School of Product 2024 - compte-rendu de "La loi et le désordre : la réglementation rempart contre les déviances du web"

le 11/12/2024 par Justine Spicq
Tags: Product & Design, Data & AI, Numérique Responsable, Évènements, Bonne Pratique

'empty'

Lors de l’édition 2024 de la School of Product, Clémence MAROLLA, avocate spécialisée dans le droit des nouvelles technologies, nous a donné les clés pour faire perdre jusqu’à 1 million d’euros à nos employeurs. Vous vous demandez comment ? Tout simplement en enfreignant la loi. Certes de nombreuses règles s’appliquent, pourtant on ne compte plus les entreprises qui décident de ne pas les respecter et d'aller parfois jusqu’à la sanction.

Ces entreprises, Clémence les accompagne depuis dix ans dans son activité d’avocate et les conseille dans leurs projets. Depuis bientôt deux ans, Clémence constate, suite à la création de son propre cabinet, que bien souvent, les équipes opérationnelles voient la loi uniquement comme une contrainte.

« La loi en effet c'est une contrainte mais c'est aussi un cadre qui pourrait être vu comme quelque chose de rassurant. »

Clémence MAROLLA

Finalement, ce cadre rassurant n’est pas toujours la façon dont la loi est perçue. Dès lors, si la loi est uniquement perçue comme une contrainte, voici les trois meilleurs conseils pour l’enfreindre une bonne fois pour toutes.

I/ Les trois meilleurs conseils pour enfreindre la loi

1. Cacher les boutons importants

La première chose à faire est de cacher les boutons importants sur les interfaces.

Pour cela, Clémence prend l’exemple d’une interface réelle d’un jeu concours qui a été étudiée et passée au peigne fin par les autorités.

De manière générale, le but de ceux qui organisent des jeux concours est de collecter le plus de données possibles sur les participants. En effet, le business modèle même de ce type de jeu est d’avoir des partenaires qui vont récupérer les données des participants afin de leur envoyer un maximum de prospection commerciale.

Ici, le formulaire présenté par Clémence demandait un maximum de données (nom, prénom, date de naissance, l’adresse, l’email et numéro de téléphone) et prévoyait bien les mentions légales en bas du formulaire. Sauf que ces mentions légales étaient constituées d’un seul bloc avec une seule case à cocher comportant :

  • l’acceptation du règlement du jeu ;
  • l’acceptation de la politique de confidentialité ;
  • l’autorisation pour tous les partenaires d’envoyer de la prospection commerciale.

Toutefois, il est interdit d'imposer à des utilisateurs la participation à un jeu concours à la condition de fournir ses données. Autrement dit, on doit pouvoir participer sans être contraint d'accepter d'être démarché.

Dans notre exemple de jeu concours, les organisateurs ont implémenté un tout petit bouton sous les mentions légales permettant de participer au jeu sans recevoir de prospection commerciale.

« Sauf que comme vous, personne n’a vu ce bouton. »

Clémence MAROLLA

La CNIL — Commission nationale de l’informatique et des libertés, autorité administrative indépendante qui réglemente en France la gestion des données personnelles par les entreprises — les a contrôlé et sanctionné d’une amende de 600 000 euros.

La conclusion à (ne pas) reproduire :

  • Cacher un bouton obligatoire en tout petit ;
  • Mettre visuellement en avant un bouton pour tromper le consommateur ;
  • Faire des cases à cocher fourre-tout où l’on met tout dedans pour être sûr que personne n’y comprenne rien.

2. Créer un parcours du combattant pour les utilisateurs

Le deuxième conseil est de créer un parcours du combattant pour les utilisateurs. Quand on a des utilisateurs sur son service, le but est d’en avoir de plus en plus et qu’ils ne partent jamais. Du coup, il faut faire en sorte qu’ils n’arrivent plus jamais à se désinscrire.

Ici, Clémence prend l’exemple d’une utilisatrice — “tata Yvette” — d’un site de rencontre dans les années 2000 qui décide de se désabonner. Dès lors, elle cherche dans les options de son compte comment résilier son abonnement. À partir de là, commence son parcours du combattant. Tout d’abord, elle bataille pour trouver le bon onglet de son profil, et puis, au bout d’un certain nombre de clics, elle arrive enfin à se désinscrire. En effet, elle a dû :

  • S’identifier à nouveau (pour des mesures de sécurité) ;
  • Confirmer qu’elle était sûre de vouloir se désinscrire, en étant rappelée à de nombreuses reprises qu’elle était sur le point d’annuler son abonnement ;
  • Indiquer les raisons de son départ et de son choix ;
  • Refuser de rester avec un mois d’abonnement offert ;
  • Confirmer une bonne fois pour toute l’annulation de son abonnement.

« J’imagine que vous avez trouvé ça long. Tata Yvette aussi. Les régulateurs aussi. »

Clémence MAROLLA

Aujourd’hui, une loi interdit de résilier ses abonnements en plus de trois clics, avec une sanction jusqu’à 75 000 euros par infraction — multiplié donc par le nombre d’utilisateurs.

La conclusion à (ne pas) reproduire :

  • Proposer un parcours de résiliation en plus de 3 clics ;
  • Cacher la fonctionnalité de résiliation.

3. Créer un business non conforme

Enfin, le dernier conseil est de créer un business non conforme à la loi. En effet, il y a des entreprises qui sont allées jusqu’à couler leur business à force de ne pas être conformes.

C’est le cas de Fidzup, une start-up des années 2010 qui cartonnait. Le service était très innovant, car comportait des SDK (software development kit ou kit de développement logiciel en français) dans les applications mobiles de leurs partenaires. Lorsque quelqu’un installait sur son téléphone une application mobile d’un de leurs partenaires, et qu’il se rendait physiquement dans le magasin de ce partenaire, son téléphone était détecté et il recevait ensuite de la publicité ciblée de ce magasin.

En 2018, Fidzup devient tellement connue que la CNIL vient la contrôler. Parmi les différents types de contrôles que la CNIL dispose, ce fût un contrôle sur place, c’est-à-dire qu’une équipe de la CNIL composée de juristes et d’experts se rend physiquement au sein de l’organisme contrôlé.

« Donc pas moyen de leur [les équipes de la CNIL] mentir, ni de dissimuler quoi que ce soit, ce n’est pas du déclaratif. »

Clémence MAROLLA

La CNIL a considéré que le consentement et la façon dont les obligations d’information sont fournies aux utilisateurs ne sont pas totalement transparents.

Les utilisateurs des applications partenaires de Fidzup ne sont pas en capacité de comprendre précisément à quoi ils consentent quand ils téléchargent ces applications, à savoir être traqués physiquement puis ciblés sur le web.

La CNIL estime qu’il y a un manque de transparence ainsi qu’un défaut de consentement envers les utilisateurs. Elle décide de les mettre en demeure et leur demande de repenser leur parcours utilisateur, tout ceci publiquement afin de “marquer le coup” et “mettre le holà” sur cette technologie qu’elle considère un peu trop intrusive — notons que la divulgation publique d’une sanction, ici la mise en demeure, n’est pas systématiquement réalisée par la CNIL.

Cette sanction publique fait le buzz : elle est reprise par toute la presse, les clients de Fidzup résilient leurs contrats et les investisseurs ne veulent plus investir. Fidzup est toutefois de bonne volonté et parvient à se mettre en conformité. La CNIL clôture alors positivement la mise en demeure. Malheureusement, Fidzup termine en redressement judiciaire et finit par mettre la clef sous la porte un an plus tard. Son fondateur a beaucoup communiqué sur l'événement en disant que c’était la CNIL qui les avait tués du fait de cette mise en demeure publique.

La conclusion à (ne pas) reproduire :

  • Foncer sur un projet très innovant sans se poser de questions et sans provisionner le risque ;
  • Attendre que les autorités viennent vous chercher pour s’intéresser au juridique.

***

Clémence a conclu sur ces trois meilleurs conseils pour enfreindre la loi en nous demandant quel était le pire projet auquel on avait été confronté. Après quelques minutes de réflexion, elle nous a fait part du sien.

Pour Clémence, c’était un projet relatif aux centres commerciaux qui rencontrent un problème de mesure des flux dans les différents emplacements afin de comprendre comment se comportent les visiteurs dans un centre commercial.

Dans ce projet, le visiteur du centre commercial devait saisir son numéro de plaque d’immatriculation — plaque d’immatriculation scannée par les caméras de vidéosurveillance au moment où le visiteur entre et sort du parking — via le réseau wifi du centre commercial afin de bénéficier de deux heures de parking gratuit.

Cela permettrait de recouper grâce au téléphone du visiteur, les infos sur le véhicule (temps de stationnement, fréquence de venue au centre commercial…) et ce que son propriétaire fait dans le centre commercial grâce aux balises wi-fi réparties dans l’ensemble du centre (quels magasins les plus fréquentés…). Le projet allait encore plus loin en se demandant s’il n’était pas possible de recouper avec les cartes de fidélité des enseignes présentes dans le centre commercial…

Lorsque la personne vient présenter ce type de projet dans son cabinet, elle écoute et expose clairement qu’il y aura quelques ajustements à faire sur le projet. Pourquoi ? Parce que moralement et éthiquement ça ne passe pas, et surtout, car la loi vient tracer une ligne à respecter.

« Elle [la loi] essaye d'harmoniser cela de la manière la plus homogène possible pour que ça ne dépendent pas de la subjectivité de chacun mais que ce soit la même règle applicable pour tout le monde, à tout moment. »

Clémence MAROLLA

II/ La loi : une réplique au désordre

Malgré son but d’harmonisation, la loi est bien souvent à la traîne face à l’innovation, et essaie tant bien que mal de rattraper ce qui se fait réellement sur le marché. Pour illustrer ce phénomène, Clémence a choisi de nous présenter deux exemples de lois récentes.

1. La loi des influenceurs

Le premier exemple est la loi des influenceurs ou “influvoleurs”. Elle a été adoptée en juin 2023 suite à un grand scandale ayant fait la une dans les journaux. Ce scandale a été lancé par Booba (rappeur français) qui a alerté le gouvernement sur les pratiques non éthiques — arnaques pour les plus crédules — des influenceurs sur les réseaux sociaux.

« Oui, la loi vient vraiment de n’importe où et des sujets sociétaux. »

Clémence MAROLLA

Le gouvernement a donc adopté une loi, et son bilan est positif un an après son entrée en vigueur. Comment ? Car la DGCCRF (Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes — autorité de protection des consommateurs) a publié sur les réseaux sociaux toutes les sanctions qu’elle prononçait à l’encontre des influenceurs. Dès lors, le marché s’est transformé.

Par exemple, l’amende transactionnelle de 3 500 euros prononcée à l’encontre de l’influenceur Alexis THIEBAUT pour pratique commerciale trompeuse en raison de publications Instagram n’indiquant pas leur intention commerciale.

Mais que comporte cette loi des influenceurs ? Trois mesures phares :

  • Obligation d’indiquer sur la publication qu’il s’agit d’une collaboration avec les mots “publicité”, “collaboration commerciale”, ou équivalent — but de transparence avec les consommateurs ;
  • Obligation de conclure un contrat écrit entre la marque et l’influenceur (et l’agence si applicable) — car jusqu’ici influenceur n’était pas considéré comme étant un métier ;
  • 15 agents sont désormais dédiés au contrôle des réseaux sociaux avec des sanctions allant jusqu'à 300 000 euros d’amende — le marché s’est vite aligné.

2. La réglementation européenne sur l’intelligence artificielle

Le second exemple est la réglementation européenne sur l’intelligence artificielle (IA). Elle vient de l’Union européenne (UE) avec des visions qui se sont confrontées entre l’UE qui voulait tout de suite réguler et les États-Unis qui considérait que le marché va se réguler de lui-même. Ces deux visions ont beaucoup été critiquées en soutenant que l’UE allait mettre fin à l’innovation et que les États-Unis allaient prendre le dessus.

« Pourtant, la réglementation est quand même pensée de manière relativement souple. »

Clémence MAROLLA

Du coup, qui est concerné par cette réglementation ? Elle s’applique aux déployeurs — organisme importateur, distributeur ou utilisateur utilisant sous sa propre autorité un système d’IA (SIA) — et fournisseurs d’IA — organisme qui développe ou fait développer un SIA ou un modèle d’IA à usage général et le met sur le marché ou le met en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.

« Tous ceux qui intègrent des technos d’IA d’autres acteurs dans leurs propres produits sont concernés par cette réglementation. »

Clémence MAROLLA

Ce règlement, dont l’application va de 6 à 36 mois après son entrée en vigueur, se fonde sur plusieurs niveaux de risque en fonction des types d’IA. Chaque niveau comporte des obligations allant crescendo, afin d’obtenir un équilibre entre contrainte et innovation :

  • Risque inacceptable : les SIAs dans cette catégorie sont interdits. Il s’agit d’usages qui portent atteinte à des droits fondamentaux (l’analyse et la détection des émotions dans l’emploi ou l’éducation, la manipulation, l’exploitation, le contrôle social). Application dès le 2 février 2025 ;
  • Risque élevé : concerne les composants d’un produit ou produit relatifs à certains domaines (santé, justice, éducation, infrastructures critiques…). Application le 2 août 2026 et 2027 ;
  • Risque limité : concerne les chatbots, la génération de contenu multimédias et la reconnaissance de langage. Application dès le 2 août 2025 ;
  • Risque faible : concerne tous les autres SIAs, par exemple des outils qui vont faire de la synthèse de texte. Application dès le 2 août 2025.

Pour illustrer ses propos, Clémence nous a présenté un chatbot juridique, qui permet de poser des questions juridiques. Il sera dans la catégorie des risques limités et aura dès lors 4 obligations principales :

  • Assurer la transparence : les utilisateurs doivent comprendre qu’ils échangent avec un SIA et non une personne humaine — il ne doit pas y avoir de confusion sur la nature du service ;
  • Assurer un système de surveillance : question de droits d’auteurs des contenus utilisés, et de biais (entraînement sur des données pas à jour…) ;
  • Assurer la sécurité et confidentialité : les fournisseurs doivent vérifier que les données sont bien sécurisées et confidentielles ;
  • Assurer une documentation : il s’agit pour les fournisseurs de mettre toutes ces obligations par écrit aussi bien pour les usages internes, pour utilisateurs, mais aussi pour le régulateur s’il décide d’effectuer un contrôle.

Quid des sanctions ? Elles sont élevées et vont aussi crescendo en fonction du niveau de risque avec une amende de 7,5 millions d’euros à 35 millions d’euros et peuvent aller jusqu’à 7% du chiffre d’affaires mondial annuel. Pourquoi autant ? Car ce sont la peur des sanctions qui motivent le plus les entreprises à se mettre en conformité, surtout que l’on constate une hausse du volume des sanctions ces dernières années.

Conclusion : est-ce que la loi va parfois trop loin ?

C’est sûrement le cas dans certaines conditions, et la meilleure façon de le mesurer, c’est sûrement quand plus personne ne la respecte — comme traverser au feu rouge quand on est piéton alors que c’est interdit.

« S’il n’y avait pas du tout de loi et qu’on se disait qu’on laissait les choses se faire, et en tout cas c’est ma conviction, les entreprises suivraient probablement beaucoup plus leurs intérêts économiques et n’iraient pas forcément dans le sens de ce qui peut être le plus éthique et le plus moral. »

Clémence MAROLLA

Pour les produits, il faut se demander si on veut intégrer et respecter la loi dans le produit. La meilleure façon est de la comprendre, comprendre ses valeurs, ce qu’elle cherche à véhiculer — plutôt que de la voir comme une contrainte et un risque de sanctions — et savoir qu’on protège les utilisateurs contre les dérives de toute sorte, ce qui ne serait pas fait s’il n’y avait pas de loi.

Ce cadre interroge aussi sur les conceptions sociétales puisque la situation n’est pas pareille selon les continents :

  • Aux États-Unis : ils ont une vision libéralisée où le marché se régule lui-même ;
  • En Chine : ils poussent la technologie de manière avancée, mais encadrée ;
  • En UE : nous nous situons entre les deux et nous posons la question de la valeur que l’on veut véhiculer aux travers des services et produits qu’on met sur le marché.

Clémence conclut son talk en nous donnant une ressource de la CNIL utile pour des produits respectueux de la vie privée — https://design.cnil.fr — et trois voies à méditer :

  • Ne pas respecter la loi ;
  • La respecter par peur des sanctions ;
  • La respecter parce qu’on considère qu’elle véhicule des valeurs morales et éthiques importantes pour la société.

Et vous, très chers lecteurs, quelle voie empruntez-vous ?

À OCTO Technology, nous sommes convaincus que le respect de la loi, qu’elle soit nationale, européenne ou internationale, est primordial — outre son caractère obligatoire bien-sûr —, œuvrons tous les jours pour la respecter, et allons au-delà, en concordance avec nos diverses convictions morales, éthiques et inclusives — entre-autres. Bien que la loi puisse à première vue apparaître comme étant une contrainte, elle est nécessaire pour contrer le désordre comme nous l’a justement illustré Maître Marolla. Et finissons par insister sur la force du collectif — l’un des quatre piliers de notre culture — : respecter la loi n’est pas qu’une affaire d’avocats ou de juristes ! C’est ensemble que nous co-construisons un monde meilleur et plus respectueux les uns des autres. Pensez-y.

Speaker :

Clémence MAROLLA, avocate IT, DPO et Co-fondatrice @Volkane

Remerciements :

Merci à Estelle HUBÉ-LAURENT, Marina WIESEL et Alessandro MOSCA pour leur relecture attentive.