Lancelot de Ferrière le Vayer est CTO chez briq. Il occupait auparavant les postes de Data Scientist et DPO (Data Protection Officer) chez JobTeaser où, ayant exploré plusieurs facettes de la Data, il s’est spécialisé dans la protection des données. Il vous livre les clefs pour construire un site RGPD conscient.
Quels sont les prérequis pour construire un site conforme au RGPD ?
- Connaître le produit
- Connaître les parcours client
- Avoir une vision des flux de données en externe mais aussi en interne (stockage, utilisation, accès à la donnée…)
Quels sont les métiers concernés par le RGPD ?
Ce sont les métiers de l’UX et du design qui vont être nécessaires pour répondre à ces enjeux-là. La difficulté c’est que ce sont des missions que l’on n’a pas l’habitude de donner à ces métiers. Pourtant, pour respecter le RGPD le gros enjeu est la clarté et la hiérarchisation des informations. Il faut éviter de noyer l’utilisateur, mais lui donner quand même toutes les informations dont il a besoin pour qu’il se sente en confiance et prouver que l’on est en conformité avec le RGPD.
Dans les métiers du design il y a souvent une grande part d’optimisation des parcours utilisateur. La stratégie la plus souvent utilisée est celle de montrer le moins possible, car on part du principe que tout peut stopper l’utilisateur dans son parcours et donc le sortir du site avant toute conversion. Le RGPD vient temporiser cette logique du “moins possible”, c’est assez subtil et cela rejoint les thématiques de l’accessibilité et du handicap.
Par quoi commencer ?
Tout d’abord, il faut réfléchir au type de données que l’on veut gérer. Si des données dites “sensibles” (médicales, ethniques etc) sont traitées, cela va demander davantage de travail pour être en conformité avec le RGPD. Toutes les données ne se valent pas.
Ensuite, il faut se demander ce dont on a besoin. On a souvent envie de stocker toutes les données possibles. Ce n’est pas toujours utile et il y de réels coûts que l’on a tendance à oublier. Il y a évidemment le coût de stockage, mais aussi la charge mentale à s’éparpiller avec des données qui ne sont pas pertinentes pour le business.
Il faut aussi comprendre les typologies d’utilisateurs, car c’est eux qu’il faut informer. Il y a un réel enjeu de mettre les informations pertinentes aux bons endroits du parcours utilisateur. On part du principe que les gens ne lisent pas la documentation sur la protection des données, il faut donc trouver un moyen pour qu’ils aient l’information et rentrer dans les clous du règlement. Il est important de connaître l’état d’esprit dans lequel ils seront en entrant sur le site.
Pour aller plus loin
Le site de la CNIL est évidemment un bon basique. Il est très clair, avec de bons exemples. Evidemment, les recommandations de la CNIL sont très strictes, mais si on suit leurs exemples et leurs conseils, on est sûrs de tomber juste et d’être en adéquation avec les régulations en vigueur.
