L'impact du RGPD sur la collecte de données CRO : un récapitulatif rapide

Publié: 2019-11-13
L'impact du RGPD sur la collecte de données CRO : un récapitulatif rapide

La base de l'optimisation du taux de conversion sur n'importe quel site Web est la collecte et l'analyse systématiques des données relatives aux visiteurs qui interagissent avec le site Web.

La collecte de données sur les utilisateurs est cruciale pour évaluer comment les visiteurs utilisent, comprennent et aiment les différentes parties d'un site Web. Cependant, en vertu du règlement général sur la protection des données (RGPD) introduit par le Parlement européen en avril 2016 et finalement appliqué en mai 2018, la collecte et le traitement des données personnelles dans l'Union européenne sont devenus unifiés et confinés.

En termes simples, les entreprises ne peuvent plus collecter et thésauriser des données sans raison valable. Ils ne peuvent pas non plus traiter les données comme ils le souhaitent. Et enfin, les données sont désormais accompagnées d'une date d'expiration. Il est nécessaire de purger régulièrement les données qui ne sont pas utilisées pour améliorer l'expérience utilisateur et client de manière tangible.

L'objectif du RGPD est d'harmoniser les lois sur la confidentialité des données dans l'Union européenne, de renforcer les droits à la confidentialité des données des citoyens de l'UE et de prévenir les violations de données. Les organisations qui ne se conforment pas au RGPD peuvent être condamnées à une amende pouvant aller jusqu'à 4 % de leur chiffre d'affaires annuel ou jusqu'à 20 millions d'euros (selon le montant le plus élevé).

Des amendes ont déjà été infligées. Par exemple, l'Information Commissioner's Office (ICO) a annoncé une amende de 183,39 millions de livres sterling pour British Airways en raison d'une violation de données qui a compromis les données personnelles de 500 000 clients et d'une violation du RGPD.

Ainsi, la devise générale du RGPD est que moins vous collectez d'informations personnelles sur les utilisateurs, mieux c'est . Mais cela signifie-t-il que la collecte de données d'utilisateurs auprès des citoyens de l'UE dans le but d'optimiser le taux de conversion est impossible sans risquer de lourdes amendes en vertu du RGPD ?

Principes de traitement des données personnelles dans le cadre du RGPD
Lire l'article complet via www.talacka.com.

Pas nécessairement.

Si vous collectez les données personnelles d'un citoyen de l'UE par le biais d'outils de suivi, de cookies, de logiciels de traitement ou de programmes d'évaluation des données, vous devez savoir quel type de données sont collectées, où elles seront stockées, comment elles seront traitées et quand seront-elles finalement supprimées . La nécessité d'un changement dans la mentalité générale des entreprises et des organisations de posséder les données personnelles des individus s'est intensifiée ces dernières années.

La section sur la portabilité des données personnelles dans le RGPD stipule qu'aucune entreprise ne peut être propriétaire des données d'un individu et que la personne concernée a le droit de partager ses données avec une autre organisation. Ainsi, en vertu du RGPD, les entreprises et les organisations sont légalement tenues d'obtenir un accord de consentement pour la collecte et le traitement des données des visiteurs de leur site Web. De plus, vous devez rédiger le formulaire de consentement en termes clairs pour expliquer clairement pourquoi vous collectez les données et à quoi vous allez les utiliser.

À première vue, cela semble écrasant et difficile à exécuter au quotidien. Cependant, cet article vous aidera à faire face aux exigences du RGPD.

En outre, l'article vous donnera un aperçu de ce qui est considéré comme des données personnelles dans le cadre du RGPD, comment vous pouvez vous conformer au RGPD tout en collectant des données personnelles à des fins d'optimisation du taux de conversion (CRO) et comment le RGPD affecte les outils CRO courants qui sont utilisé pour optimiser les sites Web.

Qu'est-ce que les données personnelles ?

L'article 4 du RGPD définit ce qui constitue des données personnelles.

Les données personnelles sont toute forme d'information permettant d'identifier directement ou indirectement une personne physique. Une personne physique est une personne vivant dans l'UE. Le moyen le plus simple d'identifier une personne consiste généralement à utiliser son nom complet. Mais il peut y avoir plusieurs personnes portant le même nom vivant dans l'UE. Cependant, une combinaison de différents points de données peut suffire à identifier un individu spécifique. Les points de données identifiables pourraient, par exemple, être le nom, l'emplacement, l'adresse e-mail, les informations de connexion, l'adresse IP et les identifiants uniques tels que les identifiants d'utilisateur ou les identifiants de transaction.

En lisant la dernière section, vous avez probablement remarqué que la plupart des outils d'optimisation du taux de conversion couramment utilisés collectent et traitent les points de données identifiables mentionnés. Mais êtes-vous responsable de vous assurer que les outils de traitement de données tiers sont conformes aux réglementations européennes sur la protection des données ?

Outils CRO tiers : comment les utiliser

Le RGPD décrit que le processus de collecte de données est mené par deux entités différentes : le « responsable du traitement » des données et le « sous-traitant » des données. Le responsable du traitement décide de la finalité, de la portée et de l'intention des données collectées. Par conséquent, les contrôleurs de données sont les propriétaires du site Web dans la plupart des cas. Les processeurs de données, d'autre part, traitent les données collectées pour atteindre un objectif prédéterminé au nom du contrôleur de données.

Les processeurs de données sont généralement des outils CRO tiers tels que des cartes thermiques, des outils de test, des analyses de formulaires ou des outils de test A/B. Avant qu'un outil tiers puisse être utilisé, un accord sur ce que l'outil tiers est autorisé à faire au nom du propriétaire du site Web doit être approuvé par le propriétaire du site Web.

Cela signifie qu'un outil tiers en tant que processeur de données agit comme une extension du contrôleur de données.

Le règlement général sur la protection des données stipule qu'un responsable du traitement est légalement responsable des actions du sous-traitant. Ainsi, si le sous-traitant des données sous la forme d'un outil CRO tiers n'est pas conforme au RGPD, le responsable du traitement des données est à son tour non conforme et peut faire face à des sanctions. Il est donc recommandé de vérifier le type de données que les outils de marketing et de suivi que vous utilisez pour votre site Web collectent pour vous.

Maintenant, vous vous demandez probablement : « Quelles sont mes responsabilités dans le cadre du RGPD ? Et quelles mesures devraient être énoncées dans l'accord entre le propriétaire du site Web et l'outil de traitement de données tiers pour assurer la conformité avec le RGPD ? » La liste de contrôle suivante vous donnera un aperçu rapide des exigences GDPR les plus importantes pour les outils tiers ainsi que vos propres exigences.

Liste de contrôle pour les exigences GDPR des outils tiers

  • Accord de traitement des données mis à jour avec une section RGPD ajoutée
  • Le contrat doit indiquer qu'ils n'agiront que sur vos instructions documentées
  • La durée, le but, le stockage et le processus de la méthode de traitement des données
  • Les enregistrements du consentement des visiteurs du site Web doivent être conservés sur une courte période de temps prévue par les exigences du RGPD
  • Les mesures de sécurité des données doivent être indiquées dans l'accord de l'outil tiers
  • Le sous-traitant doit assister le responsable du traitement dans les droits de l'utilisateur d'accéder aux données stockées, dans le retrait du consentement donné et dans le droit à l'oubli et à l'effacement de certaines informations
  • L'outil tiers doit indiquer le type de données personnelles qui seront collectées et traitées
  • Dans l'accord entre le responsable du traitement et le responsable du traitement, une section décrivant les droits et obligations de chaque partie doit être incluse

Liste de contrôle pour les exigences GDPR des propriétaires de sites Web

  • Audit d'informations : Quelles données personnelles collectez-vous/traitez-vous/stockez-vous ?
  • Avoir une justification légale pour collecter des données personnelles (Art. 6, 7-11)
  • Ne pas conserver les données plus longtemps que nécessaire (Art.5)
  • Obtenir le consentement pour la collecte de données personnelles et stocker les consentements comme preuve du consentement donné via une option d'opt-in active (art. 4)
  • Crypter et pseudonymiser les données personnelles chaque fois que cela est possible (art. 32)
  • Facilitez à vos clients le retrait de leur consentement, la collecte et la suppression éventuelle de leurs données collectées (Art. 15, 17, 18, 21)
  • Nommez les outils tiers qui ont accès ou collectent des données personnelles en votre nom
  • Respecter les restrictions pour les transferts de données personnelles vers des pays en dehors de l'EEE (Art. 44-50)

Conformité GDPR : impact possible sur l'expérience et le taux de conversion

En vertu du RGPD, toutes les données collectées doivent l'être après avoir obtenu le consentement explicite de l'utilisateur . Cela peut être potentiellement préjudiciable aux entreprises de deux manières :

  • Les formulaires ne peuvent plus être accompagnés d'un consentement intégré (cases pré-cochées) et ils doivent demander le consentement pour chaque type de traitement de données. Donc, en bref, si un navigateur s'est inscrit à votre lead magnet, ne commencez pas automatiquement à visiter sa boîte de réception avec la newsletter. Cela réduit non seulement le nombre de points de contact avec les prospects, mais si les formulaires ne sont pas conçus avec l'expérience utilisateur à l'esprit, les options de consentement peuvent induire de la frustration et de la fatigue, ce qui entraîne une baisse des taux d'achèvement/de soumission.
Convertir le consentement
  • Pop-ups de consentement aux cookies . Cet article de Convert décompose les différents types de cookies pouvant être utilisés sur un site et explique comment obtenir l'autorisation de les utiliser à partir du trafic. Dans le cas où le cookie que vous avez en tête nécessite un clin d'œil des navigateurs du site, alors des formulaires de consentement aux cookies hideux sont la voie à suivre. La plupart des outils ont leurs propres bannières de consentement aux cookies avec des options de personnalisation très limitées. Les outils agrégés qui permettent la consolidation des consentements aux cookies pour différentes solutions sont inadéquats et obligent les utilisateurs à cliquer ou à quitter la page existante pour s'inscrire ou se désinscrire.

Bien qu'aucune recherche formelle n'ait été menée sur la diminution du trafic, de l'engagement ou des taux de réalisation des objectifs, avant et après le RGPD, la plupart des entreprises ont souffert.

Cependant, cette souffrance a donné lieu à un besoin d'investir dans des techniques d' optimisation du taux de consentement et une meilleure conception et UX - des éléments qui finiront par améliorer la façon dont les entreprises interagissent avec les prospects et les guident tout au long du cycle d'achat/consommation.

Le RGPD et les lois sur la confidentialité des données aux vues similaires qui prennent forme dans le monde entier sont des étapes vers un avenir numérique plus privé et libre - mais il est essentiel que les solutions techniques pour l'application de ces lois soient équilibrées et nuancées, afin qu'ils ne brisent pas les économies d'Internet qui en financent la partie gratuite et universelle, que nous chérissons tous et que nous souhaitons protéger.

Daniel Johannsen, PDG de Cybot, créateurs de Cookiebot.

Stockage, effacement et classification des données personnelles

Une autre exigence du GDPR qui peut avoir un impact sur la collecte de données à des fins de CRO est le stockage et le traitement des données personnelles. Cela peut être particulièrement compliqué, car de nombreux outils CRO stockent des données personnelles et de nombreuses parties peuvent être impliquées dans le processus d'analyse des données. Ainsi, cela dépend du nombre d'outils CRO que vous utilisez pour votre site Web, mais il est généralement possible de restreindre le stockage à long terme des données personnelles dans les outils CRO utilisés.

La nécessité d'effacer les données collectées et conservées par les organisations ou les entreprises fait débat depuis de nombreuses années. En vertu du RGPD, une personne peut demander à ce que ses données personnelles soient effacées sans plus tarder. Cependant, la manière dont les organisations doivent présenter une preuve de la suppression des données n'est pas tout à fait claire, car cela soulèverait des questions sur la confidentialité des données et les politiques de l'entreprise.

Un autre point qui doit être abordé est la classification appropriée des données personnelles. En tant qu'organisation, vous devez savoir quel type de données vous devez collecter pour gérer votre entreprise avec succès.

Les règles de collecte de données du RGPD décrivent l'importance pour les entreprises de ne collecter des données personnelles qu'avec une justification légale. Au total, il existe 6 bases juridiques pour la collecte des données : Consentement, contrat, obligation légale, intérêts vitaux, mission publique et intérêts légitimes. Une justification légale commune pour la collecte et le traitement des données personnelles est un intérêt légitime. Il pourrait s'agir, par exemple, du traitement de données à des fins de reciblage ou de marketing direct (considérant 47). Cela limitera également l'utilisation non autorisée des données personnelles par des outils tiers et réduira ainsi le risque de vol de données.

Conclusion:

Les exigences obligatoires du RGPD peuvent partiellement affecter le processus de collecte de données pour l'optimisation du taux de conversion. En particulier, le volume des données collectées est affecté par le formulaire de consentement "opt-in" sur les sites Web. De plus, les outils CRO tiers qui collectent des données pour vous doivent être vérifiés afin que vous puissiez vérifier si les exigences GDPR les plus importantes sont incluses dans l'accord, car vous êtes responsable des violations potentielles du GDPR par des tiers.

Dans l'ensemble, cependant, ce sont des changements positifs qui porteront leurs fruits sous la forme d'interactions plus libres entre les prospects et les marques - sans la crainte sous-jacente d'une mauvaise utilisation des données. Toute baisse des taux de conversion dans le présent sera compensée car les marques conscientes adoptent la conformité à leur rythme et investissent dans le développement de pratiques visant à rendre le processus d'acquisition du consentement aussi indolore (et même agréable) que possible.