Cette brique de conception s’inscrit dans une démarche de recherche du LINC autour du design des interfaces. Elle provient de propositions fréquentes des participants aux ateliers Données & Design pour mettre en œuvre le principe de transparence prévu par le RGPD. Elle peut être reprise et adaptée au contexte propre de vos services et produits. Sa reprise en tant que telle ne saurait toutefois, à elle seule, garantir une conformité au RGPD en général et au principe de transparence en particulier.
Ce pattern propose de donner des exemples sur le fonctionnement du traitement des données personnelles pour aider à sa compréhension. Ils peuvent concerner, entre autres, le type de données collectées, des mesures de sécurité, des points sensibles du traitement, des éléments juridiques ou jargonneux. Les exemples permettent d’illustrer les informations relatives à la protection des données personnelles et de les rendre plus tangibles pour les personnes.
Utilisation au sein du parcours utilisateur
► A l’inscription sur un service : ce pattern est particulièrement adapté dans un onboarding pour donner une information transparente à la personne concernant ses données et le paramétrage de ses choix. Par exemple, chaque option paramétrable est associée à des cas concrets pour l’expliciter : qui peut voir un profil si celui-ci est privé, ou quels types de mots de passe ne sont pas robustes.
► Dans une politique de confidentialité : ce pattern peut être utilisé pour clarifier certains points sensibles, techniques ou juridiques de la politique. Il peut être utile pour illustrer l’usage des données pour des finalités de sécurité comme la détection de la fraude : « Nous utilisons vos données pour assurer la sécurité de votre compte, par exemple en analysant les connexions à votre compte afin d’identifier des anomalies comme l’utilisation d’un autre appareil (ordinateur ou smartphone). ». Il faut néanmoins veiller à ce que les exemples ne créent pas de confusion sur la réalité du traitement, notamment concernant les données collectées. Par exemple, « Nous collectons des informations, comme votre adresse IP, permettant de vérifier que vous êtes bien connecté. » n’est pas assez précis sur les données collectées pour cette finalité. Il faudrait indiquer plus précisément soit la catégorie de données traitées (eg. « Nous collectons des informations d’identification technique, comme votre adresse IP »), soit l’ensemble des données utilisées pour vérifier la connexion au compte.
► Dans le cas d’un problème qui concerne les données ou leur usage : ce pattern peut se retrouver dans une FAQ qui vient compléter la politique de confidentialité, donnant ainsi à voir des cas concrets souvent rencontrés et permettre aux personnes de mieux comprendre leur propre situation au-travers des exemples. Dans le contexte d’un réseau social, une telle FAQ pourrait comprendre une question relative au fait qu’un employeur retrouve ses employés sur le réseau (« Comment mon employeur a-t-il retrouvé mon compte ? ») dont la réponse donnerait différents scénarios probables. L’un de ces scénarios pourrait concerner le moyen intégré au réseau pour trouver des comptes (« Votre employeur a pu utiliser notre fonction de recherche pour retrouver votre compte. ») en indiquant les informations pouvant être entrées à cette fin (« Pour effectuer sa recherche il a par exemple pu utiliser votre numéro de téléphone, votre adresse mail, votre nom et prénom ou votre pseudonyme, s’il le connait. ») et en redirigeant vers le moyen disponible pour ne plus apparaître dans les résultats de recherche (« Si vous souhaitez ne plus apparaître dans les résultats de recherche, vous pouvez désactiver la fonctionnalité dans votre compte. »). Un autre scénario pourrait concerner une façon externe au réseau pour retrouver le compte : « Votre employeur a pu utiliser un moteur de recherche externe dont l’un des résultats redirigent vers votre compte. » et rediriger la personne vers le moyen de ne plus apparaître dans les résultats des moteurs de recherche (« Vous pouvez gérer la visibilité de votre profil dans votre compte. »).
► Lorsque l’utilisateur paramètre ses préférences : ce pattern permet de souligner les conséquences du choix de la personne lorsqu’elle active ou désactive un paramètre. Par exemple « En activant la localisation vous verrez des contenus basés sur votre localisation actuelle ou les lieux où vous avez étés. Par exemple, si vous vous rendez régulièrement dans un stade de foot, nous vous enverrons des contenus en lien avec cette activité comme des informations sur des matchs de foot à venir. »
Conseils pratiques
► Les exemples ne doivent pas donner l’impression qu’ils sont la seule façon d’utiliser les données, de les traiter etc., si ce n’est pas le cas.
► Les exemples doivent être objectifs. Ils ne doivent pas minimiser l’ampleur d’un traitement de données ou le présenter sous une lumière particulièrement positive.
► Les exemples ne se substituent pas à une information complète, à l’utilisation d’un langage clair ou de définitions des termes techniques.
► Ce pattern peut aussi être utilisé dans des vidéos explicatives ou un tableau.
► Les exemples sont utiles pour permettre aux personnes de prendre conscience de traitements qui ne sont pas forcément visibles au premier abord.
► Dans le cas d’un service déjà utilisé, les exemples peuvent être personnalisés en fonction de situations réelles. Par exemple : « Nous avons identifié des tentatives de connexions apparemment frauduleuse provenant d’une IP autre que celle que vous utilisez habituellement » ou « Nous vous proposons une publicité pour des chaussures suite à des recherches que vous avez effectuées utilisant le terme « chaussure ».
Exemples
Approche possible
Combinaisons possibles
