2024 GPEN Sweep on deceptive design patterns

(French follows)

GPEN Sweep finds majority of websites and mobile apps use deceptive design to influence privacy choices

July 9, 2024

A global privacy sweep that examined more than 1,000 websites and mobile applications (apps) has found that nearly all of them employed one or more deceptive design patterns that made it difficult for users to make privacy-protective decisions.

Deceptive design patterns use features that steer users towards options that may result in the collection of more of their personal information. These patterns may also force users to take multiple steps to find a privacy policy, log out, or delete their account, or present them with repetitive prompts aimed at frustrating them and ultimately pushing them to give up more of their personal information than they would like.

This year’s annual Global Privacy Enforcement Network (GPEN) Sweep took place between January 29 and February 2, 2024. It involved participants, or “sweepers,” from 26 privacy enforcement authorities from around the world.

For the first time, the GPEN sweep was coordinated with the International Consumer Protection and Enforcement Network (ICPEN), which represents consumer protection authorities. 

The collaboration recognizes the growing intersection between privacy and other regulatory spheres. In the case of deceptive design patterns, it was clear to both privacy and consumer protection sweepers that many websites and apps employ techniques that interfere with individuals’ ability to make choices that best protect their privacy or consumer rights. 

Both GPEN and ICPEN, who are working together to improve privacy and consumer protection for individuals around the world, published reports today outlining their findings. 

Those involved in the privacy sweep replicated the user experience by engaging with websites and apps to assess the ease with which they could make privacy choices, obtain privacy information, and log out of or delete an account.

Sweepers evaluated the sites and apps based on five indicators identified by the Organisation for Economic Co-operation and Development (OECD), as being characteristic of deceptive design patterns.

For each indicator, the GPEN report found:

  • Complex and confusing language: More than 89% of privacy policies were found to be long or use complex language suited for those with a university education.
  • Interface interference: When asking users to make privacy choices, 42% of websites and apps swept used emotionally charged language to influence user decisions, while 57% made the least privacy protective option the most obvious and easiest for users to select.
  • Nagging: 35% of websites and apps repeatedly asked users to reconsider their intention to delete their account.
  • Obstruction: In nearly 40% of cases, sweepers faced obstacles in making privacy choices or accessing privacy information, such as trying to find privacy settings or delete their account. 
  • Forced action: 9% of websites and apps forced users to disclose more personal information when trying to delete their account than they had to provide when they opened it. 

What is next?

The Sweep was not an investigation, nor was it intended to generate formal findings regarding confirmed violations of privacy legislation. However, as in previous years, concerns identified during the Sweep could not only result in follow-up work such as outreach to organizations but may also lead to the initiation of enforcement action to address identified concerns. Decisions on further specific enforcement action will be made by each GPEN member independently. 

GPEN encourages organizations to design their platforms, including associated privacy communications and choices, in a manner that supports users in making informed privacy choices that reflect their preferences. Good design includes default settings that best protect privacy; an emphasis on privacy options; neutral language and design to present privacy choices in a fair and transparent manner; fewer clicks to find privacy information, log out, or delete an account; and ‘just-in-time’ contextually relevant consent options. By offering users online experiences that are free from influence, manipulation, and coercion, organizations can build user trust and make privacy a competitive advantage.

About GPEN 

GPEN was established in 2010 upon recommendation by the OECD. Its aim is to foster cross-border cooperation among privacy regulators in an increasingly global market in which commerce and consumer activity relies on the seamless flow of personal information across borders. Its members work together to strengthen personal privacy protections in this global context. The informal network is comprised of over 80 privacy enforcement authorities from around the world.

The privacy sweep is an annual initiative aimed at increasing awareness of privacy rights and responsibilities, encouraging compliance with privacy legislation, and enhancing cooperation between international privacy enforcement authorities. This year’s sweep was chaired by the Office of the Privacy Commissioner of Canada.

GPEN and ICPEN reports:

 

*************

 

Le ratissage du Global Privacy Enforcement Network a permis de découvrir que la majorité des sites Web et des applications mobiles utilisent des mécanismes de conception trompeuse pour influencer les choix en matière de protection de la vie privée

9 Juillet 2024

Dans le cadre d’un ratissage international pour la protection de la vie privée, le Global Privacy Enforcement Network (GPEN) a examiné plus de 1 000 sites Web et applications mobiles et a déterminé que ces derniers avaient presque tous recours à des mécanismes de conception trompeuse qui entravent la capacité des utilisateurs à prendre des décisions éclairées en matière de protection de la vie privée.

Ces mécanismes utilisent des fonctionnalités pour inciter les utilisateurs à choisir des options qui pourraient se traduire par la collecte de renseignements personnels supplémentaires. Ces mécanismes peuvent également obliger les utilisateurs à passer par de nombreuses étapes pour trouver la politique de confidentialité, se déconnecter ou supprimer leur compte ou encore faire en sorte que des messages‑guides s’affichent à répétition pour que, frustrés, les utilisateurs décident finalement de fournir plus de renseignements personnels qu’ils ne l’auraient souhaité.

Cette année, le ratissage du GPEN a eu lieu du 29 janvier au 2 février 2024. Les participants au ratissage, ou « ratisseurs », provenaient de 26 autorités internationales d’application des lois en matière de protection de la vie privée.

Pour la première fois, le ratissage du GPEN a été coordonné avec l’International Consumer Protection and Enforcement Network (ICPEN), qui est composé d’autorités de protection des consommateurs.

Cette collaboration témoigne de l’intersection croissante entre la protection de la vie privée et les autres sphères de la réglementation. Pour ce qui est des mécanismes de conception trompeuse, les ratisseurs pour la protection de la vie privée et des consommateurs ont clairement vu que de nombreux sites Web et applications utilisaient des techniques qui entravent la capacité des utilisateurs à choisir les options protégeant le mieux la vie privée ou les droits des consommateurs.

Le GPEN et l’ICPEN, qui travaillent ensemble pour améliorer la protection de la vie privée et des consommateurs à l’échelle mondiale, ont publié des rapports de conclusions aujourd’hui.

Dans le cadre du ratissage pour la protection de la vie privée, les participants ont reproduit l’expérience des utilisateurs des sites Web et applications pour déterminer s’il était facile de faire des choix en matière de protection de la vie privée, d’obtenir des renseignements sur la protection de la vie privée ainsi que de se déconnecter d’un compte ou de le supprimer.

Les ratisseurs ont évalué les sites Web et les applications en fonction de cinq indicateurs qui, selon l’Organisation de coopération et de développement économiques (OCDE), sont des caractéristiques des mécanismes de conception trompeuse.

Voici les résultats pour chaque indicateur présenté dans le rapport du GPEN :

  • Langage complexe et déroutant : Plus de 89 % des politiques de confidentialité se sont avérées longues ou rédigées dans un langage complexe, de niveau universitaire.
  • Interférence de l’interface : Lorsqu’il s’agissait de demander aux utilisateurs de faire des choix en matière de protection de la vie privée, 42 % des sites Web et des applications qui ont fait l’objet du ratissage utilisaient un langage à connotation émotionnelle pour influencer les décisions des utilisateurs, et 57 % mettaient en évidence l’option qui protège le moins la vie privée et qui est la plus facile à sélectionner pour l’utilisateur.
  • Harcèlement : Au total, 35 % des sites Web et des applications invitaient à répétition les utilisateurs à reconsidérer leur intention de supprimer leur compte.
  • Entrave : Dans près de 40 % des cas, les ratisseurs ont fait face à des obstacles pour faire des choix en matière de protection de la vie privée ou pour accéder à des renseignements en la matière, par exemple pour trouver les paramètres de confidentialité ou pour supprimer leur compte. 
  • Action forcée : Des sites et des applications, 9 % forçaient les utilisateurs à divulguer plus de renseignements personnels qu’ils n’avaient été tenus de le faire pour créer leur compte lorsqu’ils tentaient de le supprimer. 

Prochaines étapes

Le ratissage n’est pas une enquête et ne vise pas à tirer des conclusions officielles sur le non-respect confirmé de dispositions des lois sur la protection de la vie privée. Toutefois, comme lors des ratissages annuels précédents, les préoccupations soulevées lors du ratissage de 2024 pourraient non seulement donner lieu à des travaux de suivi, par exemple, de la sensibilisation auprès d’organisations, mais aussi à la prise de mesures d’application de la loi pour remédier aux problèmes décelés. Chaque membre du GPEN déterminera de façon indépendante s’il est nécessaire de prendre des mesures d’application supplémentaires.

Le GPEN encourage les organisations à concevoir leurs plateformes, ainsi que les options et les communications relatives à la vie privée, de manière à aider les utilisateurs à prendre des décisions éclairées qui reflètent leurs préférences en matière de protection de la vie privée. Les plateformes bien conçues ont des paramètres par défaut qui offrent la meilleure protection en matière de vie privée; mettent en évidence les options qui protègent la vie privée; utilisent un langage et une conception neutres pour présenter de manière équitable et transparente les différents choix en matière de protection de la vie privée; réduisent le nombre de clics requis pour trouver les renseignements sur la protection de la vie privée, se déconnecter et supprimer un compte et offrent des options de consentement pertinentes pour le contexte et en temps opportun. En offrant aux utilisateurs une expérience en ligne exempte d’influence, de manipulation et de coercition, les organisations peuvent renforcer la confiance des utilisateurs et faire de la protection de la vie privée un avantage concurrentiel.

À propos du GPEN 

Le GPEN a été établi en 2010 à la suite d’une recommandation de l’OCDE. Il vise à favoriser la coopération transfrontalière entre les organismes de réglementation de la protection de la vie privée dans un marché mondial en expansion où les activités commerciales et domestiques nécessitent un flux régulier de renseignements personnels au‑delà des frontières. Ses membres travaillent ensemble pour renforcer les mesures de protection des renseignements personnels dans ce contexte mondial. Le réseau informel est composé de plus de 80 autorités d’application des lois de partout dans le monde.

Le ratissage pour la protection de la vie privée est une initiative annuelle dont l’objectif est de faire connaître les droits et les responsabilités en matière de protection de la vie privée, d’inciter les organisations à respecter les lois sur la protection de la vie privée et d’améliorer la coopération entre les autorités internationales d’application de ces lois. Le ratissage de 2024 a été coordonné par le Commissariat à la protection de la vie privée du Canada.

Rapports du GPEN et de l’ICPEN