On dark patterns and manipulation of website publishers by CMPs
Dark patterns et manipulation des éditeurs de sites web par les fournisseurs de solution de gestion de consentement
Résumé
Web technologies and services widely rely on data collection via tracking users on websites. In the EU, the collection of such data requires user consent thanks to the ePrivacy Directive (ePD), and the General Data Protection Regulation (GDPR). To comply with these regulations and integrate consent collection into their websites, website publishers often rely on third-party contractors, called Consent Management Providers (CMPs), that provide consent pop-ups as a service. Since the GDPR came in force in May 2018, the presence of CMPs continuously increased. In our work, we systematically study the installation and configuration process of consent pop-ups and their potential effects on the decision making of the website publishers. We make an in-depth analysis of the configuration process from ten services provided by five popular CMP companies and identify common unethical design choices employed. By analysing CMP services on an empty experimental website, we identify manipulation of website publishers towards subscription to the CMPs paid plans and then determine that default consent pop-ups often violate the law. We also show that configuration options may lead to non-compliance, while tracking scanners offered by CMPs manipulate publishers. Our findings demonstrate the importance of CMPs and design space offered to website publishers, and we raise concerns around the privileged position of CMPs and their strategies influencing website publishers.
Les technologies et services web reposent largement sur la collecte de données via le suivi des utilisateurs sur les sites web. Dans l'UE, la collecte de ces données nécessite le consentement de l'utilisateur grâce à la directive ePrivacy (ePD), et au Règlement Général sur la Protection des Données (RGPD). Pour se conformer à ces réglementations et intégrer la collecte du consentement sur leurs sites, les éditeurs font souvent appel à des prestataires tiers, appelés fournisseurs de gestion du consentement (Consent Management Providers, ou CMP), qui fournissent des pop-ups de consentement en tant que service. Depuis l'entrée en vigueur du RGPD en mai 2018, la présence de ces CMP a continuellement augmenté. Dans notre travail, nous systématisons l'étude du processus d'installation et de configuration de ces pop-ups de consentement et de leurs effets potentiels sur la prise de décision des éditeurs de sites web. Nous effectuons une analyse approfondie du processus de configuration à partir de dix services fournis par cinq fournisseurs de solutions de gestion de consentement populaires, et nous identifions les choix de conception non éthiques communément employés. En analysant les services de CMP sur un site expérimental vide, nous mettons en évidence la manipulation des éditeurs de sites web en faveur de l'abonnement aux offres payantes des CMP, et nous remarquons que les pop-ups de consentement par défaut enfreignent souvent la loi. Nous montrons également que les options de configuration peuvent conduire à la non-conformité, tandis que les scanners de suivi proposés par les CMP manipulent les éditeurs. Nos résultats démontrent l'importance des CMP et de l'espace de conception offert aux éditeurs de sites web, et nous nous interrogeons quant à la position privilégiée des CMP et à leurs stratégies d'influence sur les éditeurs de sites web.
Origine : Fichiers produits par l'(les) auteur(s)