RGPD : la mise en conformité ne doit pas se faire au détriment du parcours utilisateur
Le 25 mai prochain entrera en vigueur le nouveau règlement européen sur la protection des données personnelles (RGPD). Si ce n’est pas déjà le cas, les entreprises ont donc encore quelques jours pour se mettre en conformité et ainsi ne pas s’exposer à des sanctions pouvant s’élever jusqu’à 4% de leur CA mondial ou 20 M€. Ce règlement a de nombreux impacts, que ce soit sur les systèmes d’informations, l’organisation interne des entreprises, et les parcours utilisateurs.
En ce qui concerne les parcours utilisateurs, les contraintes liées au RGPD pourraient rendre l’expérience des clients sur le web plus complexe et laborieuse. Or en réalité, ce règlement doit être vu par les organisations comme une opportunité de repenser les bases de leur relation clients à travers un parcours utilisateur simple et transparent, renforçant le sentiment de proximité à la marque et la fidélisation. Pour cela, réalisons un tour d’horizon des bonnes pratiques à suivre en termes d’UX design.Redéfinition du consentement de l’utilisateur pour les cookies et profilages
Tant que l’utilisateur n’a pas donné son consentement, la collecte des données personnelles doit être désactivée. Certains éléments de l’interface - tels qu’un lecteur YouTube, un bouton de partage vers les réseaux sociaux ou une publicité - qui exercent une collecte de données personnelles au sens du RGPD, vont donc rester grisés ou masqués. Il est alors important de prévoir la mise en place d’un mécanisme invitant l’utilisateur à donner son consentement lorsqu’il clique sur un élément spécifique ou pour l’ensemble du site (bandeau, pop-up, etc.).
Ce mécanisme permettant le recueil du consentement de
l’utilisateur peut prendre à minima la forme d’une bannière, détaillant de
manière claire et facilement compréhensible les données personnelles recueillies,
les traitements et les durées de rétention associés. Nous recommandons que le
texte de cette bannière soit facilement administrable pour qu’il soit possible
de le mettre à jour en cas de modification ultérieure sur les recueils de
données au sein du site. Il est également important de prévoir la mise en place
d’un bouton « accepter » pour recueillir le consentement explicite de
l’utilisateur avant d’activer les cookies, ainsi que d’un bouton « choisir
les cookies » pour apporter des détails sur chaque type de donnée
collectée et ses finalités et donner ainsi la possibilité d’accepter
unitairement les différents recueils de données. Enfin, il ne faut pas oublier
de créer un mécanisme visant à redemander le consentement à la fin de la
période de rétention.
Il est également opportun d’enregistrer les préférences des utilisateurs qui disposent déjà d’un compte client afin d’activer automatiquement les cookies consentis sur le site lors de prochaines visites authentifiées.
Le RGPD rend obligatoire la mise à disposition des utilisateurs d’un certain nombre d’informations, dont les coordonnées du Délégué à la Protection des données (DPO). Il est donc essentiel de prévoir une page affichant ces coordonnées, et il apparaît opportun d’y associer un FAQ et du contenu pédagogique sur la notion de données personnelles, qui permettront de présenter les informations exigées tout en minimisant les demandes faites au DPO en répondant de manière proactive aux questions que pourraient se poser les visiteurs sur la collecte de leurs données personnelles.
Le RGPD donne aux personnes des droits d’accès, de rectification, de portabilité et de suppression des données mais il n’impose pas que la demande d’exercice de ces droits puisse se faire par voie électronique. Néanmoins, pour éviter de trop nombreuses demandes par voie écrite ou physique, il est préférable de mettre à disposition de l’utilisateur les outils en ligne nécessaires à l’accès, la rectification, la portabilité et la suppression de ses données. En outre, le fait de proposer des outils en ligne permettant le plein exercice de ces droits, en toute transparence, permettra à la marque de renforcer sa relation de confiance avec ses clients.
Il est essentiel de prévoir la sécurisation de l’ensemble des formulaires en ligne, notamment en HTTPS, ainsi que d’y faire figurer une case à cocher précisant la nature, la finalité précise, et la durée de rétention des données personnelles collectées. Afin de ne pas faire de l’« opt-in passif », cette case ne doit pas être pré-cochée par défaut. Il est également important de prévoir un message en bas de chaque formulaire en ligne pour informer l’utilisateur sur ses droits relatifs à son consentement, car l’information sur ces derniers doit être donnée au moment du consentement. Une exemption de la présence d’une case à cocher est possible dans le cas du recueil de données nécessaires à l’exécution d’un contrat – par exemple dans le cas d’un site e-commerce pour des données nécessaires à l’achat et la livraison d’un bien, mais il est toujours nécessaire d’expliquer la finalité des données personnelles recueillies.
Exemple de tunnel de commande pour un site e-Commerce fictif