Entretien avec Estelle Hary (CNIL & Linc) – Juin 2023
<aside> 📎 Allez, on vous emmène faire un détour du côté de l’écosystème public.
Après une interview (à retrouver ici) sur les enjeux éthiques du numérique, on a eu envie de creuser plus loin cette histoire de choix libre et conscient, et de mieux comprendre ses implications.
Nous voilà donc à la rencontre d’Estelle Hary, qui a été designer à la CNIL pendant sept ans, pour partager ses apprentissages en matière de libre-arbitre dans le numérique !
On a discuté de la manière dont le droit encadre les pratiques autour des données numériques mais aussi de la nécessité pour les designers d’être acteurs du sujet ! Surtout, on a découvert moult exemples et bonnes pratiques pour remettre les communautés au cœur de la gouvernance de leurs données ; un clin d’œil tout particulier à la notion de “remettre l’humain au cœur de l’économie”, prônée par le secteur de l’ESS.
</aside>
Estelle Hary, designer
Je suis Estelle Hary, je suis une designer qui a travaillé à la CNIL [l’autorité de protection des données, ndlr] pendant sept ans, plus particulièrement au Linc, le labo d'innovation numérique de la CNIL. Dans ce cadre-là, j'ai travaillé sur comment relier les questions de design au droit et, notamment, comment un certain nombre de pratiques de design posent actuellement problème par rapport à leur conformité au droit. Une partie des travaux qu'on a pu mener consistait justement à créer des pratiques mieux-disantes, à montrer que le design d'interface est un premier point de contact entre les personnes et leurs droits, et à essayer de construire des façons de faire qui permettent aux personnes d'être réellement en capacité de comprendre comment leurs données sont traitées et d'avoir une maîtrise dessus.
Ça s'est construit un peu naturellement. À peu près tous les deux ans, le Linc publie un cahier “Innovation et prospective”. Un des cahiers portait sur la question du design et de son lien avec la protection des données. On y a fait toute une analyse sur le fait qu’actuellement, les modèles économiques sont plutôt prédateurs en données, notamment parce que le web se finance sur de la publicité ciblée, ce qui fait qu'il y a une collecte de données très importante au niveau des individus.
Demander de façon extrêmement répétée à un utilisateur de donner son consentement pour partager des données qu’il a déjà refusé de donner va à l’encontre des principes du RGPD.
Ce qu'on appelle des dark patterns ou du deceptive design sont mis en place pour justement un peu forcer la main aux personnes pour qu’elles donnent leurs données ou consentent à leur usage. Ces pratiques-là ne sont pas forcément conformes à ce qu'on peut attendre d'un point de vue RGPD [règlement européen sur la protection des données]. La question était de savoir comment est-ce que, par les règles législatives existantes, on arrive à recadrer ces pratiques pour éviter que des personnes soient obligées de donner leur consentement… ce qui est déjà un oxymore !
Le problème de base, c'est que le droit a un peu de mal à aller sur les questions de design. Qualifier juridiquement les pratiques de design, c'est compliqué. Du coup, outre le fait de construire des formes de bonnes pratiques, notre rôle est aussi de venir appréhender ces pratiques. Typiquement, ça, c'est un travail qu'on a fait au niveau de l’Europe au travers du Comité européen à la protection des données, où on a travaillé sur des lignes directrices qui viennent encadrer un certain nombre de pratiques existantes. Par exemple, demander de façon extrêmement répétée à un utilisateur de donner son consentement pour partager des données qu’il a déjà refusé de donner, va à l’encontre des principes de limitation des finalités et de consentement libre et éclairé, prévus aux articles 4, 5 et 7 du RGPD.
Ce travail de traduction n’était pas fait avant, et il y avait relativement peu de décisions d’autorités de protection des données sur le sujet. Donc c’est un travail qu’il fallait faire, qu’on a commencé à partir de 2019. Il continue petit à petit, et les autorités de protection vont de plus en plus sur ce sujet-là. Mais nous ne sommes pas les seuls à avoir poussé dans ce sens-là : il y a eu aussi une prise de conscience dans la société civile, dans les communautés de chercheurs.
Source : CNIL