Journée de la protection des données : bonnes pratiques pour un parcours de consentement “GDPR compliant”

À l'occasion de la journée de la protection des données et suite à la récente condamnation de Google à verser une amende de 50 millions d’euros pour défaut d'information claire, compréhensible et aisément accessible dans le parcours de consentement offert à ses utilisateurs d’Android, Versusconsulting vous propose des bonnes pratiques pour concevoir un parcours de consentement “GDPR compliant”.

Une opportunité de repenser votre relation clients

Le Règlement général sur la protection des données, dit “RGPD” ou “GDPR” (General Data Protection Regulation) en anglais, doit être vu comme une opportunité de repenser les bases de votre relation clients à travers un parcours utilisateur clair, adapté et compréhensible.

La dernière décision de la CNIL (Commission Nationale de l’Information et des Libertés - autorité de contrôle française) à l’encontre de Google rappelle que cette préoccupation doit être au centre de la conception de vos parcours clients. Il s’agit là, non seulement de marquer le sentiment de fidélisation de vos utilisateurs, mais aussi de construire un parcours de consentement conforme à la réglementation relative à la protection des données personnelles.

La recherche du consentement de vos utilisateurs avant la collecte de leurs données personnelles est, en effet, souvent nécessaire dans le cadre de leur navigation sur l’un de vos sites internet ou l’une de vos applications mobiles.

Permettre une information claire et accessible à destination de vos utilisateurs

Versusconsulting vous recommande d’adopter a minima les bonnes pratiques suivantes permettant une information claire et accessible et assurant la transformation de l’acte de consentement en acte de confiance de vos utilisateurs :

  • Veillez à ne pas éparpiller les informations sur la collecte des données personnelles de vos utilisateurs dans plusieurs documents distincts et optez plutôt pour le regroupement de ces informations dans un unique document d’informations ;
  • Utilisez des termes précis et non génériques pour définir les finalités pour lesquelles vous collectez des données personnelles de vos utilisateurs. Evitez ainsi de recourir uniquement à la formulation générique “Les informations que nous collectons servent à améliorer les services proposés à tous nos utilisateurs” pour décrire ces finalités ;
  • Adoptez des titres de documentations ou d’onglets explicites et aisément accessibles. Ainsi, évitez de reproduire la pratique de Google en insérant des informations relatives aux durées de conservation des données personnelles de vos utilisateurs dans un onglet “Exporter et supprimer” ;
  • Réduisez au maximum le nombre d’actions et de clics réalisés par l’utilisateur pour prendre connaissance de la nature et de la portée des traitements de données personnelles que vous réalisez à son encontre ;
  • Évitez, au maximum, d’avoir recours à des boutons “Plus d’informations” ou “En savoir plus” qui ne permettent ni la proximité avec vos utilisateurs, ni leur bonne information ;
  • Informez les utilisateurs de tous les services concernés par vos traitements de données personnelles dès lors que les données collectées sont utilisées pour une pluralité de services différents (par exemple, si Google search collecte des données utiles à son service Youtube) et permettez à vos utilisateurs de prendre rapidement connaissance de la nature de ces services en insérant des hyperliens redirigeant vers ceux-ci ;

Transformer l’acte du consentement en acte de confiance de l’utilisateur 

  • Ne précochez jamais les cases par lesquelles vos utilisateurs donnent leur consentement, afin de ne pas créer un sentiment de défiance et vous permettre de, conformément à la réglementation, recueillir un consentement consistant en un acte positif univoque ;
  • De la même manière que pour les bandeaux cookies de vos sites internet pour lesquels la jurisprudence française a pu apporter des précisions, permettez à vos utilisateurs de déterminer, de manière spécifique pour chaque traitement de données ayant une finalité bien distincte, s’ils souhaitent accepter ou refuser le traitement de données. Par exemple, recueillez un consentement formellement distinct pour “la personnalisation des publicités” et pour le “paramétrage du compte utilisateur et de ses données de compte” ;
  • Veillez à permettre à vos utilisateurs de retirer, aisément, leur consentement pour tous les traitements de données personnelles que vous mettez en place et qui se fonde sur cette base légale exclusivement.
  • À chaque définition et conception de vos parcours clients, la mise en place de ces bonnes pratiques est essentielle afin de répondre à un double enjeu de limitation de vos risques juridiques de sanctions administratives et de renforcement de votre image client vis-à-vis de vos utilisateurs. Profitez-en pour faire valoir vis-à-vis de vos utilisateurs que vous mettez l’humain au centre de vos préoccupations !

 

 

Versusconsulting vous accompagne dans la définition de vos parcours clients au regard du règlement général sur la protection des données, en mettant la voix du client au centre du parcours.

 

Sources :

Décision n° SAN-2019-001 du 21 janvier 2019 https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1

Publication de la CNIL concernant la sanction de 50 millions d’euros à l’encontre de Google:  https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la
 

Adrien Duez

Conseil en opérations juridiques et technologiques
Legal technology operations consulting