Privacy by design & WordPress, retour d’expérience


le 7 décembre 2018

Web, WordPress

Wooden mail boxes, Boston Public Library, Boston, United StatesPhoto by Sanwal Deen

Lors de la première édition du WordCamp Nice, j’ai présenté une conférence présentant la démarche Privacy by design, ainsi que mon retour d’expérience sur sa mise en place lors d’un projet de refonte de site WordPress. Le texte qui suit est la retranscription de ma conférence, disponible également en vidéo ci-dessous. Les slides sont disponibles à cette adresse.



 

Sommaire

  1. Introduction
  2. Privacy by design : c’est quoi exactement ?
    1. Les sept principes du Privacy by design
    2. Dans la vraie vie : data has a better idea
    3. Quand la récolte de données mène à un dysfonctionnement
  3. WordPress & Privacy by design
    1. Le contexte
    2. Objectifs Impératifs
    3. Les points de vigilance
  4. TL;DR ?
  5. Notes
  6. Bibliographie ?

Bonjour à toutes et à tous, je m’appelle Mylène Boyrie, je suis designer, et je conçois des sites WordPress depuis environ une dizaine d’années maintenant.

Aujourd’hui je vais vous parler d’un concept qui semble un petit peu nébuleux, le Privacy by design. Je ne vais pas tellement vous parler technique, par contre je vais vous parler de conception et je vais vous expliquer à quoi correspond le Privacy by design, comment on peut le mettre en place dans nos sites, et pourquoi c’est intéressant de le faire.

Si vous trainez régulièrement sur Internet, à priori c’est le cas, sinon vous ne seriez pas là, vous avez du tomber sur des choses comme ça. Vous avez droit en live à mon historique de recherche de ces dernières semaines, j’ai désactivé Adblock et mes autres extensions de blocage de traceurs exprès. Donc je suis allée me promener sur Internet, et j’ai eu des résultats comme ceux-là, systématiquement. Ce que je vous montre, c’est un extrait. C’est à dire que là, je devrais avoir, je ne sais pas, environ 150 captures d’écrans avec ce genre de petites choses.

Donc si on suit un petit peu tout ça, on voit que, je suis designer, il y’a eu des pubs pour Adobe, que je fais des sites Web, j’ai eu une pub pour WordPress, que j’ai cherché à me loger à Nice, que j’ai prévu un weekend en Touraine bientôt, et que j’ai regardé les gîtes sur AirBNB, ce genre de petites choses. Et encore, je vous ai passé certains résultats, beaucoup plus ciblés, par exemple le quartier que je fréquente à Bordeaux, puisque j’habite à Bordeaux, le type d’établissements que j’aime fréquenter quand je sors avec mes amis,… C’est extrêmement ciblé.

Je ne sais pas ce qui me dérange le plus. Si c’est que les boîtes publicitaires aient un profil de moi qui soit si détaillé – même s’il y’a quelques petits bugs, j’ai eu deux-trois pubs qui ne correspondaient absolument pas à mes intérêts personnels, et qui relevaient plus des préjugés envers les femmes qu’autre chose. Donc, je ne sais pas si c’est ça qui me gêne le plus, ou si, au fond, c’est le fait que je m’y suis habituée. Il y a une sorte de résignation. On finit par se dire, quand on fréquente Internet, que ce genre de chose va arriver, et puis, après tout, t’as qu’à installer Adblock.

Moi, ça, c’est une solution qui ne me plait pas du tout. Parce que ça veut dire qu’il incombe à l’utilisatrice et à l’utilisateur le devoir de bloquer ce genre de chose. Plutôt que de prendre le chemin inverse et de se poser la question dès la conception.

« Accessoirement », aussi, ça alourdit beaucoup nos navigations Web, je ne vous parle pas des navigateurs auxquels on ajoute dix-huit extensions pour bloquer ce genre de choses. On pourrait faire sans, à priori. Donc, c’est aussi du côté des navigateurs qu’on pourrait avoir une réflexion sur le sujet.

Tout ça pour vous dire qu’aujourd’hui je ne vais pas vous parler de la manière de protéger votre vie privée en tant qu’internaute. Je vais vous tenter de vous expliquer comment concevoir des sites pour éviter, en tout cas limiter, ce genre d’écueils. En tout cas, récolter des données qui correspondent à votre usage et pas avoir un état des lieux d’à peu près toute la population mondiale et sa navigation Web.

J’estime qu’en tant que gens du Web, notre boulot c’est de penser à notre audience. De faire attention à ce qu’on recueille comme données – si on en recueille -, quelles correspondent à l’usage qu’on va en avoir, donc de réfléchir en amont à cet usage.

Privacy by design : c’est quoi exactement ?

Privacy by design, c’est court comme nom, c’est très bien. Par contre si je traduis en français c’est un petit peu plus long. C’est la prise en compte de la vie privée des internautes tout au long du processus de la conception d’un système. Je parle de système et pas de site, parce que ça concerne aussi les applications ; je parlais de navigateur Web plus tôt, à peu près tout système informatique que vous pouvez mettre en place est concerné. Donc l’idée c’est, dès votre conception, de vous poser des questions à ce sujet-là et de prendre en compte, dès le début de la conception de vos systèmes, la vie privée des internautes. Comment vous allez récupérer des données, lesquelles vous allez récupérer et pourquoi.

Les sept principes du Privacy by design

Il y’a sept principes à respecter(1).

1 – La proactivité

Le premier, c’est la proactivité. L’idée n’est pas de mettre un emplâtre sur une jambe de bois une fois que le mal est fait, c’est de prévenir plutôt que guérir. Plutôt que de vous dire, en fin de boucle, l’internaute n’a qu’à installer Adblock, on va plutôt faire notre travail correctement et se demander pourquoi on récolte des données, lesquelles on récupère et comment on les gère.

2 – Un paramètre par défaut

La deuxième c’est que la vie privée est un paramètre par défaut. Ce n’est pas à votre utilisatrice ou votre utilisateur d’aller déclencher lui-même dans les paramètres, souvent un petit peu cachés, cette fonctionnalité. C’est la base. Si jamais il accepte d’être tracé, vous lui proposez de le faire. Dans ce cas-là vous le dites explicitement. On parlera un peu RGPD (Règlement Général de Protection des Données), même si je ne vais pas trop m’attarder dessus, ça fait partie de cette idée-là.

3 – Intégrer la vie privée dans la conception

Ensuite la vie privée doit être intégrée dans la conception de A à Z. Ce n’est pas une chose à laquelle on pense à la fin du processus. C’est un peu comme l’accessibilité, vous y pensez dès le départ. Ce n’est pas un add-on qu’on rajoute à la fin.

4 – Ne pas nuire au fonctionnement

On essaie de ne pas nuire au fonctionnement. Ça semble basique, dit comme ça. Quand on ajoute une fonctionnalité à nos sites, on fait en sorte que ça fonctionne. Sauf que dans la réalité … On a toutes et tous vus les petites cases à cochées qui fleurissent sur les sites depuis que le RGPD a pointé le bout de son nez. Ça a été la manière de résoudre le problème pour à peu près tout le monde, ce n’est pas très évident à mettre en place.

Je crois que l’exemple le plus radical que j’ai rencontré, c’est celui-là.

Capture d'écran du site Modcloth pour les internautes européens. Capture d’écran du site Modcloth pour les internautes européens. La page affiche le texte qui suit :
« Due to the new General Data Protection Regulation, we are currently unable to offer products and services to customers in Europe. We apologize for the inconvenience and hope to resolve this soon.If you placed an order before 5/25/18 and need to make a return, please contact our Customer Care team at (888) 495-9699. »

(« Du au nouveau Règlement Général pour la Protection des données, nous ne sommes pour le moment pas en mesure d’offrir des produits et services à nos clients Européens. Nous vous présentons nos excuses pour la gêne occasionnée et espérons résoudre le problème rapidement. Si vous avez passé une commande avant le 25 mai 2018 et souhaitez faire un retour, contactez notre Service Après Vente au (888) 495-9699. »)

 

Donc Modcloth est une entreprise étasunienne, qui fait de la vente en ligne de vêtements. Pour vous donner une idée elle fait partie de Walmart, un gros ponte de la vente en magasins aux États-Unis. Et eux, leur solution, pour gérer le RGPD, ça a été de dire « on bloque la vente à toutes les personnes qui sont dans l’Union Européenne ». Alors, ça le mérite d’être clair. Moi ça me dérange, dans le sens où, si votre solution face à une question qui est de gérer la vie privée de vos utilisatrices et vos utilisateurs, c’est de dire « en fait on a la flemme, donc on va tout bloquer »… Je me pose des questions. Puis, commercialement, ça se discute. J’espère pour eux qu’ils y ont réfléchi, mais ça veut dire qu’ils se sont coupés de pas mal de ventes. C’est un exemple typique, on évite de nuire au fonctionnement d’un site en voulant respecter la vie privée des utilisatrices et utilisateurs.

Je reviens à mes sept principes.

5 – Assurer la sécurité des données de bout en bout

Ça fait aussi partie d’un des volets du RGPD. C’est de dire, dès le départ, du moment où vous récupérez une donnée jusqu’au moment où vous allez la supprimer, en fin de boucle – puisque ça fait partie du chemin, c’est de vous assurer que la sécurité de la donnée est respectée. Qu’il n’y ait pas de fuite, et s’il y’en a, que vous ayez un processus clairement établi pour gérer la crise.

7 – Visibilité & transparence

Le sixième point, c’est la visibilité et la transparence. Si vous tracez des données, vous le dites à vos utilisatrices et à vos utilisateurs, vous leur dites pourquoi et à quoi ça va servir.

8 – Respect de la vie privée

Et le dernier, c’est celui qui englobe un peu tout le principe, c’est le respect de la vie privée. De base, c’est le paramètre par défaut du Privacy by design.

Vous l’aurez compris, c’est une démarche – puisqu’il s’agit d’une démarche, ce n’est pas quelque chose à quoi on pense à la fin du processus – c’est une démarche qui est user-centric. L’idée c’est que vous faites des sites pour une audience, donc il semble évident que, quand vous créez votre site, vous pensiez à l’audience à laquelle il est destiné. Ça tombe sous le sens, mais on a un petit peu tendance à oublier tout ça et à faire les choses par automatisme, donc c’est bien de se rappeler ce genre de « détails ».

Dans la vraie vie…

Alors vous allez me dire, c’est bien joli tout ça. On aimerait bien vivre dans ce monde où on a un peu de pouvoir sur ce qu’on partage et sur ce qu’on récupère sur nous, mais dans la vraie vie ce n’est pas vraiment le cas. On en est plutôt là, en fait.

Photo Blue neon sign, “Data has a better idea"

Néon bleu, « Data has a better idea »
Photo Franki Chamaki

À moins que vous n’ayez vécu sous une pierre ces derniers temps, vous avez dû voir qu’il y a eu deux ou trois crises sur le sujet ces derniers temps. Je ne vais pas parler de Facebook qui ne passe pas une super année en termes de médiatisation et de demandes juridiques à ce sujet. Je ne vais pas vous faire une analyse de toutes ces histoires, on a toutes et tous vu de quoi elles parlent et ce n’est pas le sujet, mais je trouve que c’est assez parlant, sur les modèles informatiques qu’on a mis en place au fil des années. Aujourd’hui, on est dans un système où on va plutôt récupérer des données à tout va et réfléchir après à ce qu’on va en faire. Donc, je pense aux GAFA, on pense à Facebook, Amazon, etc. Mais il ne faut pas se leurrer, c’est aussi le cas dans les entreprises plus « modestes ».

Je vais vous raconter une petite anecdote. Il y’a quelques années, je travaillais dans une entreprise du secteur de l’immobilier. Je travaillais dans le service marketing, je m’occupais du Web, des sites de la boîte. Et leur politique à eux, c’était exactement ça, j’appelle ça « la technique NSA ». C’est à dire qu’on récupère toutes les données possibles et imaginables, on aspire tout ce qu’il se passe sur le secteur qui nous intéresse, et on voit après ce qu’on en fait. Et on va cibler tout ça, évidemment, pour faire de la pub auprès des gens.

Le problème de ce modèle, c’est qu’on ne pense pas à « l’après ». C’est à dire qu’une fois qu’on a récupéré les données, effectivement, qu’est-ce qu’on en fait ? Il va falloir les trier, pour pouvoir envoyer les bonnes campagnes aux bonnes personnes. Il va falloir supprimer les contacts incomplets, les faux noms, par exemple, des emails mal renseignés, il va falloir supprimer les personnes pas intéressées aussi ; et, en général, c’est le travail d’une seule personne, en l’occurence, c’était moi. Et donc c’était moi qui recevais les emails des gens mécontents. Et c’était très difficile, pour moi, parce que j’étais d’accord avec eux. J’avais envie de leur répondre que je les comprenais, parce que je n’aimerais pas être à leur place, je n’aimerais pas recevoir emails après emails (ou sms, ou messages vocaux…) pour me dire « viens acheter une maison chez nous parce que tu habites là et que je sais que ça t’intéresses » (non) après qu’on ait récupéré mon adresse email, acheté auprès d’une grande société sans se demander si j’étais d’accord pour recevoir ce genre de communications.

Donc on reçoit ce genre de choses. Et le problème c’est qu’on a, de fait, un problème d’image par rapport à ça. On déclenche un bad buzz alors qu’on pourrait avoir une manière beaucoup plus respectueuse de la vie privée des gens de récupérer des données. Plutôt que d’en récupérer, par exemple, disons 100 000, on en récupère 10 000, mais 10 000 correspondant vraiment à des personnes intéressées par les projets par cette société, le retour sur nos campagnes sera beaucoup plus haut.

Jusqu’ici, je vous ai beaucoup parlé de l’audience, des utilisatrices et des utilisateurs, mais ça a aussi un intérêt pour les entreprises. Commercialement, on a vu Modcloth juste avant, cela a un véritable intérêt de faire les choses correctement.

Et parfois, quand on fonctionne comme ça, c’est à dire avec un aspirateur à données, on peut introduire des dysfonctionnements dans le système.

Quand la récolte de données mène à un dysfonctionnement

Je vous présente Louise Selby(2). Louise est pédiatre, elle est britannique. Et elle a décidé de s’inscrire à une salle de gym. Donc elle s’inscrit à cette salle de gym, très bien. On lui demande de remplir un formulaire, comme d’habitude dès qu’on fréquente ce genre d’endroits. Et elle n’a jamais réussi à accéder au vestiaire des femmes. Jamais. Elle avait une carte, vous savez, un petit « bip », pour y accéder. Elle n’a jamais réussi. Donc elle remonte le problème à la direction, ils cherchent, ils ne trouvent pas, ça prend assez longtemps. Ils font remonter à la maison-mère, puisqu’il s’agit d’un réseau, et puis l’équipe de développement trouve le bug. Et le bug, c’était que le titre de la personne décidait du vestiaire auquel elle pouvait accédait. C’est à dire que, si j’ai entré Madame, je vais accéder au vestiaire des dames, si j’ai entré Monsieur, je vais accéder au vestiaire des hommes. On pourrait se dire, après tout, que ce n’est pas mal comme système, ça pourrait fonctionner. Sauf qu’elle est Docteur. Donc elle a entré Docteur dans le champ. Et par défaut, dans le système, il est écrit Docteur = homme. Donc elle n’avait pas accès à son vestiaire.

Au-delà de l’humiliation d’aller voir des gens et de leur demander « pourquoi je n’ai pas accès à mon vestiaire ? » et de s’entendre dire « mais vous êtes Docteur et normalement un Docteur c’est un homme. », la deuxième réponse qui lui a été faite n’a pas été « on va tout faire pour que ça fonctionne, on va corriger le bug ». On lui a répondu, « Vous n’avez qu’à rentrer Madame ! » dans le champ. Pourquoi n’y a-t’elle pas pensé ?

Au-delà de la blague, ça a été un épisode désagréable pour elle. Mais si on va plus loin, et qu’on se met dans la situation d’une autre personne. Mettons qu’une personne transgenre, non-binaire ou genderfluid soit dans cette situation, et dont les papiers ne correspondent pas à son genre. Si le formulaire a été rempli selon ses papiers, si c’est un système automatique ou que-sais-je, elle aura exactement le même problème. Et la discussion sera beaucoup plus compliquée à avoir avec les personnes qui vont diriger l’établissement. Et quand bien même elle irait voir ces personnes pour remplir ce formulaire, c’est une discussion qu’elle n’a peut-être (très probablement) pas envie d’avoir avec de parfait·es inconnue·es. Après tout, ma salle de gym n’a pas à savoir si je suis célibataire, mariée, pacsée…

On a l’impression que c’est un petit épisode à part. Mais je suis assez d’accord avec cette personne, Billy Gregory, qui travaille sur l’accessibilité.

Quand votre UX est ratée, concrètement on peut dire que votre système l’est aussi. L’inclusivité, c’est faire en sorte que tout fonctionne pour tout le monde, le plus possible de personnes, pas exclure des personnes par défaut parce qu’on n’a pas pensé à un cas qui pourtant peut sembler évident.

Résolvons le problème

Alors, petit atelier rapide. Je vais arrêter de râler et peut-être essayer de trouver une solution.

Ceci est le système de base : quel est votre titre ?

  • Monsieur, j’accède au vestiaire des hommes,
  • Madame j’accède au vestiaire des dames,
  • Docteur, vestiaire A, B ? On ne sait pas.
  • Autre ? Je ne sais même pas si c’est prévu dans le système.

Évidemment ça ne fonctionne pas. En tout cas ce n’est pas vraiment inclusif.

Un autre système beaucoup plus simple. On demande à la personne « à quel vestiaire souhaitez-vous/devez-vous accéder ? → A, B, ou C ».

On résoud le problème, on évite d’avoir des discussions compliquées avec les clients et les clientes, et de mettre les gens dans une situation désagréable(3).

Quand on fonctionne uniquement par automatisme – on en est toutes et tous coupables, on le fait toutes et tous au quotidien, c’est pour ça que c’est important de se questionner – on risque de concevoir un système qui est défectueux, voire nocif.

WordPress & Privacy by design

Et WordPress, dans tout ça ? Il y’a un peu plus d’un an, j’ai été approchée par une association locale pour refaire leur site Internet. Somme toute, il s’agissait d’un projet assez classique, un site vitrine. Il s’agissait de passer de Wix à un CMS auto-hébergé. Rien de bien compliqué. Comme le thème de l’association était directement lié au Privacy by design j’ai décidé de mettre en place cette démarche dans la conception du site.

Je vous avoue que ça n’a pas été évident. Je vais vous expliquer pourquoi et vous expliquer le cheminement. C’est un cas qui est un petit peu particulier, mais mon idée est de vous montrer le travail qu’il peut y avoir à faire aujourd’hui sur WordPress. Ce qui est compliquée, un peu problématique, dès lors qu’on veut respecter la vie privée des gens sans avoir à faire du développement spécifique.

Le contexte

L’association s’appelle Solidarité Femmes Bassin. Il s’agissait donc d’une refonte classique. Excepté que Solidarité Femmes Bassin vient en aide aux victimes de violences conjugales sur le Bassin d’Arcachon. L’audience est par définition très vulnérable, donc il faut faire attention à ce qu’on fait et éviter les automatismes, éviter de mettre des personnes dans une situation difficile, voire pire, parce qu’on n’a pas trop réfléchi, ou qu’on a fait un site vitrine basique, et traité le projet comme un projet lambda.

Si je reviens un petit peu en arrière, aux captures d’écran qui étalaient ma vie privée, que je vous ai montrée au début. Je visite un site concernant les victimes de violences conjugales, et l’algorithme d’Instagram affiche une campagne ciblée. En soit, ce n’est pas très grave. Sauf que. On imagine bien que l’Internet de ces personnes n’est pas privé. Peut-être qu’elles ont un Internet partagé. Peut-être que c’est avec la personne qui est violente avec elle. Donc c’est compliqué. Parce que ça veut dire que si je visite un site qui me traque, je peux me retrouver avec ce genre de choses.

Full disclosure : j’ai visité pas mal de sites du genre, d’association venant en aide aux victimes, il y’a pas mal de campagnes et de sites que je suis, donc tout ça est lié ; et Instagram a bien compris que ces thèmes font partie de mes « centres d’intérêts ». Il s’agit également d’une campagne nationale, affichée un petit peu partout sur Internet et à tout le monde.

Objectifs Impératifs

Les objectifs. Dans ce cas particulier il s’agit plutôt d’impératifs : 

  • le premier était de protéger la vie privée de l’audience du site, donc de faire attention à ce que, quand elle visite le site, elle ne laisse pas trop de traces derrière elle, qu’elle ne risque pas d’avoir des problèmes parce qu’elle a visité notre site, qui à la base est conçu pour l’informer et l’aider,
  • La deuxième, c’est d’informer l’audience du site des potentiels risques, pas uniquement sur notre site à nous mais sur les sites Internet en général, qui traquent, comment effacer les cookies, etc.

La contrainte, c’est le budget. Il s’agit d’une petite association avec un budget très réduit, donc le développement personnalisé n’était pas possible. Il a fallu que je travaille avec l’existant, c’est à dire des extensions et des modules qui existent déjà. Ce qui m’a permis de faire mon petit audit et de regarder ce qui n’était pas très clean en termes de vie privée.

Je vais me limiter à quatre thèmes, pour essayer de faire bref. Ceux qui étaient les plus importants concernant ce site-là ; évidemment il pourrait y en avoir d’autres, ce n’est pas exhaustif, mais je pense qu’ils sont particulièrement parlant.

Les points de vigilance

Informations géographiques

Géolocalisation

Le premier, c’est la géolocalisation. Par défaut, on a un peu tendance à placer un Google Maps, un OpenStreetMap, etc., et basta. Ces services-là recueillent des données, Google en étant le champion toutes catégories confondues, et des données très précises sur la position des personnes. Ça nous est toutes et tous arrivé·es de recevoir une notification de Google – avant de désactiver la fonctionnalité – nous disant « tiens vous êtes dans tel quartier, il y a tel site attractif, il ferme à telle heure, attention, c’est dans 10 minutes. ». C’est un petit peu flippant.

Pour vous donner une idée, c’est un automatisme, nous l’avons mis en place sur le site du WordCamp Bordeaux, j’ai laissé 2017 mais il sera sur 2019, donc j’ai barré l’année pour le préciser. Mais est-ce que c’est la bonne solution ? On l’a fait par défaut, parce que ça allait plus vite et qu’on était dans le flux, mais est-ce que c’était la meilleure solution ? Est-ce que il n’y aurait pas une solution plus respectueuse de la vie privée des gens, par exemple afficher une carte ; OpenStreetMap permet de télécharger des fonds de carte en SVG pour les modifier et les mettre en ligne, est-ce que ce ne serait pas une solution plus respectueuse tout en étant tout aussi performante ? Et, « accessoirement », on charge moins de ressources sur notre site, on gagne un petit peu en performance, ce qui est toujours une bonne chose.

Coordonnées postales

La solution pourrait être de proposer des coordonnées postales. Vous avez tous vu des sites de restaurants, de bar, etc., où il n’y a même pas l’adresse indiquée. Par contre il y’a un Google Maps. Sauf que, je ne sais pas vous, mais j’utilise assez rarement le Google Maps dun site sur mon téléphone parce que ce n’est pas facile, on est vite perdu, etc. Je préfère avoir une adresse que je puisse copier/coller et prendre la décision moi-même d’aller sur Google Maps, en toute connaissance de cause, et éventuellement d’être tracée, de faire ce choix-là.

Les coordonnées postales restent informatives, on a les coordonnées exactes, on sait où on va. Je parlais de performance, effectivement c’est moins gourmand en ressources que de charger un service tiers. Et c’est transparent, on laisse le choix à l’internaute. Si on veut copier/coller l’adresse dans Google Maps, on le fera. De la même manière qu’on sait aujourd’hui que les boutons de partage qu’on insère en bas des articles de blog pour les réseaux sociaux ne fonctionnent pas – les gens préfèrent copier/coller l’adresse dans leur Twitter par exemple, ou utiliser la fonction intégrée à leur téléphone(4) – je ne suis pas certaine que votre carte Google Maps, aussi jolie soit-elle, soit utilisée telle quelle sur votre site. C’est une question à se poser. Peut-être que vous n’en avez pas besoin.

Pour revenir à Solidarité Femmes Bassin, le choix a été fait en concertation avec les équipes de ne pas indiquer les coordonnées. C’est une bonne pratique d’indiquer les coordonnées de l’entreprise du site que vous avez conçu, si vous connaissez le référentiel Opquast(5). Nous avons choisi l’inverse, pour une question de protection des équipes.

Les espaces de discussion

Le deuxième point de vigilance concerne les espaces de discussion. L’idée de ce site était que les personnes puissent joindre l’association et discuter avec les équipes. L’idée était de créer cet échange, en tout cas de le permettre. La recherche a été compliquée.

Système de chat privé et anonyme

La première demande, qui était totalement pertinente, était un chat privé et anonyme. Pour que toute personne puisse contacter les équipes à n’importe quel moment, ou en tout cas aux horaires d’ouverture sans forcément donner son nom. De créer ce premier échange avec les bénévoles de l’association. J’ai pensé naïvement que ça devait exister, qu’il y’avait des personnes qui avaient du créer ce type d’extension. D’autres associations proposent ce service sur leurs sites, notamment SOS amitié/suicide. On peut les contacter et parler de manière anonyme et privée avec une personne qui va vous conseiller et vous aider. Mais il s’agissait de développement personnalisé.

Je me suis donc tournée du côté des extensions existantes. Ce que j’ai trouvé, ce sont surtout des outils marketing et de service client. Après tout, cela correspond aux besoins qu’on a aujourd’hui. On va trouver Intercom hors-WordPress ou Aïo côté WordPress. Ces extensions sont intéressantes mais embarquent des traceurs. Ce n’est absolument pas leur intérêt, et c’est normal parce que ça ne correspond absolument pas à leur besoin, d’avoir des chats anonymes.

La deuxième solution que j’ai trouvée, et qui s’approchait le plus de notre besoin, c’était Quickchat, qui est une sorte d’IRC auto-hébergé. Vous pouvez héberger un système IRC sur votre site, gratuit, privé, anonyme. Excepté que ça ne correspond vraiment pas au besoin. On n’était pas sur l’idée d’un espace de discussion général mais sur un échange direct, de personne à personne.

C’est tout ce que j’ai trouvé, en tout cas qui pouvait à peu près correspondre à mon besoin. Le choix a donc été de ne pas intégrer cette fonctionnalité au site, parce qu’on ne pouvait pas garantir la vie privée des personnes. Parfois, le meilleur choix, c’est de ne pas intégrer une fonctionnalité si vous estimez qu’elle n’est pas prête, ou qu’elle ne va pas correspondre aux besoins de votre audience. On peut fonctionner comme ça, en amélioration progressive. Peut-être que dans les années qui viennent il y aura une manière de mettre en place ce service, soit par un développement personnalisé parce que on en aura les moyens, soit parce qu’il y aura une extension, développée entre temps. Pour le moment ce n’est pas le cas.

Les commentaires

Première chose, sachez que WordPress permet d’anonymiser les commentaires, on le sait peu, mais c’est possible. C’est à nos risques et périls, on peut récolter du troll en mettant cette démarche en place.

Il est aussi possible de rendre optionnels les noms et les emails dans les commentaires, on n »est pas obligé d’obliger, justement, notre audience à insérer son nom ou son email si elle souhaite commenter. « J’ai envie de commenter, je n’ai pas forcément envie de grossir la base de données de quelqu’un. »

Petite alerte, à ce sujet, attention aux outils qui permettent une connexion Facebook, Twitter, LinkedIn, tous nos outils réseaux sociaux. Par exemple, Jetpack le propose, je crois que Disqus aussi. Cela semble pratique, mais en termes de traceurs… Si e me connecte, par exemple sur le site de Buzzfeed avec mon compte Facebook, il y a fort à parier que je me retrouve avec des pubs, sur mon compte Facebook, pour Buzzfeed.

Comme je le disais, on peut anonymiser les commentaires, l’option se trouve dans le panneau d’administration. Dans « autre réglages des commentaires » vous pouvez décocher « l’auteur doit renseigner son nom et son adresse de messagerie ». Deux tutos pour anonymiser, ou en tout cas réduire le nombre de champs nécessaires quand vous mettez en place des commentaires sur WordPress :

Pour la même raison, sur Solidarité Femmes Bassin, nous avons décidé de pas mettre de commentaires : soit on les anonymisait et cela représentait un risque de troll, soit on ne les anonymisait pas mais cela représentait un risque pour la vie privée des personnes. Là encore, on a décidé de ne pas mettre en place une fonctionnalité plutôt que de prendre un risque.

Les formulaires

Keep it simple

Première chose, rappelez-vous Louise Selby. Évitez de demander des données si vous n’avez pas réfléchi à leur pertinence. Ce n’est peut-être pas la peine de demander toute une liste de données à votre audience si au final vous n’allez en utiliser qu’une, ou si vous allez mal les utiliser. Donc posez-vous la bonne question avant de concevoir votre formulaire, il sera moins long, il sera moins frustrant pour la personne et ce sera tout bénéfices pour vous.

Restez simple dans ces formulaires-là, et soyez transparent. Ne dites pas « je récupère vos emails mais ne vous inquiétez pas, je ne vais pas m’en servir ! ». Ou, comme Uber « On vous géolocalise tout le temps, même lorsque votre appli est éteinte, tant qu’elle est installée sur votre téléphone, mais ne vous inquiétez pas, on ne va pas en faire usage !(6) ». Uber est une société commerciale, personnellement je n’ai pas tellement confiance.

Soyez transparent, dites-le. C’est à vous de gérer correctement ces données et de montrer à vos utilisatrices et utilisateurs que vous êtes digne de confiance.

Sur Solidarité Femmes Bassin, pour la newsletter, l’idée est de recevoir par email les dernières infos de l’association, on a donc juste demandé l’email dans le formulaire. Les personnes devaient simplement recevoir les infos régulièrement. On n’avait pas besoin de leur nom, on n’avait pas besoin d’infos complémentaires dans le formulaire, on avait juste besoin qu’elles reçoivent cette information.

Abonnement par email

Pour les abonnements par emails, donc, le besoin était un outil intégré à WordPress pour faciliter la vie des clients, qui soit intuitif, encore une fois pour leur faciliter la vie, et qui soit pas trop intrusif.

Ma première idée fut Jetpack, qui propose ce service et fonctionne très bien. Le problème, c’est que le côté intrusif, chez eux, ce n’est pas trop ça. Même quand vous avez l’impression d’avoir désactivé toutes les fonctionnalités qui ne vous intéressent pas, n’hésitez pas à aller voir tout en bas de la page, il y’a un petit lien qui s’appelle « debug » et vous permet de voir la liste de ce qui est vraiment activé. Et vous allez voir que par défaut, Jetpack active quelques petites fonctionnalités supplémentaires. Ne serait-ce que le fait qu’on active des modules sans vous prévenir, c’est un problème. C’est pour ça que j’ai disqualifié Jetpack tout de suite.

J’ai donc choisi Mailpoet. C’est un système qui me permet d’envoyer des emails automatiquement, liés aux actualités sur mon site, gratuit jusqu’à 2000 abonnés, c’est donc parfait pour une petite association, et le système est clair et intuitif, donc l’assistante de l’association qui alimente le site ne va pas être trop perdue, ça ne va pas lui demander trop d’apprentissage de travailler sur ce système-là(7).

Dernière chose, pensez aux flux RSS. On peut s’abonner à un flux RSS et recevoir le tout par email, finalement c’est parfois la solution la plus simple, à laquelle on ne pense plus forcément.

Statistiques & cookies

Je ne vais pas trop m’attarder sur les statistiques et les cookies, parce qu’il faudrait que je parle du RGPD dans ce cas-là, et ce serait le sujet d’une autre conférence entière.

Les traceurs sont-ils réellement inévitables ?

Je vais simplement vous parler à nouveau de conception.

Lees traceurs sont vraiment inévitables ? Vraiment, posez-vous la question avant de les mettre en place. Est-ce que vous en êtes sûr ? Pour quel usage ? Quelles données ?

Si c’est le cas, informez l’internaute du fait que vous recueillez ses données. C’est pour cela que je parlais du RGPD, parce qu’on est ici dans le consentement à la récolte des données.

Je vous donne quelques sources si le sujet vous intéresse et si vous souhaitez l’approfondir : 

  • Un article extrêmement détaillé et bien conçu sur WP Marmite(8),
  • A WordCamp Paris, une conférence de Frédérique Game sur la partie législative, juridique de WordPress, RGPD inclus mais pas uniquement(9),
  • Et si le dossier de WP Marmite, qui est quand même assez long, vous semble un petit peu trop dense et que vous n’avez pas le temps, on a fait un meetup avec l’équipe WordPress Bordeaux sur le sujet et on a rédigé un compte-rendu un peu plus succinct mais qui en reprend les grandes lignes. Cela peut vous aider à vous intéresser au sujet(10).
Se passer de Google Analytics

Je sais qu’il y’a eu des conférences sur le sujet aujourd’hui, et je suis désolée, mais, est-ce qu’on ne pourrait pas se passer de Google Analytics ?

C’est compliqué, je ne vous le cache pas, c’est très compliqué. J’ai cherché des alternatives. Heureusement, la CNIL existe et liste des possibilités. AT Internet, anciennement Xiti, et Matomo, anciennement Piwik, permettent de faire un suivi de statistiques sans être trop intrusifs. C’est à dire que si vous les installez, la CNIL ne vous demande pas de recueillir le consentement des internautes, estimant que vous ne recueillez pas de données trop intrusives.

Matomo est intéressant mais peut-être un peu compliqué, en tout cas ça demande un peu plus de travail que de simplement télécharger et activer une extension sur WordPress. Il y a un tuto chez WP Formation, c’était il y a deux ans je crois donc Matomo s’appellait encore Piwik(11).

Informer

J’en parlais à l’instant, tout ce que je vous ai dit, ça ne veut pas dire que vous n’allez pas recueillir de données. Aujourd’hui, il est très compliqué de ne pas le faire, qui plus est si on travaille dans une entreprise qui fait du commerce, du marketing.

Par contre, informer les utilisatrices et les utilisateurs de ce que vous récupérez comme informations, c’est important.

Faire preuve de transparence

Pour commencer, faites preuve de transparence. Cela permet de rassurer. En général, on a plus confiance en quelqu’un nous dit exactement ce qu’il ou elle va faire plutôt que quelqu’un qui masque qui ne le dit pas. Il faut le trouver dans les conditions d’utilisation qui ne sont pas forcément très claires… Essayez de proposer à votre audience des textes digestes, lisibles, compréhensibles,…

Ensuite, mettez en place une politique de confidentialité, c’est aussi un des volets du RGPD, vous trouverez des informations dans les ressources que je vous ai données. Dites, ce que vous recueillez, comment et pourquoi.

Pour finir, accompagnez les clients. Ils auront peut-être des questions sur votre démarche, peut-être qu’ils ne seront pas convaincus parce qu’ils auront toujours entendu qu’il faut tracer leur audience et donc vous demanderont de le faire. Mais peut-être qu’en discutant avec eux vous vous apercevrez que le besoin n’est pas exactement celui qui est exprimé.

Des temporalités différentes

La première temporalité, c’est le court-terme et les urgences. Quelqu’un qui est pressé ne va pas vouloir aller chercher partout votre information, ou devoir lire des textes alambiqués pour la trouver. Donc essayez de proposer un parcours clair, de la rédaction limpide, pas des choses jargonnantes, pour ne pas engendrer plus de stress et plus de frustration à votre audience, que vous risquez de perdre, justement. D’autant plus en demandant trop de données. On tous rencontré des formulaires trop longs, arrivés à la fin, ça faisait dix minutes qu’on les remplissait, on a donc arrêté de les remplir.

La page d’accueil du site de Solidarité Femmes Bassin est très basique. L’idée était de montrer les numéros de téléphone d’urgence, que la personne puisse les trouver rapidement en accédant au site, qu’ils soient clairs.

Dans un deuxième temps, si elle a plus de temps – ou pour la deuxième audience, les partenaires par exemple – des informations plus longues à trouver sont disponibles. Il faudra cliquer dans le menu en haut, mais cela ajoute un clic. Il s’agit de la temporalité longue, on a plus de temps devant nous pour la lecture. Cette temporalité concerne les guides, les modes d’emploi, les CGV, ce genre de pages, qui n’ont pas besoin d’être lues dès le début par votre audience, ces informations n’ont pas besoin d’être présentes sur la page d’accueil. Une fois que la personne a le temps de se poser et de les lire, elle sont à sa disposition.

TL;DR ?

J’en arrive à la fin, si jamais c’était un petit peu trop dense pour vous, je vous ai préparé un petit résumé sur la démarche.

  1. La première chose, primordiale, c’est la phase de questionnements. Posez-vous toujours des questions, tout au long de votre conception, je crois que c’est un thème qu’on retrouve sur à peu près toutes les thématiques qu’on a abordées aujourd’hui, j’ai entendu plusieurs intervenantes et intervenants en parler. C’est valable pour l’accessibilité, pour la performance,… Posez-vous des questions.
  2. Évitez les automatismes. Parce que, souvent, on fait les choses sans trop y penser et c’est comme ça qu’on rate des choses.
  3. Et gardez le cap durant toute votre conception, mettez un post-it, un dessin, que-sais-je, ce qui marche le mieux pour vous, sur votre espace de travail, ou discutez avec vos équipes. Souvent cela permet d’avoir le recul nécessaire pour faire avancer les choses.

Aujourd’hui, WordPress, c’est 30% du Web(12), on vous l’a dit et répété aujourd’hui. 30% c’est énorme, l’impact peut être considérable si on met en place des bonnes pratiques, de la performance, de l’accessibilité, du Privacy by design… Surtout que ce n’est pas forcément très compliqué à faire. Ça veut « simplement » dire qu’au début de notre projet, on va y penser ; on va essayer de construire nos sites de la meilleure manière possible. Je parlais de responsabilité au début, je suis désolée de vous le dire, mais oui, nous avons une responsabilité là-dedans.

Une bonne nouvelle: la WordPress Privacy team

C’était un peu déprimant, tout ça, mais il j’ai quand même une bonne nouvelle. Cette semaine WordPress a annoncé que sa Privacy team, qui existe depuis début 2018, née suite à l’apparition du RGPD pour travailler sur ce sujet-là sur le core de WordPress, a annoncé a roadmap V2, sa nouvelle feuille de route. Et cette nouvelle feuille de route est basée sur le Privacy by design. L’équipe a décidé de ne pas se limiter au RGPD et d’avoir une réelle réflexion sur la vie privée des utilisateurs et utilisatrices, parce qu’il y’a du travail à faire dans le core de WordPress. Et ce qui est encore plus intéressant, c’est qu’il y a des discussions en cours avec d’autres CMS comme Drupal ou Joomla. On est, là encore, sur un impact potentiellement assez grand, parce que sur des proportions d’utilisation de CMS assez élevées(13).

Des choses sont faites du côté du core de WordPress, on peut faire des choses nous, en tant que personnes qui concevons des sites, espérons aussi que ça peut être fait du côté des navigateurs, des terminaux de lecture, etc. Je sais que ça semble un peu idyllique, mais on peut réussir à développer un Internet un petit peu plus respectueux de nos vies privées.


Notes

1 – Stressée, j’ai oublié de le préciser durant mon intervention, mais je n’ai évidemment pas inventé ces sept principes ! Ils ont été développés au Canada durant les années 90, tout comme la démarche ; tout d’abord par Ann Cavoukian, alors Commissaire à l’Information et la Vie Privée de l’Ontario, ensuite rejointe par l’Autorité de Protection des Données Néerlandaise et de l’Organisation Néerlandaise pour la Recherche Scientifique Appliquée. Retour ↑

2 – Cette anecdote est tirée de l’excellent livre de Sara Wachter-Boettcher, Technically wrong – Sexist apps, biased algorithms, and other threats of toxic tech. Retour ↑

3 – Je ne l’ai pas précisé, car cela me semblait tomber sous le sens – comme quoi… Certains m’ont fait remarquer après mon intervention que des personnes mal intentionnées pourraient en profiter, et j’ai également entendu des rires et remarques dans la salle à ce moment de mon intervention… Evidemment, aucun système informatique n’empêchera les débordements. C’est à l’équipe de gestion de l’établissement de faire le tri et de s’assurer que chacun respecte les règles de l’établissement, pour commencer, mais aussi, et surtout, les autres client·es. Retour ↑

4 – Réseaux sociaux : c’est prouvé, personne n’utilise les boutons de partage, par Thomas Coëffé, le 13 mai 2015 sur le Blog du modérateur. Retour ↑

5 – Bonne pratique no. 123 : l’adresse complète et le numéro de téléphone des sociétés et organisations sont accessibles depuis toutes les pages du site. Retour ↑

6 – Uber wants to track your location even when you’re not using the app par Andrew J. Hawkins, le 30 novembre 2016, sur theverge.com. Retour ↑

7 – Durant la journée, on m’a parlé de l’extension WordPress Newsletter Plugin, développée par Tribulant Software. Je ne l’ai pas encore testée, mais elle serait plus performante que Mailpoet. Retour ↑

8 – RGPD et WordPress : Le guide ultime (et concret) pour se mettre en conformité, par Eléonor Biriotti, le 18 avril 2018 sur WP Marmite. Retour ↑

9 – Je code, tu codes, nous codons… et le code civil dans tout ça ? par Frédérique Game, le 9 mars 2018 au WordCamp Paris. Retour ↑

10 – Le RGPD va t’il changer nos vies ? – Compte-rendu du meetup du 3 mai 2018 par Mylène Boyrie sur wpbordeaux.fr. Retour ↑

11 – Tuto : Installer Piwik pour WordPress par Alexandre Gaboriau, le 13 juin 2016, sur WP Formation. Retour ↑

12 – 32 % depuis. CMS Usage Distribution in the Top 1 Million sur trends.builtwith.com. Retour ↑

13 – WordPress Privacy Contributors Begin Work on V2 Roadmap, Form Cross-Platform Working Group par Sarah Gooding, le 16 octobre 2018, sur WP Tavern. Retour ↑


Bibliographie

Anonymat, sur le wiki de Korben.

[Conférence] « Privacy by Design », le design pour la vie privée par Geoffrey Dorne et Jérémie Fontana à Grand Est Numérique, le 21 septembre 2017.

Cookies & traceurs : que dit la loi ? sur le site de la CNIL.

Cover your tracks online par l’association Women’s Aid.

Customer Data: Designing for Transparency and Trust par Timothy MoreyTheodore “Theo” ForbathAllison Schoop et Allison Schoop, mai 2015, Harvard Business Review.

Feminist Frequency Resources.

How To Protect Your Users With The Privacy By Design Framework par Heather Burns, le 27 juillet 2017, sur Smashing Magazine.

Le “Privacy by Design” en action: étude de cas sur le site du CNPD (Commission nationale pour la protection des données du Grand-Duché de Luxembourg), dernière mise à jour le 18 mai 2015.

Marketing politique : Démocra-ciblée – #DATAGUEULE 68 par Julien Goetz et Sylvain Lapoix, publié le 16 janvier 2017 sur YouTube.

Pour un design de la vie privée ! par Geoffrey Dorne, le 3 avril 2016, sur Graphism.fr.

Privacy Guidelines For Designing Personalization par Timothy Kolke, le 25 mars 2016, sur Smashing Magazine.

Solutions pour la mesure d’audience sur le site de la CNIL.

Technology Safety, exploring technology in the context of intimate partner violence, sexual assault, and violence against women, Safety Net Project par le NNEDV (National Network to End Domestic Violence).

Technically wrong – Sexist apps, biased algorithms, and other threats of toxic tech de Sara Wachter-Boettcher, 10 octobre 2017, W. W. Norton & Company.



Ajouter un commentaire