Les bibliothèques abandonnent le respect de la vie privée de leurs usagers

J’ai lu sur le blog sur l’actualité des bibliothèques Go to Hellman, découvert grâce à @symac sur Twitter, un billet que j’aimerais partager en proposant une traduction en français et sous licence CC-BY-SA. Les liens sont tous en anglais (je ne suis pas allé jusqu’à les traduire).
 
Il traite d’un aspect non abordé en bibliothèques : le respect de la vie privée de nos usagers en ligne.
 

AddThis propose des widgets vraiment sympa.
ShareThis est une autre entreprise qui fait à peu près la même chose. AddThis est plus grand. Il propose « des données comportementales, contextuelles et basées sur l’intérêt qui couvrent des centaines de catégories de contenus et de sujets, touchant 1,7 milliards de visiteurs uniques par mois ».
 
Icone ShareThis

Icone ShareThis

Les widgets aident les utilisateurs à partager vos contenus. En même temps, les widgets AddThis et ShareThis aident un éditeur à voir qui partage quoi, pendant que le contenu est partagé avec d’autres sites. Pour ce faire, ils tracent les utilisateurs, observent quelles sortes de sites ils aiment. Ils peuvent aussi travailler avec des régies publicitaires pour améliorer la pertinence des publicités affichées aux utilisateurs.

Le traçage de l’utilisateur fonctionne par le placement de cookies, ou « web beacons », qui permettent de suivre les utilisateurs à travers les sites web. Dans le cas de AddThis, les utilisateurs sont aussi tracés par le « Canvas Fingerprinting » (empreinte digitale en canevas), une technique qui fonctionne même lorsque l’utilisateur bloque les cookies. ProPublica a écrit récemment à propos de cette technologie, le qualifiant d’ « outil de traçage en ligne quasiment impossible à bloquer » (« Online Tracking Device that’s Nearly Impossible to Block« ). Voici ce que disent les conditions générales d’utilisation (CGU) de ShareThis :

Dans certains cas, si vous avez choisi de rendre des données personnelles (comme votre nom) disponibles publiquement via des sites tiers comme les réseaux sociaux, nous pouvons chercher à obtenir votre accord pour utiliser ces données personnelles en lien avec des services que nous proposons en lien avec nos partenaires. Nous ne révèlerons pas vos données personnelles sans votre consentement.
Nous et nos partenaires de publication, de publicité et des régies publicitaires utilisons aussi ces données dans d’autres buts liés (par exemple, pour effectuer des recherches sur les résultats de nos campagnes de publicités en ligne ou pour améliorer notre compéhension des intérêts et des activités des utilisateurs des services ShareThis).

De façon similaire, AddThis dit :

Lorsqu’un utilisateur final télécharge une page qui contient un bouton AddThis, nous pouvons déployer un cookie de notre propre chef ou de celui de nos partenaires de données, pour enregistrer des informations sur la façon dont un utilisateur final utilise le web, comme la recherche web qui a conduit l’utilisateur final sur une page particulière ou des catégories à partir des intérêts de l’utilisateur final. Nous pouvons utiliser des données pour cibler la publicité à l’utilisateur final ou en autorisons d’autres à faire de même.

Beaucoup de sites emploient Google Analytics pour mesurer leur utilisation ; ils laissent Google pister leurs utilisateurs de la même façon (le site que je gère, Unglue.it, utilise Google Analytics). Cependant, les conditions d’utilisation de Analytics semblent ne pas autoriser Google à collecter les données aussi librement que le font AddThis et ShareThis.

icone AddThis

AddThis et ShareThis disent bien dans leurs CGU qu’ils ne doivent pas collecter les données des enfants, donc si des enfants utilisent votre site, vous n’êtes pas supposé utiliser leurs services. Google Analytics n’a pas cette rectriction, ce qui signifie probablement qu’ils ne peuvent pas utiliser leurs données pour faire de la publicité auprès des enfants.

Ensemble avec « Cookie Syncing » et « Evercookies« , l’effet cumulatif de tout ce traçage est que les utilisateurs du site web peuvent être très fortement tracés, et si nécessaire, identifiés, qu’ils le veuillent ou non. En échange du déploiement des traceurs, les sites web donnent accès à un « pool » d’informations à forte valeur ajoutée concernant leurs utilisateurs. Matt Mullenweg (de WordPress) présente une perspective intéressante :

Les services comme AddThis et ShareThis espionneront et catégoriseront toujours votre audience lorsque vous utilisez leurs widgets, et vous devriez les éviter si vous vous souciez de ce genre de choses.

Cela met les bibliothèques dans l’embarras. Traditionnellement, les bibliothèques ont été des paradis du respect de la vie privée pour leurs usagers. Des bibliothécaires ont pu, et de façon connue, aller en prison pour leur refus de délivrer des informations de prêt, sous le coup de la loi. Mais il semble que les bibliothèques ne protègent pas beaucoup leurs utilisateurs de l’espèce de récupération d’informations opérée par AddThis, ShareThis, et Google. Par exemple, la New York Public Library utilise Google Analytics et ShareThis. OCLC et Worldcat utilisent AddThis. Mon propre catalogue (géré par BCCLS)  met des cookies pour AddThis. Je suppose qu’ils ne considèrent pas que leurs sites pourraient être consultés par des enfants. Même la page de la American Library Association vantant l’importance du respect de la vie privée en bibliothèque utilise Google Analytics. (De façon assez ironique, le lien vers les CGU du site web ne fonctionne plus sur cette page !).

Il est vrai que ces traceurs sont très courants – même WhiteHouse.gov utilise des boutons AddThis. Mais il me semble que si les bibliothèques considèrent toujours que le respect de la vie privée a de la valeur à l’ère des médias sociaux, elles doivent repenser leur utilisation d’entreprises qui tracent leurs utilisateurs d’internet. Ce qui me dérange le plus est qu’il n’y a pas vraiment eu de discussion publique sur le rôle futur du respect de la vie privée sur les sites de bibliothèque, même s’il est rapidement en train de disparaître.

Mise à jour (15 août) : AddThis affirme qu’ils n’utilisent pas le « canvas fingerprinting » et ont terminé d’effectuer leurs tests avec. Je ne pense pas que cela change le coût/bénéfice pour les bibliothèques. Il est toujours vrai que les bibliothèques qui utilisent Addthis ou ShareThis autorisent une tierce partie à tracer la navigation de leurs utilisateurs sur leurs catalogue (pas seulement le partage social), sous des termes qui autorisent les entreprisent à utiliser les données à des fins publicitaires. L’utilisation de Google Analytics permet à Google d’effectuer le même traçage, mais  ne permet pas l’utilisation à des fins publicitaires. Dans tous les cas, les bibliothèque doivent faire des choix éclairés et de les communiquer auprès de leurs usagers. Pareil pour les boutons « J’aime » de Facebook. Les sites commerciaux, évidemment, ont des priorités et des responsabilités différentes.

Mise à jour (19 août) : Il y a pas mal de solutions open source disponibles pour le partage sur les médias sociaux et les statistiques. Il y a une discussion très intéressante sur ces problèmes sur Hacker News.

Vous trouverez l’article original ici :

http://go-to-hellman.blogspot.fr/2014/08/libraries-are-giving-away-user-privacy.html

 

Il se trouve que là où je travaille, nous avons sur notre site le widget AddThis qui est très pratique et je n’avais pas envisagé cette exploitation des données de nos usagers. Et nous utilisons aussi Google Analytics. C’est une réflexion que nous devrions tous avoir, d’autant plus s’il existe des alternatives qui permettent de respecter la vie privée de nos usagers. Et vous, utilisez-vous ces services ?

 

7 réflexions sur “Les bibliothèques abandonnent le respect de la vie privée de leurs usagers

  1. bibliogum dit :

    J’ai voulu poster ici un commentaire signé avec mon compte twitter. WordPress.com m’a demandé l’accès à mon compte twitter avec comme autorisations :
    – Lire les Tweets de votre fil.
    – Regarder vos abonnements et suivre de nouvelles personnes.
    – Mettre à jour votre profil.
    – Poster des Tweets pour vous.
    … ça fait beaucoup😉

    A Aix Marseille Université sur les outils de signalement dont j’ai la gestion et en particulier le résolveur de lien, Google Analytics et UserVoice sont présents sur toutes les pages pour recueillir les statistiques d’usages et permettre d’apporter un support en capturant le maximum d’information sur la demande. L’adresse URL source de la demande, le type de navigateur et d’OS utilisés, l’IP de l’usager sont capturés.

    Pour GA je n’ai pour l’instant pas activé le recueil des données démographiques (âges, sexe) et centre d’intérêt (basé sur le cookie DoubleClick). Un peu pour avoir la conscience tranquille, je pense. Connaitre certains profils/comportements pourrait s’avérer utile, à voir.

    En attendant (c’est en cours) je dois mettre en conformité les interface avec la directive européenne sur les traceurs : http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/que-dit-la-loi/

    Laurent

  2. Sur le site des Bu de l’université de Toulouse il est pourtant dit que les cookies de Google Analytics préservent l’anonymat  » Google Analytics collecte des informations de façon anonyme, dans le but d’établir des rapports sur l’activité du site « bibliotheques.univ-toulouse.fr » et ce, sans révéler aucune information d’identité personnelle. Analytics utilise son propre cookie pour effectuer le suivi des interactions d’un utilisateur. Un cookie différent est utilisé pour chaque site Web de manière à empêcher le suivi d’un même visiteur sur plusieurs sites. »
    Est ce une déclaration en trompe-l’œil ?

    En fait, comme Bibliogum l’a mentionné, c’est bien la déontologie des bibliothécaires qui fait la différence. Il faut certainement bien expliciter dans les mentions légales du site toutes les mesures prises par l’institution pour respecter de la vie privée des internautes. Est ce suffisant ?

    L’article est vraiment intéressant car il va plus loin : comment la bibliothèque peut t-elle garantir la confidentialité de la consultation sachant que de toute façon les données seront traitées par des sociétés commerciales tierces. A la Biu Cujas, le choix a été fait de NE PAS installer Google Analytics sur le site web de la bibliothèque.

    En cas de doute, le bibliothécaire peut se référer au Code de déontologie élaboré par l’ABF ( http://www.abf.asso.fr/6/46/78/ABF/code-de-deontologie-du-bibliothecaire) dans lequel il est clairement dit que la confidentialité des usages doit être garantie. Quitte à se passer d’outils de traçage pratiques mais commerciaux… Il y a peut-être aussi une différence de culture professionnelle en jeu dans l’usage de ces outils par un bibliothécaire ou par un webmestre/Community manager…

    • IDnum dit :

      En complément : la communication de Stéphane Labbé à l’IFLA (http://library.ifla.org/902/) sur les algorithmes « centrés sur l’usager » (Google, Netflix, Amazon) face aux algorithmes « centrés sur la production » montre bien que les schémas d’anticipation de comportement se fondent sur le profilage des usagers…

  3. […] J'ai lu sur le blog sur l'actualité des bibliothèques Go to Hellman, découvert grâce à @symac sur Twitter, un billet que j'aimerais partager en proposant une traduction en français et sous licence …  […]

  4. […] des données personnelles des usagers. Réfléchissez à deux fois avant de mettre des boutons de partage Addthis sous vos notices de catalogue ! Organisons des ateliers Privacy Badger à destination de nos usagers pour les aider à préserver […]

  5. […] J’ai lu sur le blog sur l’actualité des bibliothèques Go to Hellman, découvert grâce à @symac sur Twitter, un billet que j’aimerais partager en proposant une traduction en français et sous licence CC-BY-SA.  […]

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s