Confidentialité optimale : comment gère-t-elle la confidentialité de manière optimale ?

À mesure que les plates-formes de test A/B deviennent plus sophistiquées, les problèmes de confidentialité qui les entourent augmentent également.

Optimizely est l'une des plateformes d'optimisation les plus populaires dans l'espace de test A/B, il est donc important de comprendre sa position sur la confidentialité. Un grand pouvoir implique de grandes responsabilités. Et avec une grande responsabilité vient un plus grand besoin d'intimité.

Dans cet article, nous évaluons comment Optimizely aborde la confidentialité et ce que vous devez savoir avant de choisir cette plateforme d'expérience numérique.

Commençons par analyser si Optimizely respecte aujourd'hui les principales lois sur la confidentialité.

Optimizely est-il conforme au RGPD ?

Le Règlement général sur la protection des données (RGPD) est un règlement clé qui vise à renforcer et unifier la protection des données et la vie privée dans l'Union européenne et l'Espace économique européen. Optimizely utilise les contrôles de confidentialité commerciaux et technologiques nécessaires pour protéger les données et se conformer au RGPD.

Comment Optimiser GDPR est-il prêt ?

La conformité au RGPD est un élément essentiel du service et de la conception d'Optimizely. Voici quelques étapes qu'il a suivies pour se conformer au RGPD :

• Produits et domaines d'activité identifiés impactés par le RGPD
• Nommé un Délégué à la Protection des Données (DPO)
• Réécrit son accord de traitement des données
• Amélioré et modifié ses produits, services, processus et procédures pour répondre aux exigences du RGPD
• Passé en revue ses sous-traitants ultérieurs
• Conformité totale finalisée et communiquée à l'Autorité de protection des données (DPA)

Optimizely est-il prêt à gérer la réglementation ePrivacy ?

Le règlement ePrivacy (ePR) est une loi à venir sur la protection de la vie privée visant à transformer les règles relatives au consentement aux cookies, au marketing direct et aux communications interentreprises (B2B). Contrairement au GDPR, il réglementera même les données non personnelles dans les communications électroniques.

Alors que les entreprises sont aux prises avec le RGPD, il est intéressant de voir si elles sont prêtes pour cette nouvelle réglementation. Pour déterminer si Optimizely est équipé pour faire face à ePrivacy, nous devons d'abord évaluer les données qu'il collecte.

Données des visiteurs

Suit de manière optimale les visites sur un site Web et collecte des informations sur le comportement des utilisateurs. Ces informations agrégées sont appelées « données des visiteurs » et comprennent :

• Données de l'agent utilisateur : données basées sur les propriétés d'un appareil, y compris des détails sur le type de navigateur Web et les systèmes d'exploitation utilisés par les visiteurs.
• Adresse Web : informations sur l'emplacement d'une page Web.
• Données d'événement : enregistre le comportement de l'utilisateur et examine si un visiteur a cliqué sur un bouton sur un site Web ou effectué une action similaire. Cela peut également inclure des attributs personnalisés et des balises d'événement.
• Horodatage : la date et l'heure auxquelles un événement se produit.
• Identifiant de l'utilisateur final (ou identifiant du visiteur) : un numéro d'identification (ID) généré de manière aléatoire et attribué à un visiteur par projet. Cela correspond au cookie optimiselyEndUserId pour l'expérimentation et la personnalisation.
• ID de test et de variation : déterminez où le visiteur s'est classé lors de la visite d'un site Web.
• Géodonnées externes : éléments associés à l'adresse IP d'un visiteur, notamment le pays, la ville, la région, etc.

Optimizely organise ses services afin que ses clients puissent spécifier les catégories de données qu'ils souhaitent partager et recevoir. Ces catégories ne révèlent pas nécessairement l'identité de l'utilisateur. Cependant, si les URL collectées par Optimizely contiennent des informations personnellement identifiables (PII), telles que le nom ou le numéro de téléphone, ou si elles renvoient à des pages contenant des PII, il peut également collecter ces informations.

En tant que plate-forme ouverte, Optimizely vous fournit des données supplémentaires sur les visiteurs, telles que les attributs des acheteurs réguliers. Il collecte des données basées sur des fonctionnalités et une configuration spécifiques, telles que :

• Profils Clients Dynamiques (DCP)
• Attributs de liste
• Audiences adaptatives
• Indicateurs de fonctionnalité
• Intégrations

Afin de minimiser la quantité de données personnelles collectées, Optimizely interdit aux visiteurs de fournir des informations personnelles ou sensibles supplémentaires, telles que des informations sur la santé.

Données utilisateur du produit

Optimizely recueille certaines informations de base, telles que le nom d'utilisateur, le nom, l'e-mail professionnel, le contact professionnel, le titre du poste, etc., lorsque les utilisateurs créent un compte ou s'inscrivent à son webinaire ou à sa newsletter. C'est ce qu'on appelle les données utilisateur du produit , et elles sont détaillées comme suit :

• Lors de l'inscription et de la création d'un compte : les visiteurs d'Optimizely peuvent lire les descriptions de produits et de services sans divulguer aucune information personnellement identifiable. Cependant, vous devez créer un compte et configurer un profil pour effectuer des transactions avec Optimizely et devenir client. Lors de l'inscription, il vous demande votre nom, le nom de votre organisation, son adresse postale et votre adresse e-mail. Il vous demande également de sélectionner un mot de passe. Une fois que vous êtes un utilisateur enregistré, vous pouvez mettre à jour votre profil et fournir des informations supplémentaires telles qu'un surnom et certaines préférences d'utilisateur.
• Lors de l'inscription à un webinaire ou de la demande d'une newsletter : les visiteurs et les clients peuvent s'inscrire à un webinaire Optimizely ou demander une newsletter. Stocke de manière optimale uniquement les adresses e-mail à titre de référence.

ePrivacy limite la collecte de données PII, et puisque Optimizely permet aux utilisateurs de transmettre ces données aux URL via les données des visiteurs, il n'est pas vraiment conforme à ePrivacy. Au lieu de cela, il lui reste encore un long chemin à parcourir pour se préparer à de nombreuses réglementations à venir.

Optimizely est-il un bon choix pour les marques soucieuses de la confidentialité dans l'UE ?

Comme mentionné précédemment, le règlement ePrivacy n'est pas encore une loi sur la protection des données. Cependant, une fois adopté, il sera adopté dans les 20 jours suivant sa publication au Journal officiel de l'UE, suivi d'un délai de grâce de deux ans avant son entrée en vigueur.

Par conséquent, contrairement à ce que pensent la plupart des entreprises, le règlement ePrivacy viendra compléter, et non remplacer, le RGPD lorsqu'il entrera en vigueur.

Ainsi, jusqu'à la date d'entrée en vigueur, toutes les marques soucieuses de la confidentialité dans l'UE et dans le monde peuvent utiliser Optimizely. Cependant, Optimizely doit s'attacher et apporter des modifications cohérentes aux données qu'elle collecte pour rester pertinentes et adaptées aux entreprises ayant des normes de confidentialité élevées.

Conformité HIPAA optimisée

Les prestataires de soins de santé ont du mal à fournir un contenu personnalisé sur les plateformes numériques en raison des risques de sécurité des données associés aux informations de santé. La loi HIPAA (Health Insurance Portability and Accountability Act) soulage les entreprises de soins de santé et leur fournit des conseils indispensables.

Il protège les informations de santé protégées (PHI), telles que le nom, l'adresse, les coordonnées, etc. divulguées à un fournisseur de services tiers.

Optimizely est-il conforme à la loi HIPAA ?

Pour être conformes à la loi HIPAA, tous les fournisseurs tiers et prestataires de soins de santé doivent conclure un accord d'association commerciale (BAA), un contrat écrit conçu pour protéger les données de santé sensibles.

Optimizely doit-il être conforme à la loi HIPAA ?

Le fait qu'Optimizely exige ou non la conformité HIPAA dépend du type de données qu'il collecte et utilise. Essentiellement, Optimizely n'est pas conforme à la loi HIPAA et déclare spécifiquement la non-conformité dans son accord sur les conditions d'utilisation.

Non-conformité HIPAA . Le client reconnaît qu'Optimizely n'est pas un associé commercial ou un sous-traitant (tels que ces termes sont définis dans HIPAA) et que le service Optimizely n'est pas conforme à HIPAA. « HIPAA » désigne la loi sur la portabilité et la responsabilité en matière d'assurance maladie et les modifications et réglementations connexes telles que mises à jour ou remplacées. Les « Données réglementées » comprennent les données réglementées par la HIPAA et les données couvertes par la loi Gramm-Leach-Bliley (ou les règles ou réglementations connexes) telles que mises à jour ou remplacées.

Comment compenser de manière optimale la non-conformité HIPAA ?

Les recommandations de contenu d'Optimizely répondent aux problèmes de sécurité des données et compensent leur non-conformité avec HIPAA de la manière suivante :

• Stockage des PHI : sa personnalisation en cours de session ne nécessite pas de PHI pour personnaliser le contenu.
• Personnalisation croisée : la personnalisation s'arrête lorsqu'une session expire.
• Intelligence de contenu Episerver : Il vous fournit des données d'intention de première partie sur chaque visite du site afin que vous puissiez augmenter l'impact de votre engagement.
• Personnalisation à l'échelle : les règles ne peuvent pas suivre le rythme de l'évolution du paysage des patients et des avancées médicales. Utilise de manière optimale des algorithmes d'apprentissage automatique (ML) pour décider qui obtient quel contenu sans enliser votre équipe avec des règles interminables "if/else".

Optimizely-Episerver Content Recommendations vient à la rescousse et fournit une solution efficace pour la personnalisation croisée et les soins de santé dynamiques.

Les visiteurs peuvent-ils désactiver Optimizely Tracking ?

Les visiteurs peuvent facilement désactiver le suivi Optimizely via l'appel API Optimizely.

Que signifie l'opt-out ?

• L'utilisateur ne sera pas inclus dans un test
• Ils ne verront aucun changement de variation
• Project JS ne s'exécutera pas sur la page
• L'utilisateur ne sera pas suivi
• Ils resteront désactivés (c'est-à-dire que tous les points ci-dessus s'appliquent) partout où Optimizely s'exécute

Utiliser Optimizely Web sans gestionnaire de balises

Si vous n'utilisez pas de gestionnaire de balises sur votre site, vous pouvez demander à Optimizely de ne pas suivre un visiteur du site en définissant un cookie appelé OptimizelyOptOut sur "true". Vérifie de manière optimale ce cookie avant d'exécuter le contenu de l'extrait de code JavaScript. Il est préférable d'utiliser l'API optOut officiellement prise en charge plutôt que de définir directement le cookie.

Vous devez ajouter le code au-dessus de l'extrait Optimizely sur votre page. Sinon, l'extrait de code Javascript s'exécute et définit le(s) cookie(s) de suivi et les éléments de stockage de vos visiteurs.

Voyons comment utiliser l'API optOut.

 <script>
window["optimizely"] = window["optimizely"] || [] ;
window["optimiser"].push({
 "type": "désactiver",
 "isOptOut": vrai
});
</script>
<script src="https://cdn.optimizely.com/js/{project_id].js"></script>

Si un visiteur accepte le suivi des cookies, vous pouvez réactiver le suivi de ce visiteur en réécrivant la valeur du cookie optimiselyOptOut sur "false".

Par exemple, si vous affichez une bannière de cookie (un élément superposé qui demande le consentement du suivi des visiteurs), vous pouvez réécrire la valeur du cookie optOut sur false après avoir obtenu le consentement avec le code suivant.

 window["optimizely"] = window["optimizely"] || [] ;
window["optimiser"].push({
 "type": "désactiver",
 "isOptOut": faux
});

Techniquement, liez cette API à la logique qui s'exécute lorsque le visiteur consent au suivi.

Utiliser Optimizely Web avec un gestionnaire de balises

À l'aide d'un gestionnaire de balises, vous pouvez utiliser une logique conditionnelle pour charger l'extrait de code JavaScript Optimizely uniquement lorsqu'un visiteur donne son consentement.

Étant donné qu'un cookie opt-in n'est pas requis dans toutes les régions ou pour tous les cookies, Optimizely ne définit pas le cookie optimiselyOptOut par défaut. En tant que propriétaire du site, vous êtes responsable de déterminer si vous devez définir ce cookie ou utiliser l'une des méthodes ci-dessus si nécessaire.

Si vous définissez l'optimizelyOptOut sur "true" par défaut (comme indiqué ci-dessus), l'extrait de code Optimizely s'exécute "normalement" (suivi des visiteurs sur votre site) uniquement lorsque l'API optOut est définie sur "false".

Avec les solutions opt-in, l'extrait Optimizely Javascript s'active lors du rechargement de la page après l'inscription d'un visiteur, car il est désactivé lors du chargement initial de la page.

Pile complète optimisée

Optimizely Full Stack ne s'appuie pas sur les cookies pour les expériences, de sorte que les exigences relatives aux cookies du règlement ePrivacy n'auront pas d'impact sur cette fonctionnalité.

Néanmoins, les utilisateurs de Full Stack dans l'UE doivent s'assurer qu'ils se conforment au RGPD. Elle exige des entreprises qu'elles aient des « intérêts légitimes » pour le traitement des données personnelles au sein de l'UE.

En tant que contrôleur de données, il est de la responsabilité d'une entreprise de respecter les obligations légales de traitement du consentement avant d'inclure des données personnelles dans une expérience Optimizely Full Stack.

Pour cela, vous devez indiquer clairement que vos expériences impliquent des efforts de première partie pour améliorer l'expérience utilisateur et que vous ne partagerez pas les données utilisateur avec des tiers (tels que des partenaires publicitaires).

Vous devez également exclure les utilisateurs des expériences complètes s'ils retirent leur consentement.

Comment se positionne-t-il de manière optimale par rapport à ses concurrents en matière de confidentialité ?

Optimizely est peut-être un géant de l'expérience numérique, mais il doit toujours faire attention à ses alternatives, en particulier lorsqu'il s'agit de confidentialité. Il a également l'habitude de laisser les clients dans l'ignorance des changements soudains de prix. Il n'est donc pas étonnant que de nombreuses entreprises se tournent vers des fournisseurs alternatifs.

À titre de référence, nous comparerons les options de confidentialité d'Optimizely à celles de Convert Experiences et de VWO. Nous examinons également :

• Emplacement du serveur de chaque outil
• Comment ils traitent les cookies tiers
• Suivi inter-domaines par défaut
• S'ils autorisent les utilisateurs à désactiver le suivi

Quels changements ont été apportés de manière optimale à la confidentialité après l'acquisition d'Episerver ?

En septembre 2020, Episerver a annoncé l'acquisition d'Optimizely. Un an plus tard, Episerver s'est réintroduit sous le nom d'Optimizely pour accroître la reconnaissance de la marque.

L'acquisition et le changement de marque d'Optimizely ont créé des opportunités pour les clients d'Episerver et d'Optimizely, car le besoin de fonctionnalités de personnalisation et de commerce est devenu plus évident.

En termes de confidentialité, Optimizely a considérablement augmenté depuis l'acquisition.

1. Episerver respecte la confidentialité par conception et par défaut. Il publie de nouvelles politiques chaque semaine pour s'assurer qu'il reste conforme au RGPD et aux autres lois applicables en matière de confidentialité.
2. Il accueille des réunions annuelles, des formations, des séminaires, des webinaires et des séries éducatives sur la protection des données, la sécurité, la confidentialité et les informations personnelles.
3. Episerver a également mis à jour l'accord de traitement des données (DPA) d'Optimizely pour que tous les nouveaux fournisseurs concernés signent et garantissent le respect des réglementations en matière de protection des données et de confidentialité.
4. Episerver a amélioré la déclaration de confidentialité et la politique d'Optimizely pour les demandes d'accès et d'effacement des personnes concernées en vertu du RGPD et du California Consumer Privacy Act (CCPA), offrant des droits d'accès et de suppression aux résidents de l'UE et de la Californie. Il dispose désormais d'un modèle clair pour obtenir le consentement et supprimer des informations en cas de besoin.
5. L'équipe de réponse aux incidents de sécurité (SIRT) d'Episerver peut gérer les incidents potentiels de sécurité ou de confidentialité. Il catégorise tous les incidents de sécurité comme hautement prioritaires (P1) et les transmet à l'équipe dédiée.
6. Episerver a lancé le Episerver Trust Center, mettant en évidence les contrôles unifiés de sécurité, de conformité et de confidentialité pour protéger les données des clients.

Episerver a réorganisé Optimizely, élevant la barre de la conformité au RGPD et des pratiques de confidentialité afin de fournir une base juridique solide.

Episerver a fait de la conformité au RGPD une priorité quotidienne dans le développement de produits et les services gérés à l'échelle mondiale.

Peter Yeung, vice-président, avocat général et responsable mondial de la protection des données, Episerver

Peter a en outre ajouté qu'Episerver a une longue histoire de pionnier dans les industries et les pays hautement réglementés, résultant en des solutions conçues dans un souci de conformité. Il combine des années d'expérience et de connaissances approfondies de l'infrastructure cloud avec un engagement profond envers la protection, la sécurité et la conformité des données.

Relever les défis futurs

Optimizely a déployé de grands efforts pour se conformer au RGPD, au CCPA, à la loi générale sur la protection des données personnelles (LGPD) et aux autres lois applicables en matière de confidentialité.

Il a peut-être intensifié ses efforts pour garantir la confidentialité et la sécurité des données après son acquisition, mais il n'envisage guère le prochain règlement ePrivacy. Optimizely doit passer au niveau supérieur pour l'expérimentation et la collecte de données.

Les données pilotent tout, du développement d'une hypothèse de test à la fourniture d'une expérience utilisateur plus personnalisée et au suivi de l'efficacité d'un test. Cela signifie que les équipes d'expérimentation doivent donner la priorité à la confidentialité des données.

Le RGPD ne traite que des données générales (personnelles), tandis que ePrivacy entend compléter le RGPD, couvrant et auditant la confidentialité des données de manière générale. Le règlement ePrivacy couvre le marketing, toute une liste de technologies de suivi (y compris, mais sans s'y limiter, les cookies), et vise à lutter contre le profilage et la publicité comportementale avec transparence et consentement affirmatif.

Tant qu'Optimizely ne prend pas en compte ePrivacy, il manque une pièce essentielle du puzzle. Et même si cela commence aujourd'hui, mettre cette pièce en place ne sera pas facile.

Vous recherchez un outil de test A/B puissant qui ne vous ruine pas ?

Convert Experiences est votre solution. Il offre toutes les fonctionnalités dont vous avez besoin pour améliorer votre site Web, sans le prix élevé. Vérifiez l'alternative de façon optimale