RGPD : la mise en conformité ne doit pas se faire au détriment du parcours utilisateur

Le 25 mai prochain entrera en vigueur le nouveau règlement européen sur la protection des données personnelles (RGPD). Si ce n’est pas déjà le cas, les entreprises ont donc encore quelques jours pour se mettre en conformité et ainsi ne pas s’exposer à des sanctions pouvant s’élever jusqu’à 4% de leur CA mondial ou 20 M€. Ce règlement a de nombreux impacts, que ce soit sur les systèmes d’informations, l’organisation interne des entreprises, et les parcours utilisateurs.

En ce qui concerne les parcours utilisateurs, les contraintes liées au RGPD pourraient rendre l’expérience des clients sur le web plus complexe et laborieuse. Or en réalité, ce règlement doit être vu par les organisations comme une opportunité de repenser les bases de leur relation clients à travers un parcours utilisateur simple et transparent, renforçant le sentiment de proximité à la marque et la fidélisation. Pour cela, réalisons un tour d’horizon des bonnes pratiques à suivre en termes d’UX design.

Redéfinition du consentement de l’utilisateur pour les cookies et profilages

Tant que l’utilisateur n’a pas donné son consentement, la collecte des données personnelles doit être désactivée. Certains éléments de l’interface -  tels qu’un lecteur YouTube, un bouton de partage vers les réseaux sociaux ou une publicité - qui exercent une collecte de données personnelles au sens du RGPD, vont donc rester grisés ou masqués. Il est alors important de prévoir la mise en place d’un mécanisme invitant l’utilisateur à donner son consentement lorsqu’il clique sur un élément spécifique ou pour l’ensemble du site (bandeau, pop-up, etc.).

Exemple d’une fenêtre pop-up affichée lorsque l’utilisateur clique sur un bouton de partage Facebook sur le site de la CNIL. La fenêtre pop-up permet à l’utilisateur de donner son consentement explicite, s’il ne l’a pas donné explicitement auparavant

Bandeau d’information et recueil du consentement 

Ce mécanisme permettant le recueil du consentement de l’utilisateur peut prendre à minima la forme d’une bannière, détaillant de manière claire et facilement compréhensible les données personnelles recueillies, les traitements et les durées de rétention associés. Nous recommandons que le texte de cette bannière soit facilement administrable pour qu’il soit possible de le mettre à jour en cas de modification ultérieure sur les recueils de données au sein du site. Il est également important de prévoir la mise en place d’un bouton « accepter » pour recueillir le consentement explicite de l’utilisateur avant d’activer les cookies, ainsi que d’un bouton « choisir les cookies » pour apporter des détails sur chaque type de donnée collectée et ses finalités et donner ainsi la possibilité d’accepter unitairement les différents recueils de données. Enfin, il ne faut pas oublier de créer un mécanisme visant à redemander le consentement à la fin de la période de rétention.    

Exemple d’un bandeau d’information pour un site e-Commerce fictif

Centre de confidentialité, gestion des cookies et profilage 

Une simple bannière, à travers le phénomène du « banner blindness », risque d’être ignorée et de dégrader alors l’expérience sur le site web. Il est donc préférable d’intégrer un centre de confidentialité expliquant de manière transparente les données collectées et permettant de donner ou de retirer un consentement de manière unitaire (cf. article 7 du RPGD). Ce dernier doit cependant être nommé à l’aide d’un libellé facilement compréhensible. Il permettra en outre de reprendre des principes d’« onboarding » via une initiation progressive des utilisateurs aux services et fonctionnalités mises à leur disposition.    

Exemple d’un centre de confidentialité pour un site e-Commerce fictif


Il est également opportun d’enregistrer les préférences des utilisateurs qui disposent déjà d’un compte client afin d’activer automatiquement les cookies consentis sur le site lors de prochaines visites authentifiées. 

 
Réponses aux questions en lien avec le RGPD

Le RGPD rend obligatoire la mise à disposition des utilisateurs d’un certain nombre d’informations, dont les coordonnées du Délégué à la Protection des données (DPO). Il est donc essentiel de prévoir une page affichant ces coordonnées, et il apparaît opportun d’y associer un FAQ et du contenu pédagogique sur la notion de données personnelles, qui permettront de présenter les informations exigées tout en minimisant les demandes faites au DPO en répondant de manière proactive aux questions que pourraient se poser les visiteurs sur la collecte de leurs données personnelles.

 
Droit d’accès, de rectification, de portabilité, et de suppression des données

Le RGPD donne aux personnes des droits d’accès, de rectification, de portabilité et de suppression des données mais il n’impose pas que la demande d’exercice de ces droits puisse se faire par voie électronique. Néanmoins, pour éviter de trop nombreuses demandes par voie écrite ou physique, il est préférable de mettre à disposition de l’utilisateur les outils en ligne nécessaires à l’accès, la rectification, la portabilité et la suppression de ses données. En outre, le fait de proposer des outils en ligne permettant le plein exercice de ces droits, en toute transparence, permettra à la marque de renforcer sa relation de confiance avec ses clients.


Exemple d'une interface permettant d'exercer ses droits d'accès, de rectification, de portabilité et de suppression des données personnelles

Formulaires en ligne et consentement explicite

Il est essentiel de prévoir la sécurisation de l’ensemble des formulaires en ligne, notamment en HTTPS, ainsi que d’y faire figurer une case à cocher précisant la nature, la finalité précise, et la durée de rétention des données personnelles collectées. Afin de ne pas faire de l’« opt-in passif », cette case ne doit pas être pré-cochée par défaut. Il est également important de prévoir un message en bas de chaque formulaire en ligne pour informer l’utilisateur sur ses droits relatifs à son consentement, car l’information sur ces derniers doit être donnée au moment du consentement. Une exemption de la présence d’une case à cocher est possible dans le cas du recueil de données nécessaires à l’exécution d’un contrat  – par exemple dans le cas d’un site e-commerce pour des données nécessaires à l’achat et la livraison d’un bien, mais il est toujours nécessaire d’expliquer la finalité des données personnelles recueillies.


Exemple de tunnel de commande pour un site e-Commerce fictif