Smashing Podcast Épisode 13 Avec Laura Kalbag : Qu'est-ce que la confidentialité en ligne ?
Publié: 2022-03-10Dans cet épisode du Smashing Podcast, nous parlons de confidentialité en ligne. Que doivent faire les développeurs Web pour s'assurer que la confidentialité de nos utilisateurs est préservée ? J'ai parlé à Laura Kalbag pour le savoir.
Afficher les remarques
- Site personnel de Laura Kalbag
- Fondation des petites technologies
- Meilleur bloqueur
- Site.js
Mise à jour hebdomadaire
- "Comment rendre la vie plus facile lors de l'utilisation de Git,"
par Shane Hudson - "Langage de conception visuelle : les éléments constitutifs de la conception"
par Gleb Kouznetsov - "Que devez-vous faire lorsqu'une tendance de conception Web devient trop populaire ?"
par Suzanne Scacca - "Créer une application Web avec un CMS sans tête et réagir",
par Blessing Krofegha - « Faits saillants de Django : la création de modèles permet d'économiser des lignes (partie 2) »,
de Philip Kiely
Transcription
Drew McLellan : C'est une designer du Royaume-Uni, mais maintenant basée en Irlande, elle est co-fondatrice de la Small Technology Foundation. Vous la trouverez souvent en train de parler de conception respectueuse des droits, d'accessibilité et d'inclusivité, de confidentialité, de conception et de développement Web, à la fois sur son site Web personnel et dans des publications telles que le magazine Smashing. Elle est l'auteur du livre Accessibility for Everyone from A Book Apart. Et avec la Small Technology Foundation, elle fait partie de l'équipe derrière Better Blocker, un outil de blocage du suivi pour Safari sur iOS et Mac. Nous savons donc qu'elle est une experte en design inclusif et en confidentialité en ligne, mais saviez-vous qu'elle a pris d'assaut la Fashion Week de Paris en portant un kilt en spaghetti. Mes amis Smashing, veuillez accueillir Laura Kalbag.
Laura Kalbag : Bonjour.
Drew : Bonjour Laura, comment vas-tu ?
Laura : Je suis fracassante.
Drew : Je voulais vous parler aujourd'hui du sujet de la confidentialité en ligne et des défis liés au fait d'être un participant actif en ligne sans partager trop de votre vie privée et de vos données personnelles avec des entreprises dignes de confiance ou non. C'est un domaine auquel vous pensez beaucoup, n'est-ce pas ?
Laure : Ouais. Et je ne pense pas seulement au rôle que nous jouons en tant que consommateurs, mais aussi en tant que personnes qui travaillent sur le Web, à notre rôle dans le fait de le faire et à quel point nous en faisons un problème pour le reste de la société en tant que bien.
Drew : En tant que développeur Web ayant grandi dans les années 90, pour moi, maintenir une présence active en ligne impliquait essentiellement de créer et de mettre à jour mon propre site Web. Essentiellement, c'était une technologie distribuée, mais c'était sous mon contrôle. Et ces jours-ci, il semble qu'il s'agisse davantage de publier sur des plateformes commerciales centralisées telles que Twitter et Facebook, les plus évidentes. C'est un très grand changement dans la façon dont nous publions des choses en ligne. C'est un problème?
Laure : Ouais. Et je pense que nous nous sommes éloignés de ces méthodes distribuées décentralisées de publication sur nos propres sites Web. Et le problème est que nous publions essentiellement tout sur le site Web de quelqu'un d'autre. Et non seulement cela signifie que nous sommes soumis à leurs règles, ce qui dans certains cas est une bonne chose, vous ne voulez pas nécessairement être sur un site Web plein de spam, plein de trolls, plein de contenu nazi, nous ne voulons pas vivre cela. Mais nous n'avons aucun contrôle sur le fait que nous soyons expulsés, s'ils décident de nous censurer de quelque manière que ce soit. Mais aussi tout ce qui est sous-jacent sur cette plateforme. Donc, si cette plate-forme sait où nous sommes à tout moment parce qu'elle capte notre emplacement. Qu'il s'agisse de lire nos messages privés, car s'ils ne sont pas cryptés de bout en bout, si nous nous envoyons des messages directs, l'entreprise pourrait y accéder.
Laura : Que ce soit activement, donc si les personnes qui y travaillent peuvent simplement lire vos messages. Ou passivement, où ils aspirent simplement le contenu de vos messages et l'utilisent pour créer des profils sur vous, qu'ils peuvent ensuite utiliser pour vous cibler avec des publicités et des choses comme ça. Ou même combiner ces informations avec d'autres ensembles de données et les vendre également à d'autres personnes.
Drew : Cela peut être assez terrifiant, n'est-ce pas ? Ayez ce que vous considérez comme un message privé avec quelqu'un sur une plate-forme comme Facebook, en utilisant Facebook Messenger, et trouvez les choses que vous avez mentionnées dans une conversation puis utilisées pour cibler les publicités vers vous. Ce n'est pas quelque chose que vous pensez avoir partagé, mais c'est quelque chose que vous avez partagé avec la plateforme.
Laura : Et j'ai un exemple classique de cela qui m'est arrivé il y a quelques années. Donc, j'étais sur Facebook, et ma mère venait de mourir, et je recevais des publicités pour des pompes funèbres. Et j'ai pensé que c'était vraiment étrange parce qu'aucun membre de ma famille n'avait dit quoi que ce soit sur une plate-forme de médias sociaux à ce moment-là, aucun membre de ma famille n'avait rien dit sur Facebook parce que nous avions convenu que personne ne voulait découvrir ce genre de choses à propos de un ami ou un membre de la famille via Facebook afin que nous n'en parlions pas. Et puis, alors j'ai demandé à mes frères et sœurs : "Est-ce que l'un d'entre vous a dit quelque chose sur Facebook qui pourrait causer cet étrange ?" Parce que je reçois généralement des publicités pour du maquillage, des robes, des tests de grossesse, et toutes ces choses amusantes qu'ils aiment cibler les femmes d'un certain âge. Et ma sœur m'a répondu, elle a dit: "Eh bien, oui, mon amie vit en Australie, alors je lui ai envoyé un message sur Messenger, Facebook Messenger, et lui ai dit que notre mère était décédée."
Laura : Et bien sûr, Facebook savait que nous étions sœurs, il a ce lien relationnel que vous pouvez choisir d'ajouter là-bas, il pourrait probablement deviner que nous étions sœurs de toute façon par les endroits où nous avons été ensemble, le fait que nous partageons un nom de famille. Et a décidé que c'était une annonce appropriée à mettre dans son flux.
Drew : Ça donne à réfléchir, n'est-ce pas ? Penser que la technologie prend ces décisions pour nous, ce qui affecte réellement les gens, potentiellement dans cet exemple, à un moment assez sensible ou vulnérable.
Laure : Ouais. Nous disons que c'est effrayant, mais la plupart du temps, les gens disent que c'est presque comme si le microphone de mon téléphone ou de mon ordinateur portable m'écoutait parce que j'étais justement en train d'avoir cette conversation à propos de ce produit particulier et soudain, il apparaît partout dans mon flux. Et je pense que ce qui est vraiment effrayant, c'est le fait que la plupart d'entre eux n'ont pas accès à votre microphone, mais c'est le fait que vos autres comportements, votre recherche, le fait qu'il sait à qui vous parlez en raison de votre proximité avec les uns des autres et votre emplacement sur vos appareils. Il peut connecter toutes ces choses que nous ne pourrions pas connecter nous-mêmes afin de dire, peut-être qu'ils seront intéressés par ce produit parce qu'ils penseront probablement que vous en parlez déjà.
Drew : Et bien sûr, ce n'est pas aussi simple que de revenir en arrière et de revenir à une époque où si vous vouliez être en ligne, vous deviez créer votre propre site Web parce qu'il y a des barrières techniques à cela, il y a des barrières de coût. Et vous n'avez qu'à regarder l'explosion de choses comme le partage de vidéos en ligne, il n'y a pas de moyen facile de partager une vidéo en ligne de la même manière que vous pouvez simplement la mettre sur YouTube, ou la télécharger sur Facebook, ou sur Twitter, là sont des défis techniques là-bas.
Laura : Il n'est pas juste de blâmer qui que ce soit pour cela, car utiliser le Web aujourd'hui et utiliser ces plateformes aujourd'hui fait partie de la participation à la société. Vous ne pouvez pas vous en empêcher si votre école a un groupe Facebook pour tous les parents. Vous ne pouvez pas vous en empêcher si vous devez utiliser un site Web pour obtenir des informations vitales. Cela fait maintenant partie de notre infrastructure, en particulier de nos jours où tout le monde compte soudainement sur les appels vidéo et bien plus encore. Ce sont nos infrastructures, elles sont aussi utilisées et aussi importantes que nos routes, que nos services publics, nous devons donc les traiter en conséquence. Et nous ne pouvons pas blâmer les gens de les utiliser, surtout s'il n'y a pas d'alternatives meilleures.
Drew : Lorsque la suggestion est d'utiliser ces grandes plates-formes, c'est facile et c'est gratuit, mais est-ce gratuit ?
Laura : Non, car vous payez avec vos informations personnelles. Et j'entends beaucoup de développeurs dire des choses comme : « Eh bien, je ne suis pas intéressant, je m'en fiche, ce n'est pas vraiment un problème pour moi. » Et nous devons penser au fait que nous sommes souvent dans un groupe assez privilégié. Qu'en est-il des personnes plus vulnérables? On pense aux gens qui ont des pans de leur identité qu'ils ne veulent pas forcément partager publiquement, ils ne veulent pas être dénoncés par les plateformes à leurs employeurs, à leur gouvernement. Aux personnes qui sont dans des situations de violence domestique, nous pensons aux personnes qui ont peur de leurs gouvernements et qui ne veulent pas être espionnées. C'est un grand nombre de personnes à travers le monde, nous ne pouvons pas simplement dire : « Oh, ça va pour moi, donc ça doit aller pour tout le monde », ce n'est tout simplement pas juste.
Drew : Il n'est pas nécessaire que ce soit un très gros problème que vous essayez de cacher au monde pour vous inquiéter de ce qu'une plateforme pourrait partager à votre sujet.
Laure : Ouais. Et tout ce qui concerne la confidentialité, c'est qu'il ne s'agit pas d'avoir quelque chose à cacher, mais de choisir ce que vous voulez partager. Donc, vous n'avez peut-être pas l'impression d'avoir quelque chose de particulier à cacher, mais cela ne signifie pas nécessairement que vous mettez une caméra dans votre chambre et que vous la diffusez 24 heures sur 24, il y a des choses que nous faisons et que nous ne voulons pas partager.
Drew : Parce qu'il y a aussi des risques à partager du contenu social, des choses comme des photos de famille et d'amis. Que nous puissions sacrifier la vie privée des autres sans qu'ils en soient vraiment conscients, est-ce un risque ?
Laure : Ouais. Et je pense que cela s'applique également à beaucoup de choses différentes. Ce n'est donc pas seulement si vous téléchargez des choses de personnes que vous connaissez et qu'elles sont ensuite ajoutées aux bases de données de reconnaissance faciale, ce qui se produit assez souvent. Ces bases de données très louches, ils vont gratter les sites de médias sociaux pour créer leurs bases de données de reconnaissance faciale. Donc Clearview est un exemple d'entreprise qui a fait cela, ils ont récupéré des images sur Facebook et les ont utilisées. Mais aussi des choses comme les e-mails, vous pouvez choisir… Je ne vais pas utiliser Gmail parce que je ne veux pas que Google ait accès à tout ce qui se trouve dans mes e-mails, c'est-à-dire tout ce pour quoi je me suis inscrit, chaque événement auquel je participe , toutes mes communications personnelles, je décide donc de ne pas les utiliser. Mais si je communique avec quelqu'un qui utilise Gmail, eh bien, ils ont pris cette décision en mon nom, que tout ce que je leur envoie par e-mail sera partagé avec Google.
Drew : Vous dites que, souvent à partir d'une position privilégiée, nous pensons d'accord, nous obtenons toute cette technologie, toutes ces plateformes nous sont données gratuitement, nous n'avons pas à payer pour cela, tout ce que nous avons à faire c'est… Nous renonçons un peu à la vie privée, mais ce n'est pas grave, c'est un compromis acceptable. Mais est-ce un compromis acceptable ?
Laura : Non. Ce n'est certainement pas un compromis acceptable. Mais je pense que c'est aussi parce que vous ne voyez pas nécessairement immédiatement les dommages causés par l'abandon de ces choses. Vous pourriez avoir l'impression d'être en sécurité aujourd'hui, mais ce ne sera peut-être pas le cas demain. Je pense qu'un bon exemple est Facebook, ils ont en fait un modèle pour approuver ou réfuter les prêts en fonction de la situation financière de vos amis sur Facebook. Donc, eh bien, si votre ami doit beaucoup d'argent et que beaucoup de vos amis doivent beaucoup d'argent, vous êtes plus susceptible d'être dans la même situation qu'eux. Donc tous ces systèmes, tous ces algorithmes, ils prennent des décisions et influencent nos vies et nous n'avons rien à dire sur eux. Il ne s'agit donc pas nécessairement de ce que nous choisissons de partager et de ce que nous choisissons de ne pas partager en termes de quelque chose que nous mettons dans un statut, une photo ou une vidéo, mais il s'agit également de toutes ces informations qui sont dérivées sur nous à partir de notre activité sur ces plateformes.
Laura : Des choses sur nos emplacements ou si nous avons tendance à sortir tard le soir, les types de personnes avec qui nous avons tendance à passer notre temps, toutes ces informations peuvent également être collectées par ces plateformes et ensuite elles prendront des décisions sur nous sur la base de ces informations. Et non seulement nous n'avons pas accès à ce qui est dérivé de nous, nous n'avons aucun moyen de le voir, nous n'avons aucun moyen de le changer, nous n'avons aucun moyen de le supprimer, sauf quelques choses que nous pourrions faire si nous Vous êtes dans l'UE sur la base du GDPR, si vous êtes en Californie sur la base de leur réglementation, vous pouvez entrer et demander aux entreprises quelles données elles ont sur vous et leur demander de les supprimer. Mais alors quelles données comptent dans cette situation ? Juste les données qu'ils ont recueillies sur vous ? Qu'en est-il des données qu'ils ont dérivées et créées en combinant vos informations avec les informations d'autres personnes et les catégories dans lesquelles ils vous ont mis, des choses comme ça. Nous n'avons aucune transparence sur ces informations.
Drew : Les gens pourraient dire que c'est de la paranoïa, c'est un chapeau en papier d'aluminium. Et vraiment, tout ce que ces entreprises font, c'est collecter des données pour nous montrer différentes publicités. Et d'accord, il y a le potentiel pour ces autres choses, mais ils ne le font pas réellement. Tout ce qu'ils font, c'est juste adapter les publicités pour nous. Est-ce le cas ou ces données sont-elles réellement utilisées de manière plus malveillante que la simple diffusion d'annonces ?
Laura : Non. Nous avons vu à de nombreuses reprises comment ces informations sont utilisées autrement que par des publicités. Et même si une entreprise décide de les collecter uniquement sur la base d'annonces, elles pourraient ensuite être vendues ou acquises par une organisation qui décide de faire quelque chose de différent avec ces données et cela fait partie du problème de la collecte des données du tout dans le premier lieu. Et c'est aussi un gros risque pour des choses comme le piratage, si vous créez une grande base de données centralisée avec les informations des gens, leurs numéros de téléphone, leurs adresses e-mail, même les choses les plus simples, ce sont des données vraiment juteuses pour les pirates. Et c'est pourquoi nous assistons à des piratages à grande échelle qui rendent de nombreuses informations personnelles accessibles au public. C'est parce qu'une entreprise a décidé que c'était une bonne idée de rassembler ces informations en un seul endroit en premier lieu.
Drew : Existe-t-il alors des moyens d'utiliser ces plateformes, d'interagir avec des amis et de la famille qui se trouvent également sur ces plateformes, Facebook est l'exemple évident où vous pourriez avoir des amis et de la famille partout dans le monde et Facebook est l'endroit où ils communiquent. Existe-t-il des moyens de participer à cela sans renoncer à la confidentialité ou est-ce simplement quelque chose que si vous voulez être sur cette plate-forme, vous devez simplement l'accepter ?
Laura : Je pense qu'il y a différentes couches, selon ce que nous appellerions votre modèle de menace. Cela dépend donc de votre vulnérabilité, mais aussi de vos amis et de votre famille, et de vos options. Alors oui, la chose ultime est de ne pas utiliser du tout ces plateformes. Mais si vous le faites, essayez de les utiliser plus qu'ils ne vous utilisent. Donc, si vous avez des choses que vous communiquez en tête-à-tête, n'utilisez pas Messenger pour cela car il existe de nombreuses alternatives pour la communication directe en tête-à-tête qui peuvent être cryptées de bout en bout ou privées et vous n'avez pas à vous soucier de l'écoute de Facebook. Et vous ne pouvez pas faire grand-chose comme le partage de vos données de localisation et des choses comme ça, qui sont des informations vraiment précieuses. Ce sont toutes vos méta-informations qui sont si précieuses, ce n'est même pas nécessairement le contenu de ce que vous dites, mais avec qui vous êtes et où vous êtes quand vous le dites. C'est le genre de choses utiles que les entreprises utiliseraient pour vous mettre dans différentes catégories et être en mesure de vous vendre des choses en conséquence ou de vous regrouper en conséquence.
Laura : Donc je pense qu'on peut essayer de les utiliser le moins possible. Je pense qu'il est important de chercher des alternatives, en particulier si vous êtes une personne plus techniquement avertie dans votre groupe d'amis et votre famille, vous pouvez toujours encourager d'autres personnes à se joindre à d'autres choses. Utilisez donc Wire pour la messagerie, c'est une jolie petite plateforme qui est disponible dans de nombreux endroits et qui est privée. Ou Signal est une autre option qui ressemble à WhatsApp, mais qui est également cryptée de bout en bout. Et si vous pouvez être cette personne, je pense qu'il y a deux points que nous devons vraiment oublier. La première est l'idée que tout le monde doit être sur une plate-forme pour qu'elle soit valable. L'avantage est que tout le monde est sur Facebook, c'est aussi l'inconvénient, que tout le monde est sur Facebook. Vous n'avez pas besoin que toutes vos connaissances soient soudainement sur la même plate-forme que vous. Tant que vous avez ces quelques personnes avec lesquelles vous souhaitez communiquer régulièrement sur une meilleure plate-forme, c'est un très bon début.
Laura : Et l'autre chose que nous devons adopter, nous n'allons pas trouver d'alternative à une plate-forme particulière qui fait tout ce que cette plate-forme fait également. Vous n'allez pas trouver une alternative à Facebook qui fait de la messagerie, qui a des mises à jour de statut, qui a des groupes, qui a des événements, qui a du direct, qui a tout ça. Parce que la raison pour laquelle Facebook peut faire cela, c'est parce que Facebook est massif, Facebook a ces ressources, Facebook a un modèle commercial qui fait vraiment beaucoup de toutes ces données et il est donc vraiment avantageux de vous fournir tous ces services. Et donc nous devons changer nos attentes et peut-être dire : « Eh bien, d'accord, quelle est la fonction dont j'ai besoin ? Pouvoir partager une photo. Eh bien, trouvons ce que je peux faire pour m'aider à partager cette photo. Et ne vous attendez pas à ce qu'une autre grande grande entreprise fasse ce qu'il faut pour nous.
Drew : Est-ce quelque chose pour lequel RSS peut nous aider ? J'ai tendance à penser que RSS est la solution à la plupart des problèmes, mais je pensais ici si vous avez un service de partage de photos, et quelque chose d'autre pour les mises à jour de statut, et quelque chose d'autre pour toutes ces différentes choses est RSS la solution qui rassemble tout pour créer un virtuel… Qu'englobe tous ces services ?
Laura : Je suis d'accord avec vous pour beaucoup de choses. Moi-même, j'ai intégré mon propre site, j'ai une section pour les photos, une section pour les mises à jour de statut, ainsi que mon blog et tout. Pour que je puisse permettre aux gens, s'ils ne me suivent pas sur les plateformes de médias sociaux, si je publie les mêmes choses sur mon site, ils peuvent utiliser RSS pour y accéder et ils ne se mettent pas en danger. Et c'est l'une des façons que je vois en tant que concepteur/développeur assez ordinaire que je ne peux pas forcer d'autres personnes à utiliser ces plates-formes pour se joindre à moi. Et RSS est vraiment bon pour ça. RSS peut avoir un suivi, je pense que les gens peuvent faire des choses avec, mais c'est rare et ce n'est pas le but. C'est pour cela que je pense que RSS est un très bon standard.
Drew : En tant que développeur Web, je sais que lorsque je crée des sites, on me demande fréquemment d'ajouter du JavaScript de Google pour des choses comme les analyses ou les publicités, et de Facebook pour les actions comme et partager, et tout ce genre de choses. chose, et de divers autres endroits, Twitter, et vous l'appelez. S'agit-il de quelque chose dont nous devons nous préoccuper en tant que développeurs ou en tant qu'utilisateurs du Web ? Qu'il y a ce code qui s'exécute dont l'origine est sur google.com ou facebook.com ?
Laure : Oui. Absolument. Je pense que Google est un bon exemple ici de choses comme les polices Web et les bibliothèques et des trucs comme ça. Donc, les gens sont encouragés à les utiliser parce qu'on leur dit bien, ça va être très performant, c'est sur les serveurs de Google, Google va le récupérer dans la partie la plus proche du monde, vous aurez un site génial simplement en utilisant, disons, un police hors de Google plutôt que de l'intégrer, en l'auto-hébergant sur votre propre site. Il y a une raison pour laquelle Google propose toutes ces polices gratuitement et ce n'est pas par bonté de leur petit cœur Googley, c'est parce qu'ils en retirent quelque chose. Et ce qu'ils obtiennent, c'est qu'ils ont accès à vos visiteurs sur votre site Web lorsque vous incluez leur script sur votre site Web. Je pense donc que ce n'est pas seulement quelque chose dont nous devrions nous inquiéter en tant que développeurs, je pense qu'il est de notre responsabilité de savoir ce que fait notre site et de savoir ce qu'un script tiers fait ou pourrait faire, car ils pourraient le changer et vous ne le faites pas. t nécessairement avoir le contrôle sur cela aussi. Sachez quelles sont leurs politiques de confidentialité et des choses comme ça avant de les utiliser.
Laura : Et idéalement, ne les utilisez pas du tout. Si nous pouvons auto-héberger des choses, auto-héberger des choses, la plupart du temps, c'est plus facile. Si nous n'avons pas besoin de fournir une connexion avec Google ou Facebook, ne le faites pas. Je pense que nous pouvons être les gardiens dans cette situation. En tant que personnes qui ont les connaissances et les compétences dans ce domaine, nous pouvons être ceux qui peuvent retourner voir nos patrons ou nos managers et dire : « Écoutez, nous pouvons fournir cette connexion avec Facebook ou nous pouvons créer notre propre connexion. , ce sera privé, ce serait plus sûr. Oui, cela pourrait prendre un peu plus de travail, mais en fait, nous pourrons inspirer plus de confiance dans ce que nous construisons parce que nous n'avons pas cette association avec Facebook. Parce que ce que nous voyons maintenant, au fil du temps, c'est que même les médias grand public commencent à rattraper les inconvénients de Facebook, de Google et de ces autres organisations.
Laura : Et donc nous finissons par être coupables par association même si nous essayons simplement de rendre l'expérience utilisateur plus facile en ajoutant un identifiant où quelqu'un n'a pas à créer un nouveau nom d'utilisateur et un nouveau mot de passe. Et donc je pense que nous devons vraiment assumer cette responsabilité et qu'il s'agit en grande partie de valoriser les droits des personnes et de respecter leurs droits et leur vie privée par rapport à notre propre convenance. Parce que bien sûr, il sera beaucoup plus rapide d'ajouter ce script à la page, juste d'ajouter un autre package sans rechercher ce qu'il fait réellement. Nous abandonnons beaucoup quand nous faisons cela et je pense que nous devons prendre la responsabilité de ne pas le faire.
Drew : En tant que développeurs Web, y a-t-il d'autres choses auxquelles nous devrions faire attention lorsqu'il s'agit de protéger la vie privée de nos propres clients dans les choses que nous construisons ?
Laura : Nous ne devrions pas du tout collecter de données. Et je pense que la plupart du temps, vous pouvez l'éviter. Analytics est l'un de mes plus gros bugbears parce que je pense que beaucoup de gens obtiennent tous ces scripts d'analyse, tous ces scripts qui peuvent voir ce que les gens font sur votre site Web et vous donner des informations et des choses comme ça, mais je ne pense pas que nous les utiliser particulièrement bien. Je pense que nous les utilisons pour confirmer nos propres hypothèses et tout ce qu'on nous apprend, c'est ce qui est déjà sur notre site. Cela ne nous dit rien que de rechercher et de parler aux personnes qui utilisent nos sites Web… Nous pourrions vraiment en bénéficier davantage que de simplement regarder certains chiffres monter et descendre et de deviner quel en est l'effet ou pourquoi cela se produit. Je pense donc que nous devons être plus prudents avec tout ce que nous mettons sur nos sites et tout ce que nous collectons. Et je pense que de nos jours, nous examinons également les risques réglementaires et juridiques lorsque nous commençons à collecter les données des personnes.
Laura : Parce que lorsque nous regardons des choses comme le RGPD, nous sommes très limités dans ce que nous sommes autorisés à collecter et les raisons pour lesquelles nous sommes autorisés à le collecter. Et c'est pourquoi nous recevons toutes ces notifications de consentement et des choses comme ça à venir maintenant. Parce que les entreprises doivent avoir votre consentement explicite pour collecter des données qui ne sont pas associées à une fonction vitale pour le site Web. Donc, si vous utilisez quelque chose comme une connexion, vous n'avez pas besoin d'obtenir l'autorisation de stocker l'e-mail et le mot de passe de quelqu'un pour une connexion, car cela est impliqué par la connexion, vous en avez besoin. Mais des choses comme l'analyse et des trucs comme ça, vous devez en fait obtenir un consentement explicite pour pouvoir espionner les personnes qui visitent le site Web. C'est pourquoi nous voyons toutes ces cases de consentement, c'est pourquoi nous devrions les inclure sur nos sites Web si nous utilisons des analyses et d'autres outils qui collectent des données qui ne sont pas vitales pour le fonctionnement de la page.
Drew : Je pense même à certains des projets parallèles et des choses que j'ai lancées, sur lesquels j'ai mis Google Analytics presque de manière routinière. Je pense: "Oh, je dois savoir combien de personnes visitent." Et puis soit je ne le regarde jamais, soit je le regarde seulement pour comprendre les mêmes choses que j'aurais pu obtenir des journaux de serveur comme nous le faisions autrefois, juste en examinant leurs journaux d'accès Web .
Laure : Exactement. Et pourtant, Google est assis là à dire "Merci beaucoup". Parce que vous avez instillé une autre entrée pour eux sur le site Web. Et je pense qu'une fois que vous commencez à y penser, une fois que vous avez adapté votre cerveau à cette autre façon de voir les choses, il est beaucoup plus facile de commencer à voir les vulnérabilités. Mais nous devons nous entraîner à penser de cette façon, à réfléchir à la façon dont nous pouvons nuire aux gens avec ce que nous construisons, qui pourraient y perdre, et essayer de construire des choses qui tiennent un peu plus compte des gens.
Drew : Il y a un exemple, en fait, auquel je peux penser où Google Analytics lui-même a été utilisé pour violer la vie privée de quelqu'un. Et c'était l'auteur de Belle de Jour, le journal intime d'une call-girl, qui était une call-girl londonienne qui a tenu un blog pendant des années et tout était complètement anonyme. Et elle a raconté son quotidien. Et c'était un succès incroyable, et c'est devenu un livre, et une série télévisée, et ainsi de suite. Elle avait l'intention de rester complètement anonyme, mais elle a finalement été découverte. Son identité a été révélée parce qu'elle a utilisé le même identifiant d'utilisateur de suivi Google Analytics sur son blog personnel où elle était elle-même professionnelle et sur le blog de la call-girl également. Et c'est comme ça qu'elle a été identifiée, juste-
Laura : Alors elle s'est fait ça aussi de cette façon.
Drew : Elle l'a fait à elle-même. Ouais. Elle y a divulgué des données personnelles qu'elle ne voulait pas divulguer. Elle ne savait même pas que c'était des données personnelles, je suppose. Il y a tellement d'implications auxquelles vous ne pensez pas. Et donc je pense qu'il vaut la peine de commencer à y penser.
Laure : Ouais. Et ne pas faire les choses parce que vous sentez que c'est ce que nous avons toujours fait, et c'est ce que nous faisons toujours, ou c'est ce que cette autre organisation que j'admire, ils le font, donc je devrais, je pense. Et la plupart du temps, il s'agit d'être un peu plus restrictif et peut-être de ne pas sauter dans le train en marche de je vais utiliser ce service comme tout le monde. Et arrêter, lire leur politique de confidentialité, ce que je ne recommande pas de faire pour le plaisir, car c'est vraiment fastidieux, et je dois en faire beaucoup quand je cherche des trackers pour Better. Mais vous pouvez voir beaucoup de drapeaux rouges si vous lisez les politiques de confidentialité. Vous voyez le genre de langage qui signifie qu'ils essaient de rendre gratuit et facile pour eux de faire ce qu'ils veulent avec vos informations. Et il y a une raison pour laquelle je dis aux concepteurs et aux développeurs, si vous réalisez vos propres projets, ne vous contentez pas de copier la politique de confidentialité de quelqu'un d'autre. Parce que vous pourriez vous ouvrir à plus de problèmes et vous pourriez en fait vous rendre suspect.
Laura : C'est bien mieux d'être transparent et clair sur ce que vous faites, tout n'a pas besoin d'être écrit dans une aisance juridique pour que vous sachiez clairement ce que vous faites avec les informations des gens.
Drew : Donc, dans presque tout, les gens disent que la solution est d'utiliser la JAMstack. Le JAMstack est-il une solution, est-ce une bonne réponse, va-t-il nous aider à ne pas violer accidentellement la vie privée de nos clients ?
Laura : Il y a beaucoup de choses que j'aime dans JAMstack, mais je dirais que j'aime le « JMstack », parce que c'est la partie API qui m'inquiète. Parce que si nous prenons le contrôle de nos propres sites, nous construisons des sites statiques, et nous générons tout sur nos machines, et nous n'utilisons pas de serveurs, et c'est bien que nous ayons enlevé beaucoup de potentiel problèmes là-bas. Mais si nous rajoutons toutes les fonctionnalités tierces à l'aide d'API, nous pourrions tout aussi bien ajouter à nouveau des balises de script à nos pages. Nous pouvons aussi bien l'avoir sur la plate-forme de quelqu'un d'autre. Parce que nous perdons encore ce contrôle. Parce que chaque fois que nous ajoutons quelque chose d'un tiers, nous perdons le contrôle d'une petite partie de notre site. Je pense donc que beaucoup de générateurs de sites statiques et des choses comme ça ont beaucoup de valeur, mais nous devons toujours être prudents.
Laura : Et je pense que l'une des raisons pour lesquelles nous aimons les trucs de la pile de confiture parce qu'encore une fois, cela nous a permis de créer un site très rapidement, de le déployer très rapidement, d'avoir un environnement de développement mis en place très rapidement, et nous apprécions à nouveau , notre expérience de développeur par rapport à celle des personnes qui utilisent les sites Web.
Drew : Donc, je suppose que la clé est d'être simplement hyper conscient de ce que fait chaque API que vous utilisez. Quelles données vous pourriez leur envoyer, quelles sont leurs politiques de confidentialité individuelles.
Laure : Ouais. Et je pense que nous devons être prudents quant à notre loyauté envers les entreprises. Nous pourrions avoir des gens avec qui nous sommes amis et que nous pensons être formidables et des choses comme ça, qui travaillent pour ces entreprises. Nous pourrions dire qu'ils produisent du bon travail, qu'ils font de bons blogs, qu'ils introduisent de nouvelles technologies intéressantes dans le monde. Mais au bout du compte, les entreprises sont des entreprises. Et ils ont tous des modèles commerciaux. Et nous devons savoir quels sont leurs modèles commerciaux. Comment gagnent-ils leur argent ? Qui est derrière l'argent ? Parce que beaucoup d'organisations soutenues par du capital-risque finissent par avoir à gérer des données personnelles, le profilage et des choses comme ça, parce que c'est un moyen facile de gagner de l'argent. Et il est difficile de construire une entreprise durable sur la technologie, en particulier si vous ne vendez pas un produit physique, il est vraiment difficile de rendre une entreprise durable. Et si une organisation a pris une énorme somme d'argent et qu'elle paie énormément d'employés, elle doit récupérer de l'argent d'une manière ou d'une autre.
Laura : Et c'est ce que nous voyons maintenant, tant d'entreprises faisant ce que Shoshana Zuboff appelle le capitalisme de surveillance, traquant les gens, les profilant et monétisant ces informations parce que c'est le moyen le plus simple de gagner de l'argent sur le Web. Et je pense que le reste d'entre nous doit essayer d'y résister car il peut être très tentant de se lancer et de faire ce que tout le monde fait et de gagner beaucoup d'argent et de se faire un grand nom. Mais je pense qu'on se rend compte trop lentement de l'impact que cela a sur le reste de notre société. Le fait que Cambridge Analytica n'ait vu le jour que parce que Facebook collectait d'énormes quantités d'informations sur les gens et que Cambridge Analytica utilisait simplement ces informations pour cibler les gens avec, essentiellement, de la propagande afin de faire des référendums et des élections à leur guise. Et c'est terrifiant, c'est un effet vraiment effrayant qui ressort de ce que vous pourriez penser être une petite bannière publicitaire inoffensive.
Drew : Professionnellement, de nombreuses personnes se tournent vers la création de sites clients ou aident leurs clients à créer leurs propres sites sur des plateformes comme Squarespace et ce genre de choses, des constructeurs de sites en ligne où les sites sont ensuite entièrement hébergés sur ce service. Est-ce un domaine dont ils devraient également se soucier en termes de confidentialité ?
Laure : Ouais. Parce que vous êtes très soumis aux politiques de confidentialité de ces plateformes. Et bien que beaucoup d'entre eux soient des plateformes payantes, ce n'est pas parce qu'il s'agit d'une plateforme qu'ils vous suivent nécessairement. Mais l'inverse est également vrai, ce n'est pas parce que vous payez pour cela qu'ils ne vous suivent pas. J'utiliserais Spotify comme exemple. Les gens paient beaucoup d'argent à Spotify pour leurs comptes. Et Spotify fait cette chose brillante où il montre à quel point il vous suit en communiquant aux gens toutes ces informations incroyables à leur sujet sur une base annuelle, et en leur donnant des listes de lecture pour leurs humeurs, et des choses comme ça. And then you realize, oh, actually, Spotify knows what my mood is because I'm listening to a playlist that's made for this mood that I'm in. And Spotify is with me when I'm exercising. And Spotify knows when I'm working. And Spotify knows when I'm trying to sleep. And whatever other playlists you've set up for it, whatever other activities you've done.
Laura: So I think we just have to look at everything that a business is doing in order to work out whether it's a threat to us and really treat everything as though it could possibly cause harm to us, and use it carefully.
Drew: You've got a fantastic personal website where you collate all the things that you're working on and things that you share socially. I see that your site is built using Site.js. What's that?
Laura: Yes. So it's something that we've been building. So what we do at the Small Technology Foundation, or what we did when we were called Ind.ie, which was the UK version of the Small Technology Foundation, is that we're tying to work on how do we help in this situation. How do we help in a world where technology is not respecting people's rights? And we're a couple of designers and developers, so what is our skills? And the way we see it is we have to do a few different things. We have to first of all, prevent some of the worst harms if we can. And one of the ways we do that is having a tracker blocker, so it's something that blocks trackers on the web, with their browser. And another thing we do is, we try to help inform things like regulation, and we campaign for better regulation and well informed regulation that is not encouraging authoritarian governments and is trying to restrict businesses from collecting people's personal information.
Laura: And the other thing we can do is, we can try to build alternatives. Because one of the biggest problems with technology and with the web today is that there's not actually much choice when you want to build something. A lot of things are built in the same way. And we've been looking at different ways of doing this for quite a few years now. And the idea behind Site.js is to make it really easy to build and deploy a personal website that is secure, has the all the HTTPS stuff going on and everything, really, really, easily. So it's something that really benefits the developer experience, but doesn't threaten the visitor's experience at the same time. So it's something that is also going to keep being rights respecting, that you have full ownership and control over as the developer of your own personal website as well. And so that's what Site.js does.
Laura: So we're just working on ways for people to build personal websites with the idea that in the future, hopefully those websites will also be able to communicate easily with each other. So you could use them to communicate with each other and it's all in your own space as well.
Drew: You've put a lot of your expertise in this area to use with Better Blocker. You must see some fairly wild things going on there as you're updating it and…
Laura: Yeah. You can always tell when I'm working on Better because that's when my tweets get particularly angry and cross, because it makes me so irritated when I see what's going on. And it also really annoys me because I spend a lot of time looking at websites, and working out what the scripts are doing, and what happens when something is blocked. One of the things that really annoys me is how developers don't have fallbacks in their code. And so the amount of times that if you block something, for example, I block an analytics script, and if you block an analytics script, all the links stop working on the webpage, then you're probably not using the web properly if you need JavaScript to use a link. And so I wish that developers bear that in mind, especially when they think about maybe removing these scripts from their sites. But the stuff I see is they…
Laura: I've seen, like The Sun tabloid newspaper, everybody hates it, it's awful. They have about 30 different analytics scripts on every page load. And to some degree I wonder whether performance would be such a hot topic in the industry if we weren't all sticking so much junk on our webpages all the time. Because, actually, you look at a website that doesn't have a bunch of third party tracking scripts on, tends to load quite quickly. Because you've got to do a huge amount to make a webpage heavy if you haven't got all of that stuff as well.
Drew: So is it a good idea for people who build for the web to be running things like tracker blockers and ad blockers or might it change our experience of the web and cause problems from a developer point of view?
Laura: I think in the same way that we test things across different browsers and we might have a browser that we use for our own consumer style, I hate the word consumer, use, just our own personal use, like our shopping and our social stuff, and things like that. And we wouldn't only test webpages in that browser, we test webpages in as many browsers can get our hands on because that's what makes us good developers. And I think the same should be for if you're using a tracker blocker or an ad blocker in your day-to-day, then yeah, you should try it without as well. Like I keep Google Chrome on my computer for browser testing, but you can be sure that I will not be using that browser for any of my personal stuff, ever, it's horrible. So yeah, you've got to be aware of what's going in the world around you as part of your responsibility as a developer.
Drew: It's almost just like another browser combination, isn't it? To be aware of the configurations that the audience your site or your product might have and then testing with those configurations to find any problems.
Laura: Yeah. And also developing more robust ways of writing your code, so that your code can work without certain scripts and things like that. So not everything is hinging off one particular script unless it is absolutely necessary. Things completely fall apart when people are using third party CDNs, for example. I think that's a really interesting thing that so many people decided to use a third party CDN, but you have very little control over it's uptime and stuff like that. And if you block the third party CDN, what happens? Suddenly you have no images, no content, no videos, or do you have no functionality because all of your functional JavaScript is coming from a third party CND?
Drew: As a web developer or designer, if I'd not really thought about privacy concerns about the sites I'm producing up until this point, if I wanted to make a start, what should be the first thing that I do to look at the potential things I'm exposing my customers to?
Laura: I'd review one of your existing pages or one of your existing sites. And you can take it on a component by component basis even. I think any small step is better than no step. And it's the same way you'd approach learning anything new. It's the same way I think about accessibility as well. Is you start by, okay, what is one thing I can take away? What is one thing I can change that will make a difference? And then you start building up that way of thinking, that way of looking at how you're doing your work. And eventually that will build up into being much more well informed about things.
Drew: So I've been learning a lot about online privacy. What have you been learning about lately?
Laura: One of the things I've been learning about is Hugo, which is a static site generator that is written using Go. And I use it for my personal site already, but right now for Site.js, I've been writing a starter blog theme so that people could just set up a site really easily and don't necessarily have to know a lot about Hugo. Because Hugo is interesting, it's very fast, but the templating is quite tricky and the documentation is not the most accessible. And so I'm trying to work my way through that to understand it better, which I think I finally got over the initial hurdle. Where I understand what I'm doing now and I can make it better. But it's hard learning these stuff, isn't it?
Drew : C'est vraiment le cas.
Laura: It reminds you how inadequate you are sometimes.
Drew: If you, dear listener, would like to hear more from Laura, you can find her on the web at laurakalbag.com and Small Technology Foundation at small-tech.org. Thanks for joining us today, Laura. Do you any parting words?
Laura: I'd say, I think we should always just be examining what we're doing and our responsibility in the work that we do. And what can we do that can make things better for people? And what we can do to make things slightly less bad for people as well.