Protection des données personnelles en Europe

Votre organisation collecte-t-elle des données personnelles auprès d’utilisateurs en Europe ? Si c’est le cas, les informations relatives aux données personnelles doivent être concises, aisément accessibles et faciles à comprendre.

Ces nouvelles exigences sont énoncées dans :

  • le Règlement Général sur la Protection des Données (RGPD ou GDPR) et sont en vigueur à compter du 25 mai 2018.
  • des lignes directrices sur la transparence, qui recommandent de bonnes pratiques en matière d’accessibilité, de lisibilité et de navigabilité – pratiques largement inspirées des principes en communication claire et simple et en design d’information. (Ces lignes directrices ont été développées par le Groupe de travail 29, organe consultatif de l'Union européenne, et doivent être adoptées pour devenir obligatoires. Malgré tout, elles méritent votre attention si vos produits et services sont utilisés par des personnes situées en Europe, puisqu’elles risquent de guider l’évaluation de la conformité des organisations aux exigences réglementaires.)

Pour vous aider à vous conformer à vos nouvelles obligations en matière d’accessibilité, de lisibilité et de navigabilité, nous avons préparé cette fiche récapitulative.

Exigences prévues dans le Règlement

Toute information relative aux données personnelles doit être :

  • concise
  • aisément accessible
  • facile à comprendre, formulée en des termes clairs et simples
  • lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels

L’information peut être accompagnée d'icônes normalisées :

  • Ces icônes doivent donner une vue d'ensemble de la façon dont vous utilisez et traitez les données personnelles.
  • Cette vue d’ensemble doit être facilement visible, compréhensible et lisible.
  • Lorsque les icônes sont présentées par voie électronique, elles doivent être lisibles par machine

Les enfants méritent une protection spécifique lorsque leurs données personnelles sont en jeu : toute communication doit être rédigée en des termes clairs et simples que l'enfant peut aisément comprendre.

 Sources : article 58 du Préambule + article 12 para 1 et 12 du Règlement.

Recommandations prévues dans les Lignes directrices sur la transparence

Qu’est-ce qu’une information concise, aisément accessible et claire ? Voici un résumé des recommandations énoncées dans les lignes directrices aux articles 7-14, 21, 30-33, et 42-46.

Communiquer l’information de façon succincte et efficace pour éviter la fatigue cognitive des lecteurs

Les lignes directrices ne précisent rien de plus à cet égard.

Source : article 7

Soulignons que cette notion de « fatigue cognitive » est un facteur clé à considérer en design d’information. Elle pousse bien souvent le lecteur à abandonner sa lecture. Elle peut être causée, notamment, par une surcharge d’information, du bruit visuel et des formulations jargonneuses.

Rendre l’information accessible et visible au bon moment

L’information relative aux données personnelles doit être facile à trouver et facile d’accès en tout temps. Elle doit aussi être bien visible au moment opportun, c’est-à-dire au moment où l’utilisateur est amené à fournir des renseignements personnels.

Voici ce que prévoient les lignes directrices :

  • L’information relative aux données personnelles doit être bien distincte des informations portant sur d’autres sujets, notamment distincte des autres règles contractuelles (article 7).
  • Elle doit être visible sur chacune des pages web, en tout temps, particulièrement lorsque l’utilisateur se trouve sur une page où des données peuvent être recueillies (par exemple, en ajoutant un menu Vie privée-Protection des données, des FAQs, des hyperliens, des pop-ups) (article 10).
  • Elle doit être mise à la disposition des utilisateurs avant le téléchargement d’applications sur mobile. Même une fois téléchargée, elle doit continuer à être facilement accessible : l’utilisateur doit pouvoir y accéder en « 2 clics » maximum, ce qui requiert généralement que le menu inclue l’option « Vie privée » (article 10).
  • Ne pas nuire à la lisibilité du contenu en jouant sur le contraste, les couleurs ou le positionnement du texte, par exemple (article 10).

Sources : articles 7 et 10.

Découper l’information

Découper l’information permet de minimiser la quantité d’information à absorber d’un coup. Grâce à un bon découpage, l’utilisateur peut distinguer l’information principale de l’information secondaire et détecter rapidement l’information qui l’intéresse.

Voici ce que prévoient les lignes directrices :

Utiliser un menu déroulant

  • Un menu déroulant évite au lecteur d’avoir à faire défiler une longue page web pour trouver l’information qui l’intéresse (article 7, 14 et 30).
  • La première couche d’information du menu doit donner une vue d’ensemble claire de la façon dont les données personnelles sont utilisées et des conséquences de cette utilisation. Elle doit aussi mettre l’accent sur les conséquences les plus importantes pour l’utilisateur et sur les types d’utilisation qui peuvent le surprendre. Elle doit enfin indiquer la façon d’obtenir des explications plus détaillées (article 30).
  • L’information transmise dans les différentes couches doit être cohérente et non pas contradictoire (article 30).

Créer un tableau de bord qui permet à l’utilisateur d’indiquer ses préférences en matière de protection des données personnelles

  • D’un côté, le tableau de bord permet à l’utilisateur de choisir ses préférences en matière d’utilisation de ses données personnelles (article 32). De l’autre, il permet à l’organisation de déterminer quelles informations de la politique de confidentialité sont pertinentes pour cet utilisateur en regard des restrictions qu’il a énoncées (article 32).
  • Pour favoriser l’engagement de l’utilisateur, les lignes directrices recommandent aux organisations d’utiliser le même design graphique pour le tableau de bord que pour le reste du site Web (par exemple, le même design graphique que pour la section « description du service » où se trouve l’utilisateur qui souhaite acheter un service). L’information sur la vie privée devient donc une partie intégrante du service, plutôt qu’une longue énumération de jargon juridique (article 32).

Utiliser des chatbots, pop-up ou autres outils interactifs pour afficher les bonnes informations au bon moment

  • Les lignes directrices encouragent l’utilisation d’outils permettant de pousser l’information pertinente en fonction du contexte d’utilisation, et en fonction des produits et services dont l’utilisateur souhaite se prévaloir (article 32).
  • Par exemple, une bulle contextuelle (pop-up) pourrait s’afficher au moment où un utilisateur saisit son numéro de téléphone et préciser que le numéro sera utilisé uniquement pour le contacter au sujet de sa commande et qu’il sera uniquement transmis au service de livraison. Autre exemple, l’utilisation d’un robot conversationnel (chatbot) qui favorise l’interactivité (article 32).
  • Cette façon de faire permet de découper l’information et de la divulguer au moment opportun, sachant qu’une information est plus difficile à comprendre lorsqu’elle est hors contexte (article 32).

Sources : articles 7, 14, 30 et 32.

L’information doit être compréhensible pour un lecteur moyen représentatif du public cible

Ce n'est donc pas la "personne raisonnable" ou le "consommateur moyen" à qui il faut s'adresser, mais bien un lecteur représentatif de votre clientèle.

Identifier le public cible

  • Identifier qui est le public cible (article 8).
  • Déterminer le niveau de compréhension du lecteur moyen de ce groupe (article 8).
  • Vérifier périodiquement si l’information est adaptée au public cible réel, sachant que le public peut changer avec le temps ou être différent de celui identifié au moment de rédiger le contenu pour la première fois. Apporter des ajustements si nécessaires (article 8).

Prendre des précautions supplémentaires pour les contenus destinés aux enfants

  • Utiliser un vocabulaire, un ton et un style appropriés pour les enfants, et qui les interpellent afin qu’ils puissent reconnaitre que l’information leur est destinée directement.
  • Ces précautions sont obligatoires si vos produits et services ciblent des enfants ou si vous devriez savoir que des enfants utilisent vos produits et services.
  • Un exemple de texte juridique adapté aux enfants : Convention des Nations Unies sur les Droits de l’Enfant en langage adapté pour les enfants.

Précautions supplémentaires pour les publics cibles plus vulnérables

  • Par exemple, les personnes ayant un handicap ou ayant de la difficulté à accéder à l’information.
  • Vous devez prendre les mesures nécessaires pour vous assurer de respecter votre obligation de transparence à leur égard.
  • Ces précautions sont obligatoires si vos produits et services visent des publics plus vulnérables ou si vous devriez savoir que ces publics font partie des utilisateurs de vos produits et services.

Sources : articles 8 et 13.

Tester la compréhension et la navigabilité

Les lignes directrices recommandent de tester l’intelligibilité de l’information et l’efficacité de navigation auprès d’utilisateurs représentatifs du public cible. 

Elles précisent aussi que le fait de documenter le processus de test auprès de ces utilisateurs peut permettre aux organisations de prouver qu’elles se conforment aux exigences du RGPD.

Sources : articles 8 et 21.

Expliciter les conséquences les plus importantes ou difficiles à prévoir pour l’utilisateur qui fournit des données personnelles

Les lignes directrices précisent que les utilisateurs doivent être en mesure de comprendre d’avance comment leurs données seront utilisées, particulièrement lorsque les données sont susceptibles d’être utilisées de manière complexe ou inattendue.

L’information relative aux données personnelles doit donc expliciter les conséquences les plus importantes pour l’utilisateur, sans ambiguïté possible :

  • Ne pas enjoliver la situation en présentant le meilleur scénario possible.
  • Ne pas présenter uniquement les scénarios prévisibles et inoffensifs.
  • Expliquer comment les droits et libertés fondamentaux des utilisateurs peuvent être affectés.

Source : article 9.

Rédiger en termes clairs et simples

Les lignes directrices recommandent aux organisations de s’inspirer des bonnes pratiques énoncées dans le guide Rédiger clairement (How to write clearly) produit par l’Union européenne. En résumé :

Une information aussi simple que possible

L’information doit être fournie d’une manière aussi simple que possible, en évitant les tournures de phrases et les structures de langage complexes:

  • Éviter les termes qui sont trop juridiques, techniques ou spécialisés (article 11).
  • Éviter les qualificatifs vagues comme « pourrait », « certains », « quelques », « souvent », « possible ». (“may”, “might”, “some”, “often” and “possible” should also be avoided) (article 12)
  • Bien structurer les paragraphes et les phrases, en utilisant des listes à puces et des indentations pour signaler la hiérarchie de l’information. (article 12).
  • Préférer la voix active et éviter d’utiliser des noms à l’excès. (article 12).

Une information concrète et sans équivoque

L’information doit être concrète et sans équivoque, plutôt que formulée en termes abstraits ou ambigus ; elle ne doit pas être sujette à plusieurs interprétations possibles. (article 11)

Les lignes directrices fournissent quelques exemples d’énoncés qui ne sont pas suffisamment clairs quant à la portée de l’utilisation des données (autrement dit, qui manquent de précision) :

  • Nous pouvons utiliser vos données personnelles pour développer de nouveaux services. (Quels services ? Comment les données vont-elles servir à les développer ?)
  • Nous pouvons utiliser vos données personnelles à des fins de recherche. (Quel genre de recherche ?)
  • Nous pouvons utiliser vos données personnelles pour vous offrir des services personnalisés. (Qu’implique le fait de personnaliser les services ?)

Valider la traduction pour éviter les multiples interprétations

Lorsque l'information est traduite dans une ou plusieurs autres languesl’organisation doit s'assurer que toutes les traductions sont exactes et que la phraséologie et la syntaxe ont le même sens dans la seconde langue. Le texte traduit ne devrait pas être déchiffré ou ré-interprété. (Une traduction devrait être fournie dans la langue de l’utilisateur.) (article 12)

Sources : articles 11 et 12.

Utiliser des outils de visualisation

Infographies, vidéos et bandes dessinées

Lorsque l’organisation doit fournir une version papier de l’information relative aux données personnelles, les lignes directrices recommandent l’utilisation d’infographies, d’organigrammes et même de bandes dessinées (article 14).

Pour les informations qui doivent être transmises à l’oral, les lignes directrices font référence à l’utilisation de vidéo et de d’alertes vocales.

Utiliser des icônes

Les lignes directrices indiquent que l’utilisation d’icônes pourraient éventuellement réduire la quantité d’information textuelle à fournir (article 45). Elles précisent par ailleurs que :

  • Ces icônes peuvent être utiles pour faciliter la lecture survol, mais qu’elles ne sauraient remplacer l’information textuelle (article 43).
  • Leur efficacité dépend de la production d’icônes standardisées qui seraient universellement utilisées et reconnues au sein de l’Union. Ce travail a été confié à la Commission et requerra des recherches approfondies auprès de l’industrie et du grand public sur l’efficacité d’utiliser de telles icônes dans ce contexte (article 45).
  • Les icônes sur support électronique doivent être lisibles par les machines (article 44).

Développer des mécanismes de certification et des sceaux de protection

Des guides seront développés par le Groupe 29 à ce sujet.

Sources : articles 14, 33, 42 à 46.