UX ft RGPD : entre conformité et business

Les recos d’Adrien Rigé, UX designer et Privacy Advocate à La Haute Société.

Cette petite musique lancinante, vous la connaissez. Elle court depuis plus de 3 ans dans vos têtes. Le dénouement est proche. Le délai de mise en conformité relatif au consentement et à l’usage des cookies et traceurs arrive à échéance le 31 mars 2021.

Protection des données personnelles, RGPD, consentement, privacy by design, cookies, CNIL… Autant d’éléments salutaires pour la protection des utilisateurs quant à leur vie privée. Parce que la vie privée c’est important, nous y tenons tous.

Bref, l’idée est simple, basique : prenez soin de vos utilisateurs ! Tout le monde s’accorde sur ce point. Oui mais… pour la partie business, comment faire ?

Ça ne vous a pas échappé. Qui dit conformité réelle au RGPD dit taux de consentement en bernes, analytics en chute libre ou crash potentiel de la monétisation. Tout du moins si aucune stratégie ni suivi n’est mis en place.

Nous vous proposons au travers de ce premier article, d’une série de deux, de discuter d’un rééquilibrage entre conformité et business avec un focus sur l’interface de consentement.

Dans le second article, nous aborderons la problématique dans sa globalité. Comment établir une stratégie à long terme via une vision plus large que la simple bannière cookies ?

Une chose est sûre, nous ne vous promettons pas de solution miracle, mais bien de comprendre précisément toutes les composantes d’un ensemble complexe pour vous permettre de prendre les meilleures décisions en contexte de vos projets.

Il était une fois, le consentement

D’un point de vue utilisateur, l’interface du consentement est au mieux une friction, au pire une douleur répétitive suivant sa navigation. À chaque nouveau site consulté, son lot de sollicitations et d’interpellations : “Hey ! Nous respectons votre vie privée”, “Pour une expérience de navigation optimisée, veuillez accepter les cookies”, etc.

Une représentation de l’enfer en 2021.

Le consentement est devenu la première interaction avec vos utilisateurs. C’est votre user story (cas d’usage ?) prioritaire. Il correspond au point de bascule entre le déclenchement ou non de vos services tiers. Il peut s’agir de vos outils d’analytics, de solutions d’A/B testing ou heatmap. Soit la quasi-totalité de vos partenaires techniques permettant l’ajout de fonctionnalités sur vos projets mais collectant un ensemble de données personnelles.

Pour faire s’entendre business et conformité, vous allez devoir compter sur un mélange de compétences et de problématiques métiers : legal, contenu, UX, UI, développements techniques… Autant de composants formant votre stratégie business compliant.

Rappelons que le RGPD impose des grands principes, mais n’en propose pas une application unique car dépend des contextes d’usages. Ainsi, chacun peut, en tenant compte du règlement, avoir sa propre vision de la représentation des interfaces.

Il s’agit alors de tenir une ligne de crête permettant de placer le curseur entre la conformité la plus stricte et l’optimisation la plus avancée. L’une induit la perte d’éléments business, l’autre leurs préservations.

L’objectif : remonter la partie business à hauteur de la conformité de manière à trouver un entre-deux légal et optimal.

Nos recommandations

D’un point de vue UX, c’est possible de sortir des chemins tracés et de mieux faire, on vous montre au travers de 2 recommandations.

RECO 1 : Rédiger le contenu, vous ferez

© Bullshit privacy user-story n°1 made in LHS

Pour cette première recommandation, pas de secret, il faut reprendre le b.a.-ba de la présentation de l’information. L’utilisateur doit être informé et comprendre ce qui est fait avec ses données. Vous devez le faire de manière synthétique, compréhensible et adaptée à votre cible. Oubliez le jargon technico-juridique sur-utilisé qu’une infime partie de vos utilisateurs comprendra (et lira !).

Tourner le propos en avantages, apporter de la valeur à l’expérience ou proposez-en un accompagnement pédagogique. Quelques ajustements qui permettront de faire passer le bon message. Vos taux de consentement vous en remercieront chaleureusement.

IKEA et l’ajout de valeur sur la gestion des données

Depuis le début de cet article, vous êtes passé par différents titres et sous-parties qui vous ont permis de vous repérer et de comprendre sa structure. De même pour le consentement, veillez à ce que vos utilisateurs comprennent qui leur parlent en proposant votre logo et une accroche telles que : “Nous avons besoin de vous pour continuer !”, “Avant de continuer…” ou encore “Faites un choix pour vos données”. Les possibilités sont infinies ! Une réflexion est à mener à ce propos afin de vous démarquer de la concurrence tout en limitant la frustration infligée au contact des modalités de consentement.

N’oubliez pas qu’en fonction de la demande de consentement, la hauteur peut prendre la totalité de l’écran. Imaginez-vous à la place de cette personne, tout juste arrivée sur votre site et se retrouvant nez à nez avec un placard de contenu sans savoir qui lui parle, de quoi et pourquoi.

Pour résumer, n’oubliez jamais que jouer la carte de la transparence et de la confiance avec vos utilisateurs sera toujours un avantage pour votre site et donc pour votre business. Faites l’effort de travailler des contenus personnalisés et évitez le copier-coller !

RECO 2 : Challenger le design, vous devrez

© Bullshit privacy user-story n°2 made in LHS

Cette seconde recommandation porte sur l’aspect graphique général et le positionnement des CTA pouvant tromper, être invisibles, encourager ou décourager l’utilisateur à interagir avec. 

La conformité stricte demande une mise au même niveau d’importance des différents éléments afin que le consentement puisse être valide sans inciter une action plutôt qu’une autre. Cependant, suivre ces recos à la lettre a des répercussions importantes sur la partie business des sites. En ce sens et après consultation, la CNIL a affiné sa recommandation et a proposé une interprétation plus permissive, s’écartant de la conformité stricte.

Dans sa délibération du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux “cookies et autres traceurs”, la CNIL permet de formaliser le refus via un simple lien “Continuer sans accepter” en haut de popin.

Force est de constater qu’une marge de manœuvre est possible, permettant de trouver un juste milieu entre wording, placement et représentation des éléments. Toujours dans un objectif de rééquilibrer la balance entre protection des utilisateurs et business.

À ce propos, différents niveaux de possibilité s’offrent à vous.

Un premier niveau comprenant un ensemble de techniques communes en design comme le ratio de contraste entre la couleur de fond et celle de la typographie, l’usage de bordures, les pictos, l’usage de MAJUSCULES ou minuscules, les ombrages, soulignements, formes, tailles… À ce niveau on améliore, on met en forme des choses.

Le second palier correspond lui à l’affinage du premier niveau en venant jouer sur des éléments de présentation plus élaborés tels que les animations et transitions. Tout en restant alerte sur les problématiques de performance.

Le dernier niveau quant à lui correspond à la re-formalisation complète et à la création d’usages spécifiques. Un exemple concret serait de proposer aux utilisateurs la possibilité de consentir via swipe sur les interfaces tactiles. À ce stade, tout le champ des possibles est disponible, tout reste à faire.

Vous l’aurez compris, proposer et laisser le choix à vos utilisateurs permet de renforcer la confiance qu’ils ont en vous tout en les rassurant sur vos motivations. Ils ne doivent en aucun cas avoir l’impression qu’on leur fait à l’envers. Votre image en serait ternie et vos intérêts impactés à long terme.

Et maintenant ?

Cette user-story est certes la plus importante, concentre tous les regards et est sur-commentée. Mais il serait préjudiciable de lui en donner l’exclusivité. D’autres éléments entrent également dans la danse :

  • La protection de la vie privée est devenue un vrai sujet de société dont se sont saisis beaucoup d’acteurs tels que les adblockers ou les navigateurs. Ils proposent par défaut, une protection renforcée, rendant, dans certains cas, invisible la demande de consentement et créant des pertes de données pour votre business.
  • La confiance des utilisateurs est entachée à la fois par la sollicitation continuelle mais aussi par les nombreux sites peu réglos.
  • L’actualité débordante relative aux fuites d’informations, hacks ou utilisations abusives des données utilisateurs sont légions et quasi quotidiennes.

Bref, adopter une stratégie globale relative au consentement, ne prenant pas uniquement en compte la bannière cookies, c’est clairement la bonne idée du moment à suivre sans modération.

Mais aujourd’hui, l’urgence s’appelle 31 mars et est représentée avant tout par les interfaces de consentement à l’arrivée sur les sites.

Nous vous laissons le temps de potasser et nous revenons vers vous dans quelques jours pour parler stratégie globale et votre maîtrise complète sur le sujet.

N’hésitez pas à nous contacter, La Haute Société peut vous accompagner dans la tempête et retrouver des flots plus apaisés.


A propos de l’auteur

Adrien Rigé est UX Designer et Privacy Advocate à La Haute Société, une agence de communication digitale à Grenoble.
Il travaille depuis 8 ans à concevoir des expériences attractives tout en prenant en compte l’offre, le business et la protection des utilisateurs