Le troisième principe de la Privacy by Design exige que la protection des données soit intégrée comme fonction centrale directement dans la conception.
La protection de la sphère privée ne doit pas être comprise comme un Add-On (ajout). Outre les effets sur le processus de développement d’un site Web, la protection des données doit être comprise comme un composant fermement intégré, également pour ce qui est de la conception de l’interface utilisateur. Cela comprend donc également une stratégie pour le maniement des données collectées.
Si un site Web comprend une possibilité de connexion du client ou une possibilité de personnalisation, il est important de développer par avance une stratégie d’octroi des droits. Une stratégie d’octroi des droits vise un consensus informé avec l’utilisateur. En d’autres termes, l’utilisateur est informé à tout moment de la manière dont ses données sont collectées, quelles données sont nécessaires et à quelles fins ces données sont utilisées.
Selon le degré de criticité ou de clarté du genre d’autorisation qui est demandé, on peut recourir à différentes possibilités pour obtenir ce consensus informé avec l’utilisateur du site Web. L’illustration suivante est tirée des Material Design Guidelines de Google :
Les autorisations cruciales sont demandées par avance, les autorisations secondaires dans le contexte !
Informer avant de demander : si l’appli ou le site Web présente une introduction (onboarding), on pourra s’en servir pour expliquer à l’utilisateur la raison et la nature des autorisations, peut-être même inattendues, qui seront demandées.
D’abord demander : les autorisations autant cruciales qu’évidentes devraient être demandées dès le premier démarrage.
Faire la demande dans le contexte : on attend qu’une fonctionnalité soit appelée pour demander l’autorisation qui lui correspond. Les utilisateurs sont plus enclins à accorder une autorisation quand ils comprennent la fonction dans son contexte et quand ils veulent l’utiliser.
Informer dans le contexte : expliquer le besoin d’une autorisation dans son contexte contribue à améliorer la compréhension pour l’autorisation demandée.
Avec cette stratégie, on est déjà bien armé pour intégrer la sphère privée de l’utilisateur dans la conception d’un site Web :
Outre le processus de la saisie, il importe également d’indiquer à l’utilisateur de quelle manière les autorisations et les données collectées seront utilisées. Une stratégie simple consiste à refléter les données qui ont été demandées dans des fonctionnalités. Comme pour ce qui est questionnaire du premier article, la réflexion aide à éviter de demander des données inutiles.
Si la protection des données et la préservation de la sphère privée sont intégrées et incluses d’entrée de jeu dans la conception visuelle, on aura accompli un pas supplémentaire important pour le respect des exigences du concept de la Privacy by Design.