Les régulateurs de tous les pays du monde s'efforcent, avec plus ou moins de zèle, d'imposer diverses contraintes afin de garantir la sécurité et la transparence de l'univers « digital », qui deviendrait, sinon, une jungle. Malheureusement, les textes qu'ils adoptent entraînent fréquemment des effets indésirables contre-productifs.
Un exemple caractéristique, qui m'irrite quotidiennement depuis quelques mois (pas vous ?), est celui des exigences de consentement. Sans remonter à la préhistoire de la CNIL en France et de la directive ePrivacy en Europe, la dérive a pris de l'ampleur avec le RGPD et son obligation de demander aux internautes leur accord avant de conserver et utiliser leurs données personnelles (dont les cookies). Dans un autre registre, se sont ajoutées ensuite la DSP2 et ses dispositions relatives à l'authentification forte.
Au premier abord, les conditions édictées paraissent ressortir du simple bon sens… Mais elles aboutissent à une situation dans laquelle, entre les visites sur des sites rarement consultés et les politiques de stockage restrictives des navigateurs, chaque clic ou presque vous mène à un nouveau formulaire d'acceptation. Au cours d'une journée, ce sont des dizaines de sollicitations identiques qui se présentent à nous… et où on finit donc par confirmer une pseudo-décision prise sans réfléchir (il existe même maintenant des outils permettant d'automatiser l'action !), sacrifiant de la sorte l'objectif initial.
Autre conséquence problématique, beaucoup plus grave : la multiplication des validations ouvre une porte béante aux fraudeurs, qui sont toujours à l'affut d'opportunités de contrefaire un échange légitime entre un client et une entreprise (surtout une banque, bien entendu). L'illustration ci-dessous reproduit ainsi un courriel de hameçonnage, qui exploite la récente entrée en vigueur de l'obligation d'authentification forte, à renouveler au minimum tous les trois mois, pour accéder aux services en ligne des banques.
Au bout du compte, nous obtenons, d'un côté, un phénomène de lassitude qui conduira la plupart des consommateurs à ignorer le droit qu'était supposé leur octroyer la loi et, de l'autre, une complexité de mise en œuvre qui expose les internautes à de nouveaux risques. Le point commun entre les deux réside dans l'expérience utilisateur : quand il est impossible d'appliquer la loi sans nuire à la fluidité des parcours (ou, comme ici, de la navigation web), il est certain que le résultat ne pourra être, au mieux, que mitigé.
Bien qu'il s'agisse de la seule solution viable à long terme, il est illusoire d'espérer que les régulateurs soient sensibilisés à ces enjeux et les appréhendent à brève échéance. Alors, en attendant, ce sont aux entreprises soumises à leurs diktats qu'incombe la charge de soigner toutes les dimensions d'UX qui les accompagnent : les démarches pédagogiques d'explication et de justification, les détails d'implémentation qui rendent les contraintes acceptables ou les moins gênantes possibles, la prise en compte anticipée des répercussions potentielles sur l'ensemble de la relation avec les usagers…