Un bon moyen de réduire les risques pour les utilisateurs consiste à ne pas conserver de données sensibles les concernant dont vous n'avez pas besoin et qui affectent leur confidentialité. Il existe un nombre surprenant de façons de procéder tout en atteignant vos objectifs commerciaux. Il est donc intéressant d'examiner chacune d'elles. Vous pouvez :
- Expliquez pourquoi vous avez besoin des données.
- Collectez des données avec une granularité plus faible.
- Supprimer les données une fois utilisées.
- Ne les collectez pas en premier lieu.
Chacune de ces approches peut aider vos utilisateurs à se sentir plus à l'aise avec ce que vous faites et pourquoi, ce qui contribue grandement à votre relation avec eux. La transparence renforce la confiance et, surtout, elle peut être pour vous un argument de vente unique. De nombreuses personnes supposent que les utilisateurs et les clients leur font confiance par défaut, mais ce n'est pas toujours le cas, car les consommateurs évaluent constamment les produits et les services. Si vous établissez une relation avec vos utilisateurs où ils vous font confiance pour gérer leurs données et vos interactions ce qui peut vous apporter un avantage concurrentiel en tant que projet ou entreprise: vos concurrents peuvent ne correspondent pas, ce qui constitue un véritable facteur de différenciation.
Explorons les approches ci-dessus, de la plus efficace (mais aussi la plus impactante sur votre entreprise) à la moins efficace, mais la moins perturbatrice à mettre en œuvre.
Ne les collectez pas au départ.
Le moyen le plus évident d'éviter de compromettre les données de vos utilisateurs est de ne pas les collecter. Certaines données sont nécessaires pour fournir des services, mais il existe plus d’endroits où vous pouvez éviter la collecte de données que vous ne le pensez. Prenons l'exemple du paiement sans connexion. Lorsque les utilisateurs souhaitent acheter quelque chose à l'aide de votre application Web, vous pouvez les inviter à créer un compte, car vous collectez ainsi des informations personnelles pour les traiter ultérieurement : ils peuvent être ajoutés à la liste de diffusion, ils sont déjà préqualifiés en tant que client intéressé, etc. Toutefois, les clients en sont conscients, mais ne l'aiment pas: en 2021, une étude a révélé qu'une vente abandonnée sur quatre était due au fait que le site a demandé à l'utilisateur de créer un compte. Si vous n'avez pas besoin d'un compte, vous avez plus de chances de fidéliser ces clients. Effectuer un achat sans s'inscrire vous offre aux utilisateurs de meilleures options et cela signifie également que vous n'avez pas autant de données à protéger et à sécuriser.
"Fuzzifier" vos données
Bien entendu, il n'est pas toujours possible de ne pas collecter de données. Il est important de collecter des données pour fournir des services et s’assurer des décisions commerciales raisonnables. Il peut également être utile de créer des communications marketing dans le contexte d'une relation de confiance. Toutefois, il est également important de comprendre que les décisions prises de manière globale (c'est-à-dire qui affectent de nombreux utilisateurs à la fois) sont prises sur des données globales (c'est-à-dire sur les propriétés collectives des données).
Par exemple, il est parfois utile d'avoir une idée des données démographiques de votre audience : tranches d'âge, zone géographique, etc. Cela peut modifier votre message ou votre approche. Cela ne signifie pas que vous devez collecter l'âge exact de chaque utilisateur de votre service. Vous recherchez souvent des tendances et des propriétés globales. Si la décision que vous souhaitez dépend du fait que la majeure partie de votre audience fait partie ou non de la "catégorie démographique clé 18-34 ans". La seule question dont vous avez réellement besoin demandez-vous si vos utilisateurs font partie de cette catégorie démographique. Ils sont ainsi regroupés dans deux "buckets" : dans ce groupe et pas dans ce groupe. Il est possible que vous ayez besoin de données plus précises que cela, mais il est tout à fait raisonnable de prendre la liste des données démographiques que vous utilisez pour prendre des décisions et de demander à vos utilisateurs de s'y classer.
Exemple
S'il est utile de connaître la répartition de votre base d'utilisateurs entre les tranches d'âge "18-34", "35-49", "49-64" et "65 ans et plus", vous pouvez demander à vos utilisateurs de choisir à quelle catégorie ils appartiennent. Il est tentant de demander des réponses très précises, des données à caractère personnel et personnalisé, puis classez vous-même vos utilisateurs, afin d'éviter de devoir les poser à nouveau plus en détail plus tard ; par exemple, pour demander un âge et une date de naissance exacts, puis utiliser ces informations pour dresser vos propres listes de nombreux utilisateurs se trouvent dans la tranche d'âge "35-49" catégorie. Toutefois, il est important de comprendre ce que cela implique : comme le cours l'a déjà abordé et le fera à nouveau, demander des niveaux de données détaillés peut mettre les utilisateurs mal à l'aise et réduire leur confiance en votre organisation, tout en augmentant les risques.
Il est également important de tenir compte de vos besoins en matière de données. Parfois, le « besoin » des données plus précises est spéculative, c'est-à-dire cette exigence. Il se peut que nous n'ayons besoin de classer les utilisateurs que dans ces quatre groupes d'âge pour le moment, mais nous pourrions vouloir affiner cette classification à l'avenir. Nous devons donc collecter des données très détaillées dès maintenant pour conserver cette option pour plus tard. Il peut être utile de réfléchir à la fréquence à laquelle les données plus détaillées ont été utilisées par le passé pour guider les décisions. Demander des données qui sont sont perçus comme invasifs par rapport au service proposé, ce qui entraîne nécessairement une baisse de la confiance des utilisateurs dans votre organisation. Si ces données sont collectées "au cas où", vous risquez de perdre la confiance des utilisateurs non seulement pour améliorer les décisions commerciales, mais aussi pour la possibilité d'une décision future théorique qui n'existera peut-être même pas, tout en prenant en charge les exigences de sécurité pour ces informations.
Il existe également des algorithmes plus détaillés pour réduire la précision des données collectées. Les méthodes de réponse aléatoires signifient que les données sont collectées avec un degré d'imprécision ajustable. Elles sont utilisées depuis des décennies dans les sciences sociales pour collecter des données potentiellement invasives ou sensibles tout en préservant la confidentialité des personnes interrogées. La ci-dessus implique d'élargir les réponses de l'utilisateur (alors « quel âge avez-vous » devient "À quelle tranche d'âge appartenez-vous ?"), où la réponse aléatoire implique d'avoir une certaine proportion des utilisateurs mentent au sujet de leurs réponses. Si la proportion d'utilisateurs qui répondent de manière incorrecte est connue, des conclusions significatives peuvent toujours être tirées des données collectées, mais la vie privée de l'utilisateur n'est pas compromise, car les données collectées peuvent sont incorrectes. Dans ce cas, si 80% de votre audience indique encore qu'elle appartient à la tranche d'âge 18-34 ans, vous pouvez assez confiants qu'il s'agit toujours de la plus grande part, même si 10% d'entre eux donnent délibérément des réponses incorrectes. Le degré d'inexactitude peut également être modifié de manière programmatique, où les bonnes réponses sont toujours demandées, mais les le logiciel modifie un certain pourcentage de réponses avant de les transmettre. Ce processus et ses conséquences peuvent également être expliqués aux utilisateurs lorsque des données sont collectées. Cela signifie que les utilisateurs n'ont pas à vous faire confiance pour que vous n'abusiez pas des données collectées, car les données individuelles ne sont pas fiables.
La confidentialité différentielle est un processus similaire, mais plus technique. Cette méthode utilise des techniques mathématiques pour modifier le stockage des données afin que les propriétés agrégées des données soient toujours présentes, mais il est impossible de savoir si une personne en particulier a fourni des données, et si oui, lesquelles. Comme la réponse aléatoire, cette méthode protège les données des utilisateurs, même de votre part, et démontre un objectif clair de votre part : vous ne pouvez pas utiliser les données de vos utilisateurs si vous ne les possédez pas.
Ces approches et d'autres approches similaires offrent également une sécurité accrue contre les violations de données et les fuites de données, car les données collectées réduit les compromissions vis-à-vis de la confidentialité des utilisateurs, même pour vous, et réduira également le niveau de compromission en cas de fuite des données. N'oubliez pas, cependant, que si vous appliquez des techniques de confidentialité différentielle sur le serveur (vos utilisateurs vous envoient donc des données non agrégées, puis vous les agrégez à l'aide de ces techniques), vous devez toujours sécuriser ces données utilisateur brutes, puis les supprimer après le traitement. Vous devez également disposer de règles claires et les suivre pour vous assurer que vous ne les utilisez pas avant l'agrégation (ou que vous êtes clair sur l'utilisation que vous en faites).
Conservation: collecter les données, puis les supprimer une fois utilisées
N'oubliez pas que les données collectées ont un cycle de vie. Elles sont collectées, utilisées pour vous aider à prendre des décisions commerciales, puis, à un moment donné, elles doivent être supprimées. Il s'agit là encore de compromis : lorsque vous posez des questions à vos utilisateurs, que vous stockez des informations sur d'autres sites Web qu'ils ont consultés ou que vous suivez les éléments qu'ils ont consultés et pendant combien de temps afin de faire des prédictions sur leurs préférences, ces données vous sont accordées à des fins spécifiques, et non comme une autorisation illimitée que le développeur peut utiliser comme il le souhaite. Lorsque ces données ne sont plus nécessaires à cet effet, parfois après une minute, voire plusieurs années, elle devrait être supprimée.
Chaque fois que vous recueillez des informations sur vos utilisateurs, vous devez savoir à quoi serviront ces données (voir ci-dessous) et vous devez également savoir quand et pourquoi vous arrêterez de conserver ces données. Cela peut se produire lorsque l'utilisateur choisit de le supprimer, lorsqu'il se déconnecte, après un certain délai ou après un événement spécifique. Un excellent moyen de renforcer la confiance dans la relation est d'indiquer clairement à vos utilisateurs comment ils peuvent contrôler les données les concernant, y compris, dans la mesure du possible, une désactivation unilatérale. Comment suppriment-ils leurs données ? Comment supprime-t-il son compte ? En plus de contribuer à établir cette relation, il est recommandé de stocker les données aussi longtemps que vous en avez besoin pour les traiter, et pas plus. Vos utilisateurs doivent également pouvoir consulter et supprimer les données que vous collectez auprès d'eux ou en leur nom. Il peut même exister une législation sur ce point dans les territoires dans lesquels vous exercez vos activités.
Il s'agit d'un domaine dans lequel vous pouvez définir des objectifs techniques clairs, afin d'aider les utilisateurs en libre-service. si vos utilisateurs peuvent désactiver votre entrepôt de données sans avoir à demander l'autorisation, ils se sentent ainsi beaucoup plus à l'aise avec l'activation, et cela n'hésitez pas à demander une assistance pour le faire.
Il est important de reconnaître l'importance de la désactivation facile et par défaut : "Pour gagner la confiance et la reconnaissance de leurs utilisateurs, les entreprises peuvent commencer par accepter un contrat social dans lequel elles s'engagent à respecter leur audience à chaque point de contact, à écouter leurs besoins et à y répondre en conséquence", déclare l'IAPP. Le Nielsen Norman Group indique que les utilisateurs "ont besoin d'une "sortie de secours" clairement indiquée pour abandonner l'action indésirable sans avoir à passer par un processus étendu". Tout le monde sait que c'est plus facile de s'abonner que de se désabonner. Mais, comme le dit Nielsen Norman, donner aux utilisateurs la possibilité de s'en aller sans avoir à sauter à travers les cerceaux, « stimule un sentiment de liberté et de confiance ». Des études universitaires le confirment et le nomment "principe de révocabilité", en déclarant : "L'interface doit permettre à l'utilisateur de révoquer facilement les autorisations qu'il a accordées, lorsque la révocation est possible. Les utilisateurs doivent pouvoir révoquer ce consentement et donc réduire les autorisations d'accès à leurs ressources, si possible." (Voir Yee et Iacono pour des exemples.)
La durée de conservation des données et les données à conserver sont des sujets qui diffèrent considérablement selon les entreprises et entre les projets, mais il existe des directives communes à prendre en compte.
À faire
Il est utile ici d'autoriser les utilisateurs à supprimer des comptes (et toutes les données associées, le cas échéant) et à effacer régulièrement (par exemple, à la déconnexion) les données éphémères et stockées localement à la déconnexion avec l'en-tête Clear-Site-Data.
Fournissez un en-tête Clear-Site-Data pour supprimer tout ou partie des données utilisateur qui ont été stockées côté client (qu'il s'agisse de cookies,
localStorage, IndexedDB ou dans le cache du navigateur), lorsque cela est raisonnable. Le cas d'utilisation évident de Clear-Site-Data est qu'un utilisateur
se déconnecte, mais il permet aussi de s'assurer qu'un compte potentiellement piraté ne présente aucune trace en cas d'incident de sécurité.
de données compromises
stockées sur le client.
L'ajout de la prise en charge de Clear-Site-Data implique l'envoi d'un en-tête HTTP, Clear-Site-Data, lorsque l'utilisateur se déconnecte (ou à d'autres moments lorsque vous souhaitez effacer l'espace de stockage côté client), sur la page qui confirme l'état de déconnexion (https://your-site/logout ou similaire). Cet en-tête peut contenir certaines ou toutes les valeurs suivantes, ou "*" pour toutes :
Clear-Site-Data: "cache", "cookies", "storage"
Ces valeurs effacent respectivement les pages mises en cache (et d'autres ressources mises en cache HTTP), les cookies stockés, ainsi que localStorage, IndexedDB et d'autres éléments similaires.
Vous pouvez voir une référence à une autre option, executionContexts, mais celle-ci n'est pas compatible avec de nombreux navigateurs.
Notez qu'il est probablement plus simple d'utiliser l'en-tête Clear-Site-Data que de supprimer individuellement toutes les ressources créées, car il ne nécessite pas que du code JavaScript soit
s'exécuter sur le client (il s'agit du seul moyen officiel de vider le cache du navigateur), mais elle n'est pas compatible avec tous les navigateurs.
Remarque d'utilisation: Si vous videz le cache (en envoyant Clear-Site-Data: cache), l'en-tête Clear-Site-Data ne doit pas être
envoyé sur la page de déconnexion, mais que celle-ci se charge sur une autre ressource. En effet, sur un ordinateur plus lent avec un cache volumineux, la page se bloque pendant le nettoyage du cache, ce qui empêche la navigation. Cela peut prendre quelques minutes,
ce qui frustre
l'utilisateur. Il est peu probable que cela se produise, mais il est difficile de les tester. Il est donc recommandé de garder cela à l'esprit.
Expliquez pourquoi vous avez besoin des données
Nous avons déjà souligné à plusieurs reprises l'importance de la confiance dans la relation de vos utilisateurs avec votre service, car elle augmente leur fidélité. Il offre également un avantage concurrentiel. Un moyen d'augmenter ce niveau de confiance est de faire preuve de transparence dans vos processus. Pour cela, expliquez à quoi vous voulez utiliser les données. Vous avez appris plus tôt que pour chaque élément collecté, vous devez savoir quand cet élément sera supprimé. Pour le savoir, vous devez savoir pourquoi vous voulez ces données, quelles questions spécifiques en ont besoin dans afin de trouver des réponses et les décisions qui guideront leur collecte. Une fois que vous savez pourquoi vous avez besoin de ces données, utilisateur à abandonner, cela contribuera à instaurer la confiance en expliquant cela à ces utilisateurs. Dans vos règles de confidentialité ou lorsque vous posez des questions sur la création de compte, expliquez pourquoi vous avez besoin de la réponse à cette question particulière, ce que vous ferez de ces données, et quand et comment elles pourront être supprimées.
Ces explications sont beaucoup plus visibles lorsqu'elles sont présentées de manière intégrée. Enfouir les explications dans un document dense sur les règles ailleurs sur le site Web peut sembler être une tentative de les cacher. Un formulaire d'inscription, de règlement ou de demande peut présenter les raisons de la collecte des données en même temps que la collecte. lui-même. Souvent, un champ de formulaire peut comporter un astérisque (*) pour indiquer qu'il est obligatoire. Les formulaires complexes comportent souvent un lien d'information (i) pour expliquer la signification du champ. Pensez à ajouter à ces explications une description des raisons pour lesquelles les données sont collectées. A fréquemment l’expression utilisée pour cela est « Pourquoi avons-nous besoin de cela ? » situé à côté d'un champ de formulaire. Lorsque l'utilisateur clique dessus, une explication s'affiche dans une fenêtre pop-up.
Un exemple de code HTML peut se présenter comme suit. CSS et JavaScript se chargent ensuite de masquer le <aside> et de l'afficher sous forme de pop-up lorsque l'utilisateur clique sur le lien. (Assurez-vous de confirmer l'accessibilité du formulaire que vous avez créé pour votre site.)
La manière exacte de présenter cela dépend de vos styles et de vos approches, mais l'essentiel est d'associer directement la collecte de données à une explication de la raison pour laquelle ces données sont collectées. Cette opération n'est pas nécessaire pour tous les champs. Personne n'a besoin d'explication pour savoir pourquoi vous lui demandez de choisir un mot de passe lors de l'inscription. Toutefois, en précisant dans chaque demande d'informations personnelles et de coordonnées la façon dont vous comptez les utiliser et les conserver, vous pouvez indiquer clairement à vos utilisateurs que vous vous souciez de la protection de leurs données.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Passer par ce processus avec tout ce que vous collectez sur un utilisateur peut également faciliter les processus et les discussions internes. Précédemment, vous avez vu qu'il peut être tentant de collecter des données "au cas où". Lorsque vous êtes transparent sur les raisons de la collecte, il peut être assez évident que cela se produit. Si vous êtes réticent à écrire publiquement ce que vous souhaitez faire avec les données utilisateur, car ces utilisateurs n'apprécieront pas l'explication, cela peut être un signe qu'il est peut-être utile de repenser la collecte. Cela s'applique si l'explication de mauvaise qualité est trop invasive ("nous l'utiliserons pour suivre vos visites toutes les heures"). trop étendue ("nous ne savons pas encore à quoi nous allons l'utiliser, mais nous le voulons au cas où nous pensions quelque chose pour cela") ou trop évasive ("Nous utiliserons ces informations à des fins internes non divulguées"). Il ne s'agit pas simplement d'une question de moralité ; les gens sont assez intelligents pour s'en sont rendu compte, comme nous l'avons déjà décrit, et les utilisateurs s'attendent à ce qu'ils ne commencent pas à expérimenter quelque chose. d'un engagement à long terme. L'objectif principal de la conception de l'expérience utilisateur est de simplifier au maximum la procédure d'inscription. car, au début, l'utilisateur n'est pas (par définition) trop investi dans votre service. Il est donc important de s'investir facilement alors qu'ils n'ont que peu de intention de le faire. S'il est aussi facile de repartir à zéro, l'expérimentation avec le service devient une expérimentation et non le début involontaire d'un engagement à long terme forcé. Comme précédemment, il est paradoxal, mais c'est vrai que le meilleur moyen d'instaurer la confiance est de ne pas demander aux utilisateurs de vous faire confiance s'ils le font. vous ne voulez pas.
Les gens ont de bonnes raisons de ne pas partager de données, ou de partager un minimum de données. Au début de votre relation avec eux, n'ont peut-être pas de raison de vous faire confiance et ne devraient pas avoir à le faire. Votre objectif est de leur montrer pourquoi ils devraient le faire.
À faire
- Décidez quelles données vous prévoyez de collecter pour quelle raison et pendant combien de temps vous les conserverez.
- Lorsque vous demandez ces données, expliquez à vos utilisateurs pourquoi vous les collectez.
- Supprimez-le de vos bases de données serveur après l'avoir utilisé.
- Autoriser les utilisateurs à supprimer les comptes qu'ils ont créés et à effacer les données stockées de leur espace de stockage avec l'en-tête
Clear-Site-Data.
Pourquoi
Établir une relation avec vos utilisateurs repose sur la confiance, et la confiance repose sur l'ouverture. Si vous pouvez démontrer que vous n'êtes pas en collectant autant de données que possible sur vos utilisateurs et en dissimulant les utilisations que vous en faites, cela vous aide à gagner leur confiance, être un avantage concurrentiel pour vous par rapport à des concurrents moins scrupuleux.