Qu'estce que la confidentialité en ligne?

Dans cet épisode du Smashing Podcast, nous parlons de la confidentialité en ligne. Que devraient faire les développeurs Web pour garantir la confidentialité de nos utilisateurs? J'ai parlé à Laura Kalbag pour le découvrir.

Afficher les notes

Mise à jour hebdomadaire

Transcription

Drew McLellan: Elle est une créatrice du Royaume-Uni, mais maintenant basée en Irlande, elle est co -fondateur de la Small Technology Foundation. Vous la trouverez souvent parler de la conception respectueuse des droits, de l'accessibilité et de l'inclusivité, de la confidentialité et de la conception et du développement Web, à la fois sur son site Web personnel et dans des publications telles que le magazine Smashing. Elle est l'auteur du livre Accessibility for Everyone de A Book Apart. Et avec la Small Technology Foundation, elle fait partie de l'équipe derrière Better Blocker, un outil de blocage de suivi pour Safari sur iOS et Mac. Nous savons donc qu'elle est une experte du design inclusif et de la confidentialité en ligne, mais saviez-vous qu'elle a pris d'assaut la Fashion Week de Paris en portant un kilt en spaghetti. Mes amis Smashing, veuillez accueillir Laura Kalbag.

Laura Kalbag: Bonjour.

Drew: Bonjour Laura, comment allez-vous?

Laura: Je fracasse.

Drew: Je voulais vous parler aujourd'hui du sujet de la confidentialité en ligne et des défis liés à la participation active en ligne sans partager trop de votre vie privée et de vos données personnelles avec des entreprises qui peuvent ou non être dignes de confiance. C'est un domaine auquel vous pensez beaucoup, n'est-ce pas?

Laura: Ouais. Et je ne pense pas seulement à notre rôle en tant que consommateurs dans ce domaine, mais aussi en tant que personnes qui travaillent sur le Web, à notre rôle de le faire et à quel point nous en faisons un problème pour le reste de la société en tant que

Drew: En tant que développeur Web grandissant dans les années 90 comme moi, pour moi, maintenir une présence active en ligne impliquait essentiellement de créer et de mettre à jour mon propre site Web. Essentiellement, c'était de la technologie distribuée mais c'était sous mon contrôle. Et de nos jours, il semble qu'il s'agit davantage de publier sur des plates-formes commerciales centralisées telles que Twitter et Facebook, les plus évidentes. C'est un changement vraiment important dans la façon dont nous publions des contenus en ligne. Est-ce un problème?

Laura: Ouais. Et je pense que nous nous sommes éloignés de ces moyens de diffusion décentralisés sur nos propres sites Web. Et le problème est que nous affichons essentiellement tout sur le site Web de quelqu'un d'autre. Et cela ne signifie pas seulement que nous sommes soumis à leurs règles, ce qui est une bonne chose dans certains cas, vous ne voulez pas nécessairement être sur un site Web plein de spam, plein de trolls, plein de contenu nazi, nous ne voulons pas vivre cela. Mais nous n'avons également aucun contrôle sur le fait que nous soyons expulsés, qu'ils décident de nous censurer de quelque façon que ce soit. Mais aussi tout ce qui sous-tend cette plateforme. Donc, si cette plate-forme sait où nous en sommes à tout moment, car elle reprend notre emplacement. Que ce soit la lecture de nos messages privés parce que si ce n'est pas chiffré de bout en bout, si nous nous envoyons des messages directs, la société pourrait y accéder.

Laura: Que ce soit activement, alors si les personnes qui y travaillent peuvent simplement lire vos messages. Ou passivement, où ils aspirent simplement les trucs de l'intérieur de vos messages et les utilisent pour créer des profils vous concernant, qu'ils peuvent ensuite utiliser pour vous cibler avec des publicités et des trucs comme ça. Ou même de combiner ces informations avec d'autres ensembles de données et de les vendre à d'autres personnes également.

Drew: Cela peut être assez terrifiant, n'est-ce pas? Ayez ce que vous considérez comme un message privé avec quelqu'un sur une plate-forme comme Facebook, en utilisant Facebook Messenger, et trouvez les choses que vous avez mentionnées dans une conversation puis utilisées pour cibler les publicités vers vous. Ce n'est pas quelque chose que vous pensez que vous avez partagé, mais c'est quelque chose que vous avez partagé avec la plate-forme.

Laura: Et j'ai un exemple classique de cela qui m'est arrivé il y a quelques années. Donc, j'étais sur Facebook, et ma mère venait de mourir, et je recevais des publicités pour les directeurs de funérailles. Et je pensais que c'était vraiment étrange parce qu'aucun membre de ma famille n'avait dit quoi que ce soit sur une plate-forme de réseau social à ce moment-là, aucun membre de ma famille n'avait rien dit sur Facebook parce que nous avions convenu que personne ne voulait découvrir ce genre de chose à propos de un ami ou un membre de la famille via Facebook afin que nous ne parlions pas à ce sujet. Et puis, j'ai donc demandé à mes frères et sœurs: «L'un de vous a-t-il dit quelque chose sur Facebook qui pourrait causer cela étrange?» Parce que je reçois généralement des publicités pour le maquillage, les robes et les tests de grossesse, et toutes ces choses amusantes qu'ils aiment cibler les femmes d'un certain âge. Et ma sœur est revenue vers moi, elle a dit: «Eh bien, oui, mon amie vit en Australie alors je lui ai envoyé un message sur Messenger, Facebook Messenger, et je lui ai dit que notre maman était décédée.»

Laura: Et bien sûr, Facebook savait que nous sommes sœurs, il a cette connexion relationnelle que vous pouvez choisir d'ajouter là-bas, il pourrait probablement deviner que nous étions sœurs de toute façon par les endroits où nous avons été ensemble, le fait que nous partageons un nom de famille . Et j'ai décidé que c'était une annonce appropriée à mettre dans son flux.

Drew: Ça donne à réfléchir, n'est-ce pas? Penser que la technologie prend ces décisions pour nous qui affecte réellement les gens, potentiellement dans cet exemple, à un moment assez sensible ou vulnérable.

Laura: Ouais. Nous disons que c'est effrayant, mais la plupart du temps, les gens disent que c'est presque comme si le microphone de mon téléphone ou de mon ordinateur portable m'écoutait parce que je venais d'avoir cette conversation sur ce produit particulier et soudain, cela apparaît partout dans mon flux. Et je pense que ce qui fait vraiment peur, c'est le fait que la plupart d'entre eux n'ont pas accès à votre microphone, mais c'est le fait que vos autres comportements, votre recherche, le fait qu'il sait à qui vous parlez en raison de votre proximité avec mutuellement et votre position sur vos appareils. Il peut connecter toutes ces choses que nous pourrions ne pas nous connecter afin de dire, peut-être qu'ils seront intéressés par ce produit parce qu'ils penseront probablement que vous en parlez déjà.

Drew: Et bien sûr, ce n'est pas aussi simple que de revenir en arrière et de revenir à une époque où si vous vouliez être en ligne, vous deviez créer votre propre site Web car il y a des obstacles techniques à cela, il y a des barrières de coûts. Et il vous suffit de regarder l'explosion de choses comme le partage de vidéos en ligne, il n'y a pas de moyen facile de partager une vidéo en ligne de la même manière que vous pouvez simplement la mettre sur YouTube, ou la télécharger sur Facebook, ou sur Twitter, là il y a là des défis techniques.

Laura: Ce n'est pas juste d'en blâmer qui que ce soit, car utiliser le Web aujourd'hui et utiliser ces plateformes aujourd'hui fait partie de la participation à la société. Vous ne pouvez pas l'aider si votre école a un groupe Facebook pour tous les parents. Vous ne pouvez pas l'aider si vous devez utiliser un site Web qui, afin d'obtenir des informations vitales. Cela fait partie de notre infrastructure maintenant, en particulier de nos jours, lorsque tout le monde fait soudainement appel aux appels vidéo et à des choses comme ça. Ce sont nos infrastructures, elles sont aussi utilisées et aussi importantes que nos routes, que nos services publics, nous devons donc les faire traiter en conséquence. Et nous ne pouvons pas blâmer les gens de les utiliser, surtout s'il n'y a pas d'alternatives qui soient meilleures.

Drew: Lorsque la suggestion utilise ces grandes plateformes, c'est facile et gratuit, mais est-ce gratuit ?

Laura: Non, parce que vous payez avec vos informations personnelles. Et j'entends beaucoup de développeurs dire des choses comme: "Eh bien, je ne suis pas intéressant, je m'en fiche vraiment, ce n'est pas vraiment un problème pour moi." Et nous devons penser au fait que nous sommes souvent dans un groupe assez privilégié. Qu'en est-il des personnes les plus vulnérables? Nous pensons aux gens qui ont des parties de leur identité qu'ils ne veulent pas nécessairement partager publiquement, ils ne veulent pas être révélés par des plateformes à leurs employeurs, à leur gouvernement. Les gens qui sont dans des situations de violence domestique, nous pensons aux gens qui ont peur de leur gouvernement et ne veulent pas espionner. C'est un grand nombre de personnes à travers le monde, nous ne pouvons pas simplement dire: «Eh bien, c'est bien pour moi, donc ça doit aller pour tout le monde», ce n'est tout simplement pas juste.

Drew: Ce n'est pas forcément un très gros problème que vous essayez de cacher au monde pour vous inquiéter de ce qu'une plateforme pourrait partager à votre sujet.

Laura: Ouais. Et tout ce qui concerne la confidentialité, c'est qu'il ne s'agit pas d'avoir quelque chose à cacher, mais de choisir ce que vous voulez partager. Donc, vous n'avez peut-être pas l'impression d'avoir quelque chose en particulier à cacher, mais cela ne signifie pas nécessairement que vous mettez une caméra dans votre chambre et que vous la diffusez 24 heures, il y a des choses que nous faisons et que nous ne voulons pas partager. [19659011] Drew: Parce qu'il y a aussi des risques à partager du contenu social, des choses comme des photos de famille et d'amis. Que nous pourrions sacrifier la vie privée des autres sans qu'ils soient vraiment conscients, est-ce un risque?

Laura: Ouais. Et je pense que cela s'applique aussi à beaucoup de choses différentes. Ce n'est donc pas seulement si vous téléchargez des éléments de personnes que vous connaissez et qu'ils sont ensuite ajoutés aux bases de données de reconnaissance faciale, ce qui se produit souvent. Ces bases de données très louches, ils vont gratter les sites de médias sociaux pour créer leurs bases de données de reconnaissance faciale. Clearview est donc un exemple d'entreprise qui a fait cela, elle a gratté des images de Facebook et les a utilisées. Mais aussi des choses comme l'e-mail, vous pouvez choisir… Je ne vais pas utiliser Gmail parce que je ne veux pas que Google ait accès à tout dans mon e-mail, qui est tout ce à quoi je me suis inscrit, à chaque événement auquel j'assiste , toute ma communication personnelle, donc je décide de ne pas l'utiliser. Mais si je communique avec quelqu'un qui utilise Gmail, eh bien, il a pris cette décision en mon nom, que tout ce que je lui enverrai par courrier électronique sera partagé avec Google.

Drew: Vous dites que, souvent d'un position privilégiée, nous pensons bien, nous obtenons toute cette technologie, toutes ces plateformes nous sont données gratuitement, nous n'avons pas à payer pour cela, tout ce que nous avons à faire est… Nous abandonnons un peu un peu d'intimité, mais ça va, c'est un compromis acceptable. Mais est-ce un compromis acceptable?

Laura: Non. Ce n'est certainement pas un compromis acceptable. Mais je pense que c'est aussi parce que vous ne voyez pas nécessairement immédiatement les dommages causés par l'abandon de ces choses. Vous pourriez vous sentir comme si vous étiez en sécurité aujourd'hui, mais vous ne le serez peut-être pas demain. Je pense qu'un bon exemple est Facebook, ils ont en fait un modèle d'approbation ou de réfutation des prêts en fonction de la situation financière de vos amis sur Facebook. Donc, si vous pensez que votre ami doit beaucoup d'argent et que beaucoup de vos amis doivent beaucoup d'argent, vous êtes plus susceptible d'être dans la même situation qu'eux. Donc, tous ces systèmes, tous ces algorithmes, ils prennent des décisions et influencent nos vies et nous n'avons pas leur mot à dire. Il ne s'agit donc pas nécessairement de ce que nous choisissons de partager et de ce que nous choisissons de ne pas partager en termes de quelque chose que nous mettons dans un statut, ou une photo ou une vidéo, mais il s'agit également de toutes ces informations qui sont dérivées à propos de nous à partir de notre activité sur ces plates-formes.

Laura: À propos de nos emplacements ou si nous avons tendance à sortir tard le soir, le genre de personnes avec lesquelles nous avons tendance à passer notre temps, tout cela Des informations peuvent également être collectées par ces plateformes, puis elles prendront des décisions à notre sujet en fonction de ces informations. Et non seulement nous n'avons pas accès à ce qui dérive de nous, nous n'avons aucun moyen de le voir, nous n'avons aucun moyen de le changer, nous n'avons aucun moyen de le supprimer, sauf quelques choses que nous pourrions faire si nous êtes dans l'UE sur la base du RGPD, si vous êtes en Californie sur la base de leur réglementation, vous pouvez entrer et demander aux entreprises quelles données elles ont sur vous et leur demander de les supprimer. Mais alors, quelles données comptent dans cette situation? Juste les données qu'ils ont collectées sur vous? Qu'en est-il des données qu'ils ont dérivées et créées en combinant vos informations avec celles d'autres personnes et les catégories dans lesquelles ils vous ont placé, des choses comme ça. Nous n'avons aucune transparence sur cette information.

Drew: Les gens pourraient dire que c'est de la paranoïa, c'est du truc de papier d'aluminium. Et vraiment, tout ce que ces entreprises font, c'est collecter des données pour nous montrer différentes publicités. Et bien, il y a le potentiel pour ces autres choses, mais ils ne le font pas vraiment. Tout ce qu'ils font, c'est simplement nous adapter des publicités. Est-ce le cas ou ces données sont-elles réellement utilisées de manière plus malveillante que la simple diffusion d'annonces?

Laura: Non. Nous avons vu à de très nombreuses reprises comment ces informations sont utilisées autrement que juste des publicités. Et même si une entreprise décide de les collecter uniquement sur la base d'annonces, elles pourraient ensuite être revendues ou acquises par une organisation qui décide de faire quelque chose de différent avec ces données et cela fait partie du problème de collecte des données dans le premier endroit. Et c'est aussi un gros risque pour des choses comme le piratage, si vous créez une grande base de données centralisée avec les informations des gens, leurs numéros de téléphone, leurs adresses e-mail, même les choses les plus simples, ce sont des données vraiment juteuses pour les pirates. Et c'est pourquoi nous voyons des hacks à grande échelle qui entraînent la mise à la disposition du public de nombreuses informations personnelles. C'est parce qu'une entreprise a décidé que c'était une bonne idée de collecter ces informations en un seul endroit en premier lieu.

Drew: Y a-t-il alors des moyens que nous pouvons utiliser ces plateformes, interagir avec des amis et la famille qui sont aussi sur ces plateformes, Facebook est l'exemple évident où vous pourriez avoir des amis et de la famille partout dans le monde et Facebook est l'endroit où ils communiquent. Y a-t-il des façons de participer à cela et de ne pas renoncer à la vie privée ou est-ce juste quelque chose que si vous voulez être sur cette plate-forme, vous devez simplement accepter?

Laura: Je pense qu'il y a différentes couches, en fonction de ce que nous appellerions votre modèle de menace est. Donc, selon votre vulnérabilité, mais aussi vos amis et votre famille, et quelles sont vos options. Alors oui, l'ultime chose est de ne pas utiliser ces plateformes du tout. Mais si vous le faites, essayez de les utiliser plus qu'ils ne vous utilisent. Donc, si vous avez des choses que vous communiquez en tête-à-tête, n'utilisez pas Messenger pour cela car il existe de nombreuses alternatives pour la communication directe en tête-à-tête qui peuvent être chiffrées de bout en bout ou sont privées et vous n'avez pas à vous soucier de l'écoute de Facebook. Et vous ne pouvez pas vraiment faire grand-chose pour partager des données de localisation et des trucs comme ça, qui sont des informations vraiment précieuses. Ce sont toutes vos méta-informations qui sont si précieuses, ce n'est même pas nécessairement le contenu de ce que vous dites, mais qui vous êtes et où vous êtes lorsque vous le dites. C'est le genre de choses utiles que les entreprises utiliseraient pour vous mettre dans différentes catégories et pouvoir vous vendre des choses en conséquence ou vous regrouper en conséquence.

Laura: Je pense donc que nous pouvons essayer de les utiliser aussi peu que possible. Je pense qu'il est important de chercher des alternatives, en particulier si vous êtes une personne plus techniquement avertie dans votre groupe d'amis et de famille, vous pouvez toujours encourager d'autres personnes à rejoindre d'autres choses aussi. Alors utilisez Wire pour la messagerie, c'est une jolie petite plateforme disponible dans de nombreux endroits et privée. Ou Signal est une autre option qui ressemble à WhatsApp, mais elle est également chiffrée de bout en bout. Et si vous pouvez être cette personne, je pense qu'il y a deux points que nous devons vraiment oublier. Premièrement, l'idée est que tout le monde doit être sur une plate-forme pour qu'elle soit valable. L'avantage est que tout le monde est sur Facebook, c'est en fait aussi l'inconvénient, que tout le monde est sur Facebook. Vous n'avez pas besoin que tout le monde que vous connaissez soit soudainement sur la même plate-forme que vous. Tant que vous avez ces quelques personnes avec qui vous voulez communiquer régulièrement sur une meilleure plateforme, c'est un très bon début.

Laura: Et l'autre chose que nous devons embrasser, nous n'allons pas trouver une alternative à une plate-forme particulière qui fait aussi tout ce que fait cette plate-forme. Vous n'allez pas trouver d'alternative à Facebook qui fait de la messagerie, qui a des mises à jour de statut, qui a des groupes, qui a des événements, qui a en direct, qui a tout ça. Parce que Facebook peut le faire parce que Facebook est énorme, Facebook a ces ressources, Facebook a un modèle commercial qui fait vraiment beaucoup de toutes ces données et il est donc vraiment bénéfique de vous fournir tous ces services. Et donc nous devons changer nos attentes et peut-être être comme, "Bon d'accord, quelle est la seule fonction dont j'ai besoin? Pour pouvoir partager une photo. Eh bien, trouvons la chose que je peux faire qui m'aidera à partager cette photo. " Et ne vous attendez pas à ce qu'une autre grande grande entreprise fasse la bonne chose pour nous.

Drew: Est-ce quelque chose que RSS peut nous aider? J'ai tendance à penser que RSS est la solution à la plupart des problèmes, mais je pensais ici si vous avez un service de partage de photos, et quelque chose d'autre pour les mises à jour de statut, et quelque chose d'autre pour toutes ces choses différentes est RSS la solution qui rassemble tout cela pour créer un virtuel… Cela englobe tous ces services?

Laura: Je suis avec vous là-dessus pour beaucoup de choses. Moi-même, j'ai intégré mon propre site, j'ai une section pour les photos, une section pour les mises à jour de statut, ainsi que mon blog et d'autres choses. Pour que je puisse permettre aux gens, s'ils ne me suivent pas sur les plateformes de médias sociaux, si je poste les mêmes choses sur mon site, ils peuvent utiliser RSS pour y accéder et ils ne se mettent pas en danger. Et c’est l’une des façons que je considère comme un concepteur / développeur assez ordinaire que je ne peux pas forcer d’autres personnes à utiliser ces plateformes pour se joindre à moi. Et RSS est vraiment bon pour ça. RSS peut avoir un suivi, je pense que les gens peuvent faire des trucs avec, mais c'est rare et ce n'est pas le but. C'est pour cela que je pense que le RSS est un très bon standard.

Drew: En tant que développeur web, je sais quand je crée des sites que je dois fréquemment ajouter du JavaScript de Google pour des choses comme des analyses ou des publicités, et de Facebook pour des actions similaires et de partage, et tout ce genre de choses, et de divers autres endroits, Twitter, et vous l'appelez. Est-ce quelque chose dont nous devons nous préoccuper en termes de développeurs ou d'utilisateurs du Web? Qu'il y a ce code qui exécute que son origine se trouve sur google.com ou facebook.com?[19659010[Laura: Oui. Absolument. Je pense que Google est un bon exemple ici de choses comme les polices Web et les bibliothèques et des trucs comme ça. Donc, les gens sont encouragés à les utiliser parce qu'on leur dit bien, ça va être très performant, c'est sur les serveurs Google, Google va l'attraper de la partie la plus proche du monde, vous aurez un site génial juste en utilisant, disons un police hors Google plutôt que de l'intégrer, l'auto-hébergeant sur votre propre site. Il y a une raison pour laquelle Google propose toutes ces polices gratuitement et ce n'est pas par la bonté de leurs petits cœurs Googley, c'est parce qu'ils en tirent quelque chose. Et ce qu'ils obtiennent, c'est qu'ils ont accès à vos visiteurs sur votre site Web lorsque vous incluez leur script sur votre site Web. Je pense donc que ce n'est pas seulement quelque chose qui devrait nous inquiéter en tant que développeurs, je pense que c'est notre responsabilité de savoir ce que fait notre site et de savoir ce qu'un script tiers fait ou pourrait faire, car ils pourraient le changer et vous ne le faites pas '' t nécessairement avoir le contrôle sur cela aussi. Sachez quelles sont leurs politiques de confidentialité et ce genre de choses avant de les utiliser.

Laura: Et idéalement, ne les utilisez pas du tout. Si nous pouvons auto-héberger des choses, auto-héberger des choses, la plupart du temps, c'est plus facile. Si nous n'avons pas besoin de fournir une connexion avec Google ou Facebook, ne le faites pas. Je pense que nous pouvons être les gardiens de cette situation. En tant que personnes qui ont les connaissances et les compétences dans ce domaine, nous pouvons être ceux qui peuvent revenir à nos patrons ou à nos managers et dire: «Écoutez, nous pouvons fournir cette connexion avec Facebook ou nous pouvons créer notre propre connexion , ce sera privé, ce serait plus sûr. Oui, cela peut prendre un peu plus de travail, mais en fait, nous serons en mesure d’insuffler plus de confiance dans ce que nous construisons parce que nous n’avons pas cette association avec Facebook. " Parce que ce que nous voyons maintenant, au fil du temps, c'est que même les médias grand public commencent à rattraper les inconvénients de Facebook, Google et ces autres organisations.

Laura: Et donc nous finissons par être coupables par association même si nous essayons simplement de rendre l'expérience utilisateur plus facile en ajoutant une connexion où quelqu'un n'a pas à créer un nouveau nom d'utilisateur et mot de passe. Et donc je pense que nous devons vraiment assumer cette responsabilité et il s’agit en grande partie de valoriser les droits des personnes et de respecter leurs droits et leur vie privée par rapport à notre convenance. Parce que, bien sûr, cela va être beaucoup plus rapide simplement pour ajouter ce script à la page, juste pour ajouter un autre package sans rechercher ce qu'il fait réellement. Nous abandonnons beaucoup quand nous faisons cela et je pense que nous devons prendre la responsabilité de ne pas le faire.

Drew: En tant que développeurs Web, y a-t-il d'autres choses que nous devrions rechercher quand il s'agit de protéger la vie privée de nos propres clients dans les choses que nous construisons?

Laura: Nous ne devrions pas du tout collecter de données. Et je pense que la plupart du temps, vous pouvez l'éviter. Analytics est l'un de mes plus gros bugs parce que je pense que beaucoup de gens obtiennent tous ces scripts analytiques, tous ces scripts qui peuvent voir ce que les gens font sur votre site Web et vous donner des informations et des choses comme ça, mais je ne pense pas que nous les utiliser particulièrement bien. Je pense que nous les utilisons pour confirmer nos propres hypothèses et tout ce qui nous est enseigné est ce qui est déjà sur notre site. Cela ne nous dit rien sur la recherche et en fait parler aux personnes qui utilisent nos sites Web … Nous pourrions vraiment en tirer plus que simplement regarder des chiffres monter et descendre, et deviner quel est l'effet de cela ou pourquoi cela se produit. Je pense donc que nous devons être plus prudents concernant tout ce que nous mettons sur nos sites et tout ce que nous collectons. Et je pense que de nos jours, nous examinons également les risques réglementaires et juridiques lorsque nous commençons à collecter les données des gens.

Laura: Parce que lorsque nous regardons des choses comme le RGPD, nous sommes très limités dans ce que nous sommes autorisés à collecter et les raisons pour lesquelles nous sommes autorisés à le collecter. Et c'est pourquoi nous recevons toutes ces notifications de consentement et des choses comme ça à venir maintenant. Parce que les entreprises doivent avoir votre consentement explicite pour collecter des données qui ne sont pas associées à une fonction vitale du site Web. Donc, si vous utilisez quelque chose comme une connexion, vous n'avez pas besoin d'obtenir la permission de stocker l'e-mail et le mot de passe de quelqu'un pour une connexion, car cela est implicite en vous connectant, vous en avez besoin. Mais des choses comme l'analyse et des trucs comme ça, vous devez en fait obtenir un consentement explicite pour pouvoir espionner les personnes qui visitent le site Web. C'est pourquoi nous voyons toutes ces cases de consentement, c'est pourquoi nous devrions en fait les inclure sur nos sites Web si nous utilisons des outils d'analyse et d'autres qui collectent des données qui ne sont pas vitales pour le fonctionnement de la page. [19659011] Drew: Je pense à certains des projets parallèles et des choses que j'ai lancés, que j'ai presque mis à jour Google Analytics. Je pense, "Oh, je dois suivre le nombre de personnes qui visitent." Et puis, soit je ne le regarde jamais, soit je le regarde uniquement pour comprendre les mêmes choses que j'aurais pu obtenir à partir des journaux de serveur comme nous le faisions autrefois, simplement en parcourant leurs journaux d'accès Web

Laura: Exactement. Et pourtant, Google est assis là à dire: "Merci beaucoup." Parce que vous leur avez insufflé une autre entrée sur le site Web. Et je pense qu'une fois que vous commencez à y penser, une fois que vous ajustez votre cerveau à adopter cette autre façon de voir les choses, il est beaucoup plus facile de commencer à voir les vulnérabilités. Mais nous devons nous entraîner à penser de cette façon, à réfléchir à la façon dont nous pouvons nuire aux gens avec ce que nous construisons, qui pourraient en perdre, et essayer de construire des choses qui sont un peu plus respectueuses des gens. [19659011] Drew: Il y a un exemple, en fait, que je peux penser à l'endroit où Google Analytics lui-même a été utilisé pour violer la vie privée de quelqu'un. Et c'était l'auteur de Belle de Jour, The Secret Diary of a Call Girl, qui était une call girl londonienne qui tenait un blog pendant des années et tout était complètement anonyme. Et elle a raconté son quotidien. Et ça a été incroyablement réussi, et c'est devenu un livre, une série télévisée, etc. Elle avait l'intention de rester complètement anonyme, mais elle a finalement été découverte. Son identité a été révélée parce qu'elle a utilisé le même identifiant d'utilisateur de suivi Google Analytics sur son blog personnel où elle était elle-même professionnelle et sur le blog des call-girls également. Et c'est comme ça qu'elle a été identifiée, juste-

Laura: Alors, elle s'est fait de cette façon aussi.

Drew: Elle l'a fait pour elle-même. Ouais. Elle y a divulgué des données personnelles qu'elle ne voulait pas divulguer. Elle ne savait même pas qu'il s'agissait de données personnelles, je suppose. Il y a tellement d'implications auxquelles vous ne pensez tout simplement pas. Et donc je pense que ça vaut la peine de commencer à y penser.

Laura: Ouais. Et ne pas faire les choses parce que vous sentez que c'est ce que nous avons toujours fait, et c'est ce que nous faisons toujours, ou c'est ce que cette autre organisation que j'admire, ils le font, donc je devrais, je pense. Et la plupart du temps, il s’agit d’être un peu plus restrictif et peut-être de ne pas sauter dans le train en marche. Je vais utiliser ce service comme tout le monde. Et arrêter, lire leur politique de confidentialité, ce que je ne recommande pas de faire pour le plaisir, car c'est vraiment fastidieux, et je dois en faire beaucoup lorsque je cherche des trackers pour le meilleur. Mais vous pouvez voir beaucoup de drapeaux rouges si vous lisez les politiques de confidentialité. Vous voyez le type de langage qui signifie qu'ils essaient de le rendre gratuit et facile pour eux de faire ce qu'ils veulent avec vos informations. Et il y a une raison pour laquelle je dis aux concepteurs et développeurs, si vous faites vos propres projets, ne copiez pas simplement la politique de confidentialité de quelqu'un d'autre. Parce que vous pourriez vous ouvrir à plus de problèmes et que vous pourriez vous donner l'air suspect.

Laura: Il vaut mieux être transparent et clair sur ce que vous faites, tout n'a pas besoin d'être écrit dans l'aisance juridique afin que vous puissiez être clair sur ce que vous faites avec les informations des gens.

Drew: Donc, dans presque tout, les gens disent que la solution est d'utiliser JAMstack. Est-ce que JAMstack est une solution, est-ce une bonne réponse, est-ce que ça va nous aider à ne pas violer accidentellement la vie privée de nos clients?

Laura: Il y a beaucoup de choses que j'aime dans les choses JAMstack, mais je dirais que j'aime le "JMstack", parce que c'est le bit APIs qui m'inquiète. Parce que si nous prenons le contrôle de nos propres sites, nous construisons des sites statiques, et nous générons tout cela sur nos machines, et nous n'utilisons pas de serveurs, et c'est formidable que nous ayons retiré beaucoup de potentiel problèmes là-bas. Mais ensuite, si nous ajoutons à nouveau toutes les fonctionnalités tierces à l'aide d'API, nous pouvons également ajouter des balises de script à nos pages. Nous pouvons aussi bien l'avoir sur la plateforme de quelqu'un d'autre. Parce que nous perdons à nouveau ce contrôle. Parce que chaque fois que nous ajoutons quelque chose d'un tiers, nous perdons le contrôle d'un peu de notre site. Donc je pense que beaucoup de générateurs de sites statiques et des choses comme ça ont beaucoup de valeur, mais nous devons toujours être prudents.

Laura: car encore une fois, cela nous a permis de créer un site très rapidement, de le déployer très rapidement, d'avoir un environnement de développement mis en place très rapidement, et nous valorisons à nouveau, notre expérience de développeur par rapport à celle des personnes qui utilisent les sites Web. [19659011] Drew: Donc, je suppose que la clé est d'être juste au courant de ce que fait chaque API que vous utilisez. Quelles données vous pourriez leur envoyer, quelles sont leurs politiques de confidentialité individuelles.

Laura: Ouais. Et je pense que nous devons être prudents quant à la fidélité aux entreprises. Nous pourrions avoir des gens avec qui nous sommes amis et qui sont formidables et des choses comme ça, qui travaillent pour ces entreprises. Nous pourrions qu'ils produisent du bon travail, ils font de bons blogs, ils introduisent de nouvelles technologies intéressantes dans le monde. Mais au bout du compte, les entreprises sont des entreprises. Et ils ont tous des modèles commerciaux. Et nous devons savoir quels sont leurs modèles économiques. Comment gagnent-ils leur argent? Qui est derrière l'argent? Parce que beaucoup d'organisations soutenues par le capital-risque finissent par devoir traiter des données personnelles, du profilage, etc., car c'est un moyen facile de gagner de l'argent. Et il est difficile de bâtir une entreprise durable sur la technologie, en particulier si vous ne vendez pas un produit physique, il est vraiment difficile de rendre une entreprise durable. Et si une organisation a pris une énorme somme d'argent et qu'elle paie une énorme quantité d'employés, elle doit récupérer de l'argent d'une manière ou d'une autre.

Laura: Et c'est ce que nous voyons maintenant, c'est , de nombreuses entreprises font ce que Shoshana Zuboff appelle le capitalisme de surveillance, traquant les gens, les profilant et monétisant ces informations parce que c'est le moyen le plus simple de gagner de l'argent sur le Web. And I think that the rest of us have to try to resist it because it can be very tempting to jump in and do what everyone else is doing and make big money, and make a big name. But I think that we’re realizing too slowly the impact that that has on the rest of our society. The fact that Cambridge Analytica only came about because Facebook was collecting massive amounts of people’s information and Cambridge Analytica was just using that information in order to target people with, essentially, propaganda in order to make referendums and elections of their way. And that’s terrifying, that’s a really scary effect that’s come out of what you might think is an innocuous little banner ad.

Drew: Professionally, many people are transitioning into building client sites or helping their clients to build their own sites on platforms like Squarespace and that sort of thing, online site builders where sites are then completely hosted on that service. Is that an area that they should also be worried about in terms of privacy?

Laura: Yeah. Because you’re very much subject to the privacy policies of those platforms. And while a lot of them are paid platforms, so just because it’s a platform doesn’t necessarily mean that they are tracking you. But the inverse is also true, just because you’re paying for it, doesn’t mean they’re not tracking you. I’d use Spotify as an example of this. People pay Spotify a lot of money for their accounts. And Spotify does that brilliant thing where it shows off how much it’s tracking you by telling people all of this incredible information about them on a yearly basis, and giving them playlists for their moods, and things like that. And then you realize, oh, actually, Spotify knows what my mood is because I’m listening to a playlist that’s made for this mood that I’m in. And Spotify is with me when I’m exercising. And Spotify knows when I’m working. And Spotify knows when I’m trying to sleep. And whatever other playlists you’ve set up for it, whatever other activities you’ve done.

Laura: So I think we just have to look at everything that a business is doing in order to work out whether it’s a threat to us and really treat everything as though it could possibly cause harm to us, and use it carefully.

Drew: You’ve got a fantastic personal website where you collate all the things that you’re working on and things that you share socially. I see that your site is built using Site.js. What’s that?

Laura: Yes. So it’s something that we’ve been building. So what we do at the Small Technology Foundation, or what we did when we were called Ind.ie, which was the UK version of the Small Technology Foundation, is that we’re tying to work on how do we help in this situation. How do we help in a world where technology is not respecting people’s rights? And we’re a couple of designers and developers, so what is our skills? And the way we see it is we have to do a few different things. We have to first of all, prevent some of the worst harms if we can. And one of the ways we do that is having a tracker blocker, so it’s something that blocks trackers on the web, with their browser. And another thing we do is, we try to help inform things like regulation, and we campaign for better regulation and well informed regulation that is not encouraging authoritarian governments and is trying to restrict businesses from collecting people’s personal information.

Laura: And the other thing we can do is, we can try to build alternatives. Because one of the biggest problems with technology and with the web today is that there’s not actually much choice when you want to build something. A lot of things are built in the same way. And we’ve been looking at different ways of doing this for quite a few years now. And the idea behind Site.js is to make it really easy to build and deploy a personal website that is secure, has the all the HTTPS stuff going on and everything, really, really, easily. So it’s something that really benefits the developer experience, but doesn’t threaten the visitor’s experience at the same time. So it’s something that is also going to keep being rights respecting, that you have full ownership and control over as the developer of your own personal website as well. And so that’s what Site.js does.

Laura: So we’re just working on ways for people to build personal websites with the idea that in the future, hopefully those websites will also be able to communicate easily with each other. So you could use them to communicate with each other and it’s all in your own space as well.

Drew: You’ve put a lot of your expertise in this area to use with Better Blocker. You must see some fairly wild things going on there as you’re updating it and…

Laura: Yeah. You can always tell when I’m working on Better because that’s when my tweets get particularly angry and cross, because it makes me so irritated when I see what’s going on. And it also really annoys me because I spend a lot of time looking at websites, and working out what the scripts are doing, and what happens when something is blocked. One of the things that really annoys me is how developers don’t have fallbacks in their code. And so the amount of times that if you block something, for example, I block an analytics script, and if you block an analytics script, all the links stop working on the webpage, then you’re probably not using the web properly if you need JavaScript to use a link. And so I wish that developers bear that in mind, especially when they think about maybe removing these scripts from their sites. But the stuff I see is they…

Laura: I’ve seen, like The Sun tabloid newspaper, everybody hates it, it’s awful. They have about 30 different analytics scripts on every page load. And to some degree I wonder whether performance would be such a hot topic in the industry if we weren’t all sticking so much junk on our webpages all the time. Because, actually, you look at a website that doesn’t have a bunch of third party tracking scripts on, tends to load quite quickly. Because you’ve got to do a huge amount to make a webpage heavy if you haven’t got all of that stuff as well.

Drew: So is it a good idea for people who build for the web to be running things like tracker blockers and ad blockers or might it change our experience of the web and cause problems from a developer point of view?

Laura: I think in the same way that we test things across different browsers and we might have a browser that we use for our own consumer style, I hate the word consumer, use, just our own personal use, like our shopping and our social stuff, and things like that. And we wouldn’t only test webpages in that browser, we test webpages in as many browsers can get our hands on because that’s what makes us good developers. And I think the same should be for if you’re using a tracker blocker or an ad blocker in your day-to-day, then yeah, you should try it without as well. Like I keep Google Chrome on my computer for browser testing, but you can be sure that I will not be using that browser for any of my personal stuff, ever, it’s horrible. So yeah, you’ve got to be aware of what’s going in the world around you as part of your responsibility as a developer.

Drew: It’s almost just like another browser combination, isn’t it? To be aware of the configurations that the audience your site or your product might have and then testing with those configurations to find any problems.

Laura: Yeah. And also developing more robust ways of writing your code, so that your code can work without certain scripts and things like that. So not everything is hinging off one particular script unless it is absolutely necessary. Things completely fall apart when people are using third party CDNs, for example. I think that’s a really interesting thing that so many people decided to use a third party CDN, but you have very little control over it’s uptime and stuff like that. And if you block the third party CDN, what happens? Suddenly you have no images, no content, no videos, or do you have no functionality because all of your functional JavaScript is coming from a third party CND?

Drew: As a web developer or designer, if I’d not really thought about privacy concerns about the sites I’m producing up until this point, if I wanted to make a start, what should be the first thing that I do to look at the potential things I’m exposing my customers to?

Laura: I’d review one of your existing pages or one of your existing sites. And you can take it on a component by component basis even. I think any small step is better than no step. And it’s the same way you’d approach learning anything new. It’s the same way I think about accessibility as well. Is you start by, okay, what is one thing I can take away? What is one thing I can change that will make a difference? And then you start building up that way of thinking, that way of looking at how you’re doing your work. And eventually that will build up into being much more well informed about things.

Drew: So I’ve been learning a lot about online privacy. What have you been learning about lately?

Laura: One of the things I’ve been learning about is Hugo, which is a static site generator that is written using Go. And I use it for my personal site already, but right now for Site.js, I’ve been writing a starter blog theme so that people could just set up a site really easily and don’t necessarily have to know a lot about Hugo. Because Hugo is interesting, it’s very fast, but the templating is quite tricky and the documentation is not the most accessible. And so I’m trying to work my way through that to understand it better, which I think I finally got over the initial hurdle. Where I understand what I’m doing now and I can make it better. But it’s hard learning these stuff, isn’t it?

Drew: It really is.

Laura: It reminds you how inadequate you are sometimes.

Drew: If you, dear listener, would like to hear more from Laura, you can find her on the web at laurakalbag.com and Small Technology Foundation at small-tech.org. Thanks for joining us today, Laura. Do you any parting words?

Laura: I’d say, I think we should always just be examining what we’re doing and our responsibility in the work that we do. And what can we do that can make things better for people? And what we can do to make things slightly less bad for people as well.

(il)