More Related Content Similar to Les impacts du RGPD sur les parcours utilisateurs (20) Les impacts du RGPD sur les parcours utilisateurs1. © Niji | 2018
Quels sont les impacts du
RGPD sur les parcours
utilisateurs ?
avril 2018
2. © Niji | 2018
Rappel sur le RGPD
Le 25 mai 2018, entre en vigueur le nouveau règlement européen sur la protection des données personnelles (RGPD pour
Règlement Général sur la Protection des Données ou GDPR en anglais).
Les sanctions peuvent s’élever jusqu’à 4% du CA mondial ou 20 millions d’€, le montant le plus élevé étant retenu
Les impacts sont nombreux :
2
les parcours utilisateurs
des sites, des apps…
pour le recueil du consentement
les systèmes d’informations
pour la gestion des données et
des preuves de consentement
L’organisation interne
des entreprises, pour répondre aux
contraintes réglementaires
• Désigner un DPO ou à minima un
délégué responsable des données
• Être en capacité de traiter les
réclamations et les demandes des
personnes quant à l’exercice de leurs
droits
• Mettre en place des procédures
d’identification permettant de vérifier
l’identité de la personne faisant les
demandes
• Réécrire les mentions légales avec les
nouvelles mentions obligatoires
• Etc.
• Conserver les preuves de consentement
• Pouvoir extraire les données personnelles
pour traiter les demandes des personnes
quant à l’exercice de leurs droits
• Traiter toutes les données existantes pour
les mettre en conformité (délais de
rétention, purge, automatisations…)
• Sécuriser toutes les données pour
respecter le principe de protection
« Data protection by design »
• Etc.
• Recueil du consentement explicite
obligatoire et blocage des cookies par
défaut (hors cookies techniques
nécessaires au fonctionnement du site)
• Nouvelles contraintes sur les
formulaires en ligne
• Nouvelles informations obligatoires à
présenter
• Consentement des parents pour les
mineurs de moins de 16 ans
• Etc.
3. © Niji | 2018
Le périmètre de cette étude
3
les parcours utilisateurs
des sites, des apps…
pour le recueil du consentement
les systèmes d’informations
pour la gestion des données et
des preuves de consentement
L’organisation interne
des entreprises, pour répondre aux
contraintes réglementaires
• Désigner un DPO ou à minima un
délégué responsable des données
• Être en capacité de traiter les
réclamations et les demandes des
personnes quant à l’exercice de leurs
droits
• Mettre en place des procédures
d’identification permettant de vérifier
l’identité de la personne faisant les
demandes
• Réécrire les mentions légales avec les
nouvelles mentions obligatoires
• Etc.
• Conserver les preuves de consentement
• Pouvoir extraire les données personnelles
pour traiter les demandes des personnes
quant à l’exercice de leurs droits
• Traiter toutes les données existantes pour
les mettre en conformité (délais de
rétention, purge, automatisations…)
• Sécuriser toutes les données pour
respecter le principe de protection « Data
protection by design »
• Etc.
• Recueil du consentement explicite
obligatoire et blocage des cookies par
défaut (hors cookies techniques
nécessaires au fonctionnement du site)
• Nouvelles contraintes sur les
formulaires en ligne
• Nouvelles informations obligatoires à
présenter
• Consentement des parents pour les
mineurs de moins de 16 ans
• Etc.
La partie émergée de l’iceberg
4. © Niji | 2018
© Niji | 2018
L’impact du RGPD
sur les parcours
utilisateurs web
5. © Niji | 2018
La redéfinition du consentement de l’utilisateur
pour les cookies et profilages
Tant que l’utilisateur n’a pas donné son consentement, la collecte de données personnelles doit être désactivée.
Certains éléments de l’interface vont donc restés grisés ou masqués (exemple : lecteur youtube, bouton de partage
facebook, analytics, pubs…) il faut prévoir un mécanisme qui invite l’utilisateur à donner son consentement pour tout le
site (ex: bandeau) ou lorsqu’il clique sur un élément spécifique (ex : popup).
Exemple d’une vidéo youtube désactivée sur le site de la
CNIL.
L’utilisateur doit cliquer sur « autoriser » pour voir le lecteur
vidéo
Exemple d’une pop-up affichée lorsque l’utilisateur clique sur un
bouton de partage Facebook sur le site de la CNIL.
La pop-up permet à l’utilisateur de donner son consentement, s’il ne
l’a pas donné explicitement auparavant
5
6. © Niji | 2018
Bandeau d’information
et recueil du consentement
Exemple d’un bandeau d’information pour un site e-Commerce fictif
exemple fournit par Niji
6
7. © Niji | 2018
Bandeau d’information
et recueil du consentement
Ce que dit le RGPD
• Article 6 Le traitement n’est licite que si la
personne concernée a consenti au traitement de
ses données à caractère personnel pour une ou
plusieurs finalités spécifiques.
à De fait tous les cookies nécessitent un
consentement AVANT d’être activés : mesure
d’audience, publicités, bouton de partage vers
les réseaux sociaux, vidéos youtube…
• Article 4 Alinea 11 Est considéré comme «
consentement » de la personne concernée, toute
manifestation de volonté, libre, spécifique,
éclairée et univoque par laquelle la personne
concernée accepte, par une déclaration ou par un
acte positif clair, que des données à caractère
personnel la concernant fassent l’objet d’un
traitement.
à Le consentement de l’utilisateur doit être
explicite, une mention du type « la poursuite de
la navigation vaut acceptation » ne suffit pas.
• Considérants 26 & 30 RGPD : brève mention des
cookies dans le RGPD avec répercussions
significatives.
Recommandations UX
• Prévoir à minima une bannière qui détaille de manière claire et
facilement compréhensible les données recueillies, et traitements
associés. Exemple de la CNIL : « vous pouvez accepter le dépôt de cookies
tiers destinés à vous proposer des vidéos, des boutons de partage, des
remontées de contenus de plateformes sociales »
• Prévoir un bouton « tout accepter » pour recueillir le consentement
explicite de l’utilisateur avant d’activer les cookies
• Prévoir un bouton « choisir les cookies » pour apporter des détails sur
chaque type de donnée collectée et les finalités, et donner la possibilité
d’accepter unitairement chaque type de recueil de données.
• Le texte de cette bannière doit être facilement administrable pour le
mettre à jour en cas de modification ultérieure sur les recueils de données
au sein du site.
• Prévoir de redemander le consentement à la fin de la période de
rétention. Exemple « 12 mois déjà : il y a un an vous nous donniez votre
consentement (…) il est temps de renouveler cette autorisation »
7
8. © Niji | 2018
Centre de confidentialité
gestion des cookies et profilage
Une simple bannière risque d’être ignorée (phénomène du banner blindness), dégradant l’expérience sur le site web. Nous
recommandons une approche basée sur l'onboarding d'un « centre de confidentialité »
Exemple d’un centre de confidentialité pour un site e-Commerce fictif
exemple fournit par Niji
8
9. © Niji | 2018
Centre de confidentialité
gestion des cookies et profilage
Ce que dit le RGPD
• Article 7 Alinea 3 La personne concernée a le
droit de retirer son consentement à tout moment.
(…) Il est aussi simple de retirer son consentement
que de le donner.
à il faut mettre à disposition de l’internaute un
espace où il pourra retirer, simplement, un
consentement préalablement délivré
• Article 4 Alinea 11 Est considéré comme «
consentement » (…) une manifestation (…)
spécifique, éclairée (…)
à le bandeau général ne suffit pas, il faut
décrire en détails et unitairement les recueils de
données consentis
Recommandations UX
• Intégrer un centre de confidentialité comme illustré, qui explique de
manière transparente les données collectées, et permettra de donner,
ou de retirer, un consentement de manière unitaire
• Choisir un libellé facilement compréhensible. Par exemple "centre de
confidentialité » peut être plus facilement compréhensible et plus
englobant que un libellé du type « gestion des cookies »
• Le centre de confidentialité permettra en outre de reprendre des
principes de « onboarding », ou initiation progressive aux services et
fonctionnalités mises à disposition des utilisateurs.
9
10. © Niji | 2018
Répondre aux questions en lien avec le RGPD
coordonnées obligatoire du Délégué à la Protection des données
Ce que dit le RGPD
• Selon l’Article 13, l’utilisateur doit pouvoir retrouver les coordonnées du
Délégué à la Protection des données
• Toujours selon le même article, le visiteur doit pouvoir trouver des
informations sur : la procédure pour exercer son droit d’accès, de
rectification et d’effacement, l’existence du droit de demander l’accès aux
données à caractère personnel, la rectification ou l’effacement de celles-ci,
etc.
Recommandations UX
• Prévoir une page « Questions et contact » pour afficher les coordonnées
du Délégué à la Protection des données
• Dans cette page, prévoir un FAQ qui permettra de présenter les
informations exigées par le RGPD, et de minimiser les demandes faites au
délégué à la Protection des données en répondant de manière proactive
aux questions que pourraient se poser les visiteurs sur la collecte de leurs
données personnelles.
Exemple page Questions et contact
pour un site e-Commerce fictif
exemple fournit par Niji
10
11. © Niji | 2018
Sauvegarde des préférences confidentialité pour les
utilisateurs connectés
Recommandations UX
• Nous recommandons d’enregistrer les préférences des
utilisateurs qui disposent déjà d’un compte client.
• Cela permettra d’activer automatiquement les cookies
consentis sur le site pour les prochaines visites authentifiées
Exemple page de préférences confidentialité
pour un site e-Commerce fictif
exemple fournit par Niji
11
12. © Niji | 2018
Droit d’accès, de rectification, de portabilité, et
suppression des données
Recommandations UX
• Le RGPD n’impose pas que l’accès, la rectification et la
suppression des données soient possibles par voie électronique.
• Cependant, pour éviter de trop nombreuses demandes par voie
écrite ou physique, nous recommandons de mettre à disposition
de l’utilisateur les outils en ligne nécessaires à l’accès, la
rectification et suppression de ses données. Cela contribuera en
outre à améliorer à l’expérience de marque, en créant une
relation transparente et de confiance avec celle-ci
12
Ce que dit le RGPD
• Article 16 - La personne concernée a le droit d'obtenir du
responsable du traitement, dans les meilleurs délais, la
rectification des données à caractère personnel (…)
• Article 17 - La personne concernée a le droit d'obtenir du
responsable du traitement l'effacement (…)
• Article 12 -Les informations sont fournies par écrit ou par
d'autres moyens y compris, lorsque c'est approprié, par voie
électronique (…) Au besoin, ce délai peut être prolongé de deux
mois (…)
13. © Niji | 2018
Formulaires en ligne
et consentement explicite obligatoire
Exemple de formulaire en ligne compatible RGPD
Extrait du site getlandy.com
Recommandations UX
• Prévoir que l’ensemble des formulaires en ligne soient sécurisés,
notamment en HTTPS
• Prévoir une case à cocher pour chaque formulaire en ligne, qui précise
la nature, la finalité précise, et la durée de rétention des données
personnelles collectées. La case ne doit pas être pré-cochée par
défaut (pas d’« opt-in passif »)
• Prévoir un message en bas de chaque formulaire en ligne pour
informer l’utilisateur sur ses droits relatif à son consentement, exemple :
« pour connaître vos droits relatifs à l’utilisation des données collectées
par ce formulaire, notamment de retrait de votre consentement,
consultez notre politique de confidentialité »
Ce que dit le RGPD
• Article 5 Alinea 1 f) (…) à il faut sécuriser la collecte et le traitement
des données
• Article 7 Alinea 3 (…) à L’information sur le droit de retirer son
consentement doit être donnée au moment du consentement
• Article 4 Alinea 11 (…) à tous les formulaires en ligne de recueil de
données personnelles doit comporter une case à cocher. la case ne doit
pas être précochée par défaut
13
pour connaître vos droits relatifs à l’utilisation des données
collectées par ce formulaire, notamment de retrait de votre
consentement, consultez notre politique de confidentialité
14. © Niji | 2018
Tunnel de commande / paiement
Recommandations UX
• Une exemption est possible dans le cas du recueil de
données nécessaires au bon fonctionnement du service –
par exemple dans le cas de l’acte d’achat e-commerce, pour
des données nécessaires à l’achat et la livraison d’un bien
(nom, prénom, coordonnées postales, email). Mais il est
toujours nécessaire d’expliquer la finalité des données
recueillies (mais sans case à cocher).
Exemple de tunnel de commande
pour un site e-Commerce fictif
exemple fournit par Niji
14
15. © Niji | 2018
© Niji | 2018
Pour un audit complet
de votre conformité
avec le RGPD,
contactez-nous !
contact@niji.fr
16. © Niji | 2018
Au service de la performance de nos clients
De l’idée à la réalité
Dans une même chaîne de valeur,
Niji associe conseil, design et transformation
technologique au plus près des enjeux
stratégiques et des problématiques
opérationnelles de ses clients… au service de leur
performance.
Paris Rennes Nantes
Lille Lyon Bordeaux
650 personnes
+200 clients accompagnés
57 M€ de chiffre d’affaires en 2017
+20% de croissance par an
16
17. © Niji | 2018
Une approche complète
Nous vous accompagnons sur toute la chaine de valeurs
17
Conseil
Appréhender l'impact du numérique
sur les enjeux, les projets et les
processus de nos clients et les
accompagner dans la durée.
Design
Identifier et concevoir de nouvelles
expériences digitales interactives
pour les consommateurs et les
salariés.
Technologie
Maîtriser les technologies digitales
depuis l’expertise pointue jusqu’à la
réalisation clé en main de solutions
digitales.
100 consultants 100 designers 400 experts
Directeur
Artistique
Chef de Projet Consultante
Digital
UX/UI
Designers
Product OwnerArchitecte Développeur Scrum Master
18. © Niji | 2018
Vos contacts
www.niji.fr @Niji_DigitalParis Lille Nantes Rennes Lyon Bordeaux
Site Web : www.niji.fr
Email : contact@niji.fr
Twitter : @Niji_digital