Concilier UX & RGPD

Qu’est-ce que le RGPD ?

C’est le Règlement européen sur la protection des données entré en application il y a 3 ans et qui vise à encadrer les traitements de données personnelles qui sont mis en oeuvre dans les entreprises dont nous avions déjà parlé ici.

En effet, la collecte et le traitement des données personnelles ne peut que se faire en se s’appuyant sur l’une des 6 bases légales suivantes : le consentement, l’intérêt légitime, l’exécution d’un contrat, le respect d’une obligation légale, la protection des intérêt vitaux de la personne, l’exécution d’une mission d’intérêt public.

Entré en application en mai 2018, il reste obscur pour de nombreuses entreprises et professionnels du secteur alors même que sa violation entraîne des sanctions importantes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros, selon le montant le plus élevé.

Suite à ce règlement, la CNIL a publié, le 2 octobre 2020, des lignes directrices sur les cookies et autres traceurs. Les opérateurs économiques avaient jusqu’au 31 mars 2021 pour s’y conformer.

Malheureusement pour beaucoup de sociétés, la conformité réelle au RGPD signifie un taux de consentement en baisse, des données difficiles à collecter et a fortiori à analyser. A l’heure où internet pousse à l’hyper-personnalisation et où le retargeting est l’arme préférée des services de marketing, la data, qu’elle soit smart, ou big est devenue primordiale.

D’un point de vue utilisateur, l’interface du consentement, nécessaire à la conformité au RGPD est au mieux une friction, au pire une douleur répétitive.

Alors comment concilier UX & RGPD pour un créer un parcours utilisateur fluide tout en gardant un volume suffisant de données pour prendre des décisions marketing pertinentes et adaptées à votre audience ?

Les lignes directrices de la CNIL

Les principaux impacts du RGPD pour l’UI et l’UX d’un site web et d’une application sont l’obligation d’information et le recueil du consentement lorsque c’est nécessaire.

La première question que l’on peut se poser est qu’est-ce que le consentement et quand est-il nécessaire ?

Le consentement

Le consentement, pour être valable doit être une “manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”

En clair, l’utilisateur de votre site doit faire une action qui vous autorise la collecte et le traitement de ses données et cette action ne doit pas être soumise à une quelconque contrepartie.

Pourtant le recueil du consentement n’est pas toujours nécessaire !

Même si le recours presque automatique à Google pour les analytics nous l’a fait perdre de vue, le recueil du consentement n’est obligatoire que lorsqu’on collecte et traite des données personnelles.

Les données personnelles

En effet d’après le RGPD, une donnée à caractère personnelle est “toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”.

Votre site ne collecte ni nom ni adresse mail ?

Vous n’avez peut-être pas besoin de recueillir le consentement de vos utilisateurs !

Tout va dépendre de vos outils de mesures d’audience et de ces fameux cookies : la Cnil recense les outils d’analytics n’ayant pas besoin du recueil de consentement ici.

Les informations obligatoires

Dans le cas contraire, il vous faudra communiquer 12 éléments à votre utilisateur, précisés dans les articles 13&14 :

  • L’identité et les coordonnées du responsable du traitement
  • Le but du traitement des données à caractère personnel ainsi que la base juridique sur laquelle repose le traitement des données
  • Les intérêts légitimes si le traitement est fondé sur cette base
  • les destinataires s’ils existent, ou à qui les données sont transférées lorsqu’elle le sont (organisation, entreprise, étranger)
  • La durée de conservation de ces données ou les critère utilisé pour déterminer cette durée.
  • Un mention du droit à l’accès aux données, la rectification ou l’effacement de celle-ci
  • Le droit de retirer son consentement à tout moment
  • Le droit de faire une réclamation auprès d’une autorité de contrôle
  • Des informations sur la nécessité de la collecte des données pour la création et/ou conclusion d’un contrat.
  • L’existence d’une prise de décision automatisé, notamment concernant la segmentation pour le marketing automation.

Toute ces informations sont nécessaires et doivent être présentes sur votre site pour informer votre utilisateur de l’utilisation des données qu’ils vous fournit. Elles sont malheureusement compliquées à appréhender et leur lecture est longue et semble complexe.

Comment faire pour que votre utilisateur s’y retrouve ?

Les recommandations UX

Le principal problème pour le respect du règlement général sur la protection des données, est, comme le souligne Amandine Biou, UX/UI designer freelance sur Upway.io, le manque de vision global de cette problématique. En effet, pour de nombreuses entreprises, dont celles qu’elle a accompagnées, le RGPD arrive souvent à la fin du projet “comme un cheveu sur la soupe” et est rarement inscrit dans le projet sur le  long terme.

L’expérience utilisateur est donc, en ce sens, un peu mise de côté concernant cette question. Pourtant Google retient l’expérience utilisateur comme critère pour le référencement, et ce même concernant le respect du RGPD !

Pour guider les créateurs de site web, qu’ils soient auto-entrepreneur, UX/UI designer, webdesigner ou développeur web, la Cnil propose donc ses recommendations dans ce document.

Plusieurs niveaux d'informations

Une des premières recommandations qui y est décrite est de délivrer l’information en plusieurs niveaux, comme le précise Bassel Malakani de Kaora Partners “Evoquer en premier lieu l’identité de l’entreprise qui met en oeuvre le traitement des données et les finalités de celui-ci puis faire un lien de redirection sur une page consacrée à la politique de confidentialité ou la FAQ est une solution souvent mise en place.”

Concernant la rédaction de ces informations, une des bonnes pratiques évoquées est d’utiliser votre langage / celui de votre entreprise et non des celui des juristes. En effet, c’est également le langage de votre utilisateur, il comprendra donc plus facilement les tenants et aboutissants de votre politique de confidentialité. L’idéal étant de faire un partenariat entre le chargé de communication de l’entreprise et un juriste qui l’accompagnerait sur les notions légales.

Qu’en est-il des sites qui génèrent automatiquement les mentions légales et politique de confidentialité ?

En effet, les Ux/Ui designer ne sont pas juristes et ils sont nombreux à avoir recours aux générateurs automatiques pour les mentions légales et autres contenus juridiques. Pour Bassel Malakani “C’est une bonne base, rares sont les juriste qui partent from scratch mais il faut savoir les utiliser et surtout les comprendre”.

On peut donc les utiliser au lancement de votre site et/ou entreprise mais il ne faut pas hésiter à faire appel à un juriste, une fois le budget débloqué, pour une relecture plus précise et adaptée.

La gestion des cookies

Aujourd’hui les données personnelles sont le plus souvent utilisées pour analyser les comportements des utilisateurs voire des consommateurs grâce aux cookies.

Le problèmes de ces petits fichiers ?

A part qu’ils ne se mangent pas, le consentement de votre utilisateur doit être recueilli pour chacune des fonctionnalités que vous utilisez, ce qui est souvent fastidieux. La Cnil a donc autorisé les boutons d’autorisation et de refus globaux à conditions qu’ils soient au même niveau et au même format afin qu’il soit aussi simple pour votre utilisateur d’accepter ou de refuser. Elle précise :

“Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique.”

Alors comment recueillir le consentement de votre utilisateur avec le moins de frictions possibles ?

Plusieurs possibilités existent : la pop-in, le bandeau ou le cookie wall.

Les cookies wall

Ce dernier est souvent utilisé pour les sites de presse voire un site très connu de recette en ligne, où un abonnement d’un mois est proposé lors d’un refus. Cette pratique visant à créer de la frustration afin de pousser à l’acceptation peut être mal perçue par vos utilisateurs et est souvent considérée comme une dark pattern par les Ux/Ui designer note Amandine Biou. Bassel Malakani ajoute que la Cnil avait interdit ces techniques mais cette interdiction a été annulée par le Conseil d’Etat pour une question de forme.

Dans le fond on peut considérer cette pratique comme illicite car le consentement n’est pas libre mais la CNIL n’a pas encore eu l’occasion de sanctionner l’éditeur d’un site web sur ce point particulier.

La Fenêtre d'information

Concernant la fenêtre d’information, souvent sur le côté inférieur gauche de votre écran, elle ne gêne pas la navigation et reste visible. Elle peut cependant agacer à la longue. L’astuce pour que votre utilisateur accepte le recueil de consentement c’est souvent de recourir au marketing émotionnel avec une phrase d’accroche correspondant à votre cible, qu’elle soit humoristique (”Bla Bla Bla Cookie” Welcome to the Jungle) ou plus empathique, accompagnée de l’explication des fonctionnalités. En effet, dès lors que l’utilisateur comprend le bénéfice de la collecte de ses données il est plus à même de donner son consentement.

Le Bandeau

Enfin concernant le bandeau, qu’il soit en bas ou en haut de l’écran, c’est souvent la solution retenue par Amandine Biou car c’est la moins agressive pour l’utilisateur, à condition qu’il y ait une animation d’entrée et une esthétique qui attirent suffisamment l’oeil. En effet, le manque de visibilité du bandeau est le principal défaut de cette technique car on l’ignore souvent.

Votre prochaine mission est sur Upway.io !

Créez votre profil dès maintenant 👇

Pour en savoir plus, inscrivez vous à notre plateforme de webinaires et retrouvez notre replay sur les différents statuts à visionner gratuitement 😊

Nos outils pratiques

Les plus consultés