Proposition de Loi visant à imposer le réglage par défaut des autorisations d’accès aux données sensibles (microphone, caméra, localisation, historique d’activité) au statut « Désactivé » pour toutes les applications numériques et plateformes de réseaux sociaux, et à renforcer l’obligation de consentement explicite via une sollicitation claire.
I. PROBLÉMATIQUE :
La législation actuelle, notamment le Règlement Général sur la Protection des Données (RGPD), consacre le principe de la protection des données par défaut (Privacy by Default). Or, dans la pratique, les plateformes numériques et les applications mobiles, en particulier les réseaux sociaux, exploitent une zone grise en matière de configurations.
Le problème repose sur trois constats majeurs :
1. Réglage par Défaut Invasif :
Lors de l’installation ou d’une mise à jour, les paramètres donnant accès aux données sensibles du terminal de l’utilisateur (micro, caméra, historique d’activité, localisation) sont systématiquement et par défaut activés.
2. Défaut d’Information :
La majorité des utilisateurs ne sont pas conscients que ces accès sont automatiques ou n’ont pas la connaissance technique nécessaire pour comprendre les implications d’un tel paramétrage.
3. Complexité Délibérée :
Les options de désactivation sont souvent dissimulées ou rendues difficiles à trouver au sein d’interfaces de paramètres volontairement complexes ou labyrinthiques, décourageant l’utilisateur de modifier les réglages par défaut.
Cette pratique contrevient à l’esprit du consentement libre et éclairé, transformant le droit à la vie privée en une charge (l’utilisateur doit chercher à se désactiver – « Opt-Out ») plutôt qu’en un droit fondamental (l’utilisateur doit choisir d’activer – « Opt-In »).
II. OBJECTIF DE LA PROPOSITION DE LOI :
Cette proposition vise à modifier le Code des postes et des communications électroniques ou à ajouter des dispositions spécifiques pour garantir une protection effective des données au niveau de l’interface utilisateur.
1. Inverser le Principe d’Autorisation (Le « Opt-In » Obligatoire) :
1.1. Principe de « Désactivé par Défaut » :
Contraindre légalement toute application ou plateforme numérique à configurer par défaut au statut « DÉSACTIVÉ » toute fonctionnalité donnant accès aux données sensibles et aux périphériques du terminal (microphone, caméra, géolocalisation, liste de contacts, historique d’activité, etc.).
1.2. Renforcement du Consentement Explicite :
Exiger un consentement actif et explicite pour chaque accès.
2. Encadrer la Demande d’Autorisation (Le « Comment »)
2.1. Fenêtre Contextuelle Explicite (Pop-Up) :
Les plateformes doivent être forcées de présenter une fenêtre contextuelle claire, lisible et non ambigüe avant la première utilisation d’une fonctionnalité nécessitant un accès sensible.
2.2. Sollicitation Ponctuelle :
Cette demande d’autorisation ne doit intervenir que lorsque l’utilisateur s’apprête à utiliser la fonction spécifique nécessitant cet accès (par exemple, la demande d’accès à la caméra uniquement lorsque l’utilisateur clique sur « Prendre une photo »).
2.3. Information Pédagogique :
Le message de la fenêtre contextuelle doit expliquer les données spécifiques auxquelles la plateforme souhaite accéder et les finalités exactes de cet accès (ex: « J’autorise cette application à accéder à mon microphone uniquement pour enregistrer une note vocale. »).
3. Simplifier la Gestion des Paramètres
3.1. Accessibilité Garantie :
Les plateformes devront garantir que la page de gestion des autorisations est accessible facilement depuis la page d’accueil de l’application ou du compte utilisateur.
III. FONDEMENT JURIDIQUE ET INSTITUTIONNEL
Cette proposition s’inscrit dans le prolongement de l’Article 8 de la Charte des droits fondamentaux de l’Union européenne (droit à la protection des données) et vise à concrétiser l’Article 25 du RGPD (protection des données dès la conception et par défaut), en s’attaquant à la manipulation des choix de l’utilisateur par l’ergonomie (appelée dark patterns).