Les données que récolte Google – Ch.5

Voici déjà la traduction du cinquième chapitre de Google Data Collection, l’étude élaborée par l’équipe du professeur Douglas C. Schmidt, spécialiste des systèmes logiciels, chercheur et enseignant à l’Université Vanderbilt. Si vous les avez manqués, retrouvez les chapitres précédents déjà publiés.
Il s’agit cette fois d’explorer la quantité de données que Google collecte lorsque l’on a désactivé tout ce qui pouvait l’être…

Traduction Framalang : Khrys, Mika, Piup, David_m, Côme, Serici, Fabrice, Bullcheat, Goofy

V. Quantité de données collectées lors d’une utilisation minimale des produits Google

58. Cette section montre les détails de la collecte de données par Google à travers ses services de publication et d’annonces. Afin de comprendre une telle collecte de données, une expérience est réalisée impliquant un utilisateur qui se sert de son téléphone dans sa vie de tous les jours mais qui évite délibérément d’utiliser les produits Google (Search, Gmail, YouTube, Maps, etc.), exception faite du navigateur Chrome.

59. Pour que l’expérience soit aussi réaliste que possible, plusieurs études sur les usages de consommateurs12 ont été utilisées pour créer le profil d’usage journalier d’un utilisateur lambda. Ensuite, toutes les interactions directes avec les services Google ont été retirées du profil. La section IX.F dans les annexes liste les sites internet et applications utilisés pendant l’expérience.

60. L’expérience a été reproduite sur des appareils Android et iOS et les données HTTPS envoyées aux serveurs Google et Apple ont été tracées et analysées en utilisant une méthode similaire à celle expliquée dans la section précédente. Les résultats sont résumés dans la figure 12. Pendant la période de 24 h (qui inclut la période de repos nocturne), la majorité des appels depuis le téléphone Android ont été effectués vers les services Google de localisation et de publication de publicités (DoubleClick, Analytics). Google a enregistré la géolocalisation de l’utilisateur environ 450 fois, ce qui représente 1,4 fois le volume de l’expérience décrite dans la section III.C, qui se basait sur un téléphone immobile.

comparaison des requêtes Google entre iOS et Android avec téléphone en mouvement

Figure 12 : Requêtes du téléphone portable durant une journée typique d’utilisation

61. Les serveurs de Google communiquent significativement moins souvent avec un appareil iPhone qu’avec Android (45 % moins). En revanche, le nombre d’appels aux régies publicitaires de Google reste les mêmes pour les deux appareils — un résultat prévisible puisque l’utilisation de pages web et d’applications tierces était la même sur chacun des périphériques. À noter, une différence importante est que l’envoi de données de géolocalisation à Google depuis un appareil iOS est pratiquement inexistant. En absence des plateformes Android et Chrome — ou de l’usage d’un des autres produits de Google — Google perd significativement sa capacité à pister la position des utilisateurs.

62. Le nombre total d’appels aux serveurs Apple depuis un appareil iOS était bien moindre, seulement 19 % des appels aux serveurs de Google depuis l’appareil Android. De plus, il n’y a pas d’appels aux serveurs d’Apple liés à la publicité, ce qui pourrait provenir du fait que le modèle économique d’Apple ne dépend pas autant de la publicité que celui de Google. Même si Apple obtient bien certaines données de localisation des utilisateurs d’appareil iOS, le volume de données collectées est bien moindre (16 fois moins) que celui collecté par Google depuis Android.

63. Au total, les téléphones Android ont communiqué 11.6 Mo de données par jour (environ 350 Mo par mois) avec les serveurs de Google. En comparaison, l’iPhone n’a envoyé que la moitié de ce volume. La quantité de données spécifiques aux régies publicitaires de Google est restée pratiquement identique sur les deux appareils.

64. L’appareil iPhone a communiqué bien moins de données aux serveurs Apple que l’appareil Android n’a échangé avec les serveurs Google.

65. De manière générale, même en l’absence d’interaction utilisateur avec les applications Google les plus populaires, un utilisateur de téléphone Android muni du navigateur Chrome a tout de même tendance à envoyer une quantité non négligeable de données à Google, dont la majorité est liée à la localisation et aux appels aux serveurs de publicité. Bien que, dans le cadre limité de cette expérience, un utilisateur d’iPhone soit protégé de la collecte des données de localisation par Google, Google recueille tout de même une quantité comparable de données liées à la publicité.

66. La section suivante décrit les données collectées par les applications les plus populaires de Google, telles que Gmail, Youtube, Maps et la recherche.




Les données que récolte Google – Ch.4

Voici déjà la traduction du quatrième chapitre de Google Data Collection, l’étude élaborée par l’équipe du professeur Douglas C. Schmidt, spécialiste des systèmes logiciels, chercheur et enseignant à l’Université Vanderbilt. Si vous les avez manqués, retrouvez les chapitres précédents déjà publiés.
Il s’agit cette fois d’explorer les stratégies des régies publicitaires qui opèrent en arrière-plan : des opérations fort discrètes mais terriblement efficaces…

Traduction Framalang : Côme, goofy, Khrys,Obny, Penguin, Piup, serici.

IV. Collecte de données par les outils des annonceurs et des diffuseurs

29. Une source majeure de collecte des données d’activité des utilisateurs provient des outils destinés au annonceurs et aux éditeurs tels que Google Analytics, DoubleClick, AdSense, AdWords et AdMob. Ces outils ont une portée énorme ; par exemple, plus d’un million d’applications mobiles utilisent AdMob3, plus d’un million d’annonceurs utilisent AdWords4, plus de 15 millions de sites internet utilisent AdSense5 et plus de 30 millions de sites utilisent Google Analytics6.

30. Au moment de la rédaction du présent rapport, Google a rebaptisé AdWords « Google Ads » et DoubleClick « Google Ad Manager« , mais aucune modification n’a été apportée aux fonctionnalités principales des produits, y compris la collecte d’informations par ces produits7. Par conséquent, pour les besoins du présent rapport, les premiers noms ont été conservés afin d’éviter toute confusion avec des noms de domaine connexes (tels que doubleclick.net).

31. Voici deux principaux groupes d’utilisateurs des outils de Google axés sur l’édition — et les annonces publicitaires :

  • Les éditeurs de sites web et d’applications, qui sont des organisations qui possèdent des sites web et créent des applications mobiles. Ces entités utilisent les outils de Google pour (1) gagner de l’argent en permettant l’affichage d’annonces aux visiteurs sur leurs sites web ou applications, et (2) mieux suivre et comprendre qui visite leurs sites et utilise leurs applications. Les outils de Google placent des cookies et exécutent des scripts dans les navigateurs des visiteurs du site web pour aider à déterminer l’identité d’un utilisateur et suivre son intérêt pour le contenu et son comportement en ligne. Les bibliothèques d’applications mobiles de Google suivent l’utilisation des applications sur les téléphones mobiles.
  • Les annonceurs, qui sont des organisations qui paient pour que des bannières, des vidéos ou d’autres publicités soient diffusées aux utilisateurs lorsqu’ils naviguent sur Internet ou utilisent des applications. Ces entités utilisent les outils de Google pour cibler des profils spécifiques de personnes pour que les publicités augmentent le retour sur leurs investissements marketing (les publicités mieux ciblées génèrent généralement des taux de clics et de conversion plus élevés). De tels outils permettent également aux annonceurs d’analyser leurs audiences et de mesurer l’efficacité de leur publicité numérique en regardant sur quelles annonces les utilisateurs cliquent et à quelle fréquence, et en donnant un aperçu du profil des personnes qui ont cliqué sur les annonces.

32. Ensemble, ces outils recueillent des informations sur les activités des utilisateurs sur les sites web et dans les applications, comme le contenu visité et les annonces cliquées. Ils travaillent en arrière-plan — en général imperceptibles par des utilisateurs. La figure 7 montre certains de ces outils clés, avec des flèches indiquant les données recueillies auprès des utilisateurs et les publicités qui leur sont diffusées.

Figure 7 : Produits Google destinés aux éditeurs et annonceurs8

33. Les informations recueillies par ces outils comprennent un identifiant non personnel que Google peut utiliser pour envoyer des publicités ciblées sans identifier les informations personnelles de la personne concernée. Ces identificateurs peuvent être spécifiques à l’appareil ou à la session, ainsi que permanents ou semi-permanents. Le tableau 1 liste un ensemble de ces identificateurs. Afin d’offrir aux utilisateurs un plus grand anonymat lors de la collecte d’informations pour le ciblage publicitaire, Google s’est récemment tourné vers l’utilisation d’identifiants uniques semi-permanents (par exemple, les GAID)9. Des sections ultérieures décrivent en détail la façon dont ces outils recueillent les données des utilisateurs et l’utilisation de ces identificateurs au cours du processus de collecte des données.

Tableau 1: Identificateurs transmis à Google

Identificateur Type Description
GAID/IDFA Semi-permanent Chaine de caractères alphanumériques pour appareils Android et iOS, pour permettre les publicités ciblées sur mobile. Réinitialisable par l’utilisateur.
ID client Semi-permanent ID créé la première fois qu’un cookie est stocké sur le navigateur. Utilisé pour relier les sessions de navigations. Réinitialisé lorsque les cookies du navigateur sont effacés.
Adresse IP Semi-permanent Une unique suite de nombre qui identifie le réseau par lequel un appareil accède à internet.
ID appareil Android Semi-permanent Nombre généré aléatoirement au premier démarrage d’un appareil. Utilisé pour identifier l’appareil. En retrait progressif pour la publicité. Réinitialisé lors d’une remise à zéro de l’appareil.
Google Services Framework (GSF) Semi-permanent Nombre assigné aléatoirement lorsqu’un utilisateur s’enregistre pour la première fois dans les services Google sur un appareil. Utilisé pour identifier un appareil unique. Réinitialisé lors d’une remise à zéro de l’appareil.
IEMI / MEID Permanent Identificateur utilisé dans les standards de communication mobile. Unique pour chaque téléphone portable.
Adresse MAC Permanent Identificateur unique de 12 caractères pour un élément matériel (ex. : routeur).
Numéro de série Permanent Chaine de caractères alphanumériques utilisée pour identifier un appareil.

A. Google Analytics et DoubleClick

34. DoubleClick et Google Analytics (GA) sont les produits phares de Google en matière de suivi du comportement des utilisateurs et d’analyse du trafic des pages Web sur les périphériques de bureau et mobiles. GA est utilisé par environ 75 % des 100 000 sites Web les plus visités10. Les cookies DoubleClick sont associés à plus de 1,6 million de sites Web11.

35. GA utilise de petits segments de code de traçage (appelés « balises de page ») intégrés dans le code HTML d’un site Web12. Après le chargement d’une page Web à la demande d’un utilisateur, le code GA appelle un fichier analytics.js qui se trouve sur les serveurs de Google. Ce programme transfère un instantané « par défaut » des données de l’utilisateur à ce moment, qui comprend l’adresse de la page web visitée, le titre de la page, les informations du navigateur, l’emplacement actuel (déduit de l’adresse IP), et les paramètres de langue de l’utilisateur. Les scripts de GA utilisent des cookies pour suivre le comportement des utilisateurs.

36. Le script de GA, la première fois qu’il est exécuté, génère et stocke un cookie spécifique au navigateur sur l’ordinateur de l’utilisateur. Ce cookie a un identificateur de client unique (voir le tableau 1 pour plus de détails)13 Google utilise l’identificateur unique pour lier les cookies précédemment stockés, qui capturent l’activité d’un utilisateur sur un domaine particulier tant que le cookie n’expire pas ou que l’utilisateur n’efface pas les cookies mis en cache dans son navigateur14

37. Alors qu’un cookie GA est spécifique au domaine particulier du site Web que l’utilisateur visite (appelé « cookie de première partie »), un cookie DoubleClick est généralement associé à un domaine tiers commun (tel que doubleclick.net). Google utilise de tels cookies pour suivre l’interaction de l’utilisateur sur plusieurs sites web tiers15 Lorsqu’un utilisateur interagit avec une publicité sur un site web, les outils de suivi de conversion de DoubleClick (par exemple, Floodlight) placent des cookies sur l’ordinateur de l’utilisateur et génèrent un identifiant client unique16 Par la suite, si l’utilisateur visite le site web annoncé, le serveur DoubleClick accède aux informations stockées dans le cookie, enregistrant ainsi la visite comme une conversion valide.

B. AdSense, AdWords et AdMob

38. AdSense et AdWords sont des outils de Google qui diffusent des annonces sur les sites Web et dans les résultats de recherche Google, respectivement. Plus de 15 millions de sites Web ont installé AdSense pour afficher des annonces sponsorisées17 De même, plus de 2 millions de sites web et applications, qui constituent le réseau Google Display Network (GDN) et touchent plus de 90 % des internautes18 affichent des annonces AdWords.

39. AdSense collecte des informations indiquant si une annonce a été affichée ou non sur la page web de l’éditeur. Il recueille également la façon dont l’utilisateur a interagi avec l’annonce, par exemple en cliquant sur l’annonce ou en suivant le mouvement du curseur sur l’annonce19. AdWords permet aux annonceurs de diffuser des annonces de recherche sur Google Search, d’afficher des annonces sur les pages des éditeurs et de superposer des annonces sur des vidéos YouTube. Pour suivre les taux de clics et de conversion des utilisateurs, les publicités AdWords placent un cookie sur les navigateurs des utilisateurs pour identifier l’utilisateur s’il visite par la suite le site web de l’annonceur ou s’il effectue un achat20.

40. Bien qu’AdSense et AdWords recueillent également des données sur les appareils mobiles, leur capacité d’obtenir des renseignements sur les utilisateurs des appareils mobiles est limitée puisque les applications mobiles ne partagent pas de cookies entre elles, une technique d’isolement appelée « bac à sable »21 qui rend difficile pour les annonceurs de suivre le comportement des utilisateurs entre différentes applications mobiles.

41 Pour résoudre ce problème, Google et d’autres entreprises utilisent des « bibliothèques d’annonces » mobiles (comme AdMob) qui sont intégrées dans les applications par leurs développeurs pour diffuser des annonces dans les applications mobiles. Ces bibliothèques compilent et s’exécutent avec les applications et envoient à Google des données spécifiques à l’application à laquelle elles sont intégrées, y compris les emplacements GPS, la marque de l’appareil et le modèle de l’appareil lorsque les applications ont les autorisations appropriées. Comme on peut le voir dans les analyses de trafic de données (Figure 8), et comme on peut trouver confirmation sur les propres pages web des développeurs de Google22, de telles bibliothèques peuvent également envoyer des données personnelles de l’utilisateur, telles que l’âge et le genre, tout cela va vers Google à chaque fois que les développeurs d’applications envoient explicitement leurs valeurs numériques vers la bibliothèque.

Figure 8 : Aperçu des informations renvoyées à Google lorsqu’une application est lancée

C. Association de données recueillies passivement et d’informations à caractère personnel

42. Comme nous l’avons vu plus haut, Google recueille des données par l’intermédiaire de produits pour éditeurs et annonceurs, et associe ces données à une variété d’identificateurs semi-permanents et anonymes. Google a toutefois la possibilité d’associer ces identifiants aux informations personnelles d’un utilisateur. C’est ce qu’insinuent les déclarations faites dans la politique de confidentialité de Google, dont des extraits sont présentés à la figure 9. La zone de texte à gauche indique clairement que Google peut associer des données provenant de services publicitaires et d’outils d’analyse aux informations personnelles d’un utilisateur, en fonction des paramètres du compte de l’utilisateur. Cette disposition est activée par défaut, comme indiqué dans la zone de texte à droite.

Figure 9 : Page de confidentialité de Google pour la collecte de sites web tiers et l’association avec des informations personnelles2324.

43. De plus, une analyse du trafic de données échangé avec les serveurs de Google (résumée ci-dessous) a permis d’identifier deux exemples clés (l’un sur Android et l’autre sur Chrome) qui montrent la capacité de Google à corréler les données recueillies de façon anonyme avec les renseignements personnels des utilisateurs.

1) L’identificateur de publicité mobile peut être désanonymé grâce aux données envoyées à Google par Android.

44. Les analyses du trafic de données communiqué entre un téléphone Android et les domaines de serveur Google suggèrent un moyen possible par lequel des identifiants anonymes (GAID dans ce cas) peuvent être associés au compte Google d’un utilisateur. La figure 10 décrit ce processus en une série de trois étapes clés.

45. Dans l’étape 1, une donnée de check-in est envoyée à l’URL android.clients.google.com/checkin. Cette communication particulière fournit une synchronisation de données Android aux serveurs Google et contient des informations du journal Android (par exemple, du journal de récupération), des messages du noyau, des crash dumps, et d’autres identifiants liés au périphérique. Un instantané d’une demande d’enregistrement partiellement décodée envoyée au serveur de Google à partir d’Android est montré en figure 10.

Figure 10 : Les identifiants d’appareil sont envoyés avec les informations de compte dans les requêtes de vérification Android.

46. Comme l’indiquent les zones pointées, Android envoie à Google, au cours du processus d’enregistrement, une variété d’identifiants permanents importants liés à l’appareil, y compris l’adresse MAC de l’appareil, l’IMEI /MEID et le numéro de série du dispositif. En outre, ces demandes contiennent également l’identifiant Gmail de l’utilisateur Android, ce qui permet à Google de relier les informations personnelles d’un utilisateur aux identifiants permanents des appareils Android.

47. À l’étape 2, le serveur de Google répond à la demande d’enregistrement. Ce message contient un identifiant de cadre de services Google (GSF ID)25 qui est similaire à l’« Android ID »26 (voir le tableau 1 pour les descriptions).

48. L’étape 3 implique un autre cas de communication où le même identifiant GSF (de l’étape 2) est envoyé à Google en même temps que le GAID. La figure 10 montre l’une de ces transmissions de données à android.clients.google.com/fdfe/bulkDetails?au=1.

49. Grâce aux trois échanges de données susmentionnés, Google reçoit les informations nécessaires pour connecter un GAID avec des identifiants d’appareil permanents ainsi que les identifiants de compte Google des utilisateurs.

50. Ces échanges de données interceptés avec les serveurs de Google à partir d’un téléphone Android montrent comment Google peut connecter les informations anonymisées collectées sur un appareil mobile Android via les outils DoubleClick, Analytics ou AdMob avec l’identité personnelle de l’utilisateur. Au cours de la collecte de données sur 24 heures à partir d’un téléphone Android sans mouvement ni activité, deux cas de communications d’enregistrement avec des serveurs Google ont été observés. Une analyse supplémentaire est toutefois nécessaire pour déterminer si un tel échange d’informations a lieu avec une certaine périodicité ou s’il est déclenché par des activités spécifiques sur les téléphones.

2) L’ID du cookie DoubleClick est relié aux informations personnelles de l’utilisateur sur le compte Google.

51. La section précédente expliquait comment Google peut désanonymiser l’identité de l’utilisateur via les données passives et anonymisées qu’il collecte à partir d’un appareil mobile Android. Cette section montre comment une telle désanonymisation peut également se produire sur un ordinateur de bureau/ordinateur portable.

52. Les données anonymisées sur les ordinateurs de bureau et portables sont collectées par l’intermédiaire d’identifiants basés sur des cookies (par ex. Cookie ID), qui sont typiquement générés par les produits de publicité et d’édition de Google (par ex. DoubleClick) et stockés sur le disque dur local de l’utilisateur. L’expérience présentée ci-dessous a permis d’évaluer si Google peut établir un lien entre ces identificateurs (et donc les renseignements qui y sont associés) et les informations personnelles d’un utilisateur.
Cette expérience comportait les étapes ordonnées suivantes :

  1. Ouverture d’une nouvelle session de navigation (Chrome ou autre) (pas de cookies enregistrés, par exemple navigation privée ou incognito) ;
  2. Visite d’un site Web tiers qui utilisait le réseau publicitaire DoubleClick de Google ;
  3. Visite du site Web d’un service Google largement utilisé (Gmail dans ce cas) ;
  4. Connexion à Gmail.

53. Au terme des étapes 1 et 2, dans le cadre du processus de chargement des pages, le serveur DoubleClick a reçu une demande lorsque l’utilisateur a visité pour la première fois le site Web tiers. Cette demande faisait partie d’une série de reqêtes comprenant le processus d’initialisation DoubleClick lancé par le site Web de l’éditeur, qui a conduit le navigateur Chrome à installer un cookie pour le domaine DoubleClick. Ce cookie est resté sur l’ordinateur de l’utilisateur jusqu’à son expiration ou jusqu’à ce que l’utilisateur efface manuellement les cookies via les paramètres du navigateur.

54. Ensuite, à l’étape 3, lorsque l’utilisateur visite Gmail, il est invité à se connecter avec ses identifiants Google. Google gère l’identité à l’aide d’une architecture single sign on (SSO) [NdT : authentification unique], dans laquelle les identifiants sont fournis à un service de compte (ici accounts.google.com) en échange d’un « jeton d’authentification », qui peut ensuite être présenté à d’autres services Google pour identifier les utilisateurs. À l’étape 4, lorsqu’un utilisateur accède à son compte Gmail, il se connecte effectivement à son compte Google, qui fournit alors à Gmail un jeton d’autorisation pour vérifier l’identité de l’utilisateur.27 Ce processus est décrit à la figure 24 de la section IX.E de l’annexe.

55. Dans la dernière étape de ce processus de connexion, une requête est envoyée au domaine DoubleClick. Cette requête contient à la fois le jeton d’authentification fourni par Google et le cookie de suivi défini lorsque l’utilisateur a visité le site web tiers à l’étape 2 (cette communication est indiquée à la figure 11). Cela permet à Google de relier les informations d’identification Google de l’utilisateur à un cookie DoubleClick. Par conséquent, si les utilisateurs n’effacent pas régulièrement les cookies de leur navigateur, leurs informations de navigation sur les pages Web de tiers qui utilisent les services DoubleClick pourraient être associées à leurs informations personnelles sur Google Account.

Figure 11 : La requête à DoubleClick.net inclut le jeton d’authentification Google et les cookies passés.

56. Il est donc établi à présent que Google recueille une grande variété de données sur les utilisateurs par l’intermédiaire de ses outils d’éditeur et d’annonceur, sans que l’utilisateur en ait une connaissance directe. Bien que ces données soient collectées à l’aide d’identifiants anonymes, Google a la possibilité de relier ces informations collectées aux identifiants personnels de l’utilisateur stockés sur son compte Google.

57. Il convient de souligner que la collecte passive de données d’utilisateurs de Google à partir de pages web tierces ne peut être empêchée à l’aide d’outils populaires de blocage de publicité28, car ces outils sont conçus principalement pour empêcher la présence de publicités pendant que les utilisateurs naviguent sur des pages web tierces29. La section suivante examine de plus près l’ampleur de cette collecte de données.




Les données que récolte Google – Ch.3

Voici déjà la traduction du troisième chapitre de Google Data Collection, l’étude élaborée par l’équipe du professeur Douglas C. Schmidt, spécialiste des systèmes logiciels, chercheur et enseignant à l’Université Vanderbilt. Si vous les avez manqués, retrouvez les chapitres précédents déjà publiés.

Il s’agit aujourd’hui de mesurer ce que les plateformes les plus populaires recueillent de nos smartphones

Traduction Framalang : Côme, goofy, Khrys, Mika, Piup. Remerciements particuliers à badumtss qui a contribué à la traduction de l’infographie.

La collecte des données par les plateformes Android et Chrome

11. Android et Chrome sont les plateformes clés de Google qui facilitent la collecte massive de données des utilisateurs en raison de leur grande portée et fréquence d’utilisation. En janvier 2018, Android détenait 53 % du marché américain des systèmes d’exploitation mobiles (iOS d’Apple en détenait 45 %)30 et, en mai 2017, il y avait plus de 2 milliards d’appareils Android actifs par mois dans le monde.31

12. Le navigateur Chrome de Google représentait plus de 60 % de l’utilisation mondiale de navigateurs Internet avec plus d’un milliard d’utilisateurs actifs par mois, comme l’indiquait le rapport Q4 10K de 201732. Les deux plateformes facilitent l’usage de contenus de Google et de tiers (p.ex. applications et sites tiers) et fournissent donc à Google un accès à un large éventail d’informations personnelles, d’activité web, et de localisation.

A. Collecte d’informations personnelles et de données d’activité

13. Pour télécharger et utiliser des applications depuis le Google Play Store sur un appareil Android, un utilisateur doit posséder (ou créer) un compte Google, qui devient une passerelle clé par laquelle Google collecte ses informations personnelles, ce qui comporte son nom d’utilisateur, son adresse de messagerie et son numéro de téléphone. Si un utilisateur s’inscrit à des services comme Google Pay33, Android collecte également les données de la carte bancaire, le code postal et la date de naissance de l’utilisateur. Toutes ces données font alors partie des informations personnelles de l’utilisateur associées à son compte Google.

14. Alors que Chrome n’oblige pas le partage d’informations personnelles supplémentaires recueillies auprès des utilisateurs, il a la possibilité de récupérer de telles informations. Par exemple, Chrome collecte toute une gamme d’informations personnelles avec la fonctionnalité de remplissage automatique des formulaires, qui incluent typiquement le nom d’utilisateur, l’adresse, le numéro de téléphone, l’identifiant de connexion et les mots de passe.34 Chrome stocke les informations saisies dans les formulaires sur le disque dur de l’utilisateur. Cependant, si l’utilisateur se connecte à Chrome avec un compte Google et active la fonctionnalité de synchronisation, ces informations sont envoyées et stockées sur les serveurs de Google. Chrome pourrait également apprendre la ou les langues que parle la personne avec sa fonctionnalité de traduction, activée par défaut.35

15. En plus des données personnelles, Chrome et Android envoient tous deux à Google des informations concernant les activités de navigation et l’emploi d’applications mobiles, respectivement. Chaque visite de page internet est automatiquement traquée et collectée par Google si l’utilisateur a un compte Chrome. Chrome collecte également son historique de navigation, ses mots de passe, les permissions particulières selon les sites web, les cookies, l’historique de téléchargement et les données relatives aux extensions.36

16. Android envoie des mises à jour régulières aux serveurs de Google, ce qui comprend le type d’appareil, le nom de l’opérateur, les rapports de bug et des informations sur les applications installées37. Il avertit également Google chaque fois qu’une application est ouverte sur le téléphone (ex. Google sait quand un utilisateur d’Android ouvre son application Uber).

B. Collecte des données de localisation de l’utilisateur

17. Android et Chrome collectent méticuleusement la localisation et les mouvements de l’utilisateur en utilisant une variété de sources, représentées sur la figure 3. Par exemple, un accès à la « localisation approximative » peut être réalisé en utilisant les coordonnées GPS sur un téléphone Android ou avec l’adresse IP sur un ordinateur. La précision de la localisation peut être améliorée (« localisation précise ») avec l’usage des identifiants des antennes cellulaires environnantes ou en scannant les BSSID (’’Basic Service Set IDentifiers’’), identifiants assignés de manière unique aux puces radio des points d’accès Wi-Fi présents aux alentours38. Les téléphones Android peuvent aussi utiliser les informations des balises Bluetooth enregistrées dans l’API Proximity Beacon de Google39. Ces balises non seulement fournissent les coordonnées de géolocalisation de l’utilisateur, mais pourraient aussi indiquer à quel étage exact il se trouve dans un immeuble.40

schéma représentatt les différents moyens (wifi, bluetooth) de localiser les données d’un utilisateur de smartphone
Figure 3 : Android et Chrome utilisent diverses manières de localiser l’utilisateur d’un téléphone.

 

18. Il est difficile pour un utilisateur de téléphone Android de refuser le traçage de sa localisation. Par exemple, sur un appareil Android, même si un utilisateur désactive le Wi-Fi, la localisation est toujours suivie par son signal Wi-Fi. Pour éviter un tel traçage, le scan Wi-Fi doit être explicitement désactivé par une autre action de l’utilisateur, comme montré sur la figure 4.

2 copies d’écran de paramètres d’android pour montrer que le wifi est toujours sacnné même s’il est désactivé
Figure 4 : Android collecte des données même si le Wi-Fi est éteint par l’utilisateur

 

19. L’omniprésence de points d’accès Wi-Fi a rendu le traçage de localisation assez fréquent. Par exemple, durant une courte promenade de 15 minutes autour d’une résidence, un appareil Android a envoyé neuf requêtes de localisation à Google. Les requêtes contenaient au total environ 100 BSSID de points d’accès Wi-Fi publics et privés.

20. Google peut vérifier avec un haut degré de confiance si un utilisateur est immobile, s’il marche, court, fait du vélo, ou voyage en train ou en car. Il y parvient grâce au traçage à intervalles de temps réguliers de la localisation d’un utilisateur Android, combiné avec les données des capteurs embarqués (comme l’accéléromètre) sur les téléphones mobiles. La figure 5 montre un exemple de telles données communiquées aux serveurs de Google pendant que l’utilisateur marchait.

code renvoyé aux serveurs : la localisation d’un utilisateur
Figure 5 : capture d’écran d’un envoi de localisation d’utilisateur à Google.

 

C. Une évaluation de la collecte passive de données par Google via Android et Chrome

21. Les données actives que les plateformes Android ou Chrome collectent et envoient à Google à la suite des activités des utilisateurs sur ces plateformes peuvent être évaluées à l’aide des outils MyActivity et Takeout. Les données passives recueillies par ces plateformes, qui vont au-delà des données de localisation et qui restent relativement méconnues des utilisateurs, présentent cependant un intérêt potentiellement plus grand. Afin d’évaluer plus en détail le type et la fréquence de cette collecte, une expérience a été menée pour surveiller les données relatives au trafic envoyées à Google par les téléphones mobiles (Android et iPhone) en utilisant la méthode décrite dans la section IX.D de l’annexe. À titre de comparaison, cette expérience comprenait également l’analyse des données envoyées à Apple via un appareil iPhone.

22. Pour des raisons de simplicité, les téléphones sont restés stationnaires, sans aucune interaction avec l’utilisateur. Sur le téléphone Android, une seule session de navigateur Chrome restait active en arrière-plan, tandis que sur l’iPhone, le navigateur Safari était utilisé. Cette configuration a permis une analyse systématique de la collecte de fond que Google effectue uniquement via Android et Chrome, ainsi que de la collecte qui se produit en l’absence de ceux-ci (c’est-à-dire à partir d’un appareil iPhone), sans aucune demande de collecte supplémentaire générée par d’autres produits et applications (par exemple YouTube, Gmail ou utilisation d’applications).

23. La figure 6 présente un résumé des résultats obtenus dans le cadre de cette expérience. L’axe des abscisses indique le nombre de fois où les téléphones ont communiqué avec les serveurs Google (ou Apple), tandis que l’axe des ordonnées indique le type de téléphone (Android ou iPhone) et le type de domaine de serveur (Google ou Apple) avec lequel les paquets de données ont été échangés par les téléphones. La légende en couleur décrit la catégorisation générale du type de demandes de données identifiées par l’adresse de domaine du serveur. Une liste complète des adresses de domaine appartenant à chaque catégorie figure dans le tableau 5 de la section IX.D de l’annexe.

24. Au cours d’une période de 24 heures, l’appareil Android a communiqué environ 900 échantillons de données à une série de terminaux de serveur Google. Parmi ceux-ci, environ 35 % (soit environ 14 par heure) étaient liés à la localisation. Les domaines publicitaires de Google n’ont reçu que 3 % du trafic, ce qui est principalement dû au fait que le navigateur mobile n’a pas été utilisé activement pendant la période de collecte. Le reste (62 %) des communications avec les domaines de serveurs Google se répartissaient grosso modo entre les demandes adressées au magasin d’applications Google Play, les téléchargements par Android de données relatives aux périphériques (tels que les rapports de crash et les autorisations de périphériques), et d’autres données — principalement de la catégorie des appels et actualisations de fond des services Google.

infographie exposant les proportions de trafic envoyé par les appareils divers vers les serveurs de Google
Figure 6 : Données sur le trafic envoyées par les appareils Andoid et les iPhones en veille.

 

25. La figure 6 montre que l’appareil iPhone communiquait avec les domaines Google à une fréquence inférieure de plus d’un ordre de grandeur (50 fois) à celle de l’appareil Android, et que Google n’a recueilli aucun donnée de localisation utilisateur pendant la période d’expérience de 24 heures via iPhone. Ce résultat souligne le fait que les plateformes Android et Chrome jouent un rôle important dans la collecte de données de Google.

26. De plus, les communications de l’appareil iPhone avec les serveurs d’Apple étaient 10 fois moins fréquentes que les communications de l’appareil Android avec Google. Les données de localisation ne représentaient qu’une très faible fraction (1 %) des données nettes envoyées aux serveurs Apple à partir de l’iPhone, Apple recevant en moyenne une fois par jour des communications liées à la localisation.

27. En termes d’amplitude, les téléphones Android communiquaient 4,4 Mo de données par jour (130 Mo par mois) avec les serveurs Google, soit 6 fois plus que ce que les serveurs Google communiquaient à travers l’appareil iPhone.

28. Pour rappel, cette expérience a été réalisée à l’aide d’un téléphone stationnaire, sans interaction avec l’utilisateur. Lorsqu’un utilisateur commence à bouger et à interagir avec son téléphone, la fréquence des communications avec les serveurs de Google augmente considérablement. La section V du présent rapport résume les résultats d’une telle expérience.

 




Les données que récolte Google – Ch. 2

Voici déjà la traduction du deuxième chapitre de Google Data Collection, l’étude élaborée par l’équipe du professeur Douglas C. Schmidt, spécialiste des systèmes logiciels, chercheur et enseignant à l’Université Vanderbilt. Si vous les avez manqués, retrouvez les chapitres précédents déjà publiés.

Il s’agit aujourd’hui d’une expérience d’usage quotidien ordinaire du numérique en milieu urbain et connecté, expérience qu’il n’est pas trop difficile de transposer de ce côté-ci de l’Atlantique, et qui permet de repérer les différentes sortes de collecte opérées par Google, directement ou non.

Traduction Framalang : goofy, Khrys, serici. Remerciements particuliers à badumtss qui a contribué à la traduction de l’infographie.

II. Une journée dans la vie d’une utilisatrice de Google

passagers dans le métro, ils ont presque tous des écouteurs aux oreilles et leur smartphone en main
« Earbuds », photo de susanjanegolding (CC BY 2.0)

5.
Afin d’illustrer la multitude des interactions entre Google et un individu, ainsi que l’étendue des informations collectées lors de ces interactions, nous avons réalisé une expérience dans laquelle un chercheur utilise un périphérique Android41 pendant les activités d’une journée.
Afin d’éviter que des informations d’un utilisateur précédent ne soient associées au téléphone mobile, celui-ci a été réinitialisé aux valeurs d’usine42 et configuré comme un téléphone neuf 43. Un nouveau compte Google a été créé (nom d’utilisatrice : « Jane »), afin que Google n’ait pas de connaissances antérieures sur cette utilisatrice et qu’il n’ait pas associé de centres d’intérêts publicitaires à son compte. Le chercheur a passé une journée normale en utilisant son téléphone avec son nouveau compte Google.

6.
Les données collectées par Google ont été relevées par deux outils fournis par Google : « Mon activité » 44 et « Télécharger vos données » 45. L’outil « Mon activité » montre les données collectées par Google grâce à toute activité liée aux recherches, lors de l’utilisation des applications Google (i.e Youtube, Google Maps, Google assistant), par les visites sur des pages web tierces (lorsqu’on est connecté à Chrome), et les clics sur les publicités. L’outil « Télécharger vos données » fournit une information structurée concernant l’historique de toutes les données collectées par les applications Google (i.e cela contient tous les anciens courriels sur Gmail, toutes les recherches, l’ensemble des localisations et les vidéos YouTube consultées). Nous avons synthétisé les données collectées et nous les avons utilisées pour représenter les informations sur les événements clés dans l’infographie ci-dessous : « Un jour dans la vie » de l’utilisateur “Jane”.

infographie représentant les actes quotidiens dune utilisatrice-test et son usage des services Google, depuis l ematin où elle écoute de la musique qavec google Play jusqu’au soir où elle regarde des vidéos de YouTube
Figure 1 : une journée dans la vie d’une utilisatrice de Google

 

7.
Pour l’activité détaillée dans la figure 1, mais également dans le reste du document, les données collectées sont classées en deux grands groupes : actives et passives. Les données actives sont des données échangées directement entre l’utilisateur et un produit Google, là où les données passives sont définies comme une information transmise en arrière-plan sans notification évidente pour l’utilisateur. Par exemple, une collecte active de données est déclenchée lorsque Jane saisit un mot-clé dans l’outil de recherche et que cette requête est enregistrée par Google. Un exemple de collecte de données passives est l’envoi de la localisation de Jane à Google suite à l’enregistrement d’une requête.

8.
L’analyse des points de contact clés durant une journée normale dans la vie de Jane suggère que le nombre de données passives transmises est deux fois plus grand que le nombre de données actives (une décomposition détaillée des caractéristiques des données actives et passives est fournie dans le tableau qui figure en appendice, page 37 du document original).

9.
Google analyse les données collectées pour déterminer les centres d’intérêt des utilisateurs et utilisatrices, qu’il utilise ensuite pour les cibler avec des publicités adaptées. Par exemple, Google fournit une liste d’intérêts qu’il a déduits de l’activité d’un utilisateur, que l’on peut consulter sur la page « Les sujets qui vous intéressent » de la page de « Personnalisation des annonces » de Google 46. La figure 2 ci-dessous montre la liste que Google a associée avec le compte de Jane après une journée d’activité. Au total, Google a attribué 18 centres d’intérêts à Jane, dont 8 (entourés par une bordure rouge) qui correspondent précisément aux utilisations et activités de Jane47

Figure 2 : les centres d’intérêt de Jane tels que les a déduits Google après une journée typique : réseaux sociaux, musique, parentalité, TV et vidéos, entreprise et industrie, éducation, nouvelles, comédies TV

 

10.
Bien que les outils « mon activité » et « Télécharger mes données » soient utiles pour estimer la quantité de données actives collectées lors des interactions d’un utilisateur avec les produits Google, ils ne dessinent pas une image complète de l’ampleur et de l’échelle de la collecte de données de Google. Comprendre cela requiert un passage en revue détaillé des clauses d’utilisation des produits en ce qui concerne la vie privée mais également l’analyse du trafic de données envoyé aux serveurs de Google pendant une session d’utilisation par un utilisateur de ces services. Les résultats de cette analyse sont présentés plus loin dans ce rapport.




Ce que récolte Google : revue de détail

Le temps n’est plus où il était nécessaire d’alerter sur la prédation opérée par Google et ses nombreux services sur nos données personnelles. Il est fréquent aujourd’hui d’entendre dire sur un ton fataliste : « de toute façon, ils espionnent tout »

Si beaucoup encore proclament à l’occasion « je n’ai rien à cacher » c’est moins par conviction réelle que parce que chacun en a fait l’expérience : « on ne peut rien cacher » dans le monde numérique. Depuis quelques années, les mises en garde, listes de précautions à prendre et solutions alternatives ont été largement exposées, et Framasoft parmi d’autres y a contribué.

Il manquait toutefois un travail de fond pour explorer et comprendre, une véritable étude menée suivant la démarche universitaire et qui, au-delà du jugement global approximatif, établisse les faits avec précision.

C’est à quoi s’est attelée l’équipe du professeur Douglas C. Schmidt, spécialiste depuis longtemps des systèmes logiciels, chercheur et enseignant à l’Université Vanderbilt, qui livre au public une étude d’une cinquantaine de pages intitulée Google Data Collection. Cette étude, qui nous semble pouvoir servir de référence, a retenu l’attention du groupe Framalang qui vous en livre ci-dessous l’executive summary, c’est-à-dire une sorte de résumé initial, qui en donne un aperçu programmatique.

Si vous trouvez un intérêt à cette traduction et souhaitez que Framalang vous propose la suite nous ferons de notre mieux…

Traduction Framalang : Alain, fab, FranBAG, Goofy, jums, Khrys, Mika, Piup, serici

La collecte de données de Google

Un premier aperçu

1.
Google est la plus grosse agence de publicité numérique du monde 48. Elle fournit aussi le leader des navigateurs web 49, la première plateforme mobile 50 ainsi que le moteur de recherche le plus utilisé au monde 51. La plateforme vidéo de Google, ses services de mail et de cartographie comptent 1 milliard d’utilisateurs mensuels actifs chacun 52. Google utilise l’immense popularité de ses produits pour collecter des données détaillées sur le comportement des utilisateurs en ligne comme dans la vie réelle, données qu’il utilisera ensuite pour cibler ses utilisateurs avec de la publicité payante. Les revenus de Google augmentent significativement en fonction de la finesse des technologies de ciblage des données.

2.
Google collecte les données utilisateurs de diverses manières. Les plus évidentes sont « actives », celles dans lesquelles l’utilisateur donne
directement et consciemment des informations à Google, par exemple en s’inscrivant à des applications très populaires telles que YouTube, Gmail, ou le moteur de recherche. Les voies dites « passives » utilisées par Google pour collecter des données sont plus discrètes, quand une application devient pendant son utilisation l’instrument de la collecte des données, sans que l’utilisateur en soit conscient. On trouve ces méthodes de collecte dans les plateformes (Android, Chrome), les applications (le moteur de recherche, YouTube, Maps), des outils de publication (Google Analytics, AdSense) et de publicité (AdMob, AdWords). L’étendue et l’ampleur de la collecte passive de données de Google ont été en grande partie négligées par les études antérieures sur le sujet 53.

3.
Pour comprendre les données que Google collecte, cette étude s’appuie sur quatre sources clefs :
a. Les outils Google « Mon activité » (My Activity) 54 et « Téléchargez vos données » (Takeout) 55, qui décrivent aux utilisateurs l’information collectée lors de l’usage des outils Google.
b. Les données interceptées lors de l’envoi aux serveurs de Google pendant l’utilisation des produits Google ou d’autres sociétés associées.
c. Les règles concernant la vie privée (des produits Google spécifiquement ou en général).
d. Des recherches tierces qui ont analysé les collectes de données opérées par Google.

Histoire naturelle, générale et particulière, des mollusques, animaux sans vertèbres et à sang blanc. T.2. Paris,L’Imprimerie de F. Dufart,An X-XIII [1802-1805]. biodiversitylibrary.org/page/35755415

4.
Au travers de la combinaison des sources ci-dessus, cette étude montre une vue globale et exhaustive de l’approche de Google concernant la collecte des données et aborde en profondeur certains types d’informations collectées auprès des utilisateurs et utilisatrices.
Cette étude met en avant les éléments clés suivants :

a. Dans une journée d’utilisation typique, Google en apprend énormément sur les intérêts personnels de ses utilisateurs. Dans ce scénario d’une journée « classique », où un utilisateur réel avec un compte Google et un téléphone Android (avec une nouvelle carte SIM) suit sa routine quotidienne, Google collecte des données tout au long des différentes activités, comme la localisation, les trajets empruntés, les articles achetés et la musique écoutée. De manière assez surprenante, Google collecte ou infère plus de deux tiers des informations via des techniques passives. Au bout du compte, Google a identifié les intérêts des utilisateurs avec une précision remarquable.

b. Android joue un rôle majeur dans la collecte des données pour Google, avec plus de 2 milliards d’utilisateurs actifs mensuels dans le monde 56. Alors que le système d’exploitation Android est utilisé par des fabricants d’équipement d’origine (FEO) partout dans le monde, il est étroitement connecté à l’écosystème Google via le service Google Play. Android aide Google à récolter des informations personnelles sur les utilisateurs (nom, numéro de téléphone, date de naissance, code postal et dans beaucoup de cas le numéro de carte bancaire), les activités réalisées sur le téléphone (applications utilisées, sites web consultés) et les coordonnées de géolocalisation. En coulisses, Android envoie fréquemment la localisation de l’utilisateur ainsi que des informations sur l’appareil lui-même, comme sur l’utilisation des applications, les rapports de bugs, la configuration de l’appareil, les sauvegardes et différents identifiants relatifs à l’appareil.

c. Le navigateur Chrome aide Google à collecter des données utilisateurs depuis à la fois le téléphone et l’ordinateur de bureau, grâce à quelque 2 milliards d’installations dans le monde 57. Le navigateur Chrome collecte des informations personnelles (comme lorsqu’un utilisateur remplit un formulaire en ligne) et les envoie à Google via le processus de synchronisation. Il liste aussi les pages visitées et envoie les données de géolocalisation à Google.

d. Android comme Chrome envoient des données à Google même en l’absence de toute interaction de l’utilisateur. Nos expériences montrent qu’un téléphone Android dormant et stationnaire (avec Chrome actif en arrière-plan) a communiqué des informations de localisation à Google 340 fois pendant une période de 24 heures, soit en moyenne 14 communications de données par heure. En fait, les informations de localisation représentent 35 % de l’échantillon complet de données envoyés à Google. À l’opposé, une expérience similaire a montré que sur un appareil iOS d’Apple avec Safari (où ni Android ni Chrome n’étaient utilisés), Google ne pouvait pas collecter de données notables (localisation ou autres) en absence d’interaction de l’utilisateur avec l’appareil.

e. Une fois qu’un utilisateur ou une utilisatrice commence à interagir avec un téléphone Android (par exemple, se déplace, visite des pages web, utilise des applications), les communications passives vers les domaines de serveurs Google augmentent considérablement, même dans les cas où l’on n’a pas utilisé d’applications Google majeures (c.-à-d. ni recherche Google, ni YouTube, pas de Gmail ni Google Maps). Cette augmentation s’explique en grande partie par l’activité sur les données de l’éditeur et de l’annonceur de Google (Google Analytics, DoubleClick, AdWords) 58. Ces données représentaient 46 % de l’ensemble des requêtes aux serveurs Google depuis le téléphone Android. Google a collecté la localisation à un taux 1,4 fois supérieur par rapport à l’expérience du téléphone fixe sans interaction avec l’utilisateur. En termes d’amplitude, les serveurs de Google ont communiqué 11,6 Mo de données par jour (ou 0,35 Go / mois) avec l’appareil Android. Cette expérience suggère que même si un utilisateur n’interagit avec aucune application phare de Google, Google est toujours en mesure de recueillir beaucoup d’informations par l’entremise de ses produits d’annonce et d’éditeur.

f. Si un utilisateur d’appareil sous iOS décide de renoncer à l’usage de tout produit Google (c’est-à-dire sans Android, ni Chrome, ni applications Google) et visite exclusivement des pages web non-Google, le nombre de fois où les données sont communiquées aux serveurs de Google demeure encore étonnamment élevé. Cette communication est menée exclusivement par des services de l’annonceur/éditeur. Le nombre d’appels de ces services Google à partir d’un appareil iOS est similaire à ceux passés par un appareil Android. Dans notre expérience, la quantité totale de données communiquées aux serveurs Google à partir d’un appareil iOS est environ la moitié de ce qui est envoyé à partir d’un appareil Android.

g. Les identificateurs publicitaires (qui sont censés être « anonymisés » et collectent des données sur l’activité des applications et les visites des pages web tierces) peuvent être associés à l’identité d’un utilisateur ou utilisatrice de Google. Cela se produit par le transfert des informations d’identification depuis l’appareil Android vers les serveurs de Google. De même, le cookie ID DoubleClick (qui piste les activités des utilisateurs et utilisatrices sur les pages web d’un tiers) constitue un autre identificateur censé être anonymisé que Google peut associer à celui d’un compte personnel Google, si l’utilisateur accède à une application Google avec le navigateur déjà utilisé pour aller sur la page web externe. En définitive, nos conclusions sont que Google a la possibilité de connecter les données anonymes collectées par des moyens passifs avec les données personnelles de l’utilisateur.




Directive copyright : pourquoi l’échec, comment lutter

Oui, le vote de la directive Copyright est encore un violent coup contre les libertés numériques chères aux libristes. Notre mobilisation a-t-elle manqué de vigueur pour alerter les députés européens et faire pression sur leur vote ? 

Ont-ils été plus réceptifs une fois encore au puissant lobbying combiné de l’industrie du divertissement, des médias traditionnels et des ayants droit ? Outre ces hypothèses et sans les exclure, Cory Doctorow, militant de longue date (dont nous traduisons les articles depuis longtemps) pense qu’il existe chez les eurodéputés une sorte d’ignorance doublée d’une confiance naïve dans les technologies numériques.

Dans l’article dont Framalang vous propose la traduction, il expose également les conséquences concrètes de la calamiteuse Directive Copyright59 pour tous les internautes, et particulièrement les créateurs indépendants. Enfin, sans en masquer le niveau de difficulté, il indique les points d’appui d’une lutte qui demeure possible, et qui doit être incessante, au-delà des prétendues « victoires » et « défaites ».

Aujourd’hui, L’Europe a perdu Internet. Maintenant, nous contre-attaquons.

par Cory Doctorow

Article original sur le site de l’EFFToday, Europe Lost The Internet. Now, We Fight Back.

Traduction Framalang : rama, Sonj, FranBAG, goofy, hello, Util-Alan, dr4Ke, Savage, david, Piup

La semaine dernière, lors d’un vote qui a divisé presque tous les grands partis de l’Union européenne, les députés européens ont adopté toutes les terribles propositions de la nouvelle directive sur le droit d’auteur et rejeté toutes les bonnes, ouvrant la voie à la surveillance de masse automatisée et à la censure arbitraire sur Internet : cela concerne aussi bien les messages – comme les tweets et les mises à jour de statut sur Facebook – que les photos, les vidéos, les fichiers audio, le code des logiciels – tous les médias qui peuvent être protégés par le droit d’auteur.

 

Trois propositions ont été adoptées par le Parlement européen, chacune d’entre elles est catastrophique pour la liberté d’expression, la vie privée et les arts :

1. Article 13 : les filtres de copyright. Toutes les plateformes, sauf les plus petites, devront adopter défensivement des filtres de copyright qui examinent tout ce que vous publiez et censurent tout ce qu’ils jugent être une violation du copyright.

2. Article 11 : il est interdit de créer des liens vers les sites d’information en utilisant plus d’un mot d’un article, à moins d’utiliser un service qui a acheté une licence du site vers lequel vous voulez créer un lien. Les sites d’information peuvent faire payer le droit de les citer ou le refuser, ce qui leur donne effectivement le droit de choisir qui peut les critiquer. Les États membres ont la possibilité, sans obligation, de créer des exceptions et des limitations pour réduire les dommages causés par ce nouveau droit.

3. Article 12a : pas d’affichage en ligne de vos propres photos ou vidéos de matchs sportifs. Seuls les « organisateurs » d’événements sportifs auront le droit d’afficher publiquement tout type d’enregistrement d’un match. Pas d’affichage de vos selfies sur fond de spectacle, ou de courtes vidéos de pièces de théâtre passionnantes. Vous êtes le public, votre travail est de vous asseoir là où on vous le dit, de regarder passivement le match et de rentrer chez vous.

Au même moment, l’UE a rejeté jusqu’à la plus modeste proposition pour adapter le droit d’auteur au vingt-et-unième siècle :

1. Pas de « liberté de panorama ». Quand nous prenons des photos ou des vidéos dans des espaces publics, nous sommes susceptibles de capturer incidemment des œuvres protégées par le droit d’auteur : depuis l’art ordinaire dans les publicités sur les flancs des bus jusqu’aux T-shirts portés par les manifestants, en passant par les façades de bâtiments revendiquées par les architectes comme étant soumises à leur droit d’auteur. L’UE a rejeté une proposition qui rendrait légal, à l’échelle européenne, de photographier des scènes de rue sans craindre de violer le droit d’auteur des objets en arrière-plan ;

2. Pas de dispense pour les « contenus provenant des utilisateurs », ce qui aurait permis aux États membres de l’UE de réserver une exception au droit d’auteur à l’utilisation d’extraits d’œuvres pour « la critique, la revue, l’illustration, la caricature, la parodie ou le pastiche. »

J’ai passé la majeure partie de l’été à discuter avec des gens qui sont très satisfaits de ces négociations, en essayant de comprendre pourquoi ils pensaient que cela pourrait être bon pour eux. Voilà ce que j’ai découvert.

Ces gens ne comprennent rien aux filtres. Vraiment rien.

L’industrie du divertissement a convaincu les créateurs qu’il existe une technologie permettant d’identifier les œuvres protégées par le droit d’auteur et de les empêcher d’être montrées en ligne sans une licence appropriée et que la seule chose qui nous retient est l’entêtement des plateformes.

La réalité, c’est que les filtres empêchent principalement les utilisateurs légitimes (y compris les créateurs) de faire des choses légitimes, alors que les véritables contrefacteurs trouvent ces filtres faciles à contourner.

En d’autres termes : si votre activité à plein temps consiste à comprendre comment fonctionnent les filtres et à bidouiller pour les contourner, vous pouvez devenir facilement expert⋅e dans ce domaine. Les filtres utilisés par le gouvernement chinois pour bloquer les images, par exemple, peuvent être contournés par des mesures simples.

Cependant, ces filtres sont mille fois plus efficaces que des filtres de copyright, parce qu’ils sont très simples à mettre en œuvre, tandis que leurs commanditaires ont d’immenses moyens financiers et techniques à disposition.

Mais si vous êtes un photographe professionnel, ou juste un particulier qui publie son propre travail, vous avez mieux à faire que de devenir un super combattant anti-filtre. Quand un filtre se trompe sur votre travail et le bloque pour violation du copyright, vous ne pouvez pas simplement court-circuiter le filtre avec un truc clandestin : vous devez contacter la plateforme qui vous a bloqué⋅e, vous retrouvant en attente derrière des millions d’autres pauvres gogos dans la même situation que vous.

Croisez les doigts et espérez que la personne surchargée de travail qui prendra votre réclamation en compte décidera que vous êtes dans votre droit.

Bien évidemment, les grosses entreprises du divertissement et de l’information ne sont pas inquiétées par ce résultat : elles ont des points d’entrée directe dans les plateformes de diffusion de contenus, des accès prioritaires aux services d’assistance pour débloquer leurs contenus quand ceux-ci sont bloqués par un filtre. Les créateurs qui se rallieront aux grandes sociétés du divertissement seront ainsi protégés des filtres – tandis que les indépendants (et le public) devront se débrouiller seuls.

Ils sous-estiment lourdement l’importance de la concurrence pour améliorer leur sort.

La réalisation des filtres que l’UE vient d’imposer coûtera des centaines de millions de dollars. Il y a très peu d’entreprises dans le monde qui ont ce genre de capital : les géants de la technologie basés aux États-Unis ou en Chine et quelques autres, comme VK en Russie.

L’obligation de filtrer Internet impose un seuil plancher à l’éventuel fractionnement des grandes plateformes par les régulateurs anti-monopole : puisque seules les plus grandes entreprises peuvent se permettre de contrôler l’ensemble du réseau à la recherche d’infractions, elles ne pourront pas être forcées à se séparer en entités beaucoup plus petites. La dernière version de la directive prévoit des exemptions pour les petites entreprises, mais celles-ci devront rester petites ou anticiper constamment le jour où elles devront elles-mêmes endosser le rôle de police du droit d’auteur. Aujourd’hui, l’UE a voté pour consolider le secteur des technologies, et ainsi pour rendre beaucoup plus difficile le fonctionnement des créateurs indépendants. Nous voyons deux grandes industries, faisant toutes deux face à des problèmes de compétitivité, négocier un accord qui fonctionne pour elles, mais qui diminuera la concurrence pour le créateur indépendant pris entre les deux. Ce qu’il nous fallait, c’était des solutions pour contrer le renforcement des industries de la technologie comme de celles de la création : au lieu de cela, nous avons obtenu un compromis qui fonctionne pour elles, mais qui exclut tout le reste.

Comment a-t-on pu en arriver à une situation si désastreuse ?

Ce n’est pas difficile à comprendre, hélas. Internet fait partie intégrante de tout ce que nous faisons, et par conséquent, chaque problème que nous rencontrons a un lien avec Internet. Pour les gens qui ne comprennent pas bien la technologie, il y a un moyen naturel de résoudre tout problème : « réparer la technologie ».

Dans une maxime devenue célèbre, Arthur C. Clarke affirmait que « toute technologie suffisamment avancée est indiscernable de la magie ». Certaines réalisations technologiques semblent effectivement magiques, il est naturel d’être témoin de ces miracles du quotidien et d’estimer que la technologie peut tout faire.

L’incapacité à comprendre ce que la technologie peut ou ne peut pas faire est la source d’une infinité d’erreurs : depuis ceux qui affirment hâtivement que les machines à voter connectées peuvent être suffisamment sécurisées pour être utilisées lors d’une élection nationale ; aux officiels qui claironnent qu’il est possible de créer un système de chiffrement qui empêche les truands d’accéder à nos données, mais autorise la police à accéder aux données des truands ; en passant par la croyance que le problème de la frontière irlandaise post-Brexit peut être « solutionné » par de vagues mesures techniques.

Dès que quelques puissants décideurs des industries du divertissement ont été persuadés que le filtrage massif était possible et sans conséquence néfaste, cette croyance s’est répandue, et quand les spécialistes (y compris les experts qui font autorité sur le sujet) disent que ce n’est pas possible, ils sont accusés d’être bornés et de manquer de vision, pas d’apporter un regard avisé sur ce qui est possible ou non.

C’est un schéma assez familier, mais dans le cas de la directive européenne sur le copyright, il y a eu des facteurs aggravants. Lier un amendement sur les filtres de copyright à une proposition de transfert de quelques millions d’euros des géants de l’informatique vers les propriétaires de médias a garanti une couverture médiatique favorable de la part de la presse, qui cherche elle-même une solution à ses problèmes.

Enfin, le problème est qu’Internet favorise une sorte de vision étriquée par laquelle nous avons l’illusion que la petite portion du Net que nous utilisons en constitue la totalité. Internet gère des milliards de communications publiques chaque jour : vœux de naissance et messages de condoléances, signalement de fêtes et réunions prochaines, campagnes politiques et lettres d’amour. Un petit bout, moins d’un pour cent, de ces communications constitue le genre de violation du droit d’auteur visé par l’article 13, mais les avocats de cet article insistent pour dire que le « but premier » de ces plateformes est de diffuser des œuvres protégées par le droit d’auteur.

Il ne fait aucun doute que les gens de l’industrie du divertissement interagissent avec beaucoup d’œuvres de divertissement en ligne, de la même façon que la police voit beaucoup de gens qui utilisent Internet pour planifier des crimes, et les fashionistas voient beaucoup de gens qui utilisent Internet pour montrer leurs tenues.

L’Internet est plus vaste qu’aucun⋅e d’entre nous ne peut le concevoir, mais cela ne signifie pas que nous devrions être indifférent⋅e⋅s à tous les autres utilisateurs d’Internet et à ce qu’ils perdent lorsque nous poursuivons nos seuls objectifs, aux dépens du reste du monde numérique.

Le vote récent de la directive sur le copyright ne rend pas seulement la vie plus difficile aux créateurs, en donnant une plus grande part de leurs revenus à Big contenus et Big techno – il rend la vie plus difficile pour nous tous. Hier, un spécialiste d’un syndicat de créateurs dont je suis membre m’a dit que leur travail n’est pas de « protéger les gens qui veulent citer Shakespeare » (qui pourraient être bloqués par l’enregistrement bidon de ses œuvres dans les filtres du droit d’auteur) – mais plutôt de protéger les intérêts des photographes du syndicat dont l’œuvre est « volée ». Non seulement l’appui de mon syndicat à cette proposition catastrophique ne fait aucun bien aux photographes, mais il causera aussi d’énormes dommages à ceux dont les communications seront prises entre deux feux. Même un taux d’erreur de seulement un pour cent signifie encore des dizaines de millions d’actes de censure arbitraire, chaque jour.

Alors, que faut-il faire ?

En pratique, il existe bien d’autres opportunités pour les Européens d’influencer leurs élu⋅es sur cette question.

* Tout de suite : la directive rentre dans une phase de « trilogues » , des réunions secrètes, à huis clos, entre les représentants des gouvernements nationaux et de l’Union européenne ; elles seront difficiles à influencer, mais elles détermineront le discours final présenté au parlement pour le prochain vote (difficulté : 10/10).

* Au printemps prochain, le Parlement européen votera sur le discours qui ressort de ces trilogues. Il est peu probable qu’ils puissent étudier le texte plus en profondeur, on passera donc à un vote sur la directive proprement dite. Il est très difficile de contrecarrer la directive à ce stade (difficulté : 8/10).

* Par la suite les 28 États membres devront débattre et mettre en vigueur leurs propres versions de la législation. Sous bien des aspects, il sera plus difficile d’influencer 28 parlements distincts que de régler le problème au niveau européen, quoique les membres des parlements nationaux seront plus réceptifs aux arguments d’internautes isolés, et les victoires obtenues dans un pays peuvent être mises à profit dans d’autres (« Tu vois, ça a marché au Luxembourg. On n’a qu’à faire la même chose. ») (difficulté : 7/10).

* À un moment ou à un autre : contestations judiciaires. Étant donné l’ampleur de ces propositions, les intérêts en jeu et les questions non résolues sur la manière d’équilibrer tous les droits en jeu, nous pouvons nous attendre à ce que la Cour de justice européenne soit saisie de cette question. Malheureusement, les contestations judiciaires sont lentes et coûteuses (difficulté : 7/10).

En attendant, des élections européennes se profilent, au cours desquelles les politiciens de l’UE devront se battre pour leur emploi. Il n’y a pas beaucoup d’endroits où un futur membre du Parlement européen peut gagner une élection en se vantant de l’expansion du droit d’auteur, mais il y a beaucoup d’adversaires électoraux potentiels qui seront trop heureux de faire campagne avec le slogan « Votez pour moi, mon adversaire vient de casser Internet » ;

Comme nous l’avons vu dans le combat pour la neutralité du Net aux USA, le mouvement pour protéger l’Internet libre et ouvert bénéficie d’un large soutien populaire et peut se transformer en sujet brûlant pour les politiciens.

Écoutez, on n’a jamais dit que notre combat se terminerait par notre « victoire » définitive – le combat pour garder l’Internet libre, juste et ouvert est toujours en cours.

Tant que les gens auront :

a) des problèmes,

b) liés de près ou de loin à Internet,

il y aura toujours des appels à casser/détruire Internet pour tenter de les résoudre.

Nous venons de subir un cuisant revers, mais cela ne change pas notre mission. Se battre, se battre et se battre encore pour garder Internet ouvert, libre et équitable, pour le préserver comme un lieu où nous pouvons nous organiser pour mener les autres luttes qui comptent, contre les inégalités et les trusts, les discriminations de race et de genre, pour la liberté de la parole et de la légitimité démocratique.

Si ce vote avait abouti au résultat inverse, nous serions toujours en train de nous battre aujourd’hui. Et demain. Et les jours suivants.

La lutte pour préserver et restaurer l’Internet libre, équitable et ouvert est une lutte dans laquelle vous vous engagez, pas un match que vous gagnez. Les enjeux sont trop élevés pour faire autrement.

*   *   *

Pour donner suite à cette lecture, nous vous recommandons l’article de Calimaq dont le titre est un peu à contre-courant : La directive Copyright n’est pas une défaite pour l’Internet Libre et Ouvert !




Bye bye Twitter, hello Masto !

C’est dans l’air du temps et c’est tant mieux. Comme à chaque fois que Twitter (ou Facebook) se signale par ses errements manifestes (et comment pourrait-il en être autrement ?), s’ensuit une vague de migrations.

Voici par exemple Laura Kalbag. Cette designeuse britannique qui est la moitié de indie.ie avec Aral Balkan et qui a publié le guide Accessibility for everyone a récemment pris ses distances avec Twitter pour expérimenter Mastodon au point de piloter sa propre instance…

Elle explique ses raisons et sa démarche au long de deux articles successifs sur son blog que Framalang s’est fait un plaisir de traduire tous les deux pour vous : What is wrong with Twitter et What is Mastodon and Why should I use it.

Bonne lecture… et à bientôt peut-être sur Mastodon, le réseau social qui vous redonne le contrôle ? Si vous êtes déjà convaincu⋅e, faites lire ce double article à vos ami⋅e⋅s qui hésitent encore.

Traduction Framalang : audionuma, Juliette, jums, goofy, Elodie, sonj, draenog, Nexofs, sonj + 4 anonymes

Quel est le problème avec Twitter ?

 par Laura Kalbag

Il y a quelques semaines j’ai publié une brève note pour signaler que j’ai désormais ma propre instance Mastodon. Mais commençons par le commencement : pourquoi ?

J’ai l’intention d’utiliser Mastodon comme alternative à Twitter. Bien que Mastodon ne soit pas l’équivalent de Twitter, nombre de ses fonctionnalités sont semblables. Et je cherche une solution alternative à Twitter parce que Twitter n’est pas bon pour moi.

Parfois, il m’arrive de croire qu’en disant : « Twitter n’est pas bon pour moi » je n’ai pas besoin d’expliquer davantage, mais ce n’est pas une opinion tellement répandue. Cela vaut la peine d’être expliqué un peu plus en détail :

Le capitalisme de surveillance

En bref, le problème avec Twitter c’est le capitalisme de surveillance. Au cas où ce terme vous serait étranger, le capitalisme de surveillance est le modèle économique dominant en matière de technologie grand public. La technologie nous traque, observe nos actions : c’est l’aspect surveillance. Cette information est alors utilisée afin de mieux nous vendre des biens et services, souvent par le biais de la publicité « pertinente », c’est l’aspect capitalisme. Pour dire les choses clairement, Aral Balkan appelle cela le people farming que l’on peut traduire par « élevage humain».

Nous sommes la plupart du temps conscient⋅e⋅s du fait que les publicités que nous voyons sur les réseaux sociaux comme Facebook et Twitter financent leurs services. En revanche, nous sommes moins conscient⋅e⋅s du fait que des algorithmes affectent les articles ou billets que nous voyons dans les fils d’information de nos réseaux sociaux, et nous ne savons pas quelle information nourrit ces algorithmes ; ni comment ces algorithmes et leurs interfaces sont conçus pour manipuler notre interaction avec le service. Nous sommes largement inconscient⋅e⋅s de la manière dont la plupart des technologies utilisent le traçage et leurs propres algorithmes pour nous rendre dépendant⋅e⋅s et pour manipuler notre comportement d’une manière qui leur est financièrement bénéfique.

Si tout cela semble tiré par les cheveux, jetez un coup d’œil à la version blog de ma conférence intitulée : « Digital Assistants, Facebook Quizzes, et Fake News ! Vous n’allez pas croire ce qui va se passer ensuite. »

Qu’est-ce qui ne va pas avec Twitter, au juste ?

Le modèle économique de capitalisme de surveillance de Twitter a un impact sur chaque décision prise par Twitter. Twitter récompense les comportements abusifs à travers les algorithmes utilisés pour son historique car la controverse entraîne « l’engagement ». Twitter construit des cultes de la célébrité (qu’il s’agisse des individus ou des mèmes) parce que davantage de personnes s’inscriront sur une plateforme pour suivre l’actualité et éviter la peur de passer à côté.

À travers ses algorithmes Twitter décide de ce que vous voyez

Tout comme l’a fait Facebook auparavant, la décision de Twitter d’utiliser des algorithmes pour vous dicter ce que vous voyez dans votre fil au lieu de vous montrer les messages dans leur ordre chronologique signifie que vous ne pouvez pas faire confiance au flux pour vous afficher les messages des personnes que vous suivez (le contournement consiste à utiliser les « Listes », mais pour cette raison, je soupçonne Twitter de vouloir se débarrasser des listes à un moment ou à un autre…)

Vous ignorez si vos messages sont vus ou si vous voyez ceux de vos amis, puisque vous n’avez aucune idée de ce que fait l’algorithme. il semble que cet algorithme favorise les comptes et les tweets populaires et/ou viraux, ce qui fait de la viralité l’aspiration ultime des vedettes expérimenté⋅e⋅s des réseaux sociaux, au-delà du nombre spectaculaire d’abonné⋅e⋅s. (je ne porte pas de jugement… je décide moi aussi de suivre ou non une personne en fonction de son nombre d’abonné⋅e⋅s, pas vous ?)

En réalité, Twitter encourage les agressions

Twitter permet aux agressions et au harcèlement de continuer parce que l’engagement des utilisateurs prospère grâce à la polémique. Des trolls haineux qui chassent en meute ? C’est ça, l’engagement ! Des femmes et des personnes de groupes marginalisés sont harcelées sur Twitter ? Mais tous ces trolls sont si engageants ! Qu’est-ce que ça peut faire qu’une femme quitte Twitter si la polémique a pour résultat qu’un plus grand nombre de personnes vont tweeter, ou même s’inscrire pour avoir leur mot à dire sur la question ? Pourquoi Twitter, Inc. devrait-il se soucier des gens alors que les chiffres sont tout ce qui compte pour les investisseurs, et que ce sont eux qui gardent la mainmise sur les projecteurs ? Tout ce que les entreprises de réseaux sociaux ont à faire, c’est de maintenir un équilibre délicat pour ne pas mettre trop de gens en colère et à ne pas les aliéner au point de les faire quitter la plateforme en masse. Et étant donné qu’un si grand nombre de ces gens sont tellement engagés dans Twitter (est-ce nécessaire de mentionner que « engagement » n’est probablement qu’un euphémisme pour « addiction »), ils ont du mal à en sortir. C’est mon cas. Pas vous ?

Si Twitter se conformait rigoureusement à une politique stricte contre le harcèlement et les agressions, il y aurait moins de tweets. Si Twitter nous donnait des outils efficaces pour modérer nos propres fils, réponses et messages, il est probable que cela impacterait ce que l’algorithme choisit de nous montrer, et impacterait le modèle économique de Twitter qui monétise ce que l’algorithme met en priorité dans le flux des messages.

Twitter ne gère pas efficacement les cas d’agression

Il n’est pas facile de modérer les agressions. Décider de ce qui constitue une agression et de la façon de la traiter de manière appropriée est un problème pour toutes les plateformes de publication et tous les réseaux sociaux. Ce sont aussi des problèmes systémiques auxquels sont confrontées les communautés locales et le système judiciaire. Problèmes qui sont généralement traités (encore souvent de manière inadéquate) par ces communautés et systèmes judiciaires. Mais nous devons être conscients que la technologie amplifie les problèmes, en facilitant le ciblage d’un individu et la possibilité d’une attaque de manière anonyme. Et comme nous utilisons les plateformes de grandes entreprises, nous déléguons au contrôle de l’entreprise la responsabilité des décisions sur la manière de gérer les agressions.

Les personnels de ces entreprises technologiques ne devraient pas être ceux qui décident de ce qui relève de la liberté d’expression et de la censure sur ce qui est devenu notre infrastructure sociale mondiale. Les personnes qui ont des intérêts financiers dans le chiffre d’affaires ne devraient pas être en mesure de prendre des décisions concernant nos droits et ce qui constitue la liberté d’expression.

Nuances

Bien sûr, il y a aussi des situations diverses et certains choix de conception d’algorithmes de flux pour gérer le harcèlement et des agressions ne sont pas principalement destinés à servir le capitalisme de surveillance. Il se peut qu’il y ait des personnes qui travaillent dans l’entreprise et qui ont des intentions bienveillantes. (J’en ai rencontré quelques-unes, je n’en doute pas !)

Mais comme le modèle d’affaires de Twitter est concentré sur l’extraction de l’information des gens, les décisions de conception qui servent le modèle économique auront toujours la priorité. Les cas de comportements bienveillants sont des exceptions et ne prouvent pas que le modèle entier repose sur le principe de « l’attention bienveillante malgré tout ». De tels gestes de bonté sont malheureusement accomplis, ou plutôt consentis, pour améliorer les relations publiques.

Mon usage de Twitter

Quand je me demande sincèrement pourquoi j’utilise encore Twitter, je trouve de bonnes raisons et aussi des prétextes. Toutes mes bonnes raisons sont probablement des prétextes, tout dépend du degré de complaisance envers moi-même dont je suis capable tel ou tel jour. Je suis comme prise dans un tourbillon entre mes convictions et mon amour-propre.

Twitter me donne les nouvelles

C’est sur Twitter que je vais d’abord pour m’informer des actualités internationales et locales. Il est difficile de trouver un organe de presse qui couvre l’actualité et les questions qui me tiennent à cœur sans publier également du putaclic, des listes attrape-cons et des bêtises calculées avec du SEO. Malheureusement, c’est en grande partie parce que la publicité sur le Web (qui repose avant tout sur la surveillance) est le modèle économique de la publication de nouvelles. Je me tiens donc au courant des actualités en suivant quelques organes d’information et beaucoup de journalistes individuels.

Il existe une stratégie de contournement : suivre des comptes et des listes Twitter sur Feedbin, à côté des autres flux RSS auxquels je suis abonnée. Tous les tweets sont à disposition, mais l’algorithme ou les applications ne tentent pas de manipuler votre comportement.

Il s’agit d’une solution de contournement temporaire, car Twitter peut trouver un moyen d’interdire ce type d’utilisation. (Peut-être que d’ici là, nous pourrons passer au RSS comme principal moyen de publication ?) Et de toute évidence, cela ne servira pas à grand-chose et ne résoudra pas le problème de la dépendance des médias d’information au capitalisme de surveillance comme modèle économique.

Les abonnés

Beaucoup de personnes dans l’industrie Web ont accumulé un grand nombre d’abonnés sur Twitter, et il est difficile à abandonner (mon nombre d’abonnés est relativement modeste mais assez grand pour flatter mon ego lors d’une mauvaise journée). La façon positive de voir les choses, c’est que vous vous sentez responsable envers les gens qui vous suivent de les tenir au courant des nouvelles de l’industrie, et que vous avez une plateforme et une influence pour promouvoir les enjeux qui vous tiennent à cœur.

La façon plus cynique de voir les choses est la suivante : quelqu’un remarquerait-il vraiment si j’arrêtais de tweeter ? Je suis une goutte d’eau dans l’océan. Est-ce qu’un décompte de mes abonnés est juste devenu une autre façon de flatter mon ego et de prouver ma propre valeur parce que je suis accro à la dopamine d’une notification qui me signale que quelqu’un pense que je vaux un petit clic sur le bouton « suivre » ? Peut-être que me suivre n’est pas l’expérience heureuse que j’imagine avec autosatisfaction. Il n’y a pas d’autre solution que de s’améliorer et de devenir moins obsédé⋅e par soi-même. En tant que personne issue de la génération millénium dans une société dominée par le capitalisme, je me souhaite bonne chance.

Le cercle des ami⋅e⋅s

Malgré ce modèle suivre/être suivi de Twitter, j’ai des amis sur Twitter. J’ai déjà parlé d’amitié en ligne. Je me suis aussi fait des ami⋅e⋅s sur Twitter et je l’utilise pour rester en contact avec des gens que je connais personnellement. Je veux savoir comment vont mes amis, ce qu’ils font, à quoi ils s’intéressent. Je veux aussi pouvoir bavarder et échanger des inepties avec des inconnu⋅e⋅s, partager mon expérience jusqu’à ce que nous devenions ami⋅e⋅s.

Une solution : Mastodon. Un réseau social loin d’être parfait mais bien intentionné.

 

Qu’est-ce que Mastodon et pourquoi l’utiliser ?

Mastodon a démarré comme une plateforme de microblogging similaire à Twitter, mais a évolué avec davantage de fonctionnalités qui montrent une orientation éthique, progressiste et inclusive. À la place de tweets, vos billets sur Mastodon sont appelés des pouets (NdT : en anglais c’est amusant aussi, des “toots”).

l’éléphant de Mastodon soutenu en l’air par de petits oiseauxPourquoi utiliser Mastodon et pas un autre réseau social nouveau ?

Maintenant que vous savez pourquoi je quitte Twitter, vous avez probablement une vague idée de ce que je recherche dans un réseau social. Mastodon est unique pour plusieurs raisons :

Mastodon est fédéré

« Mastodon n’est pas seulement un site web, c’est une fédération – pensez à Star Trek. Les milliers de communautés indépendantes qui font tourner Mastodon forment un réseau cohérent, où, bien que chaque planète soit différente, il suffit d’être sur l’une pour communiquer avec toutes les autres. »

La fédération signifie qu’il y a beaucoup de communautés différentes faisant tourner le logiciel Mastodon, mais chaque individu de chaque communauté peut parler à un autre utilisateur de Mastodon. Chaque domaine où Mastodon tourne est appelé une « instance ».

Fédération vs centralisation

Dans mon billet à propos de Twitter, je mentionnais « comme nous utilisons les plateformes de grandes entreprises, nous déléguons la responsabilité des décisions sur la manière de gérer les agressions au contrôle de l’entreprise. » Cette manière dont le pouvoir est tenu par un individu ou un petit groupe est une forme de centralisation.

La centralisation se manifeste à travers le Web de diverses façons, mais pour les plateformes comme Twitter, la centralisation veut dire que la plateforme tourne sur un serveur appartenant à une entreprise et contrôlé par elle. Donc pour utiliser Twitter, vous devez aller sur Twitter.com, ou utiliser un service ou une application qui communique directement avec Twitter.com. Ceci signifie que Twitter a un contrôle absolu sur son logiciel, la manière dont les gens s’en servent, ainsi que le profil et les données de comportement de ces personnes. Aral explique ceci en disant que ces plateformes ne sont pas comme des parcs, mais comme des centres commerciaux. Vous pouvez entrer gratuitement, rencontrer vos ami⋅e⋅s là-bas, avoir des conversations et acheter des trucs, mais vous êtes assujetti⋅e⋅s à leurs règles. Ils peuvent observer ce que vous faites avec des caméras de surveillance, vous entourer de publicités, et vous mettre dehors s’ils n’aiment pas ce que vous faites ou dites.

L’inverse de la centralisation, c’est la décentralisation. Une alternative décentralisée à la publication sur Twitter consiste à poster de petites mises à jour de votre statut sur votre blog, comme je le fais avec mes Notes. De cette manière je suis propriétaire de mes propres contenus et je les contrôle (dans les limites de mon hébergeur web). Si tout le monde postait son statut sur son blog, et allait lire les blogs des autres, ce serait un réseau décentralisé.

logo de Indie.ie
Logo d’Indie.ie

Mais poster des statuts sur son blog passe à côté de l’intérêt… social des réseaux sociaux. Nous n’utilisons pas seulement les réseaux sociaux pour crier dans le vide, mais nous les utilisons pour partager des expériences avec les autres. Aral et moi travaillons sur des manières de le faire avec nos sites personnels, mais nous n’y sommes pas encore. Et c’est là que la fédération rentre en jeu.

J’ai ma propre instance Mastodon, mastodon.laurakalbag.com où je suis seule (avec Oskar).

Oskar, le chien de Laura
Oskar nous dit : « wooOOof ! Abonnez-vous à mon compte Mastodon @gigapup@mastodon.laurakalbag.com »

On peut appeler ça une « mono-instance ». Elle est hébergée sur mon propre domaine, donc j’en suis propriétaire et contrôle tout ce que je poste dessus, mais parce que j’ai Mastodon installé, je peux voir ce que les autres gens postent sur leurs instances Mastodon, et leur répondre avec des mentions,  des boosts (équivalents d’un retweet) de leurs pouets, bien qu’ils soient sur des instances différentes. C’est comme avoir mon propre Twitter qui puisse discuter avec les autres Twittos, mais où c’est moi qui décide des règles.

Mastodon est éthique

Vous pouvez trouver cette formule à propos de la conception de Mastodon sur la page Rejoindre Mastodon :

« Mastodon est un logiciel gratuit, libre, que chacun peut installer sur un serveur. »

Mastodon est libre et gratuit, c’est pour cela que nous pouvons avoir nos propres instances avec nos propres règles. Cela veut aussi dire que si Eugen Rochko, qui fait Mastodon, va dans une direction que les gens n’aiment pas, nous (suivant nos compétences) pouvons le forker et réaliser notre propre version.

« En utilisant un ensemble de protocoles standards, les serveurs Mastodon peuvent échanger de l’information entre eux, permettant aux utilisateurs d’interagir sans heurts… Grâce aux protocoles standards, le réseau n’est pas limité aux serveurs Mastodon. Si un meilleur logiciel apparaît, il peut continuer avec le même graphe social. »

Mastodon utilise des protocoles standards, ce qui signifie que vous pouvez vous fédérer avec Mastodon même si vous n’utilisez pas Mastodon vous-même. Ceci signifie que vous n’êtes pas enfermé⋅e dans Mastodon, vu qu’il est interopérable, mais aussi qu’une autre technologie peut marcher avec vos pouets à l’avenir.

« Il n’y a pas de publicité, monétisation, ni capital-risque. Vos donations soutiennent directement le développement à plein temps du projet. »

Voilà qui est important. Mastodon est financé par des donations, pas par de la publicité ou autre astuce néfaste de monétiser vos informations, et pas non plus par des investisseurs de capital-risque. Cela signifie qu’il n’y a pas de conseil d’administration qui décidera qu’ils doivent commencer à faire des choses pour vous monétiser afin d’obtenir un retour sur leur investissement, ou pour “croître”. Cela signifie que nous dépendons de la bonne volonté et de la générosité d’Eugen. Mais, comme je l’ai mentionné plus haut, puisque Mastodon est libre et ouvert, si Eugen devient un monstre (cela semble improbable), nous pouvons forker Mastodon et faire une version différente qui fonctionne pour nous, à notre goût.

Mastodon est inclusif

Un des plus gros problèmes de Twitter est la modération (ou plutôt l’absence de modération) du harcèlement et des agressions. Dans un article intitulé Cage the Mastodon (NdT : mettre en cage le mastodonte) Eugen explique comment Mastodon est conçu pour empêcher le harcèlement autant que possible, et vous donner des outils pour vous assurer que votre fil et vos réponses ne contiennent que ce que vous souhaitez voir.

« Mastodon est équipé d’outils anti-harcèlement efficaces pour vous aider à vous protéger. Grâce à l’étendue et à l’indépendance du réseau, il y a davantage de modérateurs auxquels vous pouvez vous adresser pour obtenir une aide individuelle, et des instances avec des codes de conduite stricts. »

Bien sûr, Mastodon est loin d’être parfait – cette critique constructive de Nolan Lawson aborde certaines des plus grandes questions et plusieurs approches possibles – mais Mastodon accorde la priorité aux outils anti-agressions et les gens qui travaillent sur Mastodon accordent la priorité aux décisions de conception qui favorisent la sécurité. Par exemple, vous ne pouvez pas simplement rechercher un mot-clé sur Mastodon. Cela signifie que les gens qui cherchent à déclencher une bagarre ou une attaque en meute ne peuvent pas se contenter de chercher des munitions dans les pouets d’autres personnes. Si vous voulez que les mots-clés de vos pouets puissent être recherchés, vous pouvez utiliser des #hashtags, qui peuvent être recherchés.

Une autre de mes fonctionnalités favorites de Mastodon, c’est que par défaut, vous pouvez apporter un texte de description alternatif pour les images, sans que l’option soit cachée dans un menu « Accessibilité ». Par défaut, une zone de saisie vous est montrée au bas de l’image avec la mention « Décrire pour les malvoyants »

un pouet de mastodon avec une image sur laquelle figurent la mention "décrire pour les malvoyants"C’est une façon astucieuse pour Mastodon de dire aux gens qu’ils doivent rendre leurs images accessibles à leurs amis.

Comment utiliser Mastodon

Je ne suis pas une experte et j’en suis à mes premiers pas sur Mastodon. Alors voici une liste des meilleurs guides d’utilisation réalisés par des personnes qui connaissent bien mieux que moi comment fonctionne Mastodon :

En français :

En anglais :

  • Un guide de Mastodon des plus exhaustifs par @joyeusenoelle – guide écrit de manière simple et suivant le format de la FAQ. Utile si vous voulez trouver une réponse à une question en particulier.
  • Guide du pouet : Introduction à Mastodon par Ginny McQueen – Couvre toutes les bases d’introduction à Mastodon dans le but de vous protéger.
  • Qu’est-ce que c’est que Mastodon et pourquoi est-ce mieux que Twitter par Nolan Lawson – Une introduction détaillée à Mastodon et à son histoire.
    • Le Mastodon apprivoisé par Eugen Rochko – Un aperçu des caractéristiques pour gérer les abus et le harcèlement, qui explique également les décisions prises dans les coulisses de Mastodon en termes de design.
    Comment fonctionne Mastodon ? Par Kev Quirk—Introduit des comparaisons entre Mastodon et Twitter à travers des exemples qui permettent d’améliorer la compréhension.
    La confidentialité des posts de Mastodon – Un pouet qui explique qui peut voir ce que vous pouettez sur Mastodon selon les différents paramétrages choisis.
    La liste ultime – Un guide pratique des apps et des clients web à utiliser avec Mastodon au-delà de son interface par défaut. D’autres points sont également référencés, tels les outils d’affichage croisé notamment.

Rejoignez une petite instance, ou créez la vôtre

Si vous êtes intéressé⋅e par Mastodon, vous pouvez choisir l’instance que vous souhaiteriez rejoindre, ou vous pouvez créer la vôtre. Je suis partisane de l’instance unique pour soi-même, mais si vous souhaitez juste tester, ou si vous avez eu de mauvaise expérience de harcèlement sur les réseaux sociaux ailleurs, je vous recommande de choisir une petite instance avec le code de bonne conduite qui vous convient.

Beaucoup de gens (moi incluse) commencent par se créer un compte sur mastodon.social, mais je vous le déconseille. C’est la plus grande instance anglophone mise en place par les développeurs de Mastodon, avec notamment Eugen Rochko (@gargron). Ils ont des règles anti-nazis et semblent être plutôt bienveillants. Toutefois, beaucoup de gens utilisent mastodon.social. La dernière fois que j’ai regardé, ils étaient 230 000. Cela veut dire beaucoup de pression sur les modérateurs, et sur le serveur, et ça contrevient grandement au concept de fédération si tout le monde rejoint la même instance. Rappelez-vous, vous pouvez facilement communiquer avec des personnes de n’importe quelle autre instance de Mastodon. Si des personnes insistent pour que vous veniez sur leur instance alors que ce n’est ni pour le code de conduite ni pour la modération, à votre place je m’interrogerais sur leurs motivations.

Soyez conscient⋅e que l’administrateur d’une instance peut lire vos messages privés. L’administrateur de l’instance de l’utilisateur avec qui vous communiquez peut aussi lire vos échanges. Cela vient du fait que les messages privés ne sont pas chiffrés de bout en bout. Même si je ne pense pas que ce soit catastrophique pour Mastodon (c’est tout aussi vrai pour vos messages sur Twitter, Facebook, Slack, etc.), [çà nous rappelle que l’on doit vraiment faire confiance à notre administrateur d’instance/un rappel sur la nécessité de pouvoir se fier à l’administrateur de votre instance]. Aussi, si vous souhaitez envoyer des messages de manière vraiment sécurisée, je conseille de toujours utiliser une application de messagerie chiffrée, comme Wire.

Pourquoi Ind.ie ne propose pas d’instance ?

Quelques personnes nous ont encouragés, Aral et moi, à lancer notre propre instance. Nous ne le ferons pas, parce que :

Avant tout : la décentralisation est notre objectif. Nous ne voulons pas la responsabilité de détenir et contrôler vos contenus, même si vous nous faites confiance (vous ne devriez pas !).
De plus, nous serions de piètres modérateurs. Les modérateurs et modératrices devraient être formé⋅e⋅s et avoir une expérience significative. Ils sont la principale défense contre le harcèlement et les agressions. Les modérateurs se doivent d’être des arbitres impartiaux en cas de désaccord, et faire respecter leur Code de Conduite. C’est une activité à temps plein, et je crois que ça ne peut être efficace que sur de petites instances.

Ma mono-instance

J’ai d’abord rejoint Mastodon.social fin 2016. Alors que j’étais assez active sur les comptes @Better et @Indie, mon propre compte était très calme. Mastodon.social était déjà plutôt grand, et je voulais avoir ma propre instance, et ne pas m’investir trop pour un compte qui pourrait finalement cesser d’exister.

Mais je ne voulais pas héberger et maintenir une instance Mastodon toute seule. C’est un logiciel vaste et complexe, et je ne suis pas développeuse backend de grande envergure ni adminsys. De plus, je n’ai tout simplement pas le temps d’acquérir les compétences requises, ni même de mettre à jour les nouvelles versions et faire les mises à jour de sécurité.

Alors quand Masto.host, un hébergeur pour « un hébergement de Mastodon entièrement géré » m’a été recommandé, j’ai su que c’était ce dont j’avais besoin pour franchir le pas pour l’hébergement de ma propre instance.

Pourquoi mettre en place une mono-instance ?

Tout ce que je publie est sous mon contrôle sur mon serveur. Je peux garantir que mon instance Mastodon ne va pas se mettre à tracer mon profil, ou à afficher de la pub, ou à inviter des Nazis dans mon instance, car c’est moi qui pilote mon instance. J’ai accès à tout mon contenu tout le temps, et seuls mon hébergeur ou mon fournisseur d’accès à Internet peuvent bloquer mon accès (comme pour tout site auto-hébergé). Et toutes les règles de blocage et de filtrage sont sous mon contrôle – Vous pouvez filtrer les personnes que vous voulez sur l’instance d’autres personnes, mais vous n’avez pas votre mot à dire sur qui/ce qu’ils bloquent pour toute cette instance.

Vous pouvez aussi créer des emojis personnalisés pour votre propre instance Mastodon que chaque autre instance pourra voir et/ou partager.

Pourquoi ne PAS mettre en place une mono-instance ?

Dans un billet précédent sur les niveaux de décentralisation qui se trouvent au-delà de mes moyens, j’ai examiné les facteurs qui nous permettent, ou non, de posséder et contrôler nos propres contenus. Il en va de même pour les réseaux sociaux, surtout en termes de sécurité. Parfois nous ne voulons pas, ou nous ne pouvons pas, modérer notre propre réseau social.

Je suis une personne privilégiée parce que je peux faire face au faible taux de harcèlement que je reçois. Ce n’est pas un indicateur de ma force mentale, c’est seulement que le pire que je reçois sont des pauvres types qui me draguent par MP (messages privés), et certains individus qui insultent notre travail à Ind.ie de manière non-constructive et/ou blessante. Ce n’est pas infini, c’est gérable avec les outils de blocage et de sourdine usuels. (Je suis également fan du blocage préventif, mais ce sera un billet pour un autre jour). Je n’ai pas (pas encore ?!) été victime d’une attaque en meute, de harcèlement ciblé, ou d’agression plus explicite.

Parce que beaucoup de gens sont victimes de ce type de harcèlement et d’abus, et ils ne peuvent pas s’attendre à maintenir leur propre instance. Parce que pour être en mesure de bloquer, mettre en sourdine et modérer efficacement les personnes et les choses malfaisantes, il faut voir ces personnes et ces choses malfaisantes.

De la même manière qu’à mon avis le gouvernement devrait fournir des filets de sécurité pour les personnes vulnérables et marginalisées de la société, le web devrait fournir également des filets de sécurité pour les personnes vulnérables et marginalisées du web. Je vois des petites instances comme ces filets de sécurité. Idéalement, je vous conseillerais de connaître votre administrateur d’instance en personne. Les instances devraient être comme des familles (entretenant de saines relations) ou des petits clubs du monde hors-ligne. Dans ces situations, vous pouvez avoir quelqu’un qui représente le groupe en tant que leader lorsque c’est nécessaire, mais que ce soit une hiérarchie horizontale sinon.

Connaître de bonnes personnes qui vous protègent est un sacré privilège, alors peut-être qu’une recommandation par du bouche-à-oreille pour une petite instance d’une personne que vous connaissez pourrait suffire. Je ne me suis pas retrouvée dans cette situation, alors prenez ma suggestion avec des pincettes, je veux seulement souligner les potentielles répercussions négatives lorsque vous décidez qui peut contrôler votre vie sociale en ligne. (Prenez en compte les exemples de ceux qui ont été confrontés aux répercussions de Twitter ou Facebook pour décider jusqu’où une agression raciste est acceptable ou  quel est leur véritable nom.)

Comment mettre en place une mono-instance

Si, comme moi, vous n’êtes pas un bon adminsys, ou si vous n’avez simplement pas le temps de maintenir votre propre instance Mastodon, je vous recommande masto.host. Hugo Gameiro vous fera l’installation et l’hébergement d’une petite instance Mastodon pour 5 €/mois. La procédure est la suivante :

  • Acheter un nom de domaine (si vous n’en avez pas déjà un à utiliser)
  • S’inscrire sur masto.host et donnez à Hugo votre nom de domaine. J’ai mis le mien en place à mastodon.laurakalbag.com ce qui est plutôt long, mais il apparaît clairement que c’est mon instance rien que par le nom.
  • Mettre en place les réglages DNS. Masto.host vous enverra alors quelques changements que vous devez effectuer sur votre configuration DNS. La plupart des fournisseurs de nom de domaine ont une page pour le faire. Puis, signalez à Masto.host une fois que vous avez effectué ces changements.
  • Créer votre compte Mastodon. Masto.host va installer votre instance Mastodon. Vous recevrez alors un message vous demandant de créer votre compte Mastodon. Créez le compte Mastodon pour votre administrateur/administratrice. Puis, indiquez à Masto.host que c’est celui que vous avez choisi comme compte administrateur. Masto.host vous donnera alors les droits administrateur/adminstratrice sur ce compte.
  • Modeler votre instance Mastodon à votre guise pour qu’elle corresponde à ce que vous souhaitez. Dès que vous avez les droits d’administration, vous pouvez personnaliser votre instance Mastodon de la manière qui vous plaît. Vous souhaiterez probablement commencer par fermer l’enregistrement aux autres personnes.

La procédure entière sur Masto.host a pris environ une heure pour moi. Mais gardez à l’esprit que c’est une procédure qui nécessite quelques interventions manuelles, ça peut donc prendre un peu plus de temps. Masto.host est géré par un seul véritable humain (Hugo), pas une société quelconque, il a besoin de dormir, manger, vivre sa vie, et maintenir d’autres instances, donc, si vous vous inscrivez à Masto.host, soyez sympas et polis s’il vous plaît !

Mais, mais, mais…

À partir du moment où vous commencez à recommander un réseau social alternatif, les gens auront leurs raisons pour vous dire en quoi ce n’est pas fait pour eux. C’est très bien. Tant que la critique est fondée. Comme l’a résumé Blain Cook sur Twitter…

Bien que j’aie réfléchi et travaillé à ce problème depuis le tout début de Twitter, je n’ai pas eu beaucoup de succès pour y remédier. Pas plus que n’importe qui d’autre.
Ce sont des problèmes difficiles. La critique facile d’efforts acharnés ne nous mènera nulle part. Ce n’est pas pour dire que la critique n’est pas fondée. De nombreux problèmes se posent. Mais si l’argument par défaut revient à « Il ne nous reste qu’à rester et nous plaindre de Twitter », cela sabote sérieusement la légitimité de toute critique.

— Blaine Cook sur Twitter

Cela dit, il y a quelques arguments qui valent la peine d’être rapidement évoqués :

– Tous mes amis / les gens sympas / les discussions intéressantes sont sur Twitter…

Tous vos amis, les gens sympas et les discussions intéressantes étaient-elles sur Twitter lorsque vous l’avez rejoint ? Voyez Mastodon comme une chance de nouveau départ, trouver de nouvelles personnes à suivre, peut-être même saisir l’occasion de suivre un groupe plus diversifié de personnes… ! Vous pouvez cross-poster sur Twitter et Mastodon s’il le faut. Évitez juste de cross-poster les retweets et @réponses, le rendu est moche et illisible.

Je m’abonne à des comptes et des listes sur Twitter en utilisant RSS avec Feedbin, ce qui me permet de garder un œil sur Twitter tout en me désintoxiquant.

– Je n’ai pas le temps de rejoindre un autre réseau social

Créer ma propre instance ne m’a pris qu’une heure. Rejoindre une instance existante prend moins de 30 secondes une fois que vous avez décidé laquelle rejoindre. Instances.social peut vous aider à trouver une petite instance qui vous convient. Assurez-vous d’avoir lu leur Code de Conduite !

Rejoignez-moi !

Si vous lisez ce billet et vous inscrivez à Mastodon, pouettez-moi ! Je serai heureuse de vous suivre et de répondre aux questions que vous vous posez à propos de Mastodon ou du lancement de votre propre instance (ou les booster lorsque je ne connais pas la réponse !)

Laura boit à son mug et son chien Oskar se lèche les babines dans l’image suivante
Oskar pense que l’accessibilité du mug c’est pour lui aussi (photos Laura Kalbag)

 

Mastodon ne sera peut-être pas notre solution optimale définitive en tant que réseau social, mais ce sera peut-être une étape sur le chemin. C’est une véritable alternative à ce qui existe déjà. Nous sommes actuellement bloqués avec des plateformes qui amplifient les problèmes structurels de notre société (racisme, sexisme, homophobie, transphobie) parce que nous n’avons pas d’alternatives. Nous ne pouvons pas échapper à ces plateformes, parce qu’elles sont devenues notre infrastructure sociale.

Nous devons essayer des solutions de rechange pour voir ce qui fonctionne et, en tant que personnes qui travaillent quotidiennement dans le domaine du Web, nous devrions nous charger de trouver une technologie sûre que nous pouvons partager avec nos proches.




Les fourberies du Dark UX

L’expérience utilisateur (abrégée en UX pour les professionnels anglophones) est une notion difficile à définir de façon consensuelle, mais qui vise essentiellement à rendre agréable à l’internaute son parcours sur le Web dans un objectif le plus souvent commercial, ce qui explique l’intérêt particulier que lui vouent les entreprises qui affichent une vitrine numérique sur le Web.

Sans surprise, il s’agit de monétiser l’attention et les clics des utilisateurs. L’article ci-dessous que Framalang a traduit pour vous évoque les Dark UX, c’est-à-dire les techniques insidieuses pour manipuler les utilisateurs et utilisatrices. Il s’agit moins alors de procurer une expérience agréable que d’inciter par toutes sortes de moyens à une série d’actions qui en fin de compte vont conduire au profit des entreprises, aux dépens des internautes.

Comment les artifices trompeurs du Dark UX visent les plus vulnérables

article original How Dark UX Patterns Target The Most Vulnerable

par Ben Bate, Product Designer

Traduction Framalang : jums, maryna, goofy, sonj, wyatt, bullcheat + 1 anonyme

Les pièges du Dark UX permettent aux entreprises d’optimiser leurs profits, mais au détriment des plus vulnérables, et en dégradant le Web pour tout le monde.

Il faut voir l’expérience utilisateur basée sur ces astuces comme un moyen d’orienter les utilisateurs et utilisatrices vers un certain comportement. Leurs actions ainsi prédéfinies servent les intérêts des entreprises à la manœuvre, et les utilisateurs en sont pour leurs frais d’une manière ou d’une autre. Quelquefois sur le plan financier, d’autres fois au prix des données personnelles ou même au détriment de leurs droits.

Les astuces les plus connues incluent de la publicité déguisée, un ajout insidieux de nouveaux objets dans le panier de l’utilisateur, une annulation de souscription particulièrement difficile, ou encore une incitation à dévoiler des informations personnelles que les utilisateurs n’avaient pas l’intention de dévoiler. La liste s’allonge de jour en jour et devient un problème de plus en plus préoccupant.

À l’instar des mastodontes du Web tel qu’Amazon et Facebook, la concurrence suit. Faisant peu à peu passer ces astuces dans la norme. Il existe une différence entre marketing bien conçu et tromperie. Ces pratiques s’inscrivent dans cette dernière, et se concentrent uniquement sur l’exploitation des utilisateurs et utilisatrices par des moyens peu respectables.

Pour bien mesurer l’étendue de l’application de ces techniques, en voici quelques exemples.
Tout d’abord, Amazon. Voici l’exemple d’un rendu d’affichage pour tous les utilisateurs qui ne sont pas des membres premium (Amazon Prime). La première incitation au clic est frontale en plein milieu de l’écran. Alors que l’on pourrait s’attendre à un bouton « Suivant » ou « Continuer », ce bouton débite directement 7,99 £ de votre carte bleue. L’option pour continuer sans être débité est située à côté du bouton. Elle est présentée sous la forme d’un simple lien hypertexte peu visible au premier coup d’œil, celui se confondant avec le reste de la page.

Pour les moins avertis, comme les personnes âgées, les personnes peu habituées à la langue, ou celles qui souffrent d’un handicap, ce type de pratiques peut provoquer beaucoup de perplexité et de confusion.

Même pour un concepteur habitué à ce genre de pratiques, il est extrêmement facile de tomber dans le panneau. Sans parler des désagréments que cela entraîne et qui peuvent rompre la confiance établie entre l’entreprise et le consommateur.

Dans un monde idéal, Amazon tirerait avantage d’un format simple à lire avec un appel à l’action élémentaire qui permettrait aux utilisateurs de passer outre et continuer. Mais en réalité, les détails sont cachés en tout petits caractères, trop petits à lire pour un peu plus de 5 % de la population mondiale. Les informations sont présentées dans un format bizarrement structuré avec un mélange perturbant de textes en gras de divers poids, de couleurs différentes et une telle quantité de texte qu’on est dissuadé de tout lire.
Tant que de telles pratiques seront légales et ne cesseront de connaître un taux de conversion élevé, les entreprises continueront à les employer.

Pendant qu’Amazon s’attaque aux portefeuilles des consommateurs les plus fragiles, Facebook préfère se concentrer sur ses utilisateurs en leur faisant partager un maximum d’informations les concernant, même si ceux et celles qui partagent le font à leur insu. Même si Facebook a fait des progrès sur les questions de confidentialité par rapport à des versions précédentes, l’entreprise continue d’utiliser des techniques de conception subtiles mais insidieuses et déroutantes, comme on peut le voir dans l’exemple ci-dessous.
On a beau passer en revue chaque paramètre de confidentialité et sélectionner « Seulement moi », les sections qui contiennent des informations très personnelles et détaillées sont toujours partagées publiquement par défaut. Il ne s’agit pas seulement d’un problème de confidentialité, mais aussi de sécurité. La facilité avec laquelle les pirates peuvent ensuite obtenir des informations pour répondre à des questions de sécurité est stupéfiante. La liste déroulante est subtile et ne demande pas autant d’attention que l’appel à l’action principale. Des fenêtres modales utilisent des mini-instructions pour tromper les utilisateurs. Voyez par exemple :

À première vue, rien ne semble trop bizarre, mais en y regardant de plus près, il devient clair que Facebook incite fortement ses utilisateurs à partager leur bio sur le Fil d’Actualités. Pour cela, il est suggéré qu’en cliquant sur Cancel (Annuler), vous annulez les modifications que vous avez faites à votre bio. En réalité, Cancel signifie Non. Là encore, c’est un genre de pratique qui peut induire en erreur même les personnes les plus vigilantes sur leur confidentialité. Pour les autres cela démontre jusqu’où Facebook est prêt à aller pour que les utilisateurs partagent et interagissent toujours plus. Menant ainsi à des profits publicitaires de plus en plus conséquents.

Dans l’industrie des produits et de la conception de sites Web, l’esthétique, les techniques de vente et les profits passent souvent bien avant l’accessibilité et le bien-être des utilisateurs. Shopify, LinkedIn, Instagram, CloudFlare, et GoDaddy sont seulement quelques noms parmi ceux qui ont de telles pratiques pour avoir un impact sur leur profit.
Ça peut être simplement de faire un lien de désabonnement de mail écrit en tout petits caractères. Ou de rendre impossible la fermeture de votre compte. Ou quelque chose de plus subtil encore, comme de vous obliger à donner votre identité et votre adresse complète avant de fournir une estimation des frais d’expédition d’un achat. Mais ce sont bien de telles pratiques trompeuses pour l’expérience utilisateur qui dégradent de façon sévère l’accessibilité et l’utilisabilité du Web.

Pour la plupart d’entre nous, c’est simplement une nuisance. Pour les personnes les moins averties, cela peut rendre les sites presque impossibles à utiliser ou à comprendre. Il se peut qu’elles ne puissent pas trouver ce lien de désabonnement caché. Il se peut qu’elles ne remarquent pas que quelque chose a été ajouté à leur panier au moment de passer à la caisse. Et elles peuvent être plongées dans la plus totale confusion entre les paramètres de confidentialité, les publicités déguisées et les spams d’apparence amicale.

Le Web est devenu un endroit où vous devez être extrêmement conscient et informé dans des domaines comme la sécurité, la vie privée et les trucs et tromperies, même venant des grandes entreprises les plus réputées au monde. Ce n’est tout simplement pas possible pour tout le monde. Et ici on parle de tromperies, on n’aborde même pas les questions bien plus vastes d’accessibilité comme la lisibilité et les choix de couleurs.

Les concepteurs et les équipes doivent être conscients de leur responsabilité non seulement envers les clients, les employeurs et les actionnaires, mais aussi envers les utilisateurs au quotidien. Les problèmes d’accessibilité et les astuces trompeuses impactent le plus durement les plus vulnérables, et il en va de la responsabilité de chacun au sein des équipes de produits et de marketing de veiller à ce qu’il existe des garde-fous.

Tant que de meilleures réglementations et lois ne seront pas mises en place pour nous en protéger, il est du devoir des équipes de concevoir des pages de façon responsable et de maintenir un équilibre entre le désir de maximiser le profit et la nécessité de fournir une accessibilité optimale à tous ceux et celles qui utilisent le Web.

* * *

D’autres lectures en anglais sur le même sujet

… et cet autre article en français, repéré par Khrys dans son Expresso :




La FIFA ne veut pas qu’on danse de joie devant sa télé

Le football déclenche en ce moment même de féroces passions, mais aussi la rapacité de la FIFA. Voici un fait-divers qui l’illustre, il est digne de figurer dans le célèbre Copyright Madness de Numerama… c’est à la fois drôle et consternant.

Danser devant sa télé ? Pas question, dit la FIFA 

Source : FIFA Is Not Okay With Dancing In Front of the TV

Traduction Framalang : wyatt, simon, goofy

Nous voilà en pleine Coupe du monde de foot. Ça veut dire qu’on marque des buts. Et chaque but marqué donne lieu à une célébration enthousiaste. Voici par exemple une compilation (lien vers YouTube) de fans de football aux États-Unis qui fêtent un but de la dernière minute pendant la Coupe du monde de 2010. Ah, que de souvenirs.

Eh bien pourtant, la FIFA ne semble pas aimer que les fans de foot fêtent les victoires devant leur écran de télé. Cet organisme vient d’envoyer une mise en demeure de retrait pour une vidéo de 5 secondes montrant un petit garçon qui danse de joie dans le salon familial.

On distingue à l’arrière-plan l’écran de télévision dont l’image a été floutée depuis

 

Suite à un but marqué pendant le match Angleterre-Tunisie, Kathryn Conn a mis en ligne une vidéo de 5 secondes de son fils de 7 ans qui fête le but. Mrs Conn a expliqué que son fils est un« fan absolu des Spurs et qu’il voue littéralement un culte à Harry Kane, donc il s’est mis à danser de joie dans le salon. Malheureusement, la danse s’est déroulée devant l’écran de télévision qui diffusait encore le match. Et s’il y a une chose avec laquelle la FIFA ne rigole pas du tout, c’est bien leur copyright.

Mrs Conn raconte que le lendemain matin au réveil elle s’est rendu compte que la vidéo avait été supprimée de Twitter accompagnée d’un avertissement indiquant que c’était dû à une demande de retrait relative au DMCA (Digital Millennium Copyright Act) venant de la FIFA, laquelle était apparemment très ennuyée qu’une image floue en arrière-plan d’une partie de football dans une vidéo de 5 secondes puisse influer sur l’audience de l’événement sportif le plus attendu à la télé britannique en 2018.

Hmmm. un gamin qui danse dans une brève vidéo avec du matériel sous copyright en arrière-plan ? Nous espérons que ça ne prendra pas 10 ans de procédure comme dans l’affaire du bébé dansant pour que la FIFA en tire la leçon. La FIFA devrait respecter le fair use (usage raisonnable et acceptable) et respecter ses propres fans aussi…

 




21 degrés de liberté – 21

Dans ce bilan de nos degrés de liberté perdus, il est question de déterminer les responsabilités et de réaffirmer la nécessité de lutter collectivement contre la menace d’extinction des droits que nous avions crus acquis.

Voici le dernier article de la série écrite par Rick Falkvinge. Le fondateur du Parti Pirate suédois récapitule, comme dans les épisodes précédents que nous vous avons déjà livrés, la perte des libertés dont nous disposions encore assez récemment, avant que le passage au tout-numérique ne nous en prive.

Conclusion : la vie privée est menacée d’extinction dans notre monde numérique

Source : Rick Falkvinge sur privateinternetaccess.com

Traduction Framalang : draenog, goofy.

Dans une série de billets sur ce blog, nous avons montré que quasiment tout ce que nos parents tenaient pour acquis en rapport avec la vie privée a été complètement éliminé pour nos enfants, au simple motif qu’ils utilisent des outils numériques plutôt qu’analogiques ; et les personnes qui interprètent les lois disent que la vie privée ne s’applique qu’aux anciens environnements analogiques de nos parents.

copie d'écran du film 1984

Une fois d’accord avec le constat que la vie privée semble simplement ne plus s’appliquer pour nos enfants, uniquement parce qu’ils vivent dans un environnement numérique et non analogique comme celui de nos parents, la surprise devient choc puis colère et on a très envie de rendre quelqu’un responsable de la suppression de cinq générations de lutte pour les droits civiques pendant que les gens regardaient ailleurs.

À qui la faute, donc ?

On peut mettre ici plus d’un acteur en cause, mais une partie du blâme revient à l’illusion que rien n’a changé, simplement parce que nos enfants du numérique peuvent utiliser les technologies obsolètes et démodées pour obtenir les droits qu’ils auraient toujours dû avoir par la loi et la constitution, quelle que soit la méthode par laquelle ils parlent à leurs amis et exercent leurs droits à la vie privée.

Nous avons tous entendu ces excuses.

« Vous avez toujours le secret de la correspondance, il vous suffit d’utiliser la bonne vieille lettre analogique ». Comme si la génération Internet allait le faire. Vous pourriez aussi bien dire à vos parents d’envoyer un télégramme pour bénéficier de droits élémentaires.

« Vous pouvez toujours fréquenter librement la bibliothèque. » Certes, uniquement si elle est analogique, pas numérique comme The Pirate Bay, qui ne se différencie d’une bibliothèque analogique que par son efficacité, et par rien d’autre.

« Vous pouvez encore discuter de ce que vous voulez. » Oui, mais seulement dans une rue ou une place analogique, pas dans les rues ou carrefours numériques.

« Vous pouvez encore sortir avec quelqu’un sans que le gouvernement ne connaisse vos préférences. » Seulement si je préfère sortir avec quelqu’un de la manière dont nos parents le faisaient, dans le monde analogique risqué, à comparer au monde numérique sûr où les prédateurs s’évanouissent d’un clic sur le bouton « bloquer », une possibilité que nos parents n’avaient pas dans des bars douteux.

Les lois ne sont pas différentes pour l’analogique et le numérique. La loi ne fait pas de différence entre l’analogique et le numérique. Mais aucune loi n’est au-dessus des personnes qui vont l’interpréter dans les prétoires, et la manière dont les gens interprètent ces lois signifie que les droits à la vie privée s’appliquent toujours au monde analogique, mais jamais au monde numérique.

Ce n’est pas sorcier d’exiger que les mêmes lois s’appliquent hors ligne et en ligne. Ceci inclut les lois concernant le droit d’auteur, ainsi que le fait que le secret de la correspondance est supérieur au droit d’auteur (en d’autres termes, il est interdit d’ouvrir et d’examiner une correspondance privée pour des infractions dans le monde analogique, pas sans mandat individuel et préalable – nos textes de lois sont pleins de ces pouvoirs et contre-pouvoirs ; ils devraient s’appliquer au numérique aussi, mais ne le font pas aujourd’hui).

Pour revenir sur le blâme, voici un protagoniste : l’industrie du droit d’auteur. Leurs représentants ont soutenu avec succès que leurs lois monopolistiques devraient s’appliquer en ligne exactement comme elles s’appliquent hors ligne et ce faisant ont complètement ignoré les pouvoirs et contre-pouvoirs qui s’appliquent à leurs lois monopolistiques dans le monde analogique. Et puisque la copie de films et de musiques s’est déplacée vers les mêmes canaux de communication que ceux que nous utilisons pour la correspondance privée, le monopole du droit d’auteur en tant que tel est devenu fondamentalement incompatible avec la correspondance privée.

L’industrie du droit d’auteur est consciente de ce conflit et a continuellement poussé à dégrader et éliminer la vie privée pour soutenir à toute force ces monopoles obsolètes et qui tombent en ruine. Par exemple en promouvant la détestable Directive sur la conservation des données (maintenant clairement invalidée par les tribunaux) en Europe. Ils utilisent cette loi fédérale (ou son équivalent européen) pour littéralement obtenir davantage de pouvoir que la police pour poursuivre des particuliers qui partageaient simplement de la musique et des films, qui les partageaient comme tout le monde le fait.

Il y a deux autres facteurs majeurs à l’œuvre. Le deuxième est le marketing. Si nous sommes suivis pas à pas dans les aéroports et autres centres commerciaux, c’est simplement pour nous vendre encore d’autres trucs dont on n’a pas besoin. Ceci au prix de la vie privée que nos parents analogiques tenaient pour acquise. Et on ne parle même pas de Facebook ou Google.

Enfin et surtout il y a les faucons de la surveillance – les politiciens qui veulent paraître « durs contre le crime », ou « impitoyables contre le terrorisme », ou tout autre élément de langage de la semaine. C’est eux qui ont insisté pour que la Directive sur la conservation des données devienne une loi. Et c’est l’industrie du droit d’auteur qui en fait l’a écrite pour eux.

Ces trois facteurs conjoints ont été largement mis à contribution.

Cela va être une longue et difficile bataille pour regagner les libertés qui ont été gagnées petit à petit par nos ancêtres sur à peu près six générations, et ont quasiment été abolies en une décennie.

Il n’est pas délirant de demander que nos enfants aient dans leur environnement numérique au moins l’ensemble des droits civiques dont nos parents bénéficiaient à l’ère analogique. Et pourtant, cela ne se passe pas comme ça. Nos enfants ont raison de demander des droits à la vie Privée équivalents aux analogiques – les droits civiques dont nos parents non seulement bénéficiaient, mais qu’ils tenaient pour acquis.

J’ai peur que n’avoir pas su transmettre ces droits civiques à nos enfants ne soit considéré comme le plus grand échec de la génération actuelle, quels que soient les progrès accomplis par ailleurs. Une société qui repose sur la surveillance généralisée peut s’imposer en dix ans seulement, mais peut prendre des siècles à défaire.

La vie privée reste votre propre responsabilité aujourd’hui. Nous devons tous la reconquérir, simplement en exerçant nos droits, avec tous les outils à notre disposition.