Hygiène numérique de vos sites web

Bonjour,

Voilà quelques idées pour faire en sorte que vos sites web soient un peu plus respectueux de la vie privée de vos utilisateurs.

Statistiques :
- Le top : Piwik auto-hébergé. Le problème, c'est que ça n'est pas forcément simple : passer de Google Analytics à Piwik donne notamment des stats différentes, et Piwik n'est pas aussi élaboré.
- Le minimum : demander à Google Analytics, que vous utilisez probablement, de stocker les IP sous une forme anonyme. C'est un paramètre à passer dans le code d'appel, ou un paramètre à définir pour tous les appels à venir, si vous trackez plus que les consultations de page.
La doc : https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
En Allemagne, pays plus avancé que la France dans le domaine du respect de la vie privée, l'anonymisation est obligatoire.


Réseaux sociaux :
Trop souvent, les sites intègrent des choses parfaitement inutiles provenant des réseaux sociaux dans l'espoir de gagner quelques visites. Non seulement vous rapportez à ces réseaux l'activité de vos utilisateurs, mais en plus, vous dégradez les performances de vos sites web. Utilisez-les donc avec parcimonie.

- Google+ étant voué à disparaître, vous pouvez retirer tout ce qui concerne ce réseau. Combien vous a-t-il rapporté de visiteurs, de toute façon ?
- Facebook : les boutons "J'aime" chargés depuis Facebook sont à éviter. Vous avez peur que ça puisse avoir un effet négatif sur le trafic en provenance de FB ? Détrompez-vous, les boutons de partage (réalisés par vos soins et dont le simple affichage n'envoie aucune statistique à Facebook) sont bien mieux : https://twitter.com/smashingmag/status/204955763368660992
Au passage, Ghostery (entre autres) bloque les boutons chargés depuis Facebook. Mais ces extensions ne bloqueront pas ceux que vous avez réalisés vous-même.
- Facebook Likebox : essayez de la retirer et regardez si ça change quoi que ce soit pour le nombre de personnes qui aiment votre page. Comparez également la vitesse d'affichage avec et sans. Personnellement, j'ai retiré la Likebox au moment de l'affaire Cambridge Analytica... mais à vrai dire, elle ne me ramenait quasiment personne. Mais elle ralentissait mon site.
- Twitter : si vous affichez sur votre site la liste de vos derniers tweets, qui eux-mêmes annoncent les nouvelles publications de votre site (je vois ça régulièrement)... quel est l'intérêt ?

YouTube :
- Le top : ne pas afficher automatiquement les iFrames de YouTube, mais se limiter à la preview, et charger le vrai lecteur que si l'utilisateur clique (ou passe sa souris dessus, afin que la lecture puisse démarrer en un clic seulement).
- Le minimum : dans les options d'intégration, choisissez "Activer le mode de confidentialité avancé"

Google Maps :
- Je vois parfois des intégrations de Google Maps pour afficher une carte statique. Peut-être pourriez-vous la remplacer par une simple image générée avec OpenStreetMap.org.

De manière générale :
Évitez de faire appel à d'autres domaines. Hébergez vous-même les ressources utilisées par vos pages web.
Si vous pensez qu'utiliser des CDN à gogo (une police qui vient d'un serveur, jQuery chargé depuis un autre, Bootstrap chargé depuis encore un autre etc) accélère le chargement de votre site web... c'est très certainement faux. Faites des mesures de performances.


Pour aller plus loin :
https://privacyscore.org donne une note de respect de la vie privée aux sites web et donne le détail. Vous pourrez y trouver des idées pour "nettoyer" votre site.

Sécurité :
Vos cookies ont-ils le drapeau Secure ? Envoyez-vous le header X-XSS-Protection ?
Vous pouvez tester votre site et trouver des conseils (en anglais) ici :
https://observatory.mozilla.org
Attention : les CSP ne s'utilisent pas à la légère. Allez-y très progressivement, laissez-vous du temps... et si vous utilisez des régies de pub externe, vous ne pourrez pas faire grand-chose sur cet aspect.

 

Merci.

J'ai fini par me faire mon propre système, mais une bonne base est ici :
https://github.com/tylerpearson/lazyYT/

C'est du jQuery, mais le code est court et il est possible de le refaire en JS pur sans trop d'efforts, pour celles et ceux qui se sont, ou comptent, se débarrasser de jQuery. Sa CSS donne un faux lecteur YouTube convainquant.
Une page d'exemple : http://works.daugilas.com/lazyYT/demo/grid.html
12 faux lecteurs... et ça charge en un clin d'oeil.

Il y a toutefois encore des appels à Google/YouTube — forcément, puisqu'il faut récupérer le titre et l'image de prévisualisation. Personnellement, je met en cache les infos sur mon serceur : le titre des vidéos est récupéré une fois par mon site, au lieu que chaque utilisateur envoie une requête par vidéo à www.googleapis.com