Utilisez uniquement les données dont vous avez besoin

Un bon moyen d'atténuer les risques pour les utilisateurs consiste à ne pas conserver les données sensibles les concernant dont vous n'avez pas besoin et qui affectent leur confidentialité. Il existe un nombre surprenant de méthodes pour y parvenir tout en atteignant vos objectifs commerciaux, et il est utile d’examiner chacune d’elles. Vous pouvez:

  • Expliquez pourquoi vous avez besoin des données.
  • Collectez les données avec un niveau de précision inférieur.
  • Supprimer les données une fois utilisées.
  • Ne les collectez pas en premier lieu.

Chacune de ces approches peut aider vos utilisateurs à se sentir plus à l'aise avec ce que vous faites et pourquoi, ce qui contribue grandement à votre relation avec eux. La transparence renforce la confiance et, surtout, elle peut être pour vous un argument de vente unique. Beaucoup de personnes partir du principe que les utilisateurs et les clients leur font confiance par défaut, mais les consommateurs évaluent constamment les produits et les services, et cela peut ce n'est pas le cas. Si vous établissez une relation avec vos utilisateurs où ils vous font confiance pour gérer leurs données et vos interactions ce qui peut vous apporter un avantage concurrentiel en tant que projet ou entreprise: vos concurrents peuvent ne correspondent pas, ce qui constitue un véritable facteur de différenciation.

Examinons les approches ci-dessus, de la plus efficace (mais aussi la plus ayant un impact sur votre entreprise) à la moins efficace. mais moins perturbatrices à mettre en œuvre.

Ne les collectez pas au départ.

Le moyen le plus évident d'éviter de compromettre les performances de ne pas les collecter. Certaines données sont nécessaires pour fournir des services, mais il existe plus d’endroits où vous pouvez éviter la collecte de données que vous ne le pensez. Prenons l'exemple du paiement sans connexion. Lorsque les utilisateurs effectuent un achat via votre application Web, vous pouvez leur demander de créer un compte, car Vous avez saisi des informations personnelles pour un traitement ultérieur: elles peuvent être ajoutées à la liste de diffusion, elles sont déjà préqualifiées en tant que client intéressé, etc. Toutefois, les clients en sont conscients, mais ne l'aiment pas: en 2021, une étude a révélé qu'une vente abandonnée sur quatre était due au fait que le site a demandé à l'utilisateur de créer un compte. Si vous n'avez pas besoin d'un compte, vous avez plus de chances de fidéliser ces clients. Effectuer un achat sans s'inscrire vous offre aux utilisateurs de meilleures options et cela signifie également que vous n'avez pas autant de données à protéger et à sécuriser.

"Fuzz" vos données

Bien entendu, il n'est pas toujours possible d'éviter de collecter des données. Il est important de collecter des données pour fournir des services et s’assurer des décisions commerciales raisonnables. Il peut également être utile de créer des communications marketing dans le contexte d'une relation de confiance. Cependant, il est également important de comprendre que les décisions prises de manière globale (c'est-à-dire, qui affectent de nombreux utilisateurs à la fois) sont prises sur les données agrégées (c'est-à-dire sur les propriétés collectives des données).

Par exemple, il est parfois utile d'avoir une idée des données démographiques de votre audience (tranches d'âge, tranches d'âge, etc.). l'emplacement, etc. Cela peut modifier votre message ou votre approche. Cela ne signifie pas pour autant que vous devez collecter l'âge de chaque utilisateur de votre service. Ce que vous recherchez souvent, ce sont les tendances et les propriétés globales. Si la décision que vous souhaitez dépend du fait que la majeure partie de votre audience fait partie ou non de la "catégorie démographique clé 18-34 ans". La seule question dont vous avez réellement besoin demandez-vous si vos utilisateurs font partie de cette catégorie démographique. Elles sont alors regroupées dans deux "buckets" : dans ce groupe et non dans ce groupe. Vous aurez peut-être besoin de données plus précises, mais il est tout à fait raisonnable de prendre la liste des données démographiques que vous utilisez pour prendre des décisions et demander à vos utilisateurs de se classer selon cette liste.

Exemple

S'il est utile de connaître la répartition de votre base d'utilisateurs entre les tranches d'âge "18-34", "35-49", "49-64" et "65 ans et plus", vous pouvez demander à vos utilisateurs de choisir à quelle catégorie ils appartiennent. Il est tentant de demander des réponses très précises, des données à caractère personnel et personnalisé, puis classez vous-même vos utilisateurs, afin d'éviter de devoir les poser à nouveau plus en détail plus tard ; par exemple, pour demander un âge et une date de naissance exacts, puis utiliser ces informations pour dresser vos propres listes de nombreux utilisateurs se trouvent dans la tranche d'âge "35-49" catégorie. Mais il est important de comprendre à quoi cela ressemble: comme le cours a déjà abordé et que demander des niveaux de données détaillés peut mettre les gens mal à l'aise, ce qui réduit leur confiance à l'égard de votre organisation, tout en ajoutant des risques.

Il est également important de tenir compte de vos besoins en matière de données. Parfois, le « besoin » des données plus précises est spéculative, c'est-à-dire cette exigence. Peut-être n'avons-nous besoin pour le moment de classer les utilisateurs que dans ces quatre tranches d'âge, mais nous voudrions peut-être Nous devons donc collecter des données très détaillées maintenant afin de laisser cette option ouverte pour plus tard. Cela peut valoir la peine en tenant compte de la fréquence à laquelle les données plus granulaires ont réellement été utilisées dans le passé pour guider les décisions. Demander des données qui sont sont perçus comme invasifs par rapport au service proposé, ce qui entraîne nécessairement une baisse de la confiance des utilisateurs dans votre organisation. Si ces données sont collectées pour des raisons "au cas où", vous risquez de ne pas perdre la confiance des utilisateurs de meilleures décisions commerciales, mais l'emporter simplement pour la possibilité d'une future décision théorique n'existent même pas, tout en prenant en charge les exigences de sécurité pour ces informations.

Il existe également des algorithmes plus détaillés pour réduire la précision des données collectées. Méthodes de réponse aléatoires signifient que les données sont collectées avec un degré d'inexactitude ajustable, et celles-ci sont utilisées depuis des décennies dans le monde lors de la collecte de données potentiellement invasives ou sensibles tout en préservant la confidentialité des personnes interrogées. La ci-dessus implique d'élargir les réponses de l'utilisateur (alors « quel âge avez-vous » devient "À quelle tranche d'âge appartenez-vous ?"), où la réponse aléatoire implique d'avoir une certaine proportion des utilisateurs mentent au sujet de leurs réponses. Si la proportion d'utilisateurs qui répondent de manière incorrecte est connue, des conclusions significatives peuvent toujours être tirées des données collectées, mais la vie privée de l'utilisateur n'est pas compromise, car les données collectées peuvent sont incorrectes. Dans ce cas, si 80% de votre audience indique encore qu'elle appartient à la tranche d'âge 18-34 ans, vous pouvez assez confiants qu'il s'agit toujours de la plus grande part, même si 10% d'entre eux donnent délibérément des réponses incorrectes. Le degré d'inexactitude peut également être modifié de manière programmatique, où les bonnes réponses sont toujours demandées, mais les le logiciel modifie un certain pourcentage de réponses avant de les transmettre. Ce processus et ses conséquences peuvent également être expliqué aux utilisateurs lorsque des données sont collectées: cela signifie que les utilisateurs n'ont pas à croire que vous n'utiliserez pas leurs les données collectées, car les données individuelles ne sont pas fiables.

La confidentialité différentielle est un processus similaire, mais plus techniquement complexe. Cela utilise des techniques mathématiques pour modifier le stockage des données afin que les propriétés agrégées des données soient toujours présentes, mais il est même impossible de savoir si une personne spécifique a fourni des données, ou lesquelles, le cas échéant. Tout comme la réponse aléatoire, cela protège les besoins des utilisateurs vos données, même de votre part, et démontre une intention claire de votre part: vous ne pouvez pas utiliser les données des données si vous ne les avez pas.

Ces approches et d'autres approches similaires offrent également une sécurité accrue contre les violations de données et les fuites de données, car les données collectées réduit les compromissions vis-à-vis de la confidentialité des utilisateurs, même pour vous, et réduira également le niveau de compromission en cas de fuite des données. Toutefois, n'oubliez pas que si vous appliquez des techniques de confidentialité différentielle sur le serveur (afin que vos utilisateurs des données non agrégées et que vous utilisez les techniques pour les agréger), vous devez toujours sécuriser ces données utilisateur brutes et puis supprimez-les une fois le traitement terminé. Veillez à appliquer des règles claires pour vérifier que vous ne les utilisez pas avant l'agrégation (ou l'utilisation que vous en faites).

Conservation: collecter les données, puis les supprimer une fois utilisées

Il est utile de se rappeler que les données collectées ont un cycle de vie : Elles sont collectées, elles sont utilisées pour vous aider à prendre des décisions commerciales, puis être supprimés à un moment donné. Il s'agit là encore de compromis: lorsque vous posez des questions aux utilisateurs stocker des informations sur d'autres sites Web qu'il a consultés, ou savoir ce qu'il a consulté et pendant combien de temps faire des prédictions sur leurs préférences, il s'agit des données qui vous sont accordées dans un but précis, et non comme une subvention ouverte que le développeur pourra utiliser comme bon lui semble. Lorsque ces données ne sont plus nécessaires à cet effet, parfois après une minute, voire plusieurs années, elle devrait être supprimée.

Chaque fois que vous recueillez des informations sur vos utilisateurs, vous devez savoir à quoi serviront ces données (voir ci-dessous) et vous devez également savoir quand et pourquoi vous arrêterez de conserver ces données. Cela peut se produire lorsque l'utilisateur décide de la supprimer ou lorsqu'il signe après une période donnée ou après un événement spécifique. Un excellent moyen d’instaurer la confiance dans la relation est d'expliquer clairement à vos utilisateurs comment ils peuvent contrôler les données les concernant, y compris, dans la mesure du possible, la possibilité de désactiver unilatéralement. Comment suppriment-ils leurs données ? Comment supprime-t-il son compte ? En plus de vous aider à établir cette relation, il est préférable à stocker les données aussi longtemps que vous avez besoin de les traiter et pas plus longtemps, et qu'il devrait y avoir un moyen pour vos utilisateurs de consulter et supprimer les données que vous collectez auprès de lui ou en son nom. Il se peut même qu'une législation vienne à ce sujet dans les territoires que vous gérez.

Il s'agit d'un domaine dans lequel vous pouvez définir des objectifs techniques clairs, afin d'aider les utilisateurs en libre-service. si vos utilisateurs peuvent désactiver votre entrepôt de données sans avoir à demander l'autorisation, ils se sentent ainsi beaucoup plus à l'aise avec l'activation, et cela n'hésitez pas à demander une assistance pour le faire.

Il est important de reconnaître l'importance de la désactivation simple et par défaut : "Pour instaurer un climat de confiance et de reconnaissance, les entreprises peuvent commencez par accepter un contrat social qui les encourage à respecter son audience à chaque point de contact, d'écouter leurs besoins et d'y répondre en conséquence", indique IAPP. Selon le Nielsen Norman Group, les utilisateurs "ont besoin d'un système "sortie d'urgence" de quitter l'action indésirable sans avoir à suivre un processus prolongé." Tout le monde sait que c'est plus facile de s'abonner que de se désabonner. Mais, comme le dit Nielsen Norman, donner aux utilisateurs la possibilité de s'en aller sans avoir à sauter à travers les cerceaux, « stimule un sentiment de liberté et de confiance ». Des études universitaires étayent ce phénomène et l’appellent le « principe du révocabilité", en indiquant : "L'interface doit permettre à l'utilisateur de révoquer facilement les autorités qu'il a accordées la révocation est possible. Les utilisateurs doivent pouvoir révoquer ce consentement et donc limiter les autorisations d'accès à leurs ressources si possible. » (Voir Yee et Iacono pour des exemples.)

La durée de conservation des données et les données à conserver sont un sujet qui diffère considérablement selon les entreprises et entre les projets, mais il existe des directives communes à prendre en compte.

À faire

Cela permet d'autoriser les utilisateurs à supprimer des comptes (et toutes les données associées, lorsque cela est possible) et à intervalles réguliers (par exemple, lors de la déconnexion). effacer les données éphémères et stockées localement lors de la déconnexion avec l'en-tête Clear-Site-Data ;

Fournissez un en-tête Clear-Site-Data pour supprimer tout ou partie des données utilisateur qui ont été stockées côté client (qu'il s'agisse de cookies, localStorage ou IndexedDB, ou dans le cache du navigateur), lorsque cela est raisonnable. Le cas d'utilisation évident de Clear-Site-Data est qu'un utilisateur se déconnecte, mais il permet aussi de s'assurer qu'un compte potentiellement piraté ne présente aucune trace en cas d'incident de sécurité. de données compromises stockées sur le client.

Ajouter la prise en charge de Clear-Site-Data implique l'envoi d'un en-tête HTTP, Clear-Site-Data, lorsque l'utilisateur se déconnecte (ou à d'autres où vous souhaitez effacer le stockage côté client), sur la page confirmant l'état de déconnexion (https://your-site/logout) ou similaire). Cet en-tête peut avoir tout ou partie des valeurs suivantes, ou "*" pour toutes:

Clear-Site-Data: "cache", "cookies", "storage"

Ces valeurs effacent, respectivement, les pages mises en cache (et les autres ressources mises en cache HTTP), les cookies stockés, ainsi que localStorage, IndexedDB et autres. Vous verrez peut-être une référence à une autre option, executionContexts, mais elle n'est pas prise en charge par de nombreux navigateurs. Notez qu'il est probablement plus simple d'utiliser l'en-tête Clear-Site-Data que de supprimer individuellement toutes les ressources créées, car il ne nécessite pas que du code JavaScript soit s'exécuter sur le client (il s'agit du seul moyen officiel de vider le cache du navigateur), mais elle n'est pas compatible avec tous les navigateurs.

Remarque d'utilisation: Si vous videz le cache (en envoyant Clear-Site-Data: cache), l'en-tête Clear-Site-Data ne doit pas être envoyé sur la page de déconnexion, mais que celle-ci se charge sur une autre ressource. En effet, sur un ordinateur plus lent, avec un cache volumineux, la page se bloque pendant que le cache est vidé, ce qui empêche la navigation. Cela peut prendre quelques minutes, ce qui frustre l'utilisateur. Il est peu probable que cela se produise, mais il est difficile de les tester. Il est donc recommandé de garder cela à l'esprit.

Expliquez pourquoi vous avez besoin des données

L'importance de la confiance dans l'expérience utilisateur avec votre service a été citée plusieurs fois, car cela augmente la longévité des utilisateurs. Elle offre également un avantage concurrentiel. La transparence de vos processus est une façon d'accroître ce niveau de confiance. un bon moyen d'être transparent est d'expliquer à quoi sert les données. Vous avez appris plus tôt que pour chaque élément collecté, vous devez savoir quand cet élément sera supprimé. Pour le savoir, vous devez savoir pourquoi vous voulez ces données, quelles questions spécifiques en ont besoin dans afin de trouver des réponses et les décisions qui guideront leur collecte. Une fois que vous savez pourquoi vous avez besoin de ces données, utilisateur à abandonner, cela contribuera à instaurer la confiance en expliquant cela à ces utilisateurs. Dans vos règles de confidentialité ou lorsque vous posez des questions sur votre compte création, décrivez pourquoi vous avez besoin de la réponse à cette question particulière, ce que vous allez faire de ces données, et quand et comment elles peuvent être supprimées.

Ces explications sont beaucoup plus visibles lorsqu'elles sont présentées de manière intégrée. Enfouir les explications dans un document de stratégie dense, disponible ailleurs sur le site Web peut sembler être une tentative de les dissimuler. Un formulaire d'inscription, de règlement ou de demande peut présenter les raisons de la collecte des données en même temps que la collecte. lui-même. Souvent, un champ de formulaire comporte un astérisque (*) pour indiquer qu'il est obligatoire. les formulaires compliqués contiennent souvent un lien d’information (i) d'expliquer la signification de ce champ. Pensez à ajouter à ces explications une description des raisons pour lesquelles les données sont collectées. A fréquemment l’expression utilisée pour cela est « Pourquoi avons-nous besoin de cela ? » situé à côté d'un champ de formulaire. Lorsque l'utilisateur clique dessus, une explication s'affiche dans une fenêtre pop-up.

Certains exemples de code HTML peuvent ressembler à ce qui suit. CSS et JavaScript se chargent de masquer <aside> et de l'afficher sous forme de pop-up lorsque l'utilisateur clique sur le lien. (Assurez-vous de confirmer l'accessibilité du formulaire que vous avez créé pour votre site.) La présentation exacte dépend de vos styles et de vos approches, mais le principal point ici est d'associer directement la collecte de données à une explication de la raison pour laquelle ces données sont collectées. Cette opération n'est pas nécessaire pour tous les champs. Personne n’a besoin d’une explication des raisons pour lesquelles vous lui demandez choisissez un mot de passe lors de l'inscription. Mais décorer chaque demande d'informations personnelles et de contact avec la façon dont vous prévoyez de les utiliser et de les conserver peut aider indiquer clairement à vos utilisateurs que vous êtes investi dans la protection de leurs données.

<div>
    <label for="email">Email address*</label>
    <input id="email" type="email" name="email" required aria-describedby="whyemail">
    <a href="#whyemail">Why do we need this?</a>
    <aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>

Passer par ce processus avec tout ce que vous collectez sur un utilisateur peut également faciliter les processus et les discussions internes. Précédemment, vous avez vu qu'il peut être tentant de collecter des données "au cas où". Lorsque vous êtes transparent sur vos raisons pour la collecte, il peut être évident que c'est en train de se produire. Si vous êtes réticent à écrire publiquement ce que vous voulez concerne les données utilisateur, car ces utilisateurs n'apprécieront pas l'explication, cela peut indiquer qu'il est utile de repenser la collecte de ces données. Cela s'applique si l'explication de mauvaise qualité est trop invasive ("nous l'utiliserons pour suivre vos visites toutes les heures"). trop étendue ("nous ne savons pas encore à quoi nous allons l'utiliser, mais nous le voulons au cas où nous pensions quelque chose pour cela") ou trop évasive ("Nous utiliserons ces informations à des fins internes non divulguées"). Il ne s'agit pas simplement d'une question de moralité ; les gens sont assez intelligents pour s'en sont rendu compte, comme nous l'avons déjà décrit, et les utilisateurs s'attendent à ce qu'ils ne commencent pas à expérimenter quelque chose. d'un engagement à long terme. L'objectif principal de la conception de l'expérience utilisateur est de simplifier au maximum la procédure d'inscription. car, au début, l'utilisateur n'est pas (par définition) investi massivement dans votre service. Il est donc important de lui permettre de s'investir facilement alors qu'ils n'ont que peu de intention de le faire. S'il est aussi facile de repartir à zéro, l'expérimentation avec le service devient une expérimentation et non le début involontaire d'un engagement à long terme forcé. Comme précédemment, il est paradoxal, mais c'est vrai que le meilleur moyen d'instaurer la confiance est de ne pas demander aux utilisateurs de vous faire confiance s'ils le font. vous ne voulez pas.

Les gens ont de bonnes raisons de ne pas partager de données, ou de partager un minimum de données. Au début de votre relation avec eux, n'ont peut-être pas de raison de vous faire confiance et ne devraient pas avoir à le faire. Votre objectif est de leur montrer pourquoi ils devraient le faire.

À faire

  • Décidez quelles données vous prévoyez de collecter pour quelle raison et pendant combien de temps vous les conserverez.
  • Lorsque vous demandez ces données, expliquez à vos utilisateurs pourquoi vous les collectez.
  • Supprimez-le de vos bases de données serveur après l'avoir utilisé.
  • Autoriser les utilisateurs à supprimer les comptes qu'ils ont créés et à effacer les données stockées de leur espace de stockage avec l'en-tête Clear-Site-Data.

Pourquoi

Construire une relation avec les utilisateurs est une question de confiance, qui repose sur une ouverture d'esprit. Si vous pouvez démontrer que vous n'êtes pas en collectant autant de données que possible sur vos utilisateurs et en dissimulant les utilisations que vous en faites, cela vous aide à gagner leur confiance, être un avantage concurrentiel pour vous par rapport à des concurrents moins scrupuleux.