Convert est l'outil de test le plus axé sur la confidentialité sur le marché. Voici pourquoi

Nous améliorons les résultats depuis une décennie maintenant.

Et avec plus de 30 milliards d'expériences testées, nous avons perfectionné un outil qui améliore les conversions pour les clients de tous les secteurs possibles, sans tracas.

Mais lorsque le raz-de-marée du RGPD a frappé, nous voulions aller au-delà de l'amélioration des résultats.

Nous voulions être l'outil d'optimisation pour les utilisateurs avertis dans un monde où les problèmes de confidentialité ne feront que croître d'année en année.

Cela a pris la majeure partie de 8 mois, des milliers d'heures, des centaines de (minuscules) arguments mais nous avons réussi à accomplir tout ce que nous voulions.

Tout ce dont vous avez besoin pour effectuer des tests et extraire des informations, sans négliger le RGPD ou le règlement ePrivacy.

Table des matières:

Mises à jour intégrées à l'application : Équilibrer la confidentialité et les fonctionnalités

Anonymisation de l'identifiant du visiteur : testez sans consentement dans notre mode par défaut

Un principe important du règlement général sur la protection des données (RGPD) de l'Union européenne (chapitre 2, article 5) est la minimisation des données.

Cela signifie que dans le contexte des données personnelles, les fournisseurs de produits et de services ne doivent collecter, stocker et traiter que ce qui est adéquat, pertinent et limité à leur analyse de rentabilisation.

Il n'y a pas de définition claire des données personnelles qui doivent être collectées et de celles qui ne doivent pas l'être. Il est entièrement basé sur le cas d'utilisation spécifique.

Pour appliquer le principe de minimisation des données, nous avons anonymisé l'identifiant du visiteur dans notre suivi en regroupant des centaines de visiteurs du site Web dans des groupes de visiteurs qui ne comptent que la présence du visiteur .

Les visiteurs individuels ne sont pas stockés dans Convert Experiences. Il ne sera en aucun cas possible de reconnecter les comptes de groupe aux visiteurs individuels.

Le GDPR nous a donné l'occasion d'examiner de près ce que nous stockions dans Convert et quel était le cas d'utilisation pour le conserver dans un environnement de plus en plus centré sur la confidentialité.

Suppression des identifiants de transaction : Obtenir "Push"

Nous avons également modifié notre suivi des revenus pour utiliser pushRevenue au lieu de sendRevenue .

• pushRevenue n'envoie aucun ID de transaction.
• sendRevenue envoie l'ID de transaction mais est ignoré et non stocké.

 <script>    window['_conv_q'] = window['_conv_q'] || [];    window['_conv_q'].push(["pushRevenue",revenue,products_cnt,goal_id]); </script>

Expiration persistante des cookies : vous êtes formidable, mais nous ne nous souviendrons de vous que pendant 6 mois

Les cookies persistants sont placés sur l'ordinateur d'un utilisateur lorsqu'il se connecte pour la première fois à un site Web et restent sur cet ordinateur même après que l'utilisateur quitte le site et ferme le navigateur.

Ces cookies ont pris le nom de "cookies de suivi", car ils sont souvent utilisés par les annonceurs pour suivre le mouvement d'un utilisateur du site sur plusieurs pages Web et créer des publicités ciblées basées sur la navigation des utilisateurs et les modèles de recherche.

Chaque cookie persistant a un nom et une date d'expiration fixés par le créateur.

Lorsqu'un site Web envoie un cookie, il demande à votre navigateur de conserver ce cookie particulier jusqu'à ce qu'une certaine date et une certaine heure se soient écoulées.

Selon la recommandation de la directive ePrivacy, les cookies persistants doivent être supprimés au moins tous les 12 mois, mais malheureusement, la plupart sont stockés beaucoup plus longtemps que cela.

Dans Google Adwords, un cookie peut durer jusqu'à 540 jours et dans Google Analytics, un cookie peut durer jusqu'à 2 ans. Des exemples ont été enregistrés de cookies qui ont été conçus pour avoir une durée de vie de +7000 ans !

Les cookies persistants peuvent facilement être utilisés à mauvais escient et cette éventualité suscite de nombreuses inquiétudes. En effet, Yahoo a révélé que les piratages signalés de ses serveurs comprenaient des cookies volés et falsifiés qui permettaient aux pirates d'accéder aux comptes d'utilisateurs sans avoir besoin d'un mot de passe. Cela signifie que les pirates ont pu copier les cookies persistants situés sur les serveurs de Yahoo, en créer des versions falsifiées, puis accéder aux comptes d'utilisateurs sans effort.

Pour répondre à ce défi de confidentialité, chez Convert, nous avons mis en place une réduction de la limite de stockage de la durée de vie des cookies persistants de 12 mois à 6 mois.

Suppression des cookies tiers : nous ne leur « parlons » pas

Un cookie tiers est un cookie qui (a) provient d'un domaine différent, ou (b) est "défini par un contrôleur de données distinct de celui qui exploite le site Web visité par l'utilisateur".

Vous pouvez installer un programme appelé Lightbeam sur votre navigateur FireFox qui vous permet de voir tous les cookies tiers téléchargés dans l'ombre de votre navigateur Web. Voici mes résultats pour mes sites fréquemment visités :

Comme vous pouvez le voir dans la capture d'écran ci-dessus, mon navigateur est littéralement devenu une boîte à cookies - juste après avoir visité 7 sites Web.

Les sites signalent souvent votre visite à des plateformes tierces et partagent vos données de navigation avec elles à des fins publicitaires et marketing.

Les cookies ont reçu beaucoup d'attention dans le cadre de la directive ePrivacy, car non seulement ils suivent les informations, mais ils peuvent en effet voler des informations.

La nature et le processus de suivi par des tiers créent un conflit d'intérêts entre les utilisateurs et les propriétaires de sites Web, en particulier lorsque des cookies tiers provenant d'annonces sur le site sont impliqués.

Si votre site utilise des cookies tiers ou autorise leur utilisation, vous vous exposez à davantage de conséquences en vertu de la loi sur les cookies.

Pour garantir la confidentialité totale des clients et des visiteurs, depuis le 21 février 2018, nous avons désactivé tous les cookies tiers.

Nous avons votre dos : avertissements GDPR pratiques !

Nous avons introduit des avertissements pour informer nos clients des paramètres ou options liés au RGPD utilisés dans leurs projets ou expérimentations :

• Convert Experiences permet traditionnellement de regrouper les visiteurs du site en fonction de conditions telles que l'emplacement et le comportement. Ces groupes sont appelés segments personnalisés. Cependant, après le RGPD, si la fonctionnalité de segmentation est activée, cela peut être interprété par les autorités de protection de la vie privée en Europe comme un moyen d'identifier les personnes concernées. Pour informer les utilisateurs, nous avons inséré des avertissements bien visibles qui s'activent si la segmentation est activée pour au moins une audience.

• Audiences créées avec des données personnelles : un avertissement RGPD existe dans les audiences enregistrées et sur les pages de résumé de l'expérience lorsque les audiences sont créées avec des cookies ou des conditions JavaScript, ou si le fuseau horaire, la ville, la région, l'ID client ou les balises client ont été ciblés :

• Suivi inter-domaines : le cookie inter-domaines est désactivé par défaut pour tous les projets dans Convert Experiences. L'activer active un autre avertissement :

• Les expériences de personnalisation peuvent contenir de petits segments (moins de 100 visiteurs uniques) et cela peut être interprété par les autorités de protection de la vie privée en Europe comme une identification des personnes concernées. Pour cette raison, nous avons ajouté un avertissement au résumé de toute expérience de personnalisation.

Le but de ces avertissements est de s'assurer que nos utilisateurs comprennent quelles fonctionnalités peuvent être considérées comme une "identification" potentielle des personnes concernées par les autorités de l'UE.

Il est difficile de mémoriser l'essentiel des mandats GDPR et des directives ePrivacy !

En utilisant Convert Experiences, vous travaillez avec un outil qui peut faire beaucoup, mais qui ponctue également son potentiel avec des rappels que certaines actions sont désormais interprétées différemment dans les pays de l'Union européenne.

Vous avez la possibilité de désactiver les avertissements GDPR.

Serveur de connexion : Francfort, Allemagne

Un autre grand changement introduit par le RGPD concerne l'emplacement du stockage des données.

Celui-ci est simple.

Si vous stockez des données de citoyens de l'UE, les données doivent rester sur le sol de l'UE. En d'autres termes, vous devez disposer de serveurs dans les pays de l'Union européenne.

Les données ne doivent en aucun cas être envoyées à des serveurs situés en dehors de l'UE (aux États-Unis, par exemple).

Nous avons déplacé notre serveur de connexion des États-Unis vers un centre de données à Francfort, en Allemagne, alimenté par une énergie neutre en carbone.

Configuration DNT : votre navigateur parle, nous écoutons

Do Not Track est un cadre technologique et juridique qui permet aux utilisateurs de refuser le suivi par les réseaux publicitaires, les services d'analyse et les plateformes sociales.

DNT donne au trafic le pouvoir de choisir.

Il s'agit d'une fonctionnalité des navigateurs Web qui permet aux utilisateurs d'exprimer leur préférence pour ne pas être suivis vers les sites Web et les services qu'ils utilisent quotidiennement.

Le RGPD de l'UE impose le respect de cette nouvelle préférence de navigateur. Combinées, la technologie et la loi offrent une voie viable pour revendiquer le droit à la vie privée sur le Web.

DNT est un utilisateur faisant une demande explicite de fonctionnalité, je ne souhaite pas être suivi. DNT est une préférence utilisateur qui oblige le navigateur à envoyer une requête HTTP au serveur indiquant explicitement à ce serveur de ne pas suivre les comportements des utilisateurs.

Nous avons ajouté une prise en charge configurable pour les paramètres « Ne pas suivre » du navigateur par projet.

Par défaut, l'option OFF est sélectionnée lorsque vous créez un nouveau projet, mais vous pouvez choisir l'un des paramètres suivants :

• À L'ARRÊT
• UE uniquement
• EEE uniquement
• À l'échelle mondiale

En bref, nous permettons à nos utilisateurs d'éviter de compter ou d'utiliser de quelque manière que ce soit les données d'individus qui préfèrent ne pas être suivis.

En savoir plus sur cette nouvelle fonctionnalité ici.

Opt Out : un lien pour tous les exclure

Il y a deux côtés à l'histoire du suivi.

Premièrement, les visiteurs avertis du site Web peuvent choisir d'activer Ne pas suivre sur leur navigateur et de se cacher des regards indiscrets.

Deuxièmement, ils devraient avoir le pouvoir de refuser le suivi directement à partir des sites Web qu'ils visitent.

Chez Convert, nous le savons et avons placé la fonction de désactivation https://www.convert.com/opt-out/ sur la page des paramètres de l'application Convert.

En un seul clic sur le lien de désactivation, les visiteurs peuvent choisir de ne pas être suivis par tous les sites Web qui utilisent l'application Convert Experiences.

Tests inter-domaines : non autorisés par défaut

Le suivi inter-domaines permet à Convert Experiences de voir les sessions sur deux sites liés (tels qu'un site de commerce électronique et un site de panier d'achat distinct) comme une seule session. Ceci s'appelle parfois l' enchaînement d'emplacement .

Supposons que vous ayez une boutique en ligne et un panier d'achat tiers hébergés sur un autre domaine, par exemple :

• www.example-store.com
• www.example-commerce-host.com/example-store/

Sans suivi inter-domaines, un utilisateur qui accède à votre boutique en ligne puis accède à votre panier d'achat tiers sera compté comme deux utilisateurs distincts, avec deux sessions distinctes de durées différentes.

Le suivi inter-domaines permet à Convert Experiences de voir cela comme une seule session par un seul utilisateur et la session qu'ils ont commencée sur le site du magasin se poursuit jusqu'au temps passé sur le site du panier.

Cependant, étant donné que le suivi de domaine croisé est une zone grise sous GDPR, lors de la création d'un nouveau projet, l'option configurable pour interdire le lien de domaine croisé est désormais activée par défaut.

DPIA : Nous prenons les changements au sérieux

Les analyses d'impact sur la protection des données (DPIA) aident les organisations à identifier, évaluer et atténuer ou minimiser les risques liés à la confidentialité des activités de traitement des données. Ils sont particulièrement pertinents lors de l'introduction d'un nouveau processus, système ou technologie de traitement de données.

Les DPIA soutiennent également le principe de responsabilité, car elles aident les organisations à se conformer aux exigences du RGPD et démontrent que des mesures appropriées ont été prises pour assurer la conformité.

Saviez-vous que la non-réalisation adéquate d'une DPIA, le cas échéant, constitue une violation du RGPD et peut entraîner des amendes pouvant atteindre 2 % du chiffre d'affaires mondial annuel d'une organisation ou 10 millions d'euros, selon le montant le plus élevé ?

Dans le cadre du projet GDPR de Convert, nous avons développé des conseils pour les membres de l'équipe et un modèle qui est utilisé pour effectuer des évaluations d'impact sur la protection des données (DPIA).

Évaluation de l'intérêt légitime (LIA) : nous ne présumons pas

L'intérêt légitime est l'une des six bases légales énoncées dans le RGPD pour justifier le traitement des données personnelles.

Et cela ressemble au moins de travail!

La base de l'intérêt légitime est large et flexible. En termes simples, cela dit que vous pouvez traiter des données si le traitement de ces données est une évidence.

Mais il y a tellement de façons de l'interpréter que l'utilisation de l'intérêt légitime revient simplement à s'ouvrir au doute et à l'examen. Il est fortement recommandé de recourir à la base de l'intérêt légitime lorsque d'autres bases (par exemple, obligation légale ou intérêt vital) ne sont pas disponibles, ou lorsque l'intérêt légitime est le plus approprié à utiliser pour l'activité de traitement.

Cependant, une évaluation de la proportionnalité est requise. Avant d'utiliser la base d'intérêt légitime, procédez comme suit :

• Test de finalité : identification de l'intérêt légitime ;
• Test de nécessité : évaluer si le traitement est nécessaire pour atteindre cet intérêt ; et
• Test de mise en balance : mettre en balance l'intérêt légitime et les intérêts, droits et libertés de l'individu.

Nous avons mené notre propre évaluation de l'impact sur l'intérêt légitime (LIA) et avons structuré les options de consentement de nos points de contact marketing en conséquence.

PCI-DSS pour les données sécurisées des titulaires de carte : les informations sensibles sont notre priorité

Nous suivons les principes et les normes établis par le PCI Standards Council pour le stockage et le traitement des informations de carte de crédit. Plus d'informations sont disponibles ici.

Bien que la norme PCI DSS se concentre sur la sécurisation des données des titulaires de cartes de paiement et que l'intention du RGPD soit de protéger les données personnelles des résidents de l'UE, une violation PCI est également une violation des données personnelles.

Par conséquent, dans le cadre de la conformité PCI DSS, nous avons toujours effectué des examens annuels des données des titulaires de carte. Ce calendrier d'examens nous donne donc un cadre qui a été utilisé lors de la mise en œuvre des mesures de mise en conformité avec le RGPD.

De plus, nous avons investi dans des technologies sécurisées pour assurer la sécurité des données des titulaires de carte.

Au-delà des mises à jour de l'application : modifications du RGPD apportées à l'équipe de conversion

Juridique:

Nous avons mis à jour notre politique de confidentialité et nos conditions d'utilisation. Nous avons ajouté une nouvelle politique relative aux cookies. Ces mises à jour sont entrées en vigueur pour les utilisateurs et clients existants et nouveaux le 25 mai 2018.
Conformément à l'article 28, paragraphe 4 du RGPD, nous signons en standard un accord de traitement des données (DPA) avec tous nos clients européens.

Ventes:

Nous avons rendu nos processus de vente conformes au RGPD.

• Chat en direct . Si DNT est activé pour les navigateurs, LiveChat ne s'affiche pas. Nous avons supprimé toutes les adresses IP de notre historique LiveChat.
• Formulaire de contact . Il a été mis à jour pour être conforme au RGPD.
• Demander un formulaire de démonstration . Il a également été mis à jour pour refléter les options de consentement GDPR.
• Re-permission des campagnes par e-mail . Nous avons mené des campagnes de réautorisation pour tous les prospects qui sont en conversation avec les responsables de compte afin de recueillir leur consentement pour une assistance individuelle.
• Formulaire d'essai gratuit . Il a été mis à jour pour être conforme au RGPD.

Commercialisation:

Nous avons rendu nos processus marketing conformes au RGPD.

1. Clients de messagerie sortants . Nous avons arrêté les campagnes sortantes par respect pour le RGPD.
2. Re-permission d'une campagne d'e-mails . Nous avons lancé des campagnes de réautorisation sur l'ensemble de notre base de données, obtenant un consentement granulaire pour les contacter avec différents types de communication.
3. Formulaire de newsletter . Il a été mis à jour pour être conforme au RGPD.
4. Formulaires d'aimants en plomb . Ils ont été mis à jour pour être conformes au RGPD.
5. Formulaire de webinaire . Il a été mis à jour pour être conforme au RGPD.
6. Formulaire d'essai gratuit . Il a été mis à jour pour être conforme au RGPD.
7. Formulaire de publication d'invité . Il a été mis à jour pour être conforme au RGPD.

Ressources Humaines (RH):

Nous avons formé notre personnel avec des séminaires et tous ont un certificat GDPR couvrant les connaissances de base.

Service client:

Nous avons formé notre personnel CS pour répondre de manière appropriée aux questions/tickets GDPR et aux violations de données.

Développement:

Plusieurs lignes directrices ont été appliquées à notre cercle de développement logiciel :

1. Formation (Les développeurs ont été formés sur les aspects de confidentialité et de sécurité)
2. Conception (toutes les exigences de conception orientées données et processus ont été pilotées par GDPR)
3. Codage (les développeurs utilisent des outils et des cadres approuvés, désactivent les fonctions et modules dangereux et effectuent régulièrement une analyse et une révision du code statique)
4. Tests (nous avons testé pour nous assurer que les exigences de protection et de sécurité des données ont été correctement mises en œuvre)
5. Avant chaque version, un plan de réponse aux incidents a été établi et un examen de sécurité complet du logiciel a été effectué. La version a ensuite été approuvée et toutes les données pertinentes de l'ensemble du processus de développement ont été archivées.
6. Maintenance (Convert est prêt à répondre aux incidents, aux violations de données personnelles, aux pannes et aux attaques, et est capable de publier des mises à jour, des directives et des informations aux utilisateurs et aux personnes affectées par le logiciel)

Cadre de politique : nous guider vers un avenir axé sur la sécurité des données et la confidentialité

Pour assurer une mise en œuvre et une gestion cohérentes et de haute qualité des ressources, des processus et des pratiques informatiques, nous avons défini un cadre complet de politiques, de procédures et de normes bien définies.

Lors de l'élaboration de ces politiques, procédures et normes informatiques, nous nous sommes référés à la série de normes ISO 27000 qui ont été spécifiquement réservées par l'ISO (International Standards Organisation) aux questions de sécurité de l'information.

Nos politiques informatiques sont divisées en deux domaines : les politiques relatives à la sécurité informatique et à l'utilisation, et les politiques relatives aux données.

Politiques de sécurité informatique et d'utilisation :

Les politiques et procédures suivantes fournissent des directives claires pour la sécurité informatique et l'utilisation :

1. Liste de contrôle de la confidentialité et de la sécurité pour la conformité au RGPD : le RGPD exige de Convert qu'il protège les données personnelles de ses clients et de ses employés à toutes les étapes du cycle de vie du traitement des données. Avec de plus en plus d'entreprises adoptant et utilisant des outils et des logiciels basés sur le cloud, se conformer à cette exigence est un défi. . Les entreprises doivent tenir compte de différents aspects technologiques et juridiques lorsqu'elles recherchent un fournisseur de services. Cette politique particulière nous permet de garder à l'esprit les facteurs les plus critiques lors du choix des fournisseurs de services et des fournisseurs qui s'alignent sur notre approche axée sur la confidentialité.
2. Politique de licence de logiciel libre : Le but de cette politique est de permettre au cercle de développement de savoir quelles politiques de licence de logiciel libre accepter lors du développement de code.
3. Politique de mot de passe des employés : le but de cette politique est de s'assurer que toutes les ressources et données de Convert Insights reçoivent une protection adéquate par mot de passe. La politique couvre tous les employés qui sont responsables d'un ou plusieurs comptes ou qui ont accès à toute ressource nécessitant un mot de passe.
4. Politique d'utilisation acceptable : cette politique est conçue pour aider le personnel de Convert Insights à comprendre ses responsabilités lors de l'utilisation, de l'accès ou de la création de contenu avec les ressources informatiques ou les services en réseau de Convert Insights. Il clarifie et définit (dans des limites raisonnables) ce que Convert Insights considère comme une utilisation acceptable de ces ressources.
5. Politique relative au Web et aux médias sociaux : cette politique clarifie la manière dont Convert Insights régit ce domaine numérique et fournit également des directives aux utilisateurs lors de la création de contenu numérique au nom de Convert Insights et des directives concernant l'utilisation des comptes de médias sociaux officiels de Convert Insights.
6. Politique de sécurité informatique : l'objectif de cette politique de sécurité est de promouvoir une culture qui aide à maximiser la valeur des informations grâce à leur gestion efficace et à leur protection sécurisée, ainsi qu'à protéger Convert Insights et les droits du personnel et des autres parties qui dépendent des informations.
7. Questionnaire sur le service d'hébergement externe : le but de ce questionnaire est de s'assurer que les processeurs de données tiers (au sens du RGPD) ont mis en place des politiques et des procédures acceptables en matière de sécurité informatique et de confidentialité des données afin de minimiser le risque de perte ou d'exposition des données personnelles de Convert Insights. .

Politiques et procédures relatives aux données :

Les politiques et procédures suivantes fournissent des indications claires sur la manière acceptable, sûre et légale dont Convert Insights doit utiliser et gérer les données :

1. Politique générale de protection des données : Cette politique est une déclaration d'engagement de Convert Insights à protéger les droits et la vie privée des individus conformément au RGPD.
2. Plan de gestion des urgences : L'équipe de gestion des urgences (EMT) se réunira en réponse à une violation et décidera si le plan de gestion des urgences doit être invoqué. Cette équipe agira comme un point d'escalade pour les incidents graves ou les violations de la politique liée aux données et aux ressources.
3. Politique de gestion des données : l'objectif de cette politique est de permettre l'accès aux données et informations détenues par Convert Insights, dans la mesure du possible, tout en veillant à ce qu'elles soient protégées contre les utilisations, les accès non autorisés et les atteintes à la vie privée.
4. Procédure de classification des données : la politique de gestion des données exige que les propriétaires des données classent leurs données en fonction de leur sensibilité et de leur criticité. Cette procédure précise comment cette classification doit être effectuée.
5. Politique de formation du personnel sur la protection des données : Cette politique et tout autre document auquel elle fait référence définissent la formation que le personnel de Convert Insights recevra pour s'assurer que tout traitement des données personnelles est conforme au Règlement général sur la protection des données (RGPD).
6. Procédure de demande d'accès aux données : Le but de cette procédure est de s'assurer que Convert Insights respecte les dispositions de demande d'accès du règlement général sur la protection des données et de permettre aux individus de soumettre des demandes d'accès aux données si nécessaire.
7. Politique d'escalade des violations de données personnelles : le but de ces procédures est de fournir un cadre pour signaler et gérer les violations de la sécurité des données affectant les données personnelles ou sensibles détenues par Convert Insights. Ces procédures complètent la Politique de Protection des Données qui affirme son engagement à protéger le droit à la vie privée des individus conformément à la législation sur la Protection des Données.

Convertir GDPR n'est pas un inconvénient.

Il a remodelé la façon dont l'analyse est utilisée et a redéfini sa place dans le monde de l'optimisation.

L'analyse ne consiste plus à thésauriser les données des prospects dans l'espoir de trouver des informations insaisissables.

Il ne s'agit plus de supposer que la personnalisation est la voie à suivre.

L'analyse et les tests post-RGPD concernent le minimalisme. Tirer le meilleur parti des données qui peuvent être traitées de manière nouvelle et innovante.

Si vous souhaitez bénéficier d'un outil qui vous protège à travers ces changements de confidentialité - maintenant et à l'avenir, donnez-nous un délai de 15 jours, sans aucune obligation.