Les dark patterns dans le consentement aux cookies
Un dark pattern est une conception d'interface utilisateur qui manipule les internautes pour les inciter à faire des choix qu'ils n'auraient pas faits autrement. Dans le contexte du consentement aux cookies, les dark patterns orientent les utilisateurs vers l'acceptation de tous les cookies — non pas au moyen d'une information claire et d'un choix véritable, mais par la manipulation visuelle, un langage confus et une friction délibérée.
Les dark patterns dans le consentement aux cookies ne relèvent pas seulement d'une mauvaise conception : ils constituent un risque juridique. Les autorités de protection des données de toute l'UE ont infligé des amendes substantielles visant spécifiquement les interfaces de consentement manipulatrices, et le contrôle réglementaire s'intensifie.
Pourquoi les dark patterns invalident le consentement
Selon le GDPR, le consentement doit être :
- Libre (article 4, point 11) — l'utilisateur doit disposer d'un choix véritable, sans pression ni manipulation.
- Spécifique — le consentement doit être donné pour chaque finalité distincte.
- Éclairé — l'utilisateur doit comprendre ce à quoi il consent.
- Univoque — donné par un acte positif clair.
Les dark patterns compromettent par nature les critères de consentement « libre » et « éclairé ». Si l'option de refus est cachée, minimisée visuellement ou enfouie derrière plusieurs clics, le consentement de l'utilisateur n'est pas libre. Si le langage est confus ou trompeur, l'utilisateur n'est pas éclairé. Dans les deux cas, le consentement est juridiquement invalide — et chaque cookie déposé sur la base de ce consentement constitue une violation.
Le Cookie Pledge de l'UE
En novembre 2023, la Commission européenne a lancé le Cookie Pledge — un engagement volontaire des entreprises à adopter des pratiques loyales en matière de cookies. Bien que non juridiquement contraignant, le Cookie Pledge exprime les attentes de la Commission et préfigure l'orientation réglementaire.
Principes clés du Cookie Pledge :
- Refuser les cookies doit être aussi simple que de les accepter — en termes de nombre de clics, de présentation visuelle et d'effort cognitif.
- Aucun élément de conception manipulateur orientant les utilisateurs vers l'acceptation.
- Un langage clair et simple que les utilisateurs peuvent comprendre en un coup d'œil.
- Aucun cookie wall bloquant l'accès au contenu.
- Un retrait aisé du consentement à tout moment.
Parmi les entreprises signataires du Cookie Pledge figurent plusieurs grandes marques. Bien que l'initiative soit volontaire, les autorités de protection des données ont explicitement fait référence aux principes du Pledge dans leurs décisions d'application.
Lignes directrices de l'EDPB sur les dark patterns
Le Comité européen de la protection des données (EDPB) a publié les Lignes directrices 03/2022 sur les dark patterns dans les interfaces des plateformes de réseaux sociaux, qui ont été largement appliquées aux interfaces de consentement aux cookies. Ces lignes directrices identifient six catégories de dark patterns :
- Surcharge (overloading) — bombarder les utilisateurs d'informations ou de demandes excessives, provoquant une fatigue décisionnelle.
- Escamotage (skipping) — concevoir des interfaces qui escamotent ou présélectionnent des options sans engagement actif de l'utilisateur.
- Incitation émotionnelle (stirring) — utiliser un langage émotionnel ou des signaux visuels pour orienter les utilisateurs vers un choix particulier.
- Entrave (hindering) — rendre difficile l'exercice des droits (par exemple, trouver le bouton de refus, accéder aux paramètres, retirer le consentement).
- Incohérence (fickle) — une conception incohérente qui déroute les utilisateurs sur l'endroit où ils se trouvent et sur la signification de leurs choix.
- Maintien dans l'ignorance (left in the dark) — masquer des informations, utiliser un langage ambigu ou fournir un contexte incomplet.
Les autorités nationales de protection des données ont utilisé ces catégories comme cadre d'analyse pour évaluer les bandeaux cookies lors des procédures d'application.
Dark patterns courants avec exemples
Cases précochées
Présenter des cases de catégories de cookies déjà cochées, obligeant l'utilisateur à les décocher activement pour refuser son consentement. Cette pratique a été explicitement jugée invalide par la Cour de justice de l'Union européenne dans l'affaire Planet49 (C-673/17, octobre 2019). La Cour a estimé que les cases précochées ne constituent pas une « manifestation active » du consentement.
Malgré cette décision sans équivoque, de nombreux sites web continuent d'utiliser des panneaux de préférences précochés, en particulier pour les catégories « analytiques » ou « fonctionnelles ». Chacune de ces implémentations produit un consentement invalide.
Absence de bouton de refus
N'afficher que « Tout accepter » et « Gérer les préférences » sur la première couche, sans option de refus. L'utilisateur doit cliquer sur « Gérer les préférences », naviguer dans un panneau secondaire, désélectionner toutes les catégories, puis cliquer sur « Enregistrer » — généralement trois à cinq clics pour refuser, contre un seul pour accepter.
La CNIL (l'autorité française de protection des données) s'est montrée particulièrement offensive dans la sanction de ce schéma. Dans ses décisions de janvier 2022 à l'encontre de Google (150 millions d'euros) et de Facebook (60 millions d'euros), la CNIL a spécifiquement cité l'absence d'un mécanisme de refus simple sur la première couche comme constitutive d'une violation.
Manipulation visuelle
Rendre le bouton « Accepter » visuellement dominant tout en minimisant l'option « Refuser ». Les techniques courantes incluent :
- Un grand bouton « Tout accepter » aux couleurs vives à côté d'une option « Refuser » petite, grise ou transparente.
- « Accepter » sous forme de bouton plein à fort contraste, tandis que « Refuser » est un lien texte ou un bouton fantôme.
- « Accepter » placé dans le chemin de lecture visuel de l'utilisateur (au centre, aligné à droite ou en position principale), tandis que « Refuser » se trouve à un emplacement moins visible.
- Utiliser le vert pour « Accepter » (signal de sécurité/feu vert) et le rouge ou le gris pour « Refuser » (signal de danger/arrêt/désactivation).
Le principe est simple : si un utilisateur raisonnable percevait l'option d'acceptation comme l'action « par défaut » ou « recommandée » uniquement sur la base de la conception visuelle, le bandeau recourt à un dark pattern.
Langage confus et « intérêt légitime »
Certaines interfaces de consentement présentent des finalités de suivi comme reposant sur « l'intérêt légitime » plutôt que sur le consentement, ces finalités étant préactivées et nécessitant une désinscription (opt-out) plutôt qu'une inscription (opt-in). C'est techniquement autorisé par le GDPR pour de véritables intérêts légitimes, mais cette pratique fait l'objet d'abus généralisés.
Lorsqu'un bandeau cookies répertorie des dizaines de fournisseurs publicitaires sous « intérêt légitime » avec de minuscules interrupteurs, l'effet pratique est que la plupart des utilisateurs ne comprennent pas ce qu'ils voient et n'agissent pas — ce qui aboutit à un suivi par défaut. Plusieurs autorités de protection des données, dont l'APD belge, ont contesté cette pratique, faisant valoir que l'intérêt légitime ne peut constituer la base juridique du suivi publicitaire.
Nombre excessif de clics pour refuser
L'asymétrie de l'effort est peut-être le dark pattern le plus répandu :
| Action | Nombre de clics requis |
|---|---|
| Accepter tous les cookies | 1 clic |
| Refuser tous les cookies (dark pattern) | 3 à 7 clics (ouvrir les paramètres, désélectionner chaque catégorie, enregistrer, éventuellement confirmer) |
| Refuser tous les cookies (conforme) | 1 clic (bouton « Tout refuser » sur la première couche) |
Les lignes directrices de l'EDPB sur le consentement sont explicites : « Le retrait du consentement doit être aussi simple que son octroi. » Par extension, refuser son consentement ne devrait pas exiger plus d'efforts que de l'accorder.
Cookie walls
Un cookie wall bloque totalement l'accès au site web à moins que l'utilisateur n'accepte les cookies. Le contenu de la page est masqué derrière une surimpression, et le seul moyen de continuer est de cliquer sur « Accepter ».
L'EDPB a indiqué dans ses Lignes directrices 05/2020 que les cookie walls ne permettent généralement pas d'obtenir un consentement libre, car l'utilisateur ne dispose pas d'un choix véritable — il s'agit d'un « consentement ou départ ». Certaines juridictions autorisent une version nuancée (l'autorité néerlandaise, par exemple, a indiqué que les cookie walls peuvent être acceptables si l'utilisateur dispose d'une véritable alternative équivalente), mais la position la plus sûre consiste à les éviter totalement.
Surcharge d'informations
Certains bandeaux présentent des pages de texte juridique dense, des dizaines d'interrupteurs de fournisseurs et des hiérarchies de catégories complexes — non pas pour informer, mais pour submerger. Face à un mur de texte et à 150 interrupteurs individuels de fournisseurs, la plupart des utilisateurs cliquent simplement sur « Tout accepter » par lassitude. C'est le dark pattern de la « surcharge » identifié par l'EDPB : utiliser une information exhaustive pour empêcher un engagement véritable.
La solution consiste en une approche par couches : une information brève et claire sur la première couche, avec une information détaillée disponible mais dont la consultation n'est pas obligatoire.
Manipulation émotionnelle
Utiliser un langage culpabilisant ou émotionnellement chargé pour orienter les choix de consentement :
- « Non merci, je me moque d'une expérience personnalisée »
- « Je préfère voir des publicités non pertinentes »
- « Continuer avec une expérience dégradée »
- Utiliser des émojis tristes ou des images désapprobatrices lorsque l'utilisateur s'oriente vers le refus
Ces techniques de « confirmshaming » font ressentir à l'utilisateur que refuser les cookies est un mauvais choix ou un choix antisocial. Le langage doit être neutre et informatif, et non émotionnel.
Exemples concrets d'application
Les autorités de protection des données sont passées des recommandations à l'application. Voici des affaires notables où des dark patterns dans le consentement aux cookies ont donné lieu à des amendes importantes :
CNIL contre Google (150 millions d'euros) — janvier 2022
La CNIL a constaté que google.fr n'offrait pas de mécanisme permettant de refuser les cookies aussi facilement que de les accepter. Accepter les cookies nécessitait un clic ; les refuser exigeait de naviguer entre plusieurs écrans. L'amende était assortie d'une injonction de fournir un bouton « Tout refuser » sur la première couche dans un délai de trois mois.
CNIL contre Facebook (60 millions d'euros) — janvier 2022
Même action d'application. Le bandeau cookies de Facebook sur facebook.com ne comportait pas d'option de refus sur la première couche. Les utilisateurs devaient naviguer dans les paramètres pour refuser les cookies. La CNIL a imposé l'amende et ordonné une mise en conformité.
CNIL contre Microsoft (60 millions d'euros) — décembre 2022
La CNIL a constaté que bing.com déposait des cookies publicitaires sans consentement valable et que le bandeau cookies n'offrait pas de moyen aussi simple de refuser les cookies.
CNIL contre TikTok (5 millions d'euros) — décembre 2022
Le bandeau cookies de TikTok nécessitait plusieurs actions pour refuser les cookies. La CNIL a jugé que cela violait l'exigence de mécanismes de consentement et de refus également accessibles.
Le Garante italien contre diverses entreprises — 2023
L'autorité italienne de protection des données a mené des contrôles ciblant les dark patterns des bandeaux cookies, adressant des avertissements et infligeant des amendes à plusieurs entreprises pour l'utilisation de designs manipulateurs des boutons d'acceptation/refus.
Comment concevoir des interfaces de consentement éthiques
Concevoir une interface de consentement aux cookies éthique ne consiste pas seulement à éviter les amendes — il s'agit de respecter vos utilisateurs et d'instaurer la confiance. Voici les principes :
- Prominence égale. Les options d'acceptation et de refus doivent être visuellement identiques en taille, en poids de couleur et en emplacement. Si « Accepter » est un bouton bleu plein, « Refuser » doit également être un bouton plein de même taille.
- Effort égal. Refuser les cookies doit nécessiter le même nombre de clics que de les accepter. Un clic pour accepter signifie un clic pour refuser.
- Langage clair. Utilisez un langage simple et neutre. « Tout accepter » et « Tout refuser » — et non « Accepter » et « En savoir plus ».
- Aucun réglage par défaut. Toutes les catégories de cookies non essentiels doivent être désactivées par défaut. Aucune case précochée, aucun intérêt légitime préactivé.
- Information honnête. Décrivez le rôle des cookies en termes factuels. Aucun euphémisme, aucune tactique d'intimidation, aucune manipulation émotionnelle.
- Paramètres accessibles. Le panneau de préférences doit être simple à parcourir, avec des catégories claires et des descriptions concises.
- Retrait aisé. Une icône ou un lien de paramètres persistant doit être disponible sur chaque page afin que les utilisateurs puissent modifier leurs préférences à tout moment.
Liste de contrôle : mon bandeau est-il exempt de dark patterns ?
Utilisez cette liste de contrôle pour auditer votre bandeau cookies actuel :
- Y a-t-il un bouton « Tout refuser » sur la première couche du bandeau ?
- Le bouton de refus a-t-il la même taille que le bouton d'acceptation ?
- Le bouton de refus a-t-il le même style visuel que le bouton d'acceptation (tous deux pleins, tous deux avec contour, etc.) ?
- Refuser les cookies nécessite-t-il le même nombre de clics que de les accepter ?
- Toutes les catégories de cookies non essentiels sont-elles désactivées par défaut dans le panneau de préférences ?
- Le langage est-il neutre et factuel (aucune culpabilisation, aucune manipulation émotionnelle) ?
- L'utilisateur peut-il accéder au contenu du site sans accepter les cookies (aucun cookie wall) ?
- L'utilisateur peut-il modifier ses préférences à tout moment via un lien ou une icône visible ?
- La description de la finalité est-elle spécifique (pas seulement « améliorer votre expérience ») ?
- Aucun cookie n'est-il déposé avant que l'utilisateur ne fasse son choix ?
Si vous avez répondu « non » à l'une de ces questions, votre bandeau peut contenir des dark patterns qui vous exposent à un risque réglementaire.
Le bandeau de consentement de Passiro est conçu dès le départ pour être exempt de dark patterns, répondant par défaut à chaque critère de cette liste de contrôle. Découvrez comment Passiro peut vous aider à mettre en œuvre un consentement aux cookies éthique et conforme.
Votre site web est-il conforme aux regles sur les cookies ?
Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.
Scanner vos cookies gratuitement