(le billet est rédigé à chaud, je me réserve le droit de dire des bêtises et donc de changer d’avis après réflexion plus poussée)
Je n’étais pas habitué à la langue de bois de la part de Mozilla, mais sur ce sujet il fallait bien que cela arrive. Mozilla explique pourquoi la fonctionnalité DNT ne sera pas activée par défaut sur Firefox.
Je vous laisse lire l’argumentation. DNT « do not track » est une entête envoyée par le navigateur pour informer les différents serveurs de ne pas tracker l’utilisateur, ses visites et ses actions. Afin d’éviter une éventuelle intervention législative, les grosses sociétés de profilage ont accepté de respecter cette entête quand elle est présente.
La vie privée de l’utilisateur est-il un enjeu du navigateur
La justification de Mozilla m’est étrange : Si ce n’est pas au navigateur de protéger la vie privée de l’utilisateur, pourquoi a-t-on activé par défaut des artifices techniques contre la détection de l’historique du navigateur ?
En poussant même la logique jusqu’au bout, pourquoi ne pas désactiver la sécurité par défaut et laisser l’utilisateur l’activer manuellement ? Pourquoi pas aussi une option désactiver par défaut « devenir performant » ?
Dans le deuxième paragraphe de l’argumentaire on pourrait remplacer la trace de l’utilisateur par la performance, la sécurité, l’ergonomie ou à peu près n’importe quelle fonctionnalité. Parce qu’après tout, c’est ce sont les données de l’utilisateur qui sont volées en cas de défaut de sécurité, pas celles du navigateur.
La protection de la vie privée de l’utilisateur est bel est bien une orientation du navigateur et une problématique à prendre par ce dernier. Ce n’est pas moi qui le dit, c’est Mozilla lui-même qui le mettait en avant dans la promotion de Firefox encore récemment. Le fait qu’ils aient un blog dédié le montre bien.
Parlons franchement, très peu sont ceux qui *souhaitent* être traqués, et donc il serait bien naturel que la configuration par défaut prenne en compte cette écrasante majorité.
Je retiens de l’argumentation : Firefox n’est plus un navigateur qui défend ma vie privée, c’est à moi de le faire.
Entre les lignes
Entre les lignes ce qu’il faut lire c’est ce qui est lié à l’affirmation « it becomes meaningless if we enable it by default for all our users » (cela perd son sens si nous l’activons par défaut pour tous les utilisateurs).
Tout le système du DNT est lié au fait qu’il est confidentiel. Les sociétés de tracking ne vont pas arrêter leur activité si d’un coup l’essentiel de la population le demande (ce que la plupart des gens feraient s’ils avaient le choix).
Ce qu’il faut comprendre c’est que si la fonctionnalité était activée par défaut sur un navigateur avec les parts de marché de Mozilla, elle ne serait plus respectée, parce que ça tuerait le marché.
De façon à ce que les geeks et personnes renseignées puissent naviguer sans être traqués, Mozilla vient de délaisser tous les autres qui pouvaient s’attendre à ce que le navigateur soit sûr, performant, et respectueux de la vie privée *par défaut*.
Avoir une configuration par défaut la plus pertinente face aux besoins et aux souhaits probables des utilisateurs c’est bien la responsabilité de Mozilla. Ils n’avaient pas vraiment le choix, vu que de toutes façons ça n’aurait pas été respecté, mais ils ont choisit leur camp entre le coup de force avec position de principe et le lâche renoncement. J’attendais juste de Mozilla qu’ils soient plus dans la première position, surtout vue leur communication sur la vie privée jusqu’à présent.
7 réponses à “Vie privée, pas le problème du navigateur ?”
Note: je fais partie du groupe de travail. Je parle ici en mon nom et pas en celui de représentant de Opera sur le groupe de travail.
« éventuelle intervention législative, les grosses sociétés de profilage ont accepté de respecter cette entête »
s/les grosses/certaines/
Les documents du groupe de travail devraient être publiés la semaine prochaine en premier brouillon. Beaucoup de détails ne sont pas définis.
Autre élément, la signification exacte de DNT: 1 ou DNT: 0 n’est pas encore définie, puisque le groupe de travail est en train de le définir. Il est pour l’instant très difficile de dire quoique ce soit sur ce que l’utilisateur déclare en activant ou désactivant l’entête.
J’aurais tendance à dire : tant pis pour Mozilla, ils risquent de perdre une partie de leurs utilisateurs.
C’est pour moi la meilleure réponse à apporter à une décision qui déplaît : aller voir ailleurs. Je trouve Firefox pratique pour certaines activités de développement, mais si, au jour le jour, un autre navigateur me paraît plus pertinent, j’utilise ce dernier.
S’ils voient les « geek & privacy-aware » migrer suite à cette décision, et bien ils changeront peut-être d’avis pour adopter quelque chose de plus respectueux des utilisateurs comme tu le suggères.
Ce qui reste triste dans tout ça, c’est qu’on a l’impression d’y voir une décision prise suite à du lobbying des profilers (ce qui est peut-être bien le cas !)
Attention, je critique mais il ne faut pas jeter le bébé avec l’eau du bain. De mémoire les autres navigateurs ne proposent même pas l’option. Mon billet n’est pas là pour dire que Mozilla est pourri et qu’il faut voir ailleurs : je ne le pense pas du tout.
Les geeks privacy aware peuvent toujours cocher l’option dans la configuration. C’est bien le comportement par défaut pour les autres qui est en jeu.
Je n’arrive pas à comprendre ce billet. En gros tu reproches à Mozilla de ne pas activer par défaut une option qui perd tout potentiel (car pour l’instant avec DNT on parle de potentiel…) si elle était activée par défaut?
Ou bien tu envisages d’autres solutions, notamment bloquer des scripts à partir d’une liste noire comme le fait par exemple Ghostery, et tu voudrais voir cette solution intégrée au navigateur en natif et activée par défaut? Ou tu penses à quelque chose d’autre encore?
Je sais bien que le billet était rédigé à chaud et que tu te réserves le droit de dire des bêtises, mais en l’état ça sonne vraiment comme du FUD: Mozilla se fout des utilisateurs parce qu’il ne font pas… un truc… quelque chose… que je peux pas définir… mais bon ils ont pas pris le parti des utilisateurs OK?
«C’est pour moi la meilleure réponse à apporter à une décision qui déplaît : aller voir ailleurs.»
Bien sûr. Genre du côté de Chrome, un navigateur édité par Google dont l’unique source de revenu est la publicité ciblée (sur leurs sites, et ceux des autres via Adsense), publicité ciblée qui requiert le traçage des utilisateurs? Personnellement je serais déjà plutôt surpris de voir une option «DNT» apparaitre dans les préférences de Chrome.
Je reproche à Mozilla d’être hypocrite sur sa position et de nier son objectif qui est de fournir un navigateur « bon par défaut » comme ils l’ont souvent annoncé.
Ce n’est pas tant la décision elle même qui me gêne (vu que c’est une entête encore en décision si j’en crois Karl) que la communication qui explique cette décision, et qui selon moi est très hypocrite.
S’ils considèrent comme moi que ce système est une demie-arnaque car il ne peut pas être respecté s’il devient vraiment utilisé :
– Prendre acte, ne pas participer du tout au système, et expliquer pourquoi (choix raisonnable)
– ou pousser la logique en faisant semblant de jouer le jeu et l’activer par défaut pour échouer vite et déclencher d’autres mouvements, politiques ou techniques (choix militant)
Si mon avis sur la capacité du système à fonctionner n’est pas partagée :
– Accepter que c’est un pas en avant pour la vie privée qui vraisemblablement est la position souhaitée par la majorité et en tout cas la position « la plus sûre » par défaut (comprendre : si on ne sait pas ce que veut l’utilisateur, c’est là où on prend le moins de risque d’avoir des conséquences gênantes pour ce dernier), et donc activer le DNT par défaut
– À la limite (si c’est une autre raison, genre commerciale) expliquer pourquoi ce n’est pas activé, mais je ne crois pas que la raison annoncée puisse être la réelle (si elle l’est, alors il va falloir qu’on m’explique mieux parce que je ne comprends pas du tout)
Bon, il y a encore deux-trois trucs dans ta logique qui m’échappent. Je vais tâcher de relire soigneusement.
Mais à propos de DNT: la question de la protection de la vie privée contre le traçage des actions en ligne est complexe, techniquement et aussi (et surtout) commercialement et légalement. À l’heure actuelle les régies de pub ont les coudées franches et font ce qu’elles veulent. Techniquement, elles se reposent en grande partie sur les cookies, même s’il y a d’autres possibilités (et globalement Mozilla et les autres navigateurs essaient de limiter la porté de ces autres solutions: cookies Flash, reconstitution de l’historique avec getComputedStyle/:visited), et les navigateurs permettent de bloquer les cookies ou les supprimer en fin de session. Et côté règlementation, pour l’instant il n’y a pas grand chose.
Les navigateurs ne peuvent pas bloquer les cookies ou les scripts par défaut, ça casserait l’essentiel des sites web. Ils pourraient éventuellement intégrer et activer par défaut une liste noire, mais on se retrouverait dans une course à l’échalote avec les régies de pub utilisant des domaines différents et la liste noire devenant gigantesque et impossible à maintenir. Sans parler des problèmes de faux positifs à gérer, voire des risques légaux pour les éditeurs de navigateurs (comportement non neutre, je suis pas expert mais ç m’étonnerait pas qu’il y ait un risque là). Les listes noires d’Adblock ou Ghostery fonctionnent aujourd’hui en grande partie parce que ces outils ne sont pas utilisés par la majorité.
Reste l’option DNT. Tant qu’il n’y a aucune obligation légale de respecter DNT (qui est encore en cours de définition…), ça reste un comportement volontaire des régies et ça ne marche donc que si ce n’est pas activé par défaut. La position de Mozilla me semble être, a minima, de compter sur une évolution positive de ce futur standard, avec de vraies implémentations du côté des régies. Et oui, ça veut dire que ce plus de respect de la vie privée ne sera effectif que pour une minorité d’utilisateurs. Mais je vois mal comment faire mieux. Une proposition? (Il y a la question des cookies tiers que les navigateurs pourraient bloquer par défaut, mais je ne connais pas l’état de l’art en la matière. À défaut, peut-être mettre en avant l’option pour bloquer ces derniers comme ici: https://dl.dropbox.com/u/145744/screens/ff-3rdparty-cookies.png ?)
Une stratégie possible avec DNT, ce serait d’obtenir des règlementations nationales (ou, pour l’Europe, au niveau de l’Union Européenne si c’est son domaine de compétence) qui permettent in fine aux utilisateurs de se retourner contre les régies si DNT n’est pas respecté (via des class actions qui font mal au portefeuille). Et là, une fois ces règlementations mises en place, activer DNT par défaut. Sauf que les règlementations, si jamais elles émergent (et c’est pas gagné!), ne permettront sans doute jamais un tel tour de force, car elles seront formulées de manière à restreindre leur application aux choix volontaires des usagers. Donc le mieux que Mozilla peut faire en étant radical sur le sujet (pourquoi pas), c’est 1) la jouer discret dans un premier temps avec DNT tout en soutenant des projets de règlementation et 2) si des règlementations significatives arrivent, communiquer auprès des utilisateurs pour les inciter à activer DNT (divers moyens de com disponibles sur le Web et surtout dans l’interface du navigateur qui doivent permettre de monter dans les 20-30% d’activation de DNT).
Ou alors trouver un moyen technique applicable directement (listes noires ou autre) et lancer une course à l’armement…
Ah mais si c’était ce qu’avait annoncé Mozilla j’aurai pu ne pas être d’accord mais je n’aurai rien dit.
Là à la place on à une pirouette qui laisse croire que ce n’est pas le boulot du navigateur et que si ce n’est pas activé par défaut c’est pour ne pas l’imposer aux gens.
C’est bien cette pirouette hypocrite qui me gène, pas ton discours.