Sommaire
1. Qu’est-ce que le RGPD ?
2. Comment les chercheurs UX optimisent-ils le traitement des données ?
3. Quand les UX reseracher doivent-ils obtenir le consentement ?
4. Comment rédiger correctement un avis de politique de données ?
5. Comment éviter que les utilisateurs exigent l’effacement de leurs données ?
6. Comment les chercheurs UX doivent-ils organiser le processus de collecte de données ?
7. Quels autres droits les utilisateurs de test ont-ils ?
8. Comment les chercheurs UX peuvent-ils garantir la confidentialité de la reconnaissance faciale ?
9. Qui peut aider les chercheurs UX à assurer la conformité au RGPD ?
1. Qu’est-ce que le RGPD ?
RGPD signifie Règlement général sur la protection des données. Il s’agit d’un règlement européen conçu pour harmoniser les lois sur la confidentialité des données à travers de l’Europe communautaire. Sa fonction principale est d’aider les utilisateurs à avoir du contrôle sur la manière dont les entreprises utilisent leurs données personnelles. Le règlement européen sur la protection des données est applicable depuis le 25 mai 2018.
1.1 Quels sont les grands principes du RGPD ?
Le RGPD détermine sept grands principes :
1. Licéité, loyauté et transparence
Vous devez informer les utilisateurs que vous collecterez leurs données et expliquer pourquoi vous le ferez.
2. Limitation des finalités
Vous ne pouvez pas collecter des données pour elles-mêmes comme finalité. Vous devez le faire avec un objectif précis (par exemple, améliorer le service client ou l’expérience utilisateur, lancer une campagne marketing, etc.).
3. Minimisation des données
Vous ne devez pas collecter de données qui ne servent pas l’objectif de la collecte de données. Supposons que vous souhaitiez utiliser les prénoms des utilisateurs pour personnaliser vos e-mails marketing. Vous pouvez demander aux utilisateurs de fournir leurs prénoms, mais vous n’êtes pas autorisé à leur demander de fournir aussi leurs noms de famille.
4. Exactitude
Vous devez supprimer toutes les données inexactes de votre base de données.
5. Limitation de la conservation
Vous n’êtes pas autorisé à conserver les données des utilisateurs plus longtemps que nécessaire.
6. Intégralité et confidentialité
Vous ne pouvez pas collecter et traiter les données des utilisateurs si vous n’êtes pas en mesure de sécuriser ces processus.
7. « Accountability »
Il s’agit d’une responsabilité proactive : vous devez adopter et mettre en œuvre des politiques de protection des données et mettre en place des contrats écrits avec des organisations qui traitent des données personnelles en votre nom.
1.2 Qu’arrive-t-il aux entreprises qui ne se conforment pas au RGPD ?
Le non-respect de ces sept principes entraîne des amendes de soit 20 millions d’euros, soit 4 % du chiffre d’affaires annuel mondial de l’entreprise, quel que soit le montant le plus élevé.
En doutez-vous ? Ci-dessous la liste des plus grosses amendes pour non-conformité au RGPD et leurs raisons :
Google – 50 millions d’euros. Le géant de la technologie n’a pas fourni suffisamment d’informations aux utilisateurs dans les politiques de consentement.
H&M – 35 millions d’euros. La société a traité des données sensibles sur la santé et les croyances de ses employés sans en avoir un objectif spécifique.
TIM (Telecom Italia) – 27,8 millions d’euros. La société a été pénalisée pour avoir bombardé des millions de personnes avec d’appels promotionnels et de communications non sollicitées.
British Airways – 22 millions d’euros. Des hackers ont attaqué les bases de données contenant des informations sur les utilisateurs et ont mis la main sur des informations de connexion, de cartes de paiement et d’autres données sensibles. La brèche a affecté 400 000 clients.
Marriott – 20,4 millions d’euros. La base de données des réservations des clients de la chaîne hôtelière n’était pas suffisamment sécurisée. Quatre-vingt-trois millions d’enregistrements de clients (dont 30 millions résidant dans l’UE) ont été exposés après que la base de données a été compromise.
1.3 Comment le RGPD définit-il le terme « données personnelles » ?
Probablement l’une des parties les plus déconcertantes du RGPD est la vague description de ce qu’on considère être« données personnelles ». Le RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Alors, il n’est pas étonnant que de nombreux chercheurs UX ne comprennent pas avec certitude quels types d’informations ils peuvent collecter et lesquels ils ne peuvent pas collecter sans le consentement de l’utilisateur.
Alors, à quels types de données le RGPD s’applique-t-il ?
- Nom
- Adresse courriel
- Numéro de téléphone
- Un numéro d’identification
- Données de localisation
- Adresses protocole Internet (IP)
- Identifiants de cookies
- Étiquettes d’identification de fréquence (RFID)
- Type et version du navigateur
- Système d’exploitation
- Source de la référence
- Durée de la visite
- Pages visitées
- Chemins de navigation du site Web
- Type de logiciel
- Empreinte digitale des utilisateurs
- Images et vidéos de visages
- Antécédents médicaux
- Antécédents criminels
- Relevés bancaires
- Données de paiement
- Données de cartes bancaires
- Évaluation d’employés
Cette liste peut aller bien plus loin. En principe, toute donnée textuelle, vidéo, audio, numérique, graphique et photographique se rapportant d’une manière ou d’une autre aux utilisateurs doit être considérée comme donnée personnelle.
2. Comment les UX researchers optimisent-ils le traitement des données ?
Certains chercheurs UX ne sont pas pleinement conscients de la fréquence à laquelle ils « traitent » des données des utilisateurs. Le traitement des données a lieu chaque fois que vous enregistrez les données de l’utilisateur dans une feuille de calcul, envoyez un e-mail de remerciement à un testeur ou partagez le rapport des résultats du test avec votre client. Plus vous traitez des données sensibles, plus les risques d’une violation du règlement sur les données ou d’un autre problème lié aux données.
3.Quand les UX reserachers doivent-ils obtenir le consentement ?
Les chercheurs UX ne peuvent pas commencer à collecter des données personnelles avant d’avoir obtenu la déclaration de consentement. Il n’y a pas d’exceptions à cette règle.
Si un chercheur UX a déjà collecté certaines données et doit désormais collecter des données personnelles manquantes, il doit obtenir une déclaration de consentement supplémentaire des testeurs.
Imaginons pour un moment que vous avez effectué un test avec 100 participants. Vous connaissez le nom et l’âge de ces utilisateurs. Vous souhaitez maintenant étendre votre étude et connaître le sexe de vos participants. Vous devrez alors créer un formulaire de consentement supplémentaire et demander aux testeurs de le signer.
Si vous envisagez d’enregistrer ou d’observer les testeurs, vous devrez le spécifier dans le consentement éclairé. Vous devrez aussi expliquer qui regardera l’enregistrement et dans quel but. En outre, vous devrez indiquer si les testeurs seront observés en temps réel.
Vous devez être conscient que si vous ignorez cette règle, les conséquences pourront être dramatiques. Si vous ne vous conformez pas au RGPD, vous serez probablement condamné à une amende.
3.1 La fonctionnalité « Faites signer votre document » de TestingTime
Avec TestingTime, vous pouvez faire signer des documents par vos testeurs avant de commencer un étude. Par exemple, un accord de non-divulgation (NDA) ou un consentement à enregistrer le test. C’est très facile à faire, et d’une façon entièrement numérique, via le bon de commande en ligne. Activez simplement l’option « Document à signer » dans la rubrique « Suppléments » et cela vous permettra de télécharger le document de votre choix.
Par la suite, TestingTime intégrera le document à être signé directement dans le processus de recrutement. Chaque document sera légalement signé, y compris la date, le nom complet du testeur et sa signature électronique. Vous aurez accès à tous les documents signés dans l’aperçu de votre commande avant du début du test.
Source: TestingTime
Un modèle de NDA conforme au RGPD est téléchargeable ici. Toutefois, nous tenons à préciser que nous ne sommes pas des experts juridiques. C’est pourquoi, en cas de doute, nous vous prions de demander l’avis de votre équipe juridique interne ou externe.
3.2 Quand le consentement est-il valide ?
La partie la plus délicate de la conformité au GDPR est que les chercheurs UX doivent non seulement obtenir le consentement mais également s’assurer qu’il est valide. Ci-dessous une liste de conditions qui prouvent la validité du consentement des testeurs :
Le consentement
● est donné librement. Vous n’êtes pas autorisé à forcer les utilisateurs à consentir.
● est spécifique et conçu dans un but particulier.
● fournit aux testeurs des informations suffisantes pour prendre leur décision.
● est libre de toute déclaration ambiguë.
● est un acte. Il ne suffit pas que les testeurs lisent lire les informations, ils doivent cocher la case et cliquer sur le bouton « Soumettre » ou « J’accepte ».
● est clairement différentié d’autres questions.
● est rédigée dans un langage clair et simple.
● consentement n’est pas présenté comme une condition préalable à prêter un service.
4. Comment rédiger correctement un avis de politique de données ?
La rédaction d’un avis de politique de données est la première étape de la conformité au RGPD. Ci-dessous une liste de règles que vous devrez suivre pour créer un avis de politique de données gagnant :
● Incluez le nom de votre organisation et les noms des tiers qui auront accès aux données personnelles.
● Soyez clair sur l’intention. Les testeurs doivent avoir une compréhension claire des données spécifiques qui seront collectées et dans quel but. Si vous envisagez d’enregistrer une vidéo, des images ou du son du test, vous devrez en informer les utilisateurs dès le départ. Si vous ne le faites pas, vous mettrez votre recherche UX en danger.
● N’oubliez pas que la grande majorité des utilisateurs européens n’ont pas le français comme leur langue maternelle. Le tout doit être rédigé dans un langage simple, en évitant d’utiliser des mots que votre public cible peut-être ne comprendra pas. Avez-vous besoin d’aide pour rédiger des textes destinés à un public mondial ? Dans ce cas, vous pouvez commander la rédaction du contenu du site Web et demander à des experts de rédiger un avis de politique de données en votre nom.
● Attirez l’attention des utilisateurs sur le fait qu’ils ont le droit de s’opposer au traitement de leurs données et d’exiger leur suppression de la base de données aux plus brefs délais.
● N’essayez pas de manipuler les décisions des utilisateurs. Au lieu de cela, fournissez-leur toutes les données nécessaires et laissez-les décider si partager ou non leurs données personnelles.
5. Comment éviter que les utilisateurs exigent l’effacement de leurs données ?
Selon le RGPD, vous devez indiquer dans votre politique de confidentialité que les personnes peuvent retirer leur consentement à tout moment. Et ceci est un autre point qui peut se transformer en défi pour les chercheurs UX.
Si les testeurs profitent de leur droit de retirer leur consentement, les chercheurs perdront une partie des données collectées. Et naturellement, cela peut affecter négativement les résultats du test.
Que peuvent faire les chercheurs UX pour protéger les résultats de leur travail tout en maintenant la conformité au RGPD ? Ils peuvent ajouter une clause comme la suivante à leur politique de confidentialité :
Si notre organisation X base le traitement de vos données personnelles sur une mise en balance d’intérêts, vous pourrez vous opposer au traitement. C’est particulièrement le cas si le traitement n’est pas nécessaire aux fins de l’exécution d’un contrat avec vous, défini par l’organisation X dans chaque cas dans la description des fonctions ci-dessous.
Lorsque vous retirez votre consentement de cette manière, l’organisation X vous demandera une explication des raisons pour lesquelles elle ne devrait pas traiter vos données personnelles de la manière dont elle le fait. Si l’objection est justifiée, l’organisation X examinera la question et cessera ou adaptera le traitement des données ou, le cas échéant, vous présentera des raisons impérieuses et légitimes pour lesquelles l’organisation X continuera à les traiter.
Ces informations feront comprendre aux testeurs qu’ils ne peuvent pas retirer leur consentement sans raison. Ainsi, les personnes qui lisent réellement la politique de confidentialité et ont des inquiétudes concernant la sécurité de leurs données personnelles, réfléchiront deux fois avant de déclarer leur consentement. Si vous rédigez votre politique de cette façon, cela réduira considérablement le nombre de testeurs qui retireront leurs données.
6. Comment les chercheurs UX doivent-ils organiser le processus de collecte de données ?
L’une des erreurs les plus communes commises par les chercheurs UX est qu’ils essaient de collecter autant de données que possible. Ils pensent que même s’ils n’ont pas besoin de ces données à ce moment-ci, ils pourront probablement les utiliser plus tard. Ils demandent aux testeurs de fournir des informations dont ils n’ont pas besoin, ce qui est contraire aux principes du RGPD.
La règle de base pour la conformité au GDPR est de collecter uniquement les données dont vous avez réellement besoin pour prendre une décision spécifique ou améliorer le design UX. Sachez que si vous avez besoin de plus d’informations plus tard, vous pourrez les obtenir.
7. Quels autres droits les utilisateurs de test ont-ils ?
Les testeurs ont aussi le droit de vous demander de fournir les données que vous avez sur eux. Alors, vous devrez sauvegarder les données de manière adéquate et être prêt à donner aux utilisateurs l’accès à leurs données à leur demande. De plus, vous devrez être prêt à répondre aux questions des utilisateurs sur la manière dont leurs informations personnelles sont utilisées.
Et finalement, vous devrez corriger les informations sur les utilisateurs de test s’ils vous le demandent. Vous devez faire cela pour respecter les droits des utilisateurs et pour améliorer l’exactitude de votre base de données.
8.Comment les chercheurs UX peuvent-ils garantir la confidentialité de la reconnaissance faciale ?
Les images et les vidéos de visages sont considérées comme des données personnelles. Cela signifie que si les chercheurs UX souhaitent enregistrer sur vidéo les tests utilisateur et partager ces vidéos avec leurs clients, ils doivent se conformer au RGPD.
Le problème est que particulièrement les images des visages ont le risque d’une mauvaise utilisation. Toute personne ayant accès à ces images peut collecter des données personnelles sensibles et pirater des comptes. Si vous décidez de sauvegarder des images de visages, vous devrez trouver un moyen d’éliminer les risques d’abus, de suivi non autorisé et d’usurpation d’identité.
Quelles méthodes d’anonymisation les entreprises utilisent-elles ?
● Rendre flous les visages
● Pixélisation
● Échange de visage
● Détérioration
● Réduction de la qualité
Toutes ces techniques d’anonymisation présentent un inconvénient important : elles affectent considérablement la similitude visuelle de l’image du visage. Si les chercheurs UX ne veulent pas sacrifier la qualité de l’image, ils doivent utiliser un logiciel similaire à D-ID™, qui protège les images des visages tout en préservant la similitude visuelle.
9.Qui peut aider les chercheurs UX à assurer la conformité au RGPD ?
Les chercheurs UX ne sont pas les seuls qui sont responsables de la collecte et du traitement des données dans les organisations. L’entreprise doit se conformer au RGPD européen au plus haut niveau de gestion et dans toute l’organisation. Les dirigeants de l’entreprise doivent utiliser des mesures techniques et organisationnelles appropriées :
- Adopter et mettre en œuvre des politiques de protection des données au niveau de toute l’entreprise
- Mettre en place des contrats écrits avec des organisations tierces qui traitent des données personnelles pour le compte de l’entreprise
- Tenir à jour la documentation de toutes les activités concernant le traitement des données
- Mettre en œuvre des mesures de sécurité avancées
- Enregistrer et signaler les violations de données personnelles
- Examiner et mettre à jour régulièrement les mesures d’« accountability ».
Le RGPD est un sujet vaste, et cela peut vous prendre un certain temps pour le rechercher. Nous espérons que cet article vous aidera à en connaître les concepts basiques afin que vous puissiez commencer à travailler sur vos projets de recherche UX.
