Le constat est ancien. Personne ne lit les Conditions générales d’utilisation (CGU) des services en ligne, ces contrats unilatéraux que nous devons accepter pour les utiliser. Mais si personne ne les lit, pourquoi continuent-ils à être la colonne vertébrale légale d’internet ?, s’interroge un éditorial du New York Times. Il faut approximativement 9 heures pour lire les conditions d’utilisation d’Amazon… Et ce n’est pas mieux de tous les autres services que nous utilisons. Pour le New York Times, nous sommes dans une « fiction juridique » du consentement (cf. « Du consentement en ses limites »). Les gens acceptent les conditions sans se rendre compte de ce à quoi ils donnent accès : l’utilisation de leurs données certes, mais aussi leurs observation et interprétation comportementales, c’est-à-dire leur traitement.

Devons-nous vivre dans un monde régi par les termes et conditions des plateformes ? Pour le New York Times, les Etats-Unis devraient s’inspirer du Règlement général sur la protection des données (RGPD) européen pour améliorer les garanties et la transparence. « Il est tant de voir le bouton « j’accepte » pour ce qu’il devrait vraiment être ». Un consentement volontaire et éclairé, plaide le New York Times

Image : « I Agree », une installation du designer Dima Yarovinski qui a imprimé les CGU des principaux services web pour montrer l’impossibilité physique à lire de tels textes – via le blog de Dot Legal.

De l’amélioration de la lisibilité du droit par le design

Reste à savoir comment ? Comment, très concrètement, rendre ces conditions d’utilisation lisibles et facilement explicites pour l’utilisateur comme pour les programmes ? Si le RGPD fait de la transparence des informations une obligation, la question de leur lisibilité est un vaste chantier. Or, selon le RGPD, les sites et services doivent proposer aux utilisateurs un aperçu significatif du traitement prévu. Le RGPD recommande un principe de traitement loyal et transparent qui implique d’informer du traitement et de ses finalités « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Le jargon juridique ne devrait donc plus être de mise, tout comme l’invisibilisation du traitement. L’utilisateur devrait être même informé des conséquences auxquels il s’expose s’il ne fournit pas les données personnelles demandées. Le RGPD recommande d’ailleurs la possibilité de recourir à des icônes normalisées « afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine ».

Outre le travail explicatif sur les traitements réalisés, un gros travail de conformité reste donc à réaliser pour rendre les arguties juridiques plus accessibles, plus compréhensibles. Associés à des designers, les juristes s’attèlent déjà à ces chantiers. C’est le cas notamment du travail de l’agence Dot.legal, que l’on peut apercevoir en regardant les projets sur lesquels designers et juristes ont travaillé. Comment le design peut agir sur la transcription, la simplification et l’intelligibilité du droit en agissant sur la forme même d’un contrat, de la relation qu’il instaure. C’est également ce que réalise Margaret Hagan d’Open Law Lab, qui elle aussi s’intéresse à la conception juridique pour rendre le droit « plus accessible, plus utilisable et plus engageant ». C’est également ce à quoi travaille le Legal Design Lab de l’université de Stanford qui travaille à faire entrer le design dans un triangle de conformité réglementaire avec le juridique et le technique – une problématique dont se saisissait également la CNIL dans son dernier Cahier d’innovation et de prospective. Une débauche d’initiatives plutôt stimulantes pour faire que le droit et les contrats juridiques soient plus accessibles à ceux à qui ils s’adressent… D’autres modalités sont d’ailleurs possibles. En 2017, un rapport du délégué britannique aux droits des enfants avait ainsi demandé à une avocate de traduire les CGU d’Instagram pour qu’elles soient compréhensibles par un enfant de 8 ans (cf. l’article de Business Insider).

Image : exemple de travaux réalisés par Dot Legal de transformation d’un contrat par le design.

Vers des icônes normalisées

La question de la conformité de la forme et de la technique aux responsabilités juridiques est un défi multiple. L’une de ses autres incarnations consiste à réaliser des icônes « normalisées », permettant de présenter simplement et clairement ce à quoi l’utilisateur peut concéder, les implications de ce consentement et le fait que ces implications soient lisibles par des machines pour automatiser les autorisations. C’est ce à quoi travaille un réseau d’acteurs et de chercheurs : le GDPR by Legal design. Ce groupe de travail, animé par Arianna Rossi, chercheuse au Last-JD, à l’université de Bologne et à l’université du Luxembourg, et par Monica Palmirani, professeur d’informatique juridique au CIRSFID de l’université de Bologne et réalisé en collaboration avec l’Académie de Beaux Arts de Bologne, l’Université de Luxembourg et le Legal Design Lab, cherche à définir des icônes et leurs fonctionnalités associées et à explorer leur contexte d’utilisation.

Lors de la conférence Computer, Privacy & Data Protection, qui se tenait fin janvier à Bruxelles, Arianna Rossi a fait le point sur les travaux menés par le GDPR by Legal design. Le paradigme de l’information comme outil réglementaire a échoué dans ses implémentations classiques, explique-t-elle dans une communication à venir. En tout cas, tel est le constat que dressent juristes, designers et chercheurs. Pourtant, la législation repose toujours sur ce paradigme d’information de l’utilisateur, malgré l’illisibilité de bien des contrats. D’où l’enjeu à trouver de nouvelles modalités pour améliorer la qualité des informations et leur convivialité.

Dans le RGPD, le concept de transparence est centré sur l’utilisateur et reconnaît le potentiel des visualisations, notamment sous la forme d’icônes normalisées d’information. S’il appartient à la Commission européenne de donner des indications sur la construction de ces icônes et le cadre réglementaire de leur utilisation, les chercheurs et experts travaillent déjà à contribuer à ce débat. La difficulté, pour l’instant, est que beaucoup d’information doit être rendue lisible par ce biais : objectifs et modalités du traitement, informations sur les données et leur stockage et sur les droits afférents… L’enjeu est de permettre à la fois au lecteur d’avoir une compréhension synthétique des modalités d’usage des données qu’il concède à un service (et en retour, des droits que le service lui renvoie) et d’avoir une compréhension structurée d’un document contractuel et de ses effets. Quant à la lisibilité des icônes par les machines et les programmes, leur but est de permettre notamment la comparaison des documents et aussi l’automatisation.

Derrière les promesses à venir, les chercheurs qui réfléchissent à ces enjeux en pointent aussi les limites, notamment sur l’interprétabilité des symboles, le niveau de détails des fonctions et la compréhension des fonctions elles-mêmes… sans compter le niveau de compréhension des publics auxquels ils s’adressent.

Certains se souviendront peut-être du travail de Ben Moskovitz et Aza Raskin chez Mozilla qui en 2011 avaient proposés un premier jeu d’icônes pour la vie privée ou celui de Matthias Mehldau qui avait proposé en 2007 un jeu d’Icônes pour les déclarations de confidentialité de données… En 2011, un projet européen, le projet Prime Life avait tenté également de concevoir des icônes pour la protection des données. Ce projet a néanmoins été abandonné suite à des études auprès d’utilisateurs qui ont montré combien il était difficile de trouver un vocabulaire visuel compréhensible pour tous.

Image : quelques-unes des icônes pour la vie privée imaginées par Mozilla, via Humantific.

Pour les chercheurs du GDPR by Legal design, ces constats rappellent que les icônes symbolisent une vaste gamme de concepts, avec lesquels tout le monde n’est pas également familier. Pour les chercheurs le contexte d’utilisation de ses icônes est crucial pour leur adoption. Ils doivent avoir une fonction plus que de faire une déclaration sur l’équité du traitement et bien sûr doivent être accompagnés d’explications textuelles. L’enjeu est surtout de permettre de mieux lire des documents juridiques plus que de s’y substituer.

Les tests réalisés montrent cependant qu’il peut toujours subsister des décalages entre les intentions des concepteurs d’icônes et les attentes des utilisateurs sur leur rôle et sens. En fait, rappellent les concepteurs du Legal design, l’enjeu n’est pas tant de transposer les règles en image que de favoriser le recours à des méthodes de conception participatives. C’est ce qu’ont réalisé ces institutions via une série d’ateliers pluridisciplinaires afin de minimiser les risques d’échecs et d’incompréhension. Là encore, les ateliers semblent avoir confirmé que les icônes proposant des modalités concrètes ou des concepts familiers sont plus lisibles que celles proposant des concepts abstraits ou généraux.

Au final, les chercheurs reconnaissent qu’il est impossible de produire un jeu d’icônes qui serait considéré comme parfaitement représentatif de toutes les modalités de la protection des données. Pour les chercheurs, ce travail de création d’icônes ne doit donc pas être disjoint d’autres travaux et d’autres outils visuels pour aider à comprendre, notamment pour aider à transmettre des notions inconnues aux utilisateurs : infographies, pictogrammes, dessins, gif et vidéos doivent également être convoqués pour améliorer l’explicabilité. Et les juristes et designers de prévenir : « il est irréaliste d’attendre que les icônes (et la conception d’information) deviennent le langage universel résolvant tous les obstacles posés par les politiques traditionnelles de confidentialité des données ».

Reste que l’amélioration de l’explicabilité et l’amélioration de la compréhension des fonctionnalités et des droits nécessitent incontestablement de faire appel à des moyens créatifs… tant bien souvent nous partons de loin. L’explicabilité et la lisibilité des explications sur les traitements sont le plus souvent absents de la plupart des services. La moindre initiative d’amélioration est à ce jour bonne à prendre pour l’utilisateur !

Reste cependant une question encore un peu absente de ces premières preuves de concepts : la question de l’automatisation liée aux icônes. Qu’est-ce que les icônes activent et comment ? Comment comprendre que l’acceptation déclenche des autorisations et des traitements ? Les perspectives qu’ouvre le Legal design sont encore loin d’être refermées !

Hubert Guillaud

MAJ : On me signale également l’intéressant projet de Privacy Icons de l’association PrivacyTech, qui vise à permettre aux sites d’afficher leurs engagements en matière de vie privée.