« BeReal n'accepte pas les refus », résume en substance la branche française de l’association européenne noyb. Dans sa plainte (PDF), déposée formellement jeudi auprès de la CNIL, elle parcourt pas à pas les mécaniques de recueil du consentement des données personnelles pratiquées par BeReal. Elle en conclut que le réseau social pratique une forme d’« incitation continue » sur ses utilisateurs, qui enfreint, selon son analyse, le règlement européen sur la protection des donnés (RGPD).

« L’accord est mémorisé, mais le refus doit être renouvelé toutes les 24 heures »

BeReal se présente pour mémoire comme une application mobile en forme de réseau social. Elle repose sur un principe simple : une fois par jour, à heure aléatoire, l’utilisateur reçoit une notification qui l’invite à partager une photo (caméra avant et arrière) de ses occupations du moment. Il peut ensuite consulter le « BeReal » quotidien des membres de son réseau, qui ont été sollicités au même moment. L’application promet ainsi de partager une tranche de vie « réelle », à l’opposé des publications réfléchies ou mises en scène des autres réseaux sociaux.

Forte de cette proposition de valeur originale, BeReal s’est taillé un joli succès d’audience, dans l’Hexagone, mais aussi au Japon ou aux États-Unis. Elle revendiquait ainsi 40 millions d’utilisateurs actifs dans le monde en juin dernier, au moment de son rachat par l’éditeur Voodoo, français lui aussi, sur la base d’une valorisation à 500 millions d’euros. Selon noyb, c’est suite à ce rachat que BeReal aurait modifié ses pratiques en matière de données personnelles.

« Depuis juillet 2024, les utilisateurs européens de BeReal sont confrontés à une bannière de consentement dès qu'ils ouvrent l'application, indique l’association. Si vous acceptez l'utilisation de vos données personnelles à des fins publicitaires, vous ne verrez plus la bannière. Si vous cliquez sur "accepter", l'application ne vous le demandera plus jamais. En revanche, si vous "refusez", la bannière réapparaîtra chaque jour lorsque vous tenterez de publier un article ».

Pour noyb, l’apparition récurrente de la bannière de consentement relève d’un choix délibéré de l’éditeur qui vise à frustrer l’utilisateur pour finalement l’inciter à autoriser les traitements de données personnelles. L’application enfreindrait ainsi le RGPD, qui prévoit la validité du consentement lorsque ce dernier a été obtenu de « volonté libre ».

« Obliger les utilisateurs à refuser le traitement à chaque fois qu'ils prennent leur "BeReal" perturbe fortement l'utilisation prévue de l'application et porte atteinte à la liberté de choix des personnes concernées », estime par exemple noyb.

Quelles sanctions pour les dark patterns ?

L’association demande de ce fait à la CNIL de constater les manquements de BeReal, et d’ordonner la mise en conformité. Elle « suggère » par ailleurs que la Commission impose une amende à l’éditeur, « afin d'éviter que des violations similaires ne se reproduisent à l'avenir », et rappelle que le Comité européen de la protection des données (CEPD) a déjà qualifié de modèles trompeurs des pratiques similaires, dans ses lignes directrices.

Contactés par nos soins, BeReal et sa nouvelle maison mère accusent réception. « Nous prenons cette situation avec le plus grand sérieux et restons pleinement engagés sur la protection et le respect de nos utilisateurs. Des investigations immédiates sont en cours », indique à Next une porte-parole de Voodoo.

La CNIL ne s'exprimera quant à elle qu'après une éventuelle instruction. Cette plainte devrait logiquement nourrir les réflexions en cours autour de la réponse à apporter à la problématique des dark patterns. Celles-ci courent en effet depuis des années.

Le laboratoire d'innovation numérique de la CNIL interrogeait dès 2020 avec précision les problématiques de design et de frictions désirables liées à la protection des données personnelles. Elle y dénonçait déjà l’incitation répétitive (PDF, voir page 29).

En juillet dernier, une étude du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant pour la protection de la vie privée au sein de pays membres de l'OCDE) révélait l’omniprésence de modèles trompeurs au sein des sites Web et applications mobiles populaires, tous secteurs d’activités confondus.

• Selon les CNIL, les dark patterns sont partout

La pratique n’a cependant pas, à ce stade, fait l’objet de sanctions officielles. La plainte de noyb déclenchera-t-elle des suites administratives et si oui, sous quel délai ?

Hasard du calendrier, la CNIL a annoncé jeudi une série de mises en demeure visant des éditeurs de sites accusés d’avoir utilisé « des bandeaux de recueil du consentement trompeurs incitant les internautes à accepter les cookies ». 

• Bannières cookies trompeuses : nouvelle salve de mise en demeure de la CNIL… et ensuite ?