RGPD
17/06/2022

La RGPD et l’UX

De nos jours, on passe la plupart de notre temps connecté quelle que soit la raison (travail, étude, divertissement,etc). Et durant cela, beaucoup de nos données personnelles et d’informations sur notre vie privée sont collectées et traitées sans que nous nous en rendions compte. Ainsi pour protéger les internautes, le parlement européen à annoncé une réforme de la protection des données le RGPD. 

 

Quelles sont les exigences de ce dernier en termes de protection des données? Quel est l’impact du RGPD sur les applications et les utilisateurs et comment il va influencer son expérience ? 

 

On vous explique tout dans cet article !

Qu’est-ce que le RGPD ?

Le RGPD “Règlement Général sur la Protection des Données” est un règlement européen qui est entré en vigueur depuis le 25 mai 2018. Il est conçu pour simplifier l’environnement réglementaire pour les États européens et protéger les données des utilisateurs améliorant ainsi l’expérience client. 

 

Les principes du RGPD

Le RGPD présente quelques grandes principes, on cite :

 

  • La transparence : 

Les utilisateurs d’un site ont le droit d’être informés sur la raison et l’objectif de la collecte de leurs données personnelles. 

 

  • La licéité et la loyauté :

D’après l’article 6 du RGPD, le traitement des données doit être licite à travers le respect de certaines conditions. 

La loyauté consiste à garantir une information claire qui va permettre à l’utilisateur de donner un consentement valide.

 

  • La limitation des finalités :

Comme mentionné dans l’article 5.1.b, les données ne peuvent être collectées qu’à des fins spécifiques ( Pour une campagne marketing, pour améliorer l’expérience client…).

 

  • La minimisation des données :

Les données collectées doivent être “adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées” (Article 5.1.c)

 

  • L’exactitude :

Les données recueillies doivent être “exactes et, si nécessaire, tenues à jour” (Article 5.1.d). Toute donnée à caractère personnel qui peut être inexacte doit être supprimée ou rectifiée immédiatement. 

 

  • La limitation de la conservation :

Une fois que vous avez utilisé les données et vous n’aurez plus besoin de les utiliser, vous devez les supprimer. D’après (l’article 5.1.e) les données sont “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées”.

 

  • L’intégrité et confidentialité des données :

Le processus de la collecte et du traitement des données doit être protégé “contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées” (Article 5.1f)

 

  • La responsabilité proactive (accountability) :

Le responsable du traitement doit respecter les politiques de protection des données et démontrer que l’intégralité du processus est conforme avec les autres principes.

RGPD et UX

Le RGPD fournit un ensemble de réglementation qui couvre un ensemble de questions relative à la protection des données dont deux grands axes qui affectent directement l’expérience de l’utilisateur : Le consentement de l’utilisateur et les droits des utilisateurs à gérer ou à supprimer leurs données.

Consentement

Le consentement de l’utilisateur se définit par l’accord volontaire du l’utilisateur à collecter et traiter ses données à caractère personnel. Afin de garantir que votre collecte de données répond à cette exigence, voici ce qu’il faut faire :

  • Comprendre votre parcours d’utilisateur  et les pratiques actuelles en matière de consentement,
  • Vérifier que vous ne possédez pas d’accords pré-vérifiés qui sont mal présentés,
  • Assurer à vos utilisateurs la capacité de retirer leur consentement quand ils veulent,
  • Séparer les demandes de consentement spécifiques et les conditions générales,
  • Indiquer le nom des responsables du traitement des données,
  • Garantir que le consentement soit clair et précis pour tous les utilisateurs.

 

Exemples de consentement :

 

  • H&M : La marque H&M a adopté les nouvelles réglementations pour protéger les données de ses utilisateurs en simplifiant les termes juridiques et en créant une page séparée qui est destinée aux informations relatives à la politique de confidentialité.

 

  • IKEA : Dans le cas d’IKEA, la marque à adopter une approche simple et granulaire dans la collecte des données de ses utilisateurs. Elle leur a laissé le choix de sélectionner le type de communication à travers des cases à cocher.

 

  • Asos : La marque Asos à trouver un moyen pour adapter l’expérience utilisateur aux réglementations dictées par le RGPD en assurant un moyen facile pour les utilisateurs de retirer leur consentement à tout moment.

 

Droits des utilisateurs à gérer ou à supprimer leurs données :

Grâce au RGPD, les utilisateurs ont la possibilité d’avoir un certain contrôle sur leurs données et de gérer leurs comptes. En effet, ils peuvent modifier ou sélectionner leurs préférences et supprimer leurs comptes à tout moment. Néanmoins, dans des cas ce droit peut ne pas s’appliquer ou être restreint. Mais généralement, l’utilisateur a le droit de demander une autorisation auprès de la société pour supprimer ses données. Il aura une réponse dans un délai d’un mois.

Quels risques pour les entreprises qui ne se conforment pas au RGPD ?

La procédure de contrôle de la CNIL relative au RGPD :

 

La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante qui a pour mission la protection des données personnelles en France. Elle contrôle les organismes qui collectent et traitent les données à caractère personnel afin de protéger les utilisateurs. Si ces derniers n’ont pas respecter les réglements du RGPD, la CNIL va les sanctionner. Les contrôles de la CNIL peuvent avoir des origines différentes, telles que :

 

  • Les réclamations et les signalements : Suite à des réclamations reçues sur un enfreint du RGPD, la CNIL peut mener des contrôles dans le but de vérifier les faits et de s’assurer du respect des règles du RGPD.

 

  • Les initiatives : La CNIL peut identifier un usage non conforme dans le traitement des données à caractère personnel ainsi elle ménera des investigations. 

 

  • Les dispositifs de vidéoprotection : Annuellement, la CNIL vérifie des dispositifs de surveillance qui filment des lieux ouverts au public (musées, centres commerciaux, etc).

 

  • Les procédures de contrôle clôturées : Afin de vérifier si les organismes respectent les mesures en conformité préconisées par la CNIL, elle mène des contrôles et des investigations supplémentaires.

Les étapes de la procédure de sanction par la CNIL

  • La délégation de la CNIL reçoit toute information technique et juridique relatives au process du traitement des données par l’organisme concerné à caractère personnel,
  • La CNIL peut demander tout autre document qu’elle juge indispensable,
  • SI l’examen des contrats, formulaires, bases de données montre qu’il y a eu une violation du RGPD, la CNIL désigne un rapporteur et saisit la formation restreinte, composée de 5 membres et d’un Président.


  • Avant la séance restreinte :

Un rapport qui contient les mesures prévues par la loi est envoyé à l’organisme. Le rapporteur de la CNIL a 15 jours pour répondre afin que l’organisme fasse de nouvelles observations.


  • Lors de la séance :

L’organisme qui doit être convoqué au moins un mois avant et le rapporteur présentent des observations orales en se basant sur le rapport qu’ils ont rédigé. Ensuite, les membres de la formation restreinte  et le commissaire du gouvernement posent leur questions et donnent leur avis. Enfin, les membres de la formation restreinte discutent à huis clos et notifient l’organisme concerné de leur décision finale. Les sanctions peuvent être non-pécuniaires ou pécuniaires selon la gravité des faits.

 

Les sanctions pécuniaires sont constituées :

  • d’un rappel à l’ordre,
  • du retrait d’une certification,
  • D’une astreinte d’un montant de 100 000 euros,
  • De la suspension de l’activité de collecte et traitement des données.

 

Les sanctions non-pécuniaires peuvent être constituées :

  • D’une amende administrative dont le montant peut s’élever à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

 

Des exemples de sanction pour non-conformité au RGPD :

  • Google : 

Google a été condamné à une amende 50 millions d’euros parce qu’il n’a pas fourni à ses utilisateurs les informations nécessaires relatives à la politique de consentement.

  • H&M :

La société H&M a été condamnée à une amende de 35 millions d’euros car elle n’a pas respecté le principe de la limitation des finalités ; elle a collecté des données sur la santé et les croyances de ses employés sans définir un objectif.

  • TIM (Telecom Italia) :

La société TIM a été condamnée à une amende de 27,8 millions d’euros parce qu’elle a appelé des millions de personnes sans avoir leur accord.

  • British Airways :

British Airways a été condamné à une amende de 22 millions d’euros parce qu’elle n’a pas pu protéger les données de ses utilisateurs. Des hackers ont pu avoir un accès à sa base de données et ont pu avoir des informations sensibles sur 400 000 clients.

  • Marriott :

Marriott a été condamné à une amende de 20,4 millions d’euros et a mis des données à caractère personnel et des informations sensibles de ses clients en danger après que sa base de données a été piratée. Cet accident a affecté 30 millions de personnes résidant dans l’UE.

  • Spartoo :

La boutique de chaussures en ligne Spartoo a été condamnée à une amende de 25 millions d’euros parce qu’il a collecté des données à caractère personnel d’une manière illégale. L’investigation a montré aussi que la marque a conservé les coordonnées bancaires de certains clients sans leur consentement.

Comment proposer une expérience utilisateur de qualité et respecter la légalité ?

Optimiser l’expérience utilisateur tout en respectant la vie personnelle et les données délicates des usagers peut s’avérer difficile. Voici quelques bonnes pratiques à suivre :


  • Garder le contrôle :

L’utilisateur doit avoir le contrôle pour gérer ses données à caractère personnel ( supprimer ou modifier). En outre, le moyen de contrôle doit être facile et pratique dans l’utilisation.

 

  • Respecter la granularité :

Il est crucial d’obtenir le consentement des utilisateurs avant de collecter et traiter leurs données personnelles. Pensez alors à inclure toujours des formulaires de consentement au moment de la collecte des données.


  • Pouvoir revenir en arrière :

Les utilisateurs doivent être capables de changer d’avis et retirer leur consentement quand ils veulent. Ainsi, il est nécessaire de garantir un contrôle des paramètres facile pour les usagers.


  • Différencier les conditions :

Il est recommandé de séparer les conditions générales et les informations relatives à la collecte des données. Vous pouvez assurer cela à travers un design clair pour l’utilisateur.


  • Être transparent :

Vous devez expliquer la raison et l’objectif de la collecte des données à caractères personnel de vos utilisateurs.


  • Expliquer les bénéfices :

Pour rassurer l’utilisateur, il est recommandé de lui expliquer comment le consentement peut être bénéfique et peut optimiser son expérience.

Conseils pour réussir sa transition RGPD

Depuis l’entrée en vigueur de ce nouveau règlement, le RGPD a apporté beaucoup de changement au sein des entreprises. Pour garantir une transition RGPD réussie et fluide, voici des conseils à suivre pour réussir votre transition RGPD :


  • Sensibiliser vos collaborateurs :

Tous les collaborateurs de l’entreprise devraient être conscients par l’importance du RGPD et devraient être au courant du toutes les modifications apportées depuis l’entrée en vigueur de cette réglementation.


  • Identifier vos données sensibles :

Il est recommandé d’analyser les données que vous possédez déjà et de les classer selon leur importance ou leur sensibilité.


  • Auditer vos machines sensibles :

Il est conseillé d’effectuer un audit régulier afin de garantir la sécurité de l’information pour vos données. 


  • Automatiser la prise de contact avec les clients :

Assurez-vous que les avertissements et les formulaires relatifs à la collecte des données de vos utilisateurs sont mis à jour.


  • Notifier des violations de données :

Il est primordial de mettre en place un système qui vous permettra de détecter s’il y a des failles dans la gestion des données de vos utilisateurs.

Mot de la fin

Le RGPD  vise à promouvoir la protection et la gestion des données lors de l’utilisation d’Internet. Cependant, il a bouleversé la plupart des organismes et la façon de gérer l’expérience de leurs utilisateurs. En effet,il est crucial que vous adaptiez vos design UX aux nouvelles réglementations pour éviter une sanction ou une amende imposée par la CNIL. N’hésitez pas à visiter la plateforme du CNIL afin de mieux vous renseigner sur les normes à respecter.

Un projet ?

Vous avez un projet et vous souhaitez en parler ?
0 articles | 0
Commander
Prix TTC