Pour protéger la vie privée en ligne, peut-on faire mieux que des pop-ups ?
En préambule d'un document mis en ligne sur la vie privée à l'occasion du Data Privacy Day, Apple rappelle à notre bon souvenir ces quelques mots de Steve Jobs : « Je pense que les gens sont intelligents et que certaines personnes veulent partager plus de données que d'autres.
Information vs friction
Mais introduire cette démonstration, qui montre avec de très bons arguments que l'invasion de la vie privée par la publicité est une affaire quotidienne, avec des mots de Steve Jobs, nous laisse songeur. Car l'architecte de l'Apple que l'on connaît avait au moins deux obsessions qui ont fait de son entreprise un succès grand public incontestable : l'accessibilité d'une interface sans friction et la croyance que le choix laissé à l'utilisateur amenait avant tout le chaos et la frustration -- autrement dit, que la plupart des gens, aussi intelligents soient-ils, étaient plus heureux avec un bon produit bien conçu qu'avec un grand choix laissé à leur bon vouloir. Le succès colossal de l'iPhone et l'échec des smartphones modulaires est un bon indicateur que sa vision était juste, à défaut d'être universellement appréciée.
Sachant cela, on peut s'imaginer demander ce que Steve Jobs aurait pensé du web actuel, notamment en Europe, où il est encore dans l'intervalle entre le RGPD et les prochaines lois de protection des données. Car aujourd'hui, naviguer sur le web revient à entraîner son doigt à cocher une série de pop-ups, quotidiennement, sans jamais les lire.
Celles liées à la vie privée, essentielles transformations du petit bandeau cookies des années 2000, se sont ajoutées à une myriade d'informations demandées par la grande majorité des sites web, qu'ils soient serviciels ou informatifs : inscrivez-vous ! Activez les notifications ! Et notre newsletter ? Pourquoi pas notre premium ? Avez-vous pensé à ce code promo ? -15 % sur les leggings !
La bannière en commun est donc celle du « RGPD », souvent très mal configurée et demandant à être acceptée quasi quotidiennement. En tant qu'amoureux du privacy by design, l'idée que l'on vit dans un monde bien meilleur aujourd'hui qu'il y a quelques années, même en façade, me réjouit. En tant qu'obsessionnel d'une interface utilisateur épurée et qui rend service le plus efficacement possible, le web moderne me désespère.
Ces bandeaux RGPD font aujourd'hui autant partie du décor que les bandeaux cookie en leur temps. Certes, ils expliquent ce que les sites font des données collectées, mais lit-on encore ces bandeaux ? Les a-t-on jamais lus d'ailleurs ? Cliquer par dépit sur Refuser ou Accepter est devenu une sorte de mécanisme pavlovien qui répond à la vraie volonté derrière l'action : lire le texte, regarder la vidéo ou accéder au site. À tel point qu'il existe aujourd'hui des extensions pour tous les navigateurs qui s'occupent de gérer ces pop-ups à notre place -- tant d'argent, d'énergie et d'effort législatif réduits à néant par un petit logiciel choisi par l'utilisateur censé être protégé donne le tournis.
À l'esprit de la loi, qui était d'informer en transparence pour obtenir un consentement positif et éclairé, s'est substitué un jeu de dupes où plus personne ne lit ces informations avant de choisir ce qu'il en fera. Le consentement ou le refus est fait, mais est-il mieux informé et positif qu'avant ?
Pas sûr. Et Apple, pas plus que le web, n'a pas encore trouvé la méthode idéale.
Qui inventera la solution miracle ?
Plus que toute autre entreprise de la tech grand public, Apple s'est lancé corps et âme dans la protection de la vie privée de ses utilisateurs -- car, il faut le rappeler, ses revenus ne viennent pas de la publicité, mais des produits et plus marginalement, des services. Même si l'argument sert les finances de l'entreprise, impossible de dire que ce n'est pas fait de bonne foi : un iPhone, un Mac ou un iPad est chiffré par défaut, comme les communications par iMessage et les produits sont tous conçus pour collecter le moins de données possible.
Apple a également eu des idées brillantes sur Safari, son navigateur, pour limiter le tracking publicitaire sans couper radicalement la collecte de données : une manière intelligente de laisser le web vivre et générer des revenus tout en protégeant les internautes des algorithmes de ciblage. On peut enfin citer une transparence réaliste qui ressort de la page événement publiée pour le Data Privacy Day 2021 : la marque sait que la plupart des applications présentes sur l'App Store possèdent des outils publicitaires qu'elle ne peut guère contrôler, « 6 par application en moyenne », lit-on. Les interdire serait faire un pas vers une attaque en abus de position de dominante par toute l'industrie.
Mais là où l'entreprise de Tim Cook ne peut pas agir, elle a choisi d'informer. Depuis quelques années -- et surtout, quelques versions d'iOS et macOS --, Apple dit tout. Demandez-leur tout le temps. Micro, caméra, réseau, Bluetooth, galerie, SMS, contacts, position globale, position précise, enregistrements à des fins d'amélioration du produit... chaque composant qui équipe un iPhone ou un Mac a désormais sa notification.
Certaines sont excellentes et discrètes : sur les derniers iPhone, une diode signale le fonctionnement du micro ou de la caméra et du bleu autour de l'heure indique qu'une application utilise le GPS. Mais lancer pour la première une application ou un logiciel demande d'appuyer de nombreuses fois sur Accepter pour garantir son bon fonctionnement. Même quand ce fonctionnement est évident : ne pas laisser d'accès au micro et à la caméra à une application de visioconférence serait par exemple absurde pour l'utilisateur.
Comme sur le web, utiliser un produit Apple a aujourd'hui créé un nouvel automatisme : accepter des choses, tout le temps, pour que les logiciels que l'on veut utiliser fonctionnent. Lit-on ces pop-ups ? La première fois, peut-être. La dixième, ce n'est pas sûr. Dès lors, on se demande, en prenant un peu de recul, si le consentement est plus éclairé qu'avant. Certes, il est positif : j'ai cliqué sur un bouton « Accepter ». Mais la plupart du temps, on a l'impression que ce choix a été fait en amont : j'ai téléchargé un logiciel de cartographie par GPS, bien entendu que je veux qu'il accède à ma position. Pourquoi ne cesse-t-il pas de me demander de confirmer mon choix ?
L'apparition des informations sur les fiches des applications relève de la même problématique : la transparence y est, aussi hilarante que flippante quand le traçage est si démesuré qu'il vire à l'absurde, mais éclaire-t-elle mon jugement ? M'informe-t-elle, au sens où je me sentirais plus instruit après sa lecture ? Ou n'ai-je eu affaire qu'à une étape en plus, qui deviendra bientôt une habitude, dans mon parcours de consommation ? L'équation entre information, habitude et friction est difficile à résoudre et nous n'avons pas encore craqué le code d'une interface qui permettrait de répondre honnêtement et durablement aux problématiques de la collecte de données personnelles en ligne. Et comme sur les sites web, Apple a exploré deux voix sur son matériel : l'abondance de pop-ups et l'automatisation de certains procédés. Plus de friction ou moins de contrôle.
Reste que l'on sent bien que cette vague n'est que le début d'un monde numérique encore en gestation, entre un cadre enfin protecteur et son application qui tâtonne. Car la privacy by design a un principe, qu'Apple connaît, rappelle et applique quand il le peut : quand on ne collecte pas de données superflues, l'utilisateur n'a plus besoin d'être informé. S'il est difficilement imaginable de faire sans la donnée qui existe depuis bien avant le web, au moins, peut-être, ira-t-on vers des usages où elle ne sera plus personnelle et donc légitimement moins intégrée dans le parcours d'utilisation d'un produit. Mais pour cela, une industrie toute entière, qui va bien au-delà de la seule publicité, doit accepter de se réinventer.