UX de confidentialité : cadre de conception sensible à la confidentialité

Publié: 2022-03-10
Résumé rapide ↬ Cette série d'articles porte sur les modèles de conception liés à la confidentialité. Nous explorerons certaines des façons respectueuses d'aborder la confidentialité et la collecte de données, et comment gérer les fameuses invites de consentement des cookies, les notifications push intrusives, les demandes d'autorisation glorieuses, le suivi malveillant par des tiers et l'expérience de délocalisation.
  • Partie 1 : Problèmes de confidentialité et confidentialité dans les formulaires Web
  • Partie 2 : Meilleures expériences de consentement aux cookies
  • Partie 3 : Meilleures notifications UX et demandes d'autorisation
  • Partie 4 : Cadre de conception respectueux de la vie privée

Nous avons déjà exploré des approches pour améliorer les invites de consentement des cookies, les demandes d'autorisation et les notifications UX, mais comment s'intègrent-elles dans une stratégie de conception globale lorsque nous prenons des décisions de conception dans nos outils de conception ?

Dans son article "Que signifie GDPR pour UX?", Claire Barrett, designer UX et UI chez Mubaloo à Bristol, Royaume-Uni, a partagé un ensemble de directives UX très pratiques et exploitables que l'agence de design a suivies en ce qui concerne GDPR . Bien que ces lignes directrices ciblent spécifiquement le RGPD, elles s'appliquent à un éventail beaucoup plus large d'interactions conviviales et respectueuses de la vie privée, et pourraient donc s'appliquer à tout type de projet :

  1. Les utilisateurs doivent accepter activement que leurs données soient collectées et utilisées.
  2. Les utilisateurs doivent donner leur consentement à chaque type d'activité de traitement de données.
  3. Les utilisateurs doivent avoir le droit de retirer facilement leur consentement à tout moment.
  4. Les utilisateurs doivent pouvoir vérifier chaque organisation et tous les tiers qui traiteront les données.
  5. Le consentement n'est pas la même chose que d'accepter les termes et conditions, ils ne doivent donc pas être regroupés ; ils sont distincts et doivent avoir des formulaires distincts.
  6. Bien qu'il soit bon de demander le consentement au bon moment, il est encore mieux d' expliquer clairement pourquoi le consentement sera bénéfique pour son expérience .
Plus après saut! Continuez à lire ci-dessous ↓

Une des choses intéressantes que Claire recommande dans son article est de se concentrer sur la collecte de données « juste à temps » (mentionnée dans la partie 3 de cette série) ; c'est-à-dire, expliquez pourquoi les données sont nécessaires et comment elles seront et ne seront pas utilisées, mais uniquement lorsque l'application ou le site Web en a réellement besoin. Évidemment, cela pourrait être fait en incluant une icône "info" à côté des informations plus personnelles collectées, et en affichant l'info-bulle avec les avantages et la justification de la collecte de données sur demande.

Explications "juste à temps"
Explications « juste à temps » avec l'info-bulle d'information dans les formulaires. (Source de l'image : Claire Barrett) ( Grand aperçu )

De nombreuses applications mobiles nécessitent un accès à l'emplacement, aux photos et même à l'appareil photo lors de l'installation, ce à quoi la plupart des clients ne seraient pas heureux de consentir. Un moyen plus efficace d'obtenir l'autorisation consiste à expliquer le besoin de données au point de collecte en utilisant des invites "juste à temps", afin que les utilisateurs ne puissent donner leur consentement que lorsqu'ils en comprennent l'objectif, un peu comme nous l'avons fait. vu avec des autorisations plus tôt dans cette série.

Invites "juste à temps"
Invites "juste à temps", demandant l'accès à l'emplacement uniquement lorsque cela est réellement nécessaire. (Source de l'image : Claire Barrett) ( Grand aperçu )

Les explications doivent également informer les clients de la manière de retirer leur consentement, le cas échéant, et fournir un lien vers la politique de confidentialité. Celles-ci font l'objet de plaintes continues depuis des années, car de longues politiques de confidentialité écrites dans un jargon juridique parfaitement obscur sont presque impossibles à comprendre sans une session d'examen dédiée. (En fait, une étude de 2008 a montré qu'il faudrait à une personne moyenne environ 244 heures par an pour lire toutes les politiques de confidentialité des sites qu'elle utilise, ce qui se traduit par environ 40 minutes par jour .)

Plutôt que de présenter la politique de confidentialité comme un mur de texte alambiqué, elle pourrait être fragmentée et regroupée en sections clairement étiquetées et en texte extensible, optimisé pour la numérisation, la localisation et la compréhension.

Actions politiques séparées
Actions politiques séparées, présentées comme des accordéons. Optimisé pour faciliter la numérisation et la compréhension. (Source de l'image : Claire Barrett) ( Grand aperçu )

Une fois le consentement accordé, les clients doivent avoir un contrôle total sur leurs données ; c'est-à-dire la possibilité de parcourir, modifier et supprimer toutes les données détenues par nos applications. Cela signifie que les paramètres de données dans nos applications mobiles doivent fournir des options granulaires pour révoquer le consentement et se retirer des préférences marketing, ainsi que la possibilité de télécharger et de supprimer toutes les données sans se promener dans le dédale alambiqué des sections d'aide et des panneaux de configuration ambigus.

menu "paramètres de données"
Les clients doivent avoir un contrôle total sur leurs données. Notre menu "Paramètres des données" doit donc fournir des options granulaires pour révoquer le consentement, désactiver les préférences et télécharger/ou supprimer toutes les données. (Source de l'image : Claire Barrett) ( Grand aperçu )

Le principal problème avec les décisions de conception soucieuses de la confidentialité est qu'il est difficile d'évaluer l'impact de la collecte de données et tous les défis d'interface qu'elle pose sur la conception et le développement. Être humble et subtil n'est pas seulement une question de respect, mais aussi de réduction de la dette technique et d'évitement des batailles juridiques sur la route. Pour cela, les directives générales suivantes pourraient également vous aider.

Enregistrez le moins de données possible

Si vous choisissez de stocker des données de carte de crédit, vous devez être franc sur les mesures de sécurité que vous prenez pour les stocker de manière confidentielle. Moins vous avez besoin et stockez de données, moins une violation potentielle aurait d'impact.

Bien traiter les données personnelles

Toutes les données ne sont pas créées égales. Lorsque les utilisateurs fournissent des informations personnelles, faites la distinction entre les différentes strates de données, car les informations privées sont probablement plus sensibles que les informations publiques. Traitez bien les données personnelles et ne les publiez jamais par défaut. Par exemple, lorsqu'un utilisateur complète son profil, offrez une option pour examiner toutes les entrées avant de les publier. Soyez humble et demandez toujours la permission d'abord ; protégez les utilisateurs de manière proactive et ne stockez pas de données sensibles. Cela pourrait aider à prévenir les situations inconfortables sur toute la ligne.

Cela s'applique non seulement à la procédure de stockage et de publication des données utilisateur sur vos serveurs, mais également à la récupération des mots de passe ou à l'utilisation des données client pour tout type de partenariat d'affiliation. En fait, transmettre l'e-mail d'un client à quelqu'un d'autre sans son consentement explicite est une violation de la confiance et de la vie privée, et se traduit souvent par des e-mails marqués comme spam parce que les clients sont soudainement confrontés à une marque inconnue en laquelle ils ne font pas confiance. En fait, ce dernier est presque comme un mécanisme de défense contre les sites Web rapaces qui récoltent en permanence des e-mails en échange d'un goodie gratuit, d'un accès à des vidéos et d'offres freemium.

Expliquez tôt quel type de données utilisateur les tiers recevront

Lorsque vous proposez une option de connexion sociale, soyez précis sur ce qu'il adviendra des données de l'utilisateur et sur les autorisations dont disposeront les tiers. Habituellement, une note subtile apparaît lorsque la connexion sociale est demandée, mais c'est une bonne idée d'être explicite tout de suite sur la façon dont les données seront traitées, et plus précisément sur ce qui n'arrivera pas aux données d'un utilisateur.

Il est courant de voir les interactions des utilisateurs s'arrêter une fois que les clients sont obligés de connecter leurs nouveaux comptes avec des comptes déjà existants, ou lorsqu'ils sont encouragés à utiliser leurs profils sociaux pour progresser avec l'application. Ce n'est jamais une étape simple à franchir et cela nécessite des explications et l'assurance que la révocation de l'accès est facile.

Préparer les données client pour l'exportation

Il n'est pas anodin d'avoir une image complète des données collectées, surtout si des tiers sont impliqués. Assurez-vous que chaque fois que des données personnelles sont collectées, elles sont structurées de manière optimisée pour l'exportation et la suppression ultérieures. Des points bonus s'il est également digeste pour l'utilisateur final, afin qu'il puisse trouver les éléments dont il a besoin une fois qu'il est intéressé par quelque chose de très spécifique. Cela signifie également suivre les types de données collectées et où les données circulent, car nous pouvons utiliser cette structure ultérieurement pour fournir un contrôle granulaire sur les paramètres de données et les préférences de confidentialité dans notre interface utilisateur.

Vous avez peut-être entendu parler de quelques entreprises amicales qui rendent l'importation de données personnelles remarquablement transparente, mais l'exportation de données utilisateur est douloureusement difficile, voire presque impossible. Sans surprise, cette pratique est mal perçue par les clients ; et surtout lorsqu'ils envisagent de supprimer leur compte, un verrouillage aussi répandu entraînera des plaintes au service client, des appels au centre d'appels et des explosions de colère sur les réseaux sociaux. Ce n'est pas une caractéristique délicieuse qui les gardera fidèles à long terme.

Alors que certaines entreprises peuvent être blâmées publiquement en raison de leur taille, pour de nombreuses petites et moyennes entreprises, la réputation est l'atout le plus précieux dont elles disposent , et il est donc sage de ne pas jouer avec. Vous pourriez même penser à vous associer à des services similaires et rendre les données des utilisateurs facilement portables et transférables à chacun d'eux, tout en vous attendant à ce que la même fonctionnalité soit également prise en charge par les partenaires.

Rendre difficile la fermeture ou la suppression d'un compte échoue à long terme

Les géants de l'entreprise ont excellé en rendant extrêmement difficile pour les clients de fermer ou de supprimer leurs comptes. Et cette technique fonctionne lorsque l'éloignement est douloureusement difficile — c'est le cas d'Amazon et de Facebook.

Cependant, si vous travaillez sur un site Web relativement petit qui s'efforce de fidéliser ses clients, vous ne pourrez peut-être pas réussir, du moins pas à long terme. L'impact global est encore plus néfaste si vous rendez difficile l'annulation d'un paiement récurrent, comme c'est souvent le cas avec les abonnements. (En fait, c'est pourquoi les abonnements sont également difficiles à vendre - ce n'est pas seulement l'engagement de paiements mensuels, mais plutôt la difficulté d'annuler l'abonnement ultérieurement sans frais supplémentaires en raison d'une annulation anticipée.)

En fait, tout comme les concepteurs s'améliorent pour masquer les paramètres de profil notoires pour la suppression d'un compte, les clients trouvent également des moyens de naviguer dans le labyrinthe , souvent soutenus par la sagesse infinie de didacticiels facilement découvrables dans les blogs. Si ce n'est pas le cas, les clients ont recours aux outils dont ils savent qu'ils fonctionnent le mieux : tourner le dos au service qui ne respecte pas leurs intentions, généralement en marquant les e-mails comme spam, en bloquant les notifications et en utilisant moins le service. Cela n'arrive pas du jour au lendemain; mais lentement et progressivement, et comme l'ont montré les entretiens, ces clients sont assurés de ne pas recommander le service à leurs amis ou collègues.

Étonnamment, c'est l'inverse lorsqu'il est remarquablement facile de fermer le compte. Tout comme pour les notifications, il peut y avoir de bonnes raisons pour lesquelles l'utilisateur a choisi de passer à autre chose, et très souvent cela n'a rien à voir avec la qualité du service. Essayer de convaincre le client de rester, avec un aperçu détaillé de tous les merveilleux avantages que vous offrez, peut être une mauvaise cible : dans le cadre de l'entreprise en particulier, la décision aura déjà été prise, de sorte que la personne qui ferme le compte peut littéralement ' pas grand-chose pour changer de direction.

exemples d'annulation de compte et d'abonnement résilié dans smashing magazine
Avec Smashing Membership, nous essayons d'expliquer clairement ce qu'il advient des données et donnons la possibilité aux membres d'exporter leurs données sans aucune astuce cachée. ( Grand aperçu )

Pour Smashing Membership, nous avons essayé de garder une voix respectueuse et humble, tout en montrant un peu de notre personnalité lors de la délocalisation. Nous expliquons ce qu'il advient des données et quand elles seront irrévocablement supprimées (sept jours), offrons une option pour restaurer le plan, permettons aux clients d'exporter leurs commandes et garantissons aucun partage de données avec des tiers. Il était surprenant de voir qu'un bon nombre de personnes qui ont annulé leur abonnement d'adhésion, ont fini par le recommander à leurs amis et collègues, car ils estimaient qu'il y avait une certaine valeur pour eux même s'ils ne l'utilisaient pas pour eux-mêmes.

Différer l'importation des contacts jusqu'à ce que l'utilisateur se sente à l'aise avec le service

Bien sûr, beaucoup de nos applications ne sont pas particulièrement utiles sans intégrer le cercle social de l'utilisateur, il semble donc plausible de demander aux clients d'inviter leurs amis pour ne pas se sentir seuls ou abandonnés dès le début. Cependant, avant de le faire, pensez à des moyens d'encourager les clients à utiliser le service pendant un certain temps et à reporter l'importation de contacts jusqu'au moment où les utilisateurs sont plus enclins à le faire. Par défaut, de nombreux clients bloqueraient une demande anticipée car ils n'ont pas encore développé la confiance pour l'application.

Enregistrer les données de l'utilisateur pendant une durée limitée après la fermeture du compte

Des erreurs se produisent, et cela vaut autant pour les erreurs de frappe accidentelles que pour la suppression de toutes les données personnelles après une journée remarquablement mauvaise. Ainsi, bien que nous devions fournir une option pour télécharger et supprimer des données, nous proposons également une option pour restaurer un compte dans un court laps de temps. Cela signifie que les données seront enregistrées après la suppression du compte, mais seront irrévocablement supprimées une fois ce délai de grâce écoulé. Habituellement, 7 à 14 jours suffisent amplement.

Cependant, vous pouvez également proposer aux utilisateurs la possibilité de demander la suppression immédiate des données via une demande par e-mail, ou même en cliquant sur un bouton. Les utilisateurs doivent-ils être informés de la suppression définitive de leurs fichiers ? Peut-être. La décision finale dépendra probablement de la sensibilité des données : plus elles sont sensibles, plus les utilisateurs voudront probablement savoir que les données ont disparu pour de bon. L'exception concerne les données anonymisées : la plupart du temps, les clients ne s'en soucient pas du tout.

Fournir des résumés conviviaux des modifications de la politique de confidentialité

Rien n'est gravé dans le marbre, et donc votre politique de confidentialité et vos paramètres de confidentialité par défaut devront peut-être être ajustés en raison de nouvelles fonctionnalités de personnalisation ou d'une modification du script de suivi. Chaque fois que cela se produit, plutôt que de souligner l'importance de la confidentialité dans de longs passages de texte, fournissez des résumés clairs et conviviaux des modifications. Vous pouvez structurer le résumé en soulignant comment les choses étaient et comment elles sont différentes maintenant. N'oubliez pas de traduire le jargon juridique en quelque chose de plus lisible par l'homme, en expliquant ce que le changement signifie réellement pour l'utilisateur.

Franchement, la plupart des utilisateurs ne semblaient pas se soucier beaucoup des changements de politique de confidentialité. Après le flot incessant de notifications de mise à jour des politiques en 2018, la réaction par défaut est généralement le consentement immédiat. Une fois qu'ils ont remarqué quelque chose lié à la politique de confidentialité dans la ligne d'objet ou le corps de l'e-mail, ils acceptent immédiatement les modifications avant même de défiler jusqu'au bas de l'e-mail. Cependant, plus les données stockées sont personnelles, plus le temps passé à examiner les modifications, qui étaient souvent remarquablement déroutantes et peu claires, était long.

Politique de confidentialité de medium.com
La microcopie a toujours été au cœur de Medium.com. Une politique de confidentialité bien conçue et bien structurée avec des résumés clairs des modifications apportées à la politique de confidentialité. (Source de l'image : Email Design BeeFree) ( Grand aperçu )
politique de confidentialité de mailchimp
MailChimp, avec un résumé concis des changements de sa politique de confidentialité. ( Grand aperçu )

Remarque : Les gens de Really Good Emails ont rassemblé d'excellents exemples de conception d'e-mails liés au RGPD si vous cherchez plus d'inspiration sur la façon de partager les changements de politique de confidentialité avec vos utilisateurs et abonnés.

Mettre en place une stratégie de communication en cas de violation

Personne ne veut des ravages après que les données des utilisateurs ont été compromises. Dans de telles situations, il est essentiel d'avoir une stratégie de communication claire et solide. Ayez une explication préparée au cas où certaines données de l'utilisateur seraient compromises. Mandy Brown a publié un article fantastique, "Fire Drills: Communications Strategy in a Crisis", sur A List Apart, expliquant comment en créer un et quelques éléments à prendre en compte lors de cette opération.

Confidentialité dès la conception

Il peut sembler que la visite de sites Web est une activité tout à fait ordinaire, et les utilisateurs doivent se sentir à l'aise et familiarisés avec des fonctionnalités telles que la connexion sociale, l'importation de contacts et les invites de cookies. Comme nous l'avons vu dans cette série, il existe de nombreuses considérations de confidentialité non triviales, et le plus souvent, les clients ont des préoccupations, des doutes et des inquiétudes quant au partage de leurs données personnelles.

Bien sûr, la portée de cette série pourrait s'étendre beaucoup plus loin, et nous n'avons même pas examiné la récupération de mot de passe, la conception des paramètres de confidentialité dans l'application, les fenêtres de chat flottantes et les fenêtres contextuelles, les considérations de performance et d'accessibilité, ou la conception d'expériences de confidentialité pour les utilisateurs les plus vulnérables - les enfants, les personnes âgées et les personnes défavorisées. Cependant, le point critique lors de la prise de décisions de conception en matière de confidentialité est toujours le même : nous devons trouver un équilibre entre des exigences commerciales strictes et une conception respectueuse qui aide les utilisateurs à contrôler leurs données et à en garder une trace, au lieu de récolter toutes les informations que nous pouvons et verrouiller les clients dans notre service.

Une bonne feuille de route pour trouver cet équilibre consiste à adopter un cadre de bonnes pratiques axé sur la confidentialité, connu sous le nom de Privacy by Design (PbD). Apparu au Canada dans les années 1990, il s'agit d'anticiper, de gérer et de prévenir les problèmes de confidentialité avant qu'une seule ligne de code ne soit écrite. Avec la mise en place de la politique de protection des données de l'UE, la confidentialité dès la conception et la protection des données sont devenues une valeur par défaut pour toutes les utilisations et applications. Et cela signifie que bon nombre de ses principes peuvent être appliqués pour garantir à la fois la conformité au RGPD et une meilleure confidentialité UX de votre site Web ou de votre application.

Essentiellement, le cadre s'attend à ce que la confidentialité soit un paramètre par défaut et une mesure proactive (et non réactive ) qui serait intégrée à une conception dans sa phase initiale et tout au long du cycle de vie du produit. Il encourage à offrir aux utilisateurs des options de confidentialité granulaires, des valeurs par défaut respectueuses de la confidentialité, des avis d'information détaillés sur la confidentialité, des options conviviales et une notification claire des modifications. En tant que tel, cela fonctionne bien avec les directives que nous avons décrites dans cette série.

Je recommande fortement de lire l'un des articles de Heather Burns, « Comment protéger vos utilisateurs avec le cadre de confidentialité dès la conception », dans lequel elle fournit un guide détaillé pour la mise en œuvre du cadre de confidentialité dès la conception dans les services numériques.

Par où commencer, alors ? Les grands changements commencent par de petites étapes. Incluez la confidentialité dans la recherche initiale et l'idéation lors de la phase de conception, et décidez des valeurs par défaut, des paramètres de confidentialité et des points de contact sensibles, du remplissage d'un formulaire Web à l'intégration et à la désintégration. Minimisez la quantité de données collectées si possible et suivez les données que des tiers pourraient collecter. Si vous pouvez anonymiser les données personnelles, c'est aussi un bonus.

Chaque fois qu'un utilisateur soumet ses informations personnelles, gardez une trace de la manière dont les questions sont formulées et de la manière dont les données sont collectées. Affichez les notifications et les demandes d'autorisation juste à temps, lorsque vous êtes presque certain que le client accepterait. Et à la fin, informez les utilisateurs dans des résumés digestes des changements de politique de confidentialité, et facilitez l'exportation et la suppression de données, ou fermez un compte.

Et le plus important : la prochaine fois que vous envisagez d'ajouter simplement une case à cocher ou de fournir des options binaires, pensez au monde magnifiquement flou et non binaire dans lequel nous vivons. Il y a souvent plus de deux options disponibles, alors fournissez toujours une issue, aussi évident qu'un choix puisse paraître. Vos clients l'apprécieront.