google ne sont pas des services de plateforme centrale au sens de la DMA.
La principale protectrice des consommateurs en Allemagne, Ramona Pop, demande à l'UE de prendre des mesures plus fermes : "En tant que gatekeepers, Google, Meta ou Amazon influencent ce que les gens consomment en Allemagne. Si les fournisseurs utilisent leur influence à leur propre avantage, cela nuit également à la concurrence. La Commission européenne doit prendre des mesures fermes contre les violations du droit en vigueur. Elle devrait ouvrir de nouvelles procédures d'enquête, comme elle l'a déjà fait contre Alphabet, Apple ou Meta". Cela pourrait à nouveau coûter très cher aux entreprises.
Source : Regroupement et couplage de données dans le cadre du Digital Markets Act