Au cours des dernières années la technologie d'enregistrement des sessions utilisateurs s'est considérablement démocratisée. Initialement cantonnée à des outils spécialisés tels que Hotjar, Inspectlet, ou encore Lucky orange, pour n'en citer que quelques-uns, elle est à présent proposée directement au sein d'outils de tests A/B comme A/B tasty, ou encore dans une suite Web analytics comme Matomo. Ces logiciels permettent d'enregistrer l'activité d'un utilisateur, sur une page Web ou une application, sous la forme d'une vidéo, de façon totalement passive et donc totalement imperceptible pour la personne concernée. Pour les analystes, la promesse de valeur portée par les éditeurs de logiciels portant le développement de ces outils est séduisante : rendre visuelle, instantanée, ludique et abordable pour tout un chacun, l'analyse du comportement des utilisateurs d'un dispositif donné. Cependant, à l'ère du Règlement Général de Protection des Données et des appels répétés des utilisateurs à un plus grand respect de leur vie privée, le recours à ces solutions logicielles est-il à la hauteur des risques pris, à l'occasion de leur utilisateur, par les organisations décidant d'y recourir ?
Des éditeurs de logiciels au fait des enjeux
Les sociétés développant les outils à même de réaliser ces enregistrements n'ont pas attendu le RGPD, afin de proposer des mécanismes à même de préserver la vie privée des utilisateurs. Outre des méthodes proposées au sein des interfaces de programmation des divers outils, permettant de prévenir l'enregistrement des données sur une zone donnée d'un écran, la possibilité de désactiver totalement l'outil, en cas de refus de l'utilisateur, a toujours été possible.
Cependant, l'usage, par les intégrateurs des outils en question, des moyens techniques natifs offerts par les logiciels en matière d'exclusion du suivi demeure depuis l'origine extrêmement marginal. En cause ? La méconnaissance de ces méthodes, ou encore la nécessité de s'interfacer avec des composants multiples afin de les mettre en oeuvre, principalement le système de gestion des contenus et la plateforme de gestion du consentement, qui conduit à générer des coûts d'intégration conséquents dépassant de loin les frais de licence de ces outils.
Conscients de l'ampleur du problème et des risques induits par une implémentation incorrecte de leurs outils, certains éditeurs de logiciels, tel que Hotjar, ont décidé de mettre en oeuvre des mécanismes de suppression automatique des données sensibles saisies par l'utilisateur dans des champs, avant leur envoi vers leurs serveurs. Conjuguée à une meilleure prise en compte des choix des utilisateurs exprimés au moyen des bandeaux d'information cookies, induite par l'avènement du RGPD, cette décision permet de réduire significativement la menace d'enregistrement de données personnelles identifiables, sans pour autant mettre fin totalement aux dangers induits par le recours à cette technologie.
Des recoupements possibles de données qui posent question
A l'image des solutions de Web analytics, le fonctionnement des enregistreurs de sessions utilisateurs nécessite qu'un identifiant généré aléatoirement soit assigné au navigateur d'un utilisateur, sur chaque site visité où s'exécute l'outil capturant les données. Bien qu'elle ne permette pas à elle seule d'identifier une personne, cette valeur peut être lue, récupérée et enregistrée par d'autres outils dans lesquels sont stockés des données personnelles identifiables, rendant par la même possible une désanonymisation ultérieure.
En outre, les interfaces de programmation des divers outils d'enregistrement des sessions utilisateurs permettent de leur transmettre directement des données qui seront attachées in-fine aux vidéos et peuvent permettre, une fois encore, à posteriori de leur création, d'identifier la personne dont ils permettent de tracer le comportement et les usages.
Le niveau d'intrusion potentiel dans la vie privée d'un internaute excède donc celui atteint avec des outils se cantonnant à l'enregistrement des pages vues et d'une liste prédéfinie d'interactions La puissance et l'intérêt des outils de sauvegarde des sessions utilisateurs repose précisément dans leur capacité à enregistrer l'ensemble des actions réalisées par un utilisateur sur une page, y compris celles n'ayant pas été anticipées par les gestionnaires du site concerné. Les dangers qui en découlent, sont proportionnels aux capacités incroyables de ces outils.
Démonstration des risques par l'exemple
Afin de rendre plus concrète la différence existant entre des données collectées par outil de mesure d'audience classique et un outil d'enregistrement de sessions utilisateurs, prenons l'exemple d'un site Web proposant des formulaires de contact dédiés au dépôt de candidatures en réponse à des offres d'emploi.
L'outil de Web analytics permettra de détecter qu'un utilisateur donné à charger une page à un instant T, puis a envoyé un formulaire à T plus X secondes/minutes. Il est donc possible de déduire, au moyen d'un retraitement d'informations, le temps total qu'aura consacré le candidat à saisir son message et donc de déterminer si celui-ci était ou non personnalisé, en partant du principe que le recours à un copier-coller serait synonyme d'envoi d'un message générique. Cependant, l'obtention d'une telle information présupposerait le paramétrage avancé de l'outil de collecte, l'extraction et le retraitement des données collectées afin de pouvoir fournir l'information désirée.
A l'inverse, un enregistreur de sessions utilisateurs n'aura besoin pour enregistrer 100% des actions du candidat, que d'un simple copier-coller d'un code unique sur l'ensemble des pages du site, dont la page accueillant le formulaire concerné.
Dès lors, il deviendra possible de voir immédiatement si l'utilisateur a eu recours ou non à un copier-coller lors de sa visite de la page et s'il devait avoir pris soin de reprendre un texte qui aurait été saisi par défaut. En cas de désactivation de l'obfuscation/suppression de l'enregistrement des données saisies par l'utilisateur sur la page, il serait même instantanément possible de connaître l'identité du candidat. Par ailleurs, l'identification de la personne se "cachant" derrière l'envoi d'un formulaire s’avérerait également possible au moyen d'une interconnexion entre l'outil d'enregistrement des sessions des utilisateurs et du système recevant les formulaires de contact.
L'impact d'une telle désanonymisation, sur le processus de recrutement et in-fine sur les chances de réussite du candidat, ne serait pas anodin. Le problème n'est pas qu'une telle analyse puisse-t-être effectuée par l'entreprise ayant recours à l'outil d'enregistrement des sessions utilisateurs, mais plutôt que le candidat n'aura probablement pas conscience de son existence, à moins qu'il n'ait pris soin de consulter en détail la page d'informations dédiée au respect de la vie privée sur le site.
En conclusion
Utiliser des outils d'enregistrement des sessions utilisateurs revient à "jouer avec le feu" à l'ère du RGPD. Faut-il pour autant se priver de recourir à de tels logiciels ? Tout dépendra du niveau de formation aux problématiques de respect de la vie privée des intégrateurs en charge de l'installation de l'outil et de celui des analystes ayant recours aux données. Bien qu'il diminue le potentiel de ces outils, un usage en silo des systèmes d'enregistrement des sessions utilisateurs constitue le meilleure garde-fou contre de potentielles dérives découlant de leur utilisation.