web-dev-qa-db-fra.com

Est-il éthique d'utiliser Google Analytics sur un site Web que les victimes d'actes criminels utilisent pour créer des rapports "anonymes"?

Notre police locale dispose d'un site Web permettant aux victimes de viol de signaler des attaques de manière anonyme. En haut de la page se trouve un lien "Signaler anonymement" qui vous dirige vers une page utilisant Google Analytics ainsi que plusieurs liens Google CDN (pour jquery, etc.).

Cela m'a un peu surpris et j'ai donc consulté le site Crimestoppers (service similaire, mais pour l'ensemble de la population britannique). Ils utilisent également Google Analytics sur chaque page, y compris les formulaires de rapport anonymes. Ils vont même jusqu'à dire: " votre appel ou votre formulaire en ligne ne seront pas retracés ".

Bien que les données saisies dans les formulaires puissent être anonymisées, j’estime que les visiteurs du site ne le sont pas. Les personnes ayant un compte Google peuvent très certainement être identifiées par Google.

Est-ce éthique?

Est-ce que ces sites sont honnêtes quand ils disent aux victimes d'infractions "qu'ils ne seront pas retrouvés" et qu'ils "rendent compte anonymement"?

4
Tom Brossman

Pour être honnête, si on dit "anonyme" (et que ce terme fasse l'objet d'un débat de toute façon), je m'attendrais à ce qu'il soit 100% anonyme. Pas de Google Analytics, pas de Clicktale, pas de Piwik, pas de balises Facebook ni aucun autre type de mécanisme de collecte de données.

Maintenant, bien sûr, la plupart des visiteurs du site Web ne savent pas ce qui se passe sous le capot. Je m'attendrais donc à ce que le fournisseur du site s'assure que "anonyme" est vraiment "anonyme".

Si c'est éthique ou pas ... à vous de juger. Mais du point de vue de l'utilisateur, je voudrais paniquer et ne pas utiliser le site si la partie "anonyme" est importante pour moi.

3
David K.

Utiliser Google Analytics n'est pas contraire à l'éthique

Google Analytics ne suit pas les comptes Google. GA utilise un ensemble spécial de cookies _ga, __utma, __utmb, __utmv et __utmz pour suivre l'activité de l'utilisateur. De plus, Google Analytics ne permet pas aux utilisateurs individuels d'être "suivis" plus qu'ils ne le feraient autrement sans GA.

La vie privée parfaite sur le web est impossible

Qu'un système d'analyse soit présent ou non, tout visiteur d'un site laissera des traces de son activité via les serveurs des fournisseurs de services Internet intermédiaires relayant leur trafic sur le serveur Web, ainsi que les journaux du serveur du serveur Web. Tout comme les analyses sont une nécessité métier de base pour un opérateur de site Web, les journaux de serveur sont une nécessité de sécurité de base pour les opérateurs de site Web. Et chaque fois que vous faites une demande sur un site, le serveur Web enregistre une entrée dans ses journaux, bien que ceux-ci puissent être purgés ou anonymisés après un certain temps (conformément à la politique de Google).

Donc, si vous espériez que, du fait qu'un site n'utilise pas de logiciel d'analyse spécialisé, toutes les visites seraient complètement impossibles à suivre, cela ne se produira malheureusement jamais. En visitant simplement le site, vous avez la preuve de votre visite sur votre ordinateur et de nombreux serveurs Internet. Les plateformes d'analyse traitent simplement des données de trafic facilement disponibles sous une forme utilisable, qui seront présentées sous forme de métriques exploitables aux webmasters.

Si l’exploitant du site Web le souhaite, il peut effectuer un suivi plus complet, tel que l’enregistrement d’actions (généralement liées à une campagne) ou de variables personnalisées. Toutefois, le fait d’enregistrer que 10% des visiteurs de la page y ont été dirigés par une campagne ou un terme de recherche AdWords particulier ne facilite pas la tâche des utilisateurs.

L'utilisation de CDN n'est pas contraire à l'éthique

De même, les CDN ne sont pas pertinents en matière de confidentialité. La plupart des sites professionnels utilisent les CDN pour améliorer les performances et économiser la bande passante. Incorporer simplement un fichier JS/image/CSS hébergé sur un serveur CDN ne compromet pas l'anonymat de l'utilisateur. Ce ne sont que des requêtes HTTP normales qui incluent tout au plus la page visitée dans l'en-tête référent. Aucun cookie ou autre donnée n'est partagé avec le serveur CDN. Et à peu près tout lien externe sur le site révélerait également la page visitée dans l'en-tête du référent.

C'est aux utilisateurs de protéger leur propre anonymat

Si vous souhaitez réellement conserver l’anonymat des internautes sensibles, il vous appartient de prendre des précautions particulières. Vous devez utiliser HTTPS pour chiffrer votre trafic Web, utiliser des proxys d'anonymat tels que Tor et personnaliser votre navigateur en fonction de vos besoins. Si vous ne voulez pas que des bogues de suivi intersite (utilisés par les réseaux publicitaires, et non par GA) enregistrent vos habitudes de navigation, désactivez les cookies. Si vous ne voulez pas que votre visite soit enregistrée localement, surfez en mode de navigation privée. Si vous ne voulez pas que votre navigateur soit identifiable par d'autres signatures, alors nettoyez-le des plugins potentiellement compromettants et modifiez ses paramètres et son comportement afin qu'il s'intègre parfaitement à la foule. Si vous ne souhaitez pas que votre position ou votre connexion soient suivies, utilisez un accès Internet public.

Mais il est idiot de s’attendre à ce qu’un site majeur enregistre des données d’analyse. De telles données n'indiquent pas à Google ou à qui que ce soit d'autre qui produit le rapport, mais seulement qu'une personne d'une adresse IP quelconque a visité le site dans un certain délai, tout comme les journaux du serveur. Et il est même contraire à la politique de GA de transmettre des informations personnellement identifiables à Google via GA, et GA lui-même utilise uniquement des identifiants anonymes. En outre, il serait beaucoup plus facile et complètement indétectable pour l’opérateur de site d’enregistrer des informations PII côté serveur. Alors, pourquoi utiliseraient-ils GA pour cela?

Si quelqu'un veut "retrouver" une victime, il doit:

  1. Accédez à la base de données de Crimestopper pour obtenir les rapports pouvant contenir des informations personnelles ou consulter son horodatage.
  2. Ensuite, ils devront pirater le compte GA ou simplement consulter les journaux du serveur sur lequel ils ont déjà piraté. Si les envois de formulaire sont enregistrés (les envois HTTPS ne le sont pas) et que les données n'ont pas été purgées/anonymisées, ils pourront peut-être obtenir un nombre d'adresses IP correspondant à l'envoi du rapport.
  3. Ensuite, ils devront déterminer où se trouvent les hôtes utilisant ces adresses IP. Il n’est pas facile de le faire, d’autant plus que la plupart des utilisateurs non professionnels ont des adresses IP dynamiques. Sans une ordonnance du tribunal pour obtenir la coopération d'un fournisseur de services Internet, vous ne pouvez trouver que l'emplacement du bureau central du fournisseur de services Internet qui achemine cet IP, qui est souvent une ville métropolitaine voisine, qui peut être éloignée de la banlieue où se trouve l'hôte réel.
  4. Si, par miracle, ils peuvent obtenir cela, ils n'auront toujours la preuve que quelqu'un a utilisé cette connexion/ce réseau particulier pour accéder au site, et éventuellement a déposé le rapport en question. Mais cela pourrait être un réseau public ou juste une connexion partagée par des dizaines d'ordinateurs. Il serait difficile de trouver l'ordinateur proprement dit qui a fait la demande.

    Si vous avez de la chance et qu'il n'y a que 4 ou 5 ordinateurs, vous pouvez ensuite vérifier si chacun a la possibilité de visiter le site. Mais s’ils étaient assez intelligents pour utiliser la navigation privée ou simplement purger leur historique/cache Web, vous ne trouverez rien à moins que vous ne soyez un dieu de la criminalistique numérique. S'il s'agissait d'un point d'accès public ouvert et que la cible était simplement accrochée avec son ordinateur portable/iPad/smartphone, soumettait le rapport et s'en allait à gauche, alors vous êtes plutôt foutu de chance.

4
Lèse majesté

Ne confondez pas les mots Anonymous et Track-capable

Toute forme de communication peut être retracée et va au-delà de l'utilisation de Google Analytics, vous ne comprenez pas ce à quoi elles se réfèrent de manière "anonyme". Ce qu'ils impliquent, c'est que les données que vous saisissez ou fournissez ne seront pas partagées avec le public et ne vous demanderont pas votre nom.

  • Passer un appel téléphonique est anonyme sauf s’il est identifié. Même avec l’utilisation de 141, votre numéro est enregistré et peut être utilisé à tout moment pour déterminer qui vous êtes ...

  • La plupart des serveurs Web ayant des journaux, les informations d'adresse IP peuvent à nouveau être utilisées pour identifier une personne, mais encore une fois, elles restent anonymes jusqu'à ce qu'une personne demande et révèle ces données.

  • Les fournisseurs d'accès Internet ont des journaux de vos visites, ces données peuvent être utilisées pour identifier quand vous avez visité telle ou telle page, même lorsque la connexion est sécurisée, les données peuvent ne pas être visibles, mais la connexion l'est.

  • L'utilisation de Google Analytics reste anonyme sauf si ces données sont utilisées pour identifier une personne.

  • Lorsque vous soumettez des données à "Crimestoppers", vous placez les données dans la confiance de leurs employés. Encore une fois, cela reste anonyme jusqu'à ce que les données soient partagées, ce qui à terme est comparable à un autre.

  • Si vous deviez envoyer une lettre à Échec au crime, votre lettre restera anonyme jusqu'à ce qu'ils utilisent l'empreinte digitale de la lettre ou qu'ils utilisent la vidéosurveillance et indiquent qui a envoyé la lettre dans la zone où elle a été envoyée.

En bout de ligne, ils prétendent que leur politique est anonyme, mais cela ne signifie pas que vous ne pouvez pas être repérés ou identifiables. Ils affirment que vous ne serez pas suivis et je pense que ce sera le cas pour la majorité des crimes. Mais cela ne signifie pas non plus qu'ils ne veulent pas ou ne peuvent pas ... par exemple, des menaces pour la sécurité nationale l'emporteraient sur cette politique et je peux parier que le prix fort qu'ils vont épuiser les ressources pour déterminer si c'était le cas, Le seul Ce que je trouve contraire à l'éthique, c'est leur page de termes et conditions car ils ne mentionnent pas grand-chose en termes de loi sur la protection des données, de confidentialité ou quoi que ce soit que j'ai dit.

3
Simon Hayter

Ethique ou pas, ça peut être discuté. Toutefois, Google Analytics est personnalisable quant à la manière dont les données des visiteurs sont partagées, en fonction de leur propre document de confidentialité:

http://www.google.com/analytics/learn/privacy.html

0
Alasjo

La politique de confidentialité de Google indique que les données collectées par Google Analytics ne sont pas personnellement identifiables. La "maison mobile" de Google pour charger le code Google Analytics va à google-analytics.com, qui n'est pas un domaine qui contient des cookies de compte Google.

Donc, je suppose que la réponse à la question "est-ce éthique?" La question se pose de savoir si vous considérez une page comme anonyme si cette page collecte des données non personnellement identifiables concernant chaque visiteur.

0
Tim Fountain