[Mise à jour] Les outils d'enregistrement de session présentent-ils un risque pour la confidentialité sur Internet ? 07 mars 2018

La confidentialité sur Internet et plus particulièrement l'utilisation d' outils d'enregistrement de session ont fait l'objet d'un débat animé ces derniers mois. Alors que les régulateurs et les leaders de l'industrie se préoccupent de la manière dont les spécialistes du marketing utiliseront les sessions enregistrées collectées à partir de ces outils, il existe également des inquiétudes concernant l'impact social et criminel du stockage de données personnelles sensibles à la vie privée à l' insu du visiteur.

La perspective que ces données sensibles à la vie privée soient exposées ou tombent entre de mauvaises mains ainsi que le fait que les visiteurs ne sont souvent pas conscients qu'elles sont stockées en premier lieu soulèvent un certain nombre de questions différentes. Existe-t-il des risques juridiques pour les entreprises qui utilisent des outils d'enregistrement de session sur leurs sites Web ? Ces outils sont-ils actuellement conformes aux lois sur la confidentialité ? Comment ces lois évoluent-elles et quelles en seront les conséquences pour les entreprises à l'avenir ?

Dans cet article, Mopinion examine de plus près les outils d'enregistrement de session et ce qui nous attend. Nous aborderons ce qui différencie ces outils des autres outils de marketing en ligne, par exemple où ils excellent et où ils échouent. Après avoir consulté plusieurs experts en matière de confidentialité, dont Frank Wijnans (porte-parole du Piratenpartij, membre de Pirate Parties International - PPI) et Arnoud Engelfriet (avocat en informatique et confidentialité), nous nous concentrerons également sur les risques potentiels pour la confidentialité et les conséquences juridiques de l'utilisation de tels outils.

Que sont les outils d'enregistrement et de relecture de session ?

L'enregistrement et la relecture de session sont essentiellement la possibilité d'enregistrer, de sauvegarder et de rejouer les interactions de vos visiteurs sur votre site Web. Une rediffusion de session précieuse est celle qui fournira aux spécialistes du marketing en ligne et aux concepteurs UX des informations approfondies sur l'expérience utilisateur des visiteurs du site Web. Cela se fait en enregistrant les visiteurs sur le site Web lorsqu'ils cliquent, défilent, saisissent ou naviguent sur différentes pages Web.


Source : Hotjar

Après avoir analysé les enregistrements de sessions individuelles et identifié les points faibles, les utilisateurs peuvent optimiser leur site Web en conséquence pour augmenter les conversions et les ventes, ainsi que pour améliorer l'expérience utilisateur globale. Certains exemples de tels outils incluent Hotjar, Mouseflow et Inspectlet.

Pour un aperçu complet des outils d'enregistrement des visiteurs et de relecture de session, cliquez ici.

Livre blanc gratuit : L'avenir du feedback client en ligne

Découvrez comment tirer parti de la puissance des commentaires des clients en ligne pour optimiser les sites Web et les applications.

Télécharger le papier

Comment les outils d'enregistrement de session se comparent-ils aux autres outils de marketing en ligne ?

Lorsque nous comparons les outils d'enregistrement de session avec d'autres outils de marketing en ligne, la confidentialité et le profilage sont ce qui distingue vraiment ces outils. Par exemple, des outils tels que la publicité en ligne en savent long sur votre comportement en ligne et sur vous en tant que visiteur. Les publicités sur Facebook en sont un bon exemple. Cependant, la différence entre les outils publicitaires et les outils d'enregistrement de session est que l'annonceur (utilisateur final) ne voit jamais les données personnelles ou sensibles à la vie privée, par exemple les noms d'utilisateur ou d'autres informations privées.



Avec des outils marketing tels que l'analyse Web, les données sont basées sur un comportement de clic anonyme, ce qui signifie que le clic ne peut révéler aucune information sensible sur la personne et - dans de nombreux cas - ils anonymisent les adresses IP. L'outil d'analyse montre simplement que les visiteurs ont cliqué sur quelque chose et mesure les interactions en ligne telles que les sessions sur les pages Web ou identifie où les visiteurs ont quitté le site. Il en va de même pour de nombreux autres outils d'expérience utilisateur (UX) qui suivent le comportement de la souris et des clics, tels que la cartographie thermique et les outils de test A/B.

D'autres outils de marketing en ligne tels que les commentaires des clients sont également différents des outils d'enregistrement de session en ce sens qu'ils sont "initiés par l'utilisateur". Cela signifie que l'"opt-in" a lieu lorsque le visiteur du site Web ou l'utilisateur de l'application mobile décide de remplir un formulaire de commentaires.

Avantages et inconvénients des outils d'enregistrement de session

Alors pourquoi les entreprises choisissent-elles de travailler avec des outils d'enregistrement de session ? Les avantages l'emportent-ils vraiment sur les inconvénients ? La seule façon de le savoir est de regarder les deux côtés. Jetons un coup d'œil ci-dessous.

Avantages:

• Affiche les interactions réelles des visiteurs en ligne.
• Regarde les sessions des visiteurs à un niveau individuel.
• Révèle où les visiteurs se retrouvent coincés dans des entonnoirs particuliers (par exemple, le panier) ou se déposent.
• Aide à découvrir et à reproduire les bugs pour améliorer l'expérience utilisateur.
• Comprendre et améliorer les processus d'intégration. Découvrez précisément où les utilisateurs échouent dans les flux d'intégration.
• Testez et améliorez de nouvelles fonctionnalités ou pages. Par exemple, voyez comment les visiteurs réagissent à une nouvelle page de destination.

Les inconvénients:

• Manque de contexte. Il n'y a aucune explication directement du visiteur concernant son activité. Les actions des visiteurs sont laissées à l'entreprise pour interpréter.
• Difficile d'analyser un grand nombre de sessions de visiteurs individuels.
• Regarder des enregistrements individuels prend du temps et tous les enregistrements ne fourniront pas des informations précieuses.
• Introduit un risque pour la confidentialité des données personnelles des visiteurs.

Remarque : Le dernier point ci-dessus peut être perçu comme quelque peu troublant à la fois par les consommateurs et les entreprises qui utilisent l'enregistrement de session. En effet, de nombreuses entreprises qui utilisent des outils d'enregistrement de session sont souvent exclusivement responsables de fournir les contrôles nécessaires pour protéger les données de leurs clients. Alors quels sont les risques encourus ?

Risques pour la vie privée liés à l'utilisation d'outils d'enregistrement de session

Les visiteurs en ligne s'engagent chaque jour dans divers processus en ligne. Qu'il s'agisse de remplir des formulaires de contact, de consulter des services d'assistance ou de passer des commandes en ligne, leurs actions sont enregistrées à chaque étape du processus. Autrement dit, si le site Web dispose d'un outil d'enregistrement de session.

Un facteur important à reconnaître ici est que pendant les enregistrements de session, des éléments tels que la saisie de texte et les sélections de formulaires sont également enregistrés. C'est là que le plus grand risque semble résider car les informations saisies ou sélectionnées peuvent contenir des détails sur le visiteur qui sont sensibles à la vie privée, par exemple des données personnelles sur le visiteur, des données financières ou même des données médicales.

Risques liés aux données médicales
Les données médicales, par exemple, deviennent de plus en plus vulnérables aux violations de données. Selon l'Independent, les dossiers médicaux ont plus de valeur pour les criminels que les données financières, car le vol de ces dossiers leur donne souvent le temps de planifier ce qu'ils feront ensuite - créer de faux avatars pour accéder à l'assurance médicale ou aux paiements, ou tirer parti des informations personnelles. information contre quelqu'un. Malheureusement, les victimes de tels crimes ne détectent généralement rien tant que le plan n'est pas déjà en marche.



Risques liés aux données financières
Ces outils présentent également un risque majeur en termes de fuite de données financières. Si les informations financières étaient compromises de quelque manière que ce soit, les visiteurs pourraient être victimes d'un vol d'identité. Par exemple, les criminels peuvent utiliser ces informations pour contracter des emprunts, produire de fausses déclarations de revenus ou louer illégalement un appartement.



Dans un scénario hors ligne, l'équivalent proche des outils d'enregistrement de session serait d'avoir une caméra dans la pièce. Par exemple, lors d'un rendez-vous avec votre conseiller financier, vous lui fournissez des informations telles que votre numéro de sécurité sociale (ou BSN), votre numéro d'identification fiscale et votre numéro de compte. Tout cela serait enregistré sur caméra et stocké pour un examen ultérieur.

Risques liés aux données personnelles
Gardez à l'esprit, cependant, que si les données médicales et financières sont certainement les types de données les plus vulnérables ainsi que les plus strictes en termes de politiques de l'industrie, il existe d'autres éléments d'enregistrement de session qui pourraient être indésirables pour les visiteurs en ligne.

Imaginez que vous magasinez sur un site Web de vente au détail en ligne en sachant que chaque mouvement que vous effectuez est enregistré. Le magasin de détail peut voir comment vous avez recherché des articles particuliers et quels produits vous avez placés dans votre panier. Et non seulement cela, ils ont ajouté toutes ces actions à un profil spécialement conçu pour vous au moment où vous vous êtes inscrit et connecté. Cela pourrait sembler assez invasif si ces clients étaient au courant que de tels enregistrements avaient lieu.



L'un des événements les plus récents et les plus troublants qui ont tourmenté de nombreux outils de relecture de session - tels que Mixpanel, UserReplay et SessionCam - est la collecte involontaire de données de mot de passe auprès de leurs clients. Un exemple de ceci est la fonctionnalité « Afficher le mot de passe » que de nombreux clients de ces entreprises ont sur leur site Web. Il y a eu des cas où la fonctionnalité a confondu les protections contre la suppression du mot de passe de sorte que lorsque l'utilisateur a cliqué sur "Afficher le mot de passe", puis a pris toute autre mesure sur la page, l'outil a automatiquement enregistré le mot de passe. En savoir plus sur la façon dont cela fonctionne ici.

Quelles mesures doivent être prises pour protéger les données des visiteurs ?

Frank Wijnans, porte-parole du Parti Pirate (NL) partage ses réflexions à ce sujet :

Ce débat [si les outils d'enregistrement de session présentent ou non un risque pour la vie privée sur Internet] se résume à une question : est-ce considéré comme une donnée personnelle ? Et je peux vous donner une réponse rapide : oui, ça l'est. Ce qui signifie que ces informations doivent donc être traitées avec toutes les précautions nécessaires.

De nombreux spécialistes du marketing et analystes sont très concentrés sur la quantité de données qu'ils peuvent collecter, ce qui rend malheureusement les outils d'enregistrement de session très sensibles au fluage des fonctions. "Ces outils ne correspondent donc pas à ce que vous attendez en termes de 'gestion prudente des informations personnelles'".

Le fluage de fonction est l'élargissement progressif de l'utilisation d'une technologie ou d'un système au-delà de l'objectif pour lequel il était initialement prévu - en particulier lorsque cela conduit à une atteinte potentielle à la vie privée .

Wijnans poursuit : « Il serait préférable que ces outils se concentrent davantage sur les données que vous pouvez utiliser. Déterminer à l'avance ce que pourraient signifier les résultats possibles serait une bonne pratique. Cependant, avec des données stockées – dans ce cas, des sessions d'enregistrement d'utilisateurs individuels – essayer de distiller quelque chose de significatif est difficile et les résultats ne sont pas fiables.

Il déclare que son organisation estime que la collecte de données à caractère personnel devrait être autorisée si elle est nécessaire dans un but clair et précis et si elle est collectée à la connaissance de cette personne. Cela signifierait qu'avec les outils d'enregistrement de session, l'entreprise effectuant les enregistrements doit décider à l'avance ce qu'elle veut savoir et demander ensuite l'autorisation du visiteur avant de collecter ces données.

*Le 'Piratenpartij' fait partie de Pirate Parties International (PPI), un mouvement politique qui se concentre sur quatre clés : les droits civils, la démocratisation, la transparence et une société libre.

Chose intéressante, une autre organisation bien connue semble être d'accord avec la nécessité d'un opt-in…

ESOMAR, anciennement connue sous le nom de Société européenne pour la recherche d'opinion et de marketing, est une organisation de membres qui travaille avec de grandes agences d'études de marché telles qu'Ipsos, Gfk, TNS Nipo/KAntar et Maritz. En 2015, l'organisation a publié la directive ESOMAR/GRBN pour la recherche en ligne. En vertu de l'article 7.11 (Pratiques inacceptables), l'organisation a interdit ce qui suit :

• Utiliser des enregistreurs de frappe sans obtenir le consentement opt-in du participant ;
• Si le navigateur du participant est réglé sur le mode privé, suivi du comportement sans consentement opt-in ; et
• Lorsque le participant se trouve sur un site configuré pour une liaison sécurisée (c'est-à-dire un site SSL), la collecte de données personnelles sans consentement opt-in.

En bref, toutes les agences membres d'ESOMAR doivent obtenir un consentement avant de suivre ou d'obtenir des données comportementales des visiteurs.

Zoom sur le "profilage"

Arnoud Engelfriet, avocat en informatique et confidentialité, souligne que les outils d'enregistrement de session sont en effet problématiques sans autorisation appropriée car ils relèvent du profilage, qui est un sujet juridique très complexe.

Il est à la fois logique et compréhensible que les entreprises veuillent utiliser des outils d'enregistrement de session. Savoir comment votre site Web est utilisé par vos visiteurs est un élément important de la convivialité, de la conversion et de l'amélioration globale de votre site Web. Il est cependant dommage que ces outils essaient toujours d'extraire le plus d'informations possible sur un visiteur. Avec un œil attentif sur la protection de la vie privée dès la conception, on pourrait certainement y réfléchir davantage

– Engelfriet

Les fonctionnalités de masquage sont-elles une solution ?

Certains outils d'enregistrement de session offrent des fonctionnalités de "masquage" pour se consoler de l'exposition potentielle de données sensibles à la vie privée. Pour configurer cela, l'entreprise utilisant l'outil doit adapter l'interface du site Web (y compris la mise en page et le code HTML) dans tous les champs où les visiteurs peuvent saisir du texte ou effectuer des sélections de formulaires. En ajoutant ce code HTML supplémentaire, l'entreprise peut décider quels éléments sont suivis sur son site Web.


Source : Hotjar

Malheureusement, il s'agit d'une tâche qui oblige l'utilisateur à modifier la mise en page de chaque page où le visiteur peut laisser des informations. De plus, si l'entreprise utilise des outils tiers, tels que le chat, les entonnoirs de paiement, le CRM ou les formulaires de contact, ces balises de "masquage" peuvent ne pas toujours être applicables. Sans oublier que ces entreprises sont, selon les fournisseurs d'outils d'enregistrement de session, celles qui supportent le risque si elles ne masquent pas les données sensibles à la vie privée.

Les conséquences juridiques d'aujourd'hui et de demain

Engelfriet : « Le profilage et la capture de ces informations sont actuellement légaux en vertu de la loi sur la protection des données, ainsi que du règlement général sur la protection des données – RGPD (en vigueur à partir du 25 mai 2018), à condition que vous ne collectiez que ce qui est nécessaire à votre objectif et que vous vous assuriez autant protection de la vie privée de vos visiteurs autant que possible.'

Remarque : bien que cet article se concentre principalement sur la manière dont les outils d'enregistrement de session seront affectés, il est important de reconnaître que ces modifications légales (RGPD) affecteront également d'autres domaines, tels que les RH et le recrutement. En savoir plus à ce sujet ici.

Cela signifie que les utilisateurs doivent avoir un "cas clair pour leur outil". Ainsi, plutôt que de tout enregistrer et de voir ensuite quel type d'informations cela génère, les utilisateurs doivent savoir à l'avance quelles données ils vont collecter et également être en mesure de justifier qu'ils ont besoin de cette quantité de données. De plus, les utilisateurs devront configurer des outils afin qu'ils soient aussi respectueux de la vie privée que possible, tout en indiquant dans leur déclaration de confidentialité qu'ils utilisent des outils d'enregistrement de session.



Engelfriet poursuit : « L'autorisation n'est pas strictement nécessaire si vous remplissez les conditions ci-dessus. Cependant, vous êtes obligé d'offrir un opt-out car les gens peuvent légalement s'opposer à ce type de profilage.

Alors qu'une simple obligation d'opt-out peut être le cas actuellement en ce qui concerne l'obtention de l'autorisation d'utiliser des outils d'enregistrement de session, de nouvelles lois ont été établies qui pourraient modifier ces autorisations dans un avenir très proche. Par exemple, cela pourrait entraîner un opt-in plus strict, similaire à la loi sur les cookies qui peut obliger les utilisateurs à obtenir l'autorisation explicite des visiteurs via une fenêtre contextuelle bien visible indiquant comment ils utiliseront les données qu'ils souhaitent collecter. Alternativement, il pourrait seulement exiger une référence dans les Termes et Conditions ou une autre clause de non-responsabilité sur le site Web. Cela doit encore être clarifié.

Où allons-nous à partir d'ici?

C'est la question à un million de dollars. Compte tenu des risques juridiques potentiels exposés dans cet article, est-il judicieux d'utiliser des outils d'enregistrement de session sur votre site Web ? Tout ce que nous pouvons dire, c'est que les entreprises qui choisissent d'utiliser des outils d'enregistrement de session doivent être conscientes des risques et des ramifications. Cela comprend la lecture attentive des conditions générales de l'outil d'enregistrement de session que vous avez l'intention d'utiliser et la révision des lois locales de votre pays ou région. Cela implique également de prendre des décisions scrupuleuses et soigneusement calculées en ce qui concerne les données que vous collectez.