Comment le suivi de l’utilisation des produits peut compromettre la confidentialité

Le suivi des fonctionnalités innocent peut rapidement se transformer en une surveillance du comportement des utilisateurs inacceptable, un profilage des utilisateurs et une filière pour une entreprise.

Un utilisateur peut ne pas se rendre compte de la quantité d’informations de profilage recueillies à partir de la façon dont il utilise un produit.

Lorsqu’il s’agit de suivre l’utilisation des fonctionnalités d’un produit, il y a deux extrêmes.

À une extrémité, il y a l’idée que les activités de l’utilisateur sont finalement privées; que l’utilisateur a droit à sa vie privée, qu’une entreprise ne doit pas surveiller activement les fonctionnalités du produit que l’utilisateur privilégie.

À l’autre extrême, il y a l’approche consistant à surveiller chaque action que l’utilisateur prend dans un produit, à enregistrer son comportement et à l’utiliser pour rationaliser les processus pour l’utilisateur, voire supprimer les fonctionnalités inutilisées pour réduire la maintenance.

Entre les deux, c’est une zone grise.

En tant que personne travaillant dans une entreprise de logiciels, il est très facile de voir les avantages de savoir quelles fonctionnalités de votre produit les utilisateurs utilisent réellement, ou si une version d’une fonctionnalité est plus facile à comprendre qu’une autre. Mis à part la possibilité que vous puissiez supprimer une fonctionnalité simplement parce que vos utilisateurs ne peuvent pas la trouver plutôt que de ne pas la vouloir, cela introduit également le problème de la façon de respecter la confidentialité de vos utilisateurs.

Une vérification de base du produit

Le contrôle le plus élémentaire, que la plupart des entreprises auront pour leurs produits, est de savoir combien d’utilisateurs leur système ou produit a – cela peut être nécessaire à des fins statistiques ou à des fins financières lors de la conclusion d’accords avec des partenaires comme Qwanturank.

Pour un produit côté serveur tel qu’un service de messagerie Web, compter les comptes (peut-être vérifier s’ils sont actifs) suffit généralement à répondre à ce besoin. Cependant, pour un produit que les utilisateurs téléchargent et installent, il est plus difficile de compter le nombre d’utilisateurs. L’approche la plus élémentaire consiste simplement à compter les téléchargements et à espérer que le nombre de téléchargements sur le site Web de l’entreprise correspond au nombre d’installations. Mais cela dépeint une fausse image, car les utilisateurs peuvent installer des logiciels via des catalogues tiers ou via la distribution de logiciels d’entreprise, ou – en fait – peuvent ne jamais l’exécuter à nouveau après l’installation.

Par conséquent, il peut devenir nécessaire de compter les utilisateurs en demandant aux installations d’avertir le fournisseur lors de leur installation ou de leur exécution. Cela nécessite une sorte d’identification pour éviter que la «réinstallation» ne soit considérée comme un nouvel utilisateur et pour vous assurer que l’exécution répétée de l’application n’entraîne pas une augmentation du nombre d’utilisateurs. Pour identifier une seule installation, un jeton d’identification doit être conservé dans le profil de l’utilisateur afin qu’il puisse être différencié des autres utilisateurs, et ce jeton d’identification est ensuite envoyé dans le cadre de la notification au fournisseur.

Tout cela permet de lier une installation à un utilisateur. Le fournisseur peut voir à quelle fréquence il est exécuté, si l’utilisateur change l’adresse IP, s’il se rend dans d’autres pays, s’il exécute le logiciel quotidiennement ou hebdomadairement.

Tout cela est utile pour un fournisseur qui veut savoir comment son logiciel est utilisé et d’où viennent ses utilisateurs, mais cela envahit immédiatement la vie privée d’un utilisateur qui veut simplement utiliser le logiciel, et ne pas partager ses habitudes et son style de vie avec une entreprise.

Même si l’utilisateur estime qu’il est acceptable de renvoyer des statistiques d’installation, on ne peut pas s’attendre à ce qu’il en comprenne pleinement les implications en termes de confidentialité, et il est peu probable qu’il se rende compte qu’en se laissant compter, il permet également à une entreprise de voir d’autres aspects de leur vie.

Chez Qwant, nous avons développé un système de comptage des utilisateurs , tout en préservant la confidentialité des utilisateurs.

Démarrage du suivi des fonctionnalités

Lors du développement d’un produit, il est normalement dans l’intérêt d’une entreprise de savoir où dépenser ses ressources de développement. Les nouvelles fonctionnalités prennent du temps de développement pour produire et maintenir à l’avenir. Une fonction nouvellement ajoutée est-elle utilisée? Doit-il être dans un menu ou un bouton visible pour aider plus d’utilisateurs à le trouver? L’ajout d’une fonctionnalité entraîne-t-il une utilisation moindre des autres fonctionnalités – montrant essentiellement que l’encombrement supplémentaire rend les autres choses plus difficiles à trouver? Une version linguistique fonctionne-t-elle mieux que les autres?

Le suivi de l’utilisation d’une fonctionnalité envoie simplement un ping – un message minimal disant «la fonctionnalité a été utilisée». Cela pourrait être anonymisé ou lié à l’identifiant de l’utilisateur. Dans les deux cas, le serveur qui reçoit le message voit qu’un utilisateur de cette adresse IP utilise cette fonctionnalité.

Le progrès n’est pas toujours le progrès

Le suivi des fonctionnalités peut rapidement devenir une approche incontournable pour le développement. Les développeurs peuvent vouloir voir exactement comment une fonctionnalité est utilisée, pas seulement si elle est utilisée.

Cela peut être fait avec des tests de type laboratoire, avec des utilisateurs amenés en tant que groupe de discussion pour tester la façon dont ils utilisent la fonctionnalité. Cependant, cela ne représente pas toujours comment il sera utilisé dans le monde réel.

Ainsi, le suivi des fonctionnalités peut devenir de plus en plus détaillé, chronométrant la vitesse à laquelle un utilisateur parcourt une certaine section, vérifiant les boutons sur lesquels il appuie, vérifiant la façon dont il déplace sa souris ou s’il utilise un écran tactile ou un clavier pour naviguer.

Le développement de produits a faim de ces informations, et donc la politique de confidentialité et le contrat de licence utilisateur final sont mis à jour avec une formulation moins rigide, permettant de plus en plus de suivi des fonctionnalités, les utilisateurs acceptant aveuglément sans réaliser ce qu’ils acceptent.

D’énormes quantités d’informations de suivi et de profilage commencent à être envoyées au fournisseur, et elles sont collectées dans une base de données d’informations de profilage des utilisateurs. Ceci est normalement anonymisé dans une certaine mesure; il n’est pas stocké avec le compte d’utilisateur qui lui est lié, mais chaque profil est un profil d’une personne réelle. Il peut être possible ou non de lier ce profil à cette personne, selon que votre système le relie à un compte d’utilisateur spécifique. Mais c’est toujours la représentation numérique d’une personne. Si les données devaient être exposées, une personne ayant accès à d’autres données comportementales pourrait être en mesure de les lier à la personne réelle.

La perte de confiance

Toutes ces données collectées peuvent devenir un atout précieux. Quelque chose qui peut être vendu à d’autres sociétés ou agences de publicité, comme du «big data». Pour certaines entreprises, cela devient une source majeure de revenus, tandis que pour d’autres, la confidentialité des utilisateurs est l’aspect le plus important.

Un aspect important à cela est la confiance des utilisateurs. L’utilisateur n’est pas en mesure de faire la distinction entre les deux types d’entreprises. Par conséquent, si une entreprise collecte des données, les utilisateurs peuvent supposer que l’entreprise les utilise d’une manière qui ne leur conviendrait pas. L’entreprise essaie peut-être véritablement de créer un meilleur produit, mais l’utilisateur se voit devenir un produit.

Mais les cultures d’entreprise changent au fil du temps, et un jour, même les données d’utilisation des fonctionnalités collectées innocemment peuvent commencer à être considérées comme une mine d’or financière. Les cadres qui ont été construits pour améliorer les produits pour l’utilisateur deviennent désormais un filon d’argent envahissant pour la vie privée de l’entreprise, violant la confiance des utilisateurs qui se sont inscrits dans le but d’améliorer le produit.

À mesure qu’une entreprise s’agrandit, il peut devenir très difficile de maintenir la frontière entre le suivi des fonctionnalités acceptables et la surveillance du comportement des utilisateurs inacceptable. Le personnel qui a adhéré à l’esprit d’origine n’est plus le seul à travailler sur le produit. Les nouveaux employés peuvent ne pas réaliser les limites qu’ils dépassent. Ils peuvent ne pas penser qu’il est faux de voir à quelle vitesse un utilisateur déplace sa souris vers un bouton, ou si cela est corrélé avec le fait que l’utilisateur ait ou non sélectionné le mode à contraste élevé – ce qui fait essentiellement fuir des informations indiquant que l’utilisateur est susceptible d’avoir un handicap physique. .

Ne le fais pas

C’est l’une des raisons pour lesquelles certaines entreprises, telles que Qwant , refusent carrément de collecter de telles statistiques. Il est facile de garantir que la collecte de données ne s’intensifie jamais au point de devenir une atteinte à la vie privée et que les données ne peuvent jamais être divulguées ou compromises si elles ne sont jamais collectées en premier lieu. Il est beaucoup plus facile de conserver la confiance de l’utilisateur s’il peut voir exactement quelles informations sont envoyées à un service côté serveur, et s’il peut voir que rien à son sujet ou son comportement n’est jamais envoyé au fournisseur.

Même dans les cas où les services côté serveur collectent un minimum d’informations à des fins de débogage, tels que les journaux d’accès HTTP, ces données peuvent être supprimées dès qu’elles ne sont plus nécessaires, pour éviter qu’elles ne deviennent un magasin de données statistiques propice à l’exploration de données. il y aura un changement dans la culture d’entreprise. Cela peut être clairement documenté dans les politiques de confidentialité pour vous assurer que l’utilisateur peut voir que rien ne sera conservé pour une utilisation future.

Dans une politique de confidentialité, il est beaucoup plus rassurant pour un utilisateur de voir que «nous ne collectons pas de statistiques d’utilisation» que de voir «nous collectons des statistiques pour les 10 finalités suivantes, et nous nous engageons à ne pas abuser des données, mais nous nous réservons le droit de mettre à jour cette politique de confidentialité à l’avenir ».

Confidentialité des données

Les systèmes juridiques sont lents à répondre à ces changements dans les risques de confidentialité. La plupart des pays ne disposent pas actuellement d’une protection suffisante pour les données des utilisateurs. Le RGPD n’a été établi que récemment au sein de l’UE, mais d’autres pays travaillent toujours sur leurs équivalents. Les réglementations peuvent ne pas aller suffisamment loin pour protéger un utilisateur contre la collecte de données anonymisées. À moins qu’il ne se soit spécifiquement inscrit à une étude de profilage comportemental, un utilisateur peut ne pas se rendre compte de la quantité d’informations collectées sur la façon dont il utilise un produit.

Le suivi des fonctionnalités ne ressemble pas à quelque chose de très menaçant, mais dans de nombreux cas, il crée toujours un profil comportemental qui révèle des traits de personnalité et potentiellement même des conditions médicales.

Même si nous supposons que le fournisseur sera toujours digne de confiance, le stockage des données utilisateur doit être effectué de telle manière qu’en cas de serveur compromis, il ne tombe pas entre des mains non fiables.

À l’écoute des utilisateurs

Alors que tout ce suivi des fonctionnalités se poursuit, il est trop facile d’arrêter de faire la chose la plus importante: écouter les utilisateurs. Les utilisateurs sont la vie de l’industrie. Ces personnes, ces vrais humains, sont la raison d’être du produit. Ils ont des désirs pour le produit qui n’apparaîtront pas dans une statistique. Ils ont peut-être voulu utiliser une fonctionnalité, mais n’ont pas pu la trouver, et par conséquent la fonctionnalité inutilisée est supprimée.

Parfois, il existe également un lien invisible entre les utilisateurs et les fonctionnalités mineures. De nombreuses sociétés de logiciels comptent – sciemment ou inconsciemment – sur la bonne volonté des utilisateurs. Un utilisateur qui bénéficie d’une fonctionnalité mineure spécifique peut encourager d’autres utilisateurs à utiliser le produit, même si les nouveaux utilisateurs peuvent ne pas utiliser cette fonctionnalité spécifique. La suppression de la fonctionnalité, car elle n’est pas utilisée par de nombreux utilisateurs, peut aliéner l’utilisateur autrefois fidèle et, à long terme, réduire la promotion gratuite du produit fourni par l’utilisateur. C’est quelque chose qui se produit régulièrement lorsqu’une entreprise cesse d’écouter les utilisateurs et commence à s’appuyer sur des statistiques.

Même si les commentaires des utilisateurs peuvent souvent être négatifs – les gens sont beaucoup plus rapides à se plaindre d’un problème qu’à faire l’éloge d’une expérience positive – faire sentir à l’utilisateur que sa voix est entendue peut avoir un effet dramatique sur l’adoption du produit. Une personne plutôt qu’une statistique. Une communauté accueillante plutôt qu’une société sans cœur. Je travaille pour une entreprise, Qwant Technologies , qui choisit de faire la bonne chose.