Structure par question
This design pattern is part of the LINC’s research initiative focusing on interface design. It comes from frequent proposals made by participants of the Data & Design workshops to implement the principle of transparency provided in the GDPR. It can be used and adapted to the specific context of your services and products. However, its reuse as such do not guarantee compliance with the GDPR in general and the principle of transparency in particular.
Ce pattern propose de structurer les informations relatives au traitement de données personnelles en répondant à différentes typologies comme :
- « qui » : par exemple « qui traite mes données ? », « qui a accès à mes données ? », etc. ;
- « quoi » : par exemple « quelles sont les données traitées ? » ;
- « où » : par exemple « où sont transférées mes données ? », « où sont stockées mes données ? » ;
- « quand » : par exemple « quand sont collectées mes données », « combien de temps sont conservées mes données ? », etc. ;
- « comment » : par exemple « comment sont sécurisées mes données ? »,
- « combien » : par exemple « combien de tiers peuvent accéder à mes données », « comment puis-je maîtriser mes données ? » ;
- « pourquoi » : par exemple « pourquoi mes données sont traitées ? », etc.
Formuler des questions permet de cadrer de façon claire les contenus, les rendant plus accessibles. Cette approche offre parfois une bonne correspondance avec les attentes des utilisateurs. Cela permet aux personnes d’identifier rapidement les contenus des parties et de trouver rapidement des informations sur le traitement de leurs données.
Utilisation au sein du parcours utilisateur
► A l’inscription sur un service : ce pattern est particulièrement adapté pour donner un premier niveau d’information aux personnes. Les différentes questions peuvent alors être réparties au sein du formulaire d’inscription et complétées par un accès vers une politique de confidentialité. Par exemple, à la fin du formulaire d’inscription une question telle que « Comment contrôler mes données dans le temps ? » peut être amenée avec pour réponse des éléments concernant les droits des personnes et les moyens de les exercer.
► Dans une politique de confidentialité : ce pattern peut être utilisé comme base de la structure de la politique de confidentialité. Dans l’idée de créer un résumé de la politique de confidentialité en introduction de celle-ci, il est possible de définir un sous-ensemble de questions clés (eg. pourquoi les données sont utilisées, avec qui sont partagées les données).
► Lors de l’usage du service : ce pattern peut être utilisé pour donner de façon systématique des informations sur certaines fonctionnalités du site. Les personnes obtiennent ainsi une compréhension située du traitement de leurs données personnelles. Par exemple, l’ensemble de questions suivantes pourraient être associés aux différentes fonctionnalités du service : « Quelle est cette fonctionnalité ? », « A quoi sert-elle ? », « Quelles sont les données utilisées ? », « Qui a accès aux données ? » et « Comment désactiver cette fonctionnalité ».
► Dans le cas d’un problème qui concerne les données ou leur usage : ce pattern peut permettre d’éclaircir les points posant question à l’utilisateur en mettant clairement en avant le fonctionnement du système et les moyens d’actions dessus. Dans ce type de contexte, il faut veiller à ce que les informations répondent bien au problème rencontré par l’utilisateur tout en permettant l’accès à de plus amples informations, par exemple en redirigeant vers la politique de confidentialité.
► Lorsque l’utilisateur paramètre ses préférences : ce pattern peut être utile pour mettre en avant les conséquences du choix de l’utilisateur lorsqu’il active ou désactive un paramètre, etc. Par exemple, lorsque l’utilisateur paramètre l’utilisation de la géolocalisation dans un service, il est possible d’expliquer l’utilisation de la donnée (« Pourquoi utiliser cette donnée ? »), par qui elle peut être vue et utilisée (« Qui peut utiliser cette donnée ? ») et la fréquence à laquelle elle est collectée (« Quand est-elle collectée ? »).
Conseils pratiques
► Certains traitements de données sont particulièrement complexes et cette approche peut ne pas permettre de rendre compte de tous les aspects du traitement ou bien présenter une certaine redondance. Dans ce cas, ce pattern peut être utilisé pour donner un premier niveau d’information redirigeant vers des informations plus spécifiques et détaillées.
► Ce pattern est particulièrement adapté pour donner un premier niveau d’information. Il faut néanmoins veiller à ce que ce premier niveau ne soit pas vague et ne se résume pas à être un simple objet de communication sur la protection des données personnelles et de la vie privée.
► Les différentes informations requises par le RGPD peuvent être traduites de la sorte :
Informations requises par le RGPD | Typologie de question | Exemple de formulation |
---|---|---|
Responsable de traitement | Qui ? | Qui est responsable de l’utilisation de vos données ? |
Destinataires | Qui ? | Avec qui sont partagées vos données ? |
Données collectées | Quoi ? | Quelles données collectons-nous ? |
Finalités poursuivies | Pourquoi ? | Que faisons-nous avec vos données ? |
Base légale | Pourquoi ? | Quels sont les fondements juridiques ? |
Durée de conservation | Quand ? | Combien de temps sont conservées vos données ? |
Transfert hors UE | Où ? | Où sont envoyées vos données ? |
Droits des personnes | Comment ? | Comment maîtriser vos données et exercer vos droits ? |
Coordonnées du DPO | Comment ? | Comment maîtriser vos données et exercer vos droits ? |