Bonjour à tous, bienvenue sur ce nouvel épisode de Double Slash et comme d'habitude je suis
avec Alex, salut Alex ! Salut Patrick et salut François ! Salut tout le monde ! Aujourd'hui
nous avons un invité François Beste, bienvenue François ! Salut tout le monde ! Et donc
comme d'habitude avec tous les invités, on va te laisser de présenter avec ce que tu fais dans la vie,
ton job, ton background, tout ça, tout ce que tu fais. Moi je suis freelance, développeur web,
principalement du React, je bosse avec des startups avec des institutions publiques,
en ce moment je bosse avec une université à Amsterdam, c'est rigolo. Et ouais ça fait depuis
2018 que je me suis mis à mon compte, principalement pour faire du web parce que avant je faisais du C++
dans le domaine de la musique, pro audio, donc je faisais des logiciels pour les studios,
le truc comme ça. C'était super sympa, mais le web ça a l'avantage de pouvoir aller beaucoup plus
vite pour développer des trucs parce que les cycles de développement en C++ c'est très très long.
Tu vais pas faire des pointeurs pour le web ?
Ouais non, des fois vous pourrez faire du web à sandwich ou des trucs comme ça,
mais vraiment vraiment vraiment bon. L'avantage du web c'est de pouvoir avoir la vitesse de
cycles de développement pour chipper des trucs rapidement. Et donc c'est ça qui m'a amené dans
ce domaine là. Pourquoi React ? Parce que c'était le framework à la mode il y a quatre ans et ça
est plus ou moins toujours en ce moment, plus ou moins bon paris là-dessus. Et voilà.
Super et tu es donc en pain invité aujourd'hui aussi parce que tu as créé une solution d'analytics,
ça s'appelle chiffre.io, c'est ça ? C'est ça. Et donc on en parlerait un petit peu plus tard dans
l'épisode, mais justement aujourd'hui c'est un épisode spécial analytics en fait par rapport à
tout ce qui s'est passé au niveau de l'Union européenne pour Google Analytics, JTAG,
tout ça, enfin tous ces trucs fournis par notre ami Google. Et voilà ça soulève pas mal de
questions de souveraineté numérique, tout ça, de dépendance aux États-Unis, tout ça. Donc on va
commencer par faire un petit historique en fait de ce qui s'est passé, puisqu'en fait,
dernièrement on a entendu des gens paniquer avec Google Analytics et interdit en Europe,
etc. Donc je vais faire un petit résumé rapide de pourquoi aujourd'hui Google Analytics,
entre autres, parce qu'il y a d'autres services qui posent problème, pourquoi on peut plus
normalement l'utiliser en Europe. Donc en fait ce qui s'est passé, c'est que le 16 juillet 2020,
l'Union européenne a invalidé le régime des transferts de données entre l'Union européenne et les
États-Unis qui s'appelait le privacy shield. En fait, ils avaient un accord qui permettait,
voilà, les entreprises américaines de rapatrier les infos sur les serveurs américains,
etc. de transiter comme ça. Donc c'était un mécanisme qui était très utilisé et donc une fois que
cet accord était annulé, donc il y avait des entreprises américaines n'étaient plus vraiment
dans la légalité avec ce transfert des data. Et donc ce qui s'est passé, 2 ans après,
le 10 février 2022, l'ACNIL, en fait, au lieu d'attaquer Google directement,
en fait, ils ont mis en demeure un site internet qui s'appelle le site Ochan,
le site e-commerce par rapport à cette non conformité par rapport au transfert des données
aux États-Unis et l'utilisation de Google Analytics. Donc voilà.
Ok, attends, juste une question Patrick. En fait, ce que ce que tu es en train de dire,
c'est que l'ACNIL n'a pas attaqué la cause du problème qui est Google,
elle a attaqué l'utilisateur de la solution et non pas la solution.
Ils ont essayé, ça s'est mal passé.
Ok, voilà. Si tu veux Google, c'est un petit peu gros.
Si tu veux l'ACNIL, c'est en vrai.
Donc voilà. Et à partir de là, en fait, c'est panique à bord. En gros, Google Analytics,
c'était plus vraiment autorisé en Europe par rapport à ce travail C-Shield qui était tombé.
Et donc panique complète dans tous les utilisateurs. Il faut quand même savoir,
je crois qu'en France, c'est peut-être 90% des sites. Je ne sais pas si tu peux me
corriger. Il y a 85-90% de ces sites.
Les sites qui utilisent Google Analytics, donc c'est quand même assez énorme,
dont beaucoup de grosses sociétés. Et là, comment on fait, qu'est-ce qu'on fait,
est-ce qu'on change, est-ce qu'on arrête Google Analytics, est-ce qu'on passe sur d'autres solutions.
Et là, on a plus de rendre compte quand même que c'est assez compliqué.
Alors, ce qui s'est passé entre temps, c'est que l'Europe a trouvé un accord de principe
avec les États-Unis pour remplacer le private C-Shield. Mais ce n'est pas encore totalement
signé, tout à l'heure, totalement conforme. Tout n'est pas écrit. Donc aujourd'hui,
on voit qu'on a une dépendance par rapport à ces services américains. Là, on parle de Google
Analytics, mais on peut parler d'autres services, comme les hébergements, etc. Amazon,
tout ce qu'on peut imaginer qui vient des États-Unis, puisque quand même le web est
majoritairement américain au niveau des grosses sociétés. Et puis on voit aussi comment les
sociétés ont du mal à quitter les services Google pour aller sur d'autres services.
Enfin, moi, j'ai peu observé à travers mes clients et d'autres personnes. Il y en a qui ont pris
aucune décision, donc ils attendent. Ils se disent que ça va se régler au niveau de l'Europe,
d'autres qui ont panique chercher d'autres services. Donc, ma moto, je crois, c'est
ma tombeau, je ne sais plus comment le prendre. Enfin, tous ces systèmes-là qui sont équivalents
à Google Analytics, mais on voit que c'est quand même compliqué. Donc justement,
épisode spécial là-dessus, parce qu'on a quand même une sacrée dépendance aux États-Unis.
Et François, il va te laisser réagir avec quoi tu es évité ?
Effectivement, une sacrée dépendance à beaucoup de services internationaux,
pas qu'eux États-Unis, mais principalement, comme tu dis, des États-Unis. J'aimerais revenir sur
les points légaux que tu as soulevés. Il y en a un surtout qui m'intéresse, c'est le rolling
de Schrems II. C'est une décision de justice qui disait que, globalement, pour simplifier les choses,
si tu peux trouver un service, si tu donnes un service à tes utilisateurs européens et que tu
peux trouver un service qui existe en Europe, tu dois le privilégier par rapport à un service
qui se trouve à l'extérieur de l'Union européenne. Donc, c'est vraiment pas que Google,
c'est vraiment pas que les États-Unis, c'est vraiment l'Union européenne qui essaie de retrouver un
peu de souveraineté sur les services qu'elle propose pour ses citoyens. Donc, ça, ça marche
principalement pour les entreprises qui sont hostées dans l'Union européenne, dans les
États membres. Pour les entreprises américaines ou autres qui ont des clients chez l'Union européenne,
eux, ça leur pose d'autres problèmes puisque, du coup, est-ce qu'ils peuvent utiliser leurs propres
services ? On ne sait pas vraiment comment ça fonctionne. On va se concentrer principalement
sur les Européens pour les Européens, on parle des Européens parce qu'on est français. Et donc,
discuter un peu de cette histoire de souveraineté numérique. Et donc, je remse, les problèmes que
ça pose, typiquement, c'est pas que pour Google, c'est vraiment pour tous les niveaux de la stack
quand on développe des applis, on est censé privilégier des services européens si on en trouve.
Alors, eux, si on en trouve, c'est là qu'il est intéressant puisque, pour plein de choses,
il n'y a pas forcément de services équivalents ou de qualités équivalentes qui existent
actuellement à l'Union européenne. Ce qui fait que cette décision de justice,
ça crée une opportunité incroyable pour pas mal d'entreprises dans l'Union européenne de développer
des alternatives aux solutions qui existent actuellement principalement américaines. Et
ça leur donne un cadre légal sur lequel les clients pourront s'appuyer pour choisir, finalement,
ces alternatives locales.
– Schrem, ce que tu dis, en fait, c'est quoi ? C'est une loi qui a été...
– Max Schrems, c'est un gars qui est à l'Union européenne, je crois,
qui a attaqué typiquement Google en justice et qui a gagné sur un point de données,
qui a donné lieu à ce que l'acnil, ensuite, vienne faire ses mises en demeure.
Tout en fait, c'est casquadé à partir de Schrems-là, de la décision de justice de Schrems.
– On a le mal de rejoindre. – C'est une RGPD plus, plus, en gros.
C'est l'évolution future du RGPD qui essaie de prendre des dents au cours,
pour essayer d'attaquer un peu les géants du web américain.
– Mais après, enfin... – Donc, c'est une bonne chose pour...
– Juste pour revenir sur... Parce que là, tu parles de RGPD,
donc c'est vraiment les data privacy, c'est vraiment les données propres à la personne,
sauf que là, la décision de loi, c'est utilisation d'un service.
– Voilà, c'est deux choses différentes, quand même. On est bien d'accord.
– C'est deux choses différentes, mais dans un sens où,
quand tu utilises un service, généralement, tu le renvoies des données,
– Oui. – ça revient à savoir à qui tu envoies tes données.
Il y a deux choses différentes, en fait. C'est où est-ce que tu stockes physiquement tes données,
dans quel data center, donc tout ça. Et quelle est l'entité,
à qui tu l'envoies tes données, ou quelle est la juridiction de l'entité à qui tu envoies tes données.
Donc, typiquement, tu peux avoir des entreprises américaines qui ont des données hostées en Europe,
pour être conformes aux RGPD, etc., mais qui sont quand même soumises à la juridiction américaine,
s'ils font un subpénat ou s'ils essaient de récupérer des données pour une raison pour une entreprise.
Ils sont dépendants de la loi américaine. Donc, il y a toujours une dimension politique,
de toute façon, à tout ça cachée derrière.
Et toute la question de la souveraineté des données,
elle revient finalement à ça. C'est comment est-ce qu'on fait pour que les services européens
gardent plus ou moins leurs données en Europe, gérées par des boîtes qui sont basées en Europe,
comme ça, tout le cadre légal et garantie localement.
Parce que Facebook, Amazon, ils ont des serveurs en Europe,
mais ça transite aux États-Unis à un moment donné.
C'est ça. Ça peut transiter pour des raisons internes, pour des raisons externes à leur volonté,
s'ils ont des requêtes légales qui viennent du gouvernement américain, par exemple.
Ça me rappelle souvent, typiquement, l'entreprise Signal,
le message signal qui fait du chiffrement de bout en bout,
qui n'a quasiment rien comme info sur ses clients.
Et régulièrement, ils postent sur leur blog,
on nous a demandé une info sur telle ou telle personne,
on essaie d'espionner leur conversation.
Voici ce qu'on vous a donné, un timestamp de création de compte,
un timestamp de dernière connexion. Et c'est tout ce qu'on a.
Ça, typiquement, c'est la bonne démarche à avoir quand tu essaies d'avoir
une approche de respect de la vie privée, puisque toi-même,
en tant que provider, en tant que fournisseur du service,
tu ne peux pas détourner ces données puisque tu ne les as pas.
Mais en fait, c'est là toute la subtilité.
Moi, ça m'offuse un peu.
En fait, la question qu'on se pose, je vais me faire l'avocat du dia.
En fait, la personne qui me loue un disque dur pour mettre des données dessus,
qu'elle soit en Europe ou aux États-Unis, émite,
moi, je m'en fous un petit peu, c'est pas gênant.
Par contre, avec ce type de loi, en fait, on se rend compte
qu'eux, ils ont le droit d'utiliser mes données et de lire les données
ou de transférer des données à des personnes.
Donc, ça veut dire que ces données, elles ne m'appartiennent plus, en fait.
Elles appartiennent à la personne qui les héberge.
Parce que s'il a le droit d'en disposer comme il veut et de les donner,
de les vendre, de les soumettre au gouvernement ou à une entreprise privée,
ça veut dire que je ne possède pas ces données-là.
Si c'est le cas, si c'est écrit comme ça techniquement dans le contrat,
dans les conditions d'utilisation,
c'est un peu ta responsabilité de choisir cette entreprise
pour se téter donné dans un système comme ça.
Si clairement, tu es sensible à ce genre de choses,
tu vois ça marquer dans ton contrat, tu fuis,
c'est typiquement le contrat Facebook ou tout ce que vous postez,
c'est à nous, on le revend à qui on veut.
Le contrat qu'on ne lit jamais, c'est ça ?
Le contrat qu'on ne lit jamais, exactement.
Il faut toujours lire, mais qu'on ne lit jamais.
On ne lit jamais parce que la plupart du temps,
il est écrit dans un langage obscur qui ne fonctionne que pour les abocats.
Ouais, c'est un truc que nous, on est incapable de lire et de décrypter.
Et surtout de comprendre la subtilité et de lire entre les lignes
pour justement comprendre quel est l'impact de sa femme.
Non seulement ça, puis surtout,
c'est un contrat qui est à un moment donné dans le temps,
au moment où tu choisis un service ou un autre.
Ce genre de contrats, ils évoluent.
C'est genre le genre de choses qui changent au fur et à mesure du temps
par une acquisition d'une entreprise par un milliardaire
dont on t'est rallongé par exemple,
qui fait des voitures et des fusées.
Typiquement, tout peut changer.
Donc, c'est le genre de choses.
Le contrat d'utilisation, il est valable au moment
où tu choisis de faire confiance à cette entreprise,
mais ce genre de contrats est dévolu.
Et surtout, si tu ne signes pas les nouvelles conditions d'utilisation,
tu ne peux plus utiliser le...
Exactement, exactement.
À part toi, soit tu sors, soit tu...
Voilà, exactement.
C'est un couteau sous la gorge.
C'est aussi une des choses que l'Union Européenne a essayé de pousser
avec les nouveaux accords dont tu parles des patriques
avec les États-Unis qui ne sont pas encore totalement écrits.
Ça a été annoncé en réponse à l'invasion d'Incrène.
Et le principe, c'était d'essayer de garantir de l'interopérabilité
entre différents systèmes.
Alors, c'est le grand rêve de beaucoup de gens
d'avoir des systèmes interopérables.
Techniquement, ça reste quand même assez compliqué.
Oui, c'était l'idée de pouvoir changer de service facilement
avec une sorte de migration automatique.
C'est ça.
Il y a pas mal de gens qui ont essayé de codifier ça
en termes de standards.
Il y a Tim Berners-Lin, inventeur du web,
qui a essayé de développer solide dans un concept
où l'utilisateur possède ces données
et délègue ces données à différents services
qui ensuite vont appliquer leurs algorithmes
et faire donner de la valeur, finalement, à ces données-là.
Sur le papier, c'est bien.
Il y a beaucoup, beaucoup de choses à faire bouger
pour que ça aille.
Il y a quelque part ce genre de choses.
C'est compliqué.
Quand tu vois que déjà, ils n'arrivent pas à s'entendre
sur un chargeur de téléphone.
Il faudrait mettre en place l'équipe qui a réussi
à standardiser les allumes cigare dans les voitures,
parce que c'est le seul standard international
que tu te trouves partout et qui est exactement le même.

Mais je suppose que c'est l'industrie du tabac
qui s'est coordonnée d'accord.
L'industrie du tabac et l'industrie d'automobile
qui se sont mis d'accord sur des trucs.
C'est possible.
Du coup, ils avaient un intérêt indirect,
oui direct même sur l'utilisation d'un standard art comment.
C'est que tout le monde allait fumer dans les voitures.
OK.
Et après, sur...
Une fois de plus, je vais me faire l'avocat du diable.
J'aime bien.
Mais OK, moi, j'utilise Google Analytics.
J'ai un Pov-Site où il y a très peu de trafic dessus.
Pour l'instant, ce n'est pas très clair.
Il y a un espèce de flou un petit peu.
Est-ce que je risque vraiment beaucoup parce que je suis tout petit
ou justement, il y a un risque réel ?
C'est quoi ?
C'est une amende, c'est une requalification,
une fermeture de mes serveurs.
Je ne sais pas, en fait, qu'est-ce qu'est-ce qu'est le risque
potentiel pour les personnes ?
J'utilise encore une solution type Google Analytics
au point de vue légal et après, au point de vue éthique,
qu'est-ce qui est l'impact ?
Mais déjà, au point de vue légal, qu'est-ce que je risque ?
Ouais.
Au niveau légal, il faut voir une chose,
c'est que ça reste quand même des humains
qui font tourner la machine légale derrière.
Et vu la quantité de gens qui utilisent Google Analytics,
forcément, la CNI va commencer par mettre les amendes
sur les gros en premier.
Tous les gens qui font leur blog et des trucs comme ça,
je pense que la CNI n'en ont pas grand-chose à faire.
Il n'y a aucune chance qu'ils viendront t'attaquer là-dessus.
Alors je ne dis pas que tu peux t'en sortir comme ça, bien sûr.
Un des problèmes que je vois avec Google Analytics
et qui est inhérent à Google,
pas tant sur l'historique de Google en tant que c'est privé et tout ça,
c'est que Google a tendance à tuer ces produits.
Et ils nous ont fait exactement ce coup-là sur Google Analytics,
c'est-à-dire qu'ils sont en train de désactiver leur universal Analytics,
c'était l'ancienne version Google Analytics,
pour passer tout le monde sur Google Analytics 4.
Alors pour avoir pas vraiment utilisé ni l'un ni l'autre,
j'ai pas exactement les détails des différences.
Mais surtout, ce qui est assez intéressant,
c'était dans leurs informations de migration, quand ils disaient,
c'est que tu ne peux pas transférer tout ton historique d'analytics
de l'un vers l'autre et donc du coup, tu vas perdre des données.
Ce qui est super pour les gens qui essaient de faire du marketing
sur plusieurs années parce que du coup,
ils vont se retrouver avec juste la dernière année de données
et ils peuvent pas faire grand-chose.
Donc Google est en Google et tu es en ces produits au bout de 3 ans
dès qu'ils sont sortis.
Il va se passer la même chose avec Google Analytics 4,
si on passait à Google Analytics 5 ou un autre nom qui va en donner.
Et tu vas toujours te retrouver avec un service
qui que tu ne peux pas backporter,
que tu ne peux pas extraire vers autre chose et t'es coincé à Google.
Ouais, t'as son, c'est tout le temps intérêt.
Voilà, la principale raison de Google Analytics,
enfin pour laquelle les gens utilisent Google Analytics,
c'est parce que c'est gratuit, tout simplement,
et que c'est simple à mettre en place.
C'est très facile à intégrer dans plein de systèmes.
Parce que du fait de la popularité et du fait de la gratuité,
enfin tout vient du fait de la gratuité en fait.
Et si on se base sur la gratuité,
pourquoi est-ce que Google fait ce genre d'opération ?
Ce n'est pas de leur bonne volonté ou de leur bon cœur.
Ils ne le disent pas, ce n'est pas ouvert dans un truc,
mais le fait que la plupart des visiteurs des sites qui utilisent Analytics
passent d'un site à un autre,
ça peut créer du cross-tracking.
Alors ils essaient de faire tout ce qu'ils font légalement
pour dire que ce n'est pas possible,
mais au final, ça arrive quand même sur leur serveur.
Et sur leur serveur, tout est fermé et on ne peut pas voir ce qui se passe.
Donc vu que c'est possible,
et qu'il y a un intérêt financé derrière,
à mon avis, il y a quand même quelque chose qui peut se passer.
Donc ce genre de choses, c'est la raison pour laquelle
les petites boîtes qui font des services d' Analytics
tirent ce parti, on va bien en appeler ça comme ça,
qui soit privacy friendly ou pas,
le plus il y en a, le mieux c'est.
Puisque ça fragmente finalement...
Ça disloque le trackings entre les différents endroits.
Ouais, de toute façon, c'est ce que fait...
C'est ce que fait le bouton Facebook que tu peux mettre sur un site.
Je ne sais pas si c'est encore, mais le like, tout ça.
Et ça permettait à Facebook de suivre, de traquer des gens.
C'est-à-dire que même si tu n'as pas de compte Facebook,
ils avaient déjà dit un truc sur toi.
Ça crée déjà un profil sur toi.
Ça crée des shadow profiles, jusqu'à ce que tu décides de t'inscrire.
Et là ils ont déjà tout sur toi.
Et là ils ont déjà beaucoup d'infos sur toi pour proposer
une expérience utilisateur optimale.
Au niveau de la publicité.
Au niveau de la publicité, exactement.
Il y a aussi...
Enfin vite fait, je reviens sur analytics,
déjà c'est gratuit tout ça.
Et il y a beaucoup qui utilisent aussi tout l'écosystème,
pour Google Ads, Google Shopping,
voilà, tous ces trucs qui sont connectés.
Et c'est aussi cette difficulté qui fait qu'ils ont du mal à en sortir.
Parce qu'ils ont déjà tout paramétré
entre les différents services Google.
Et là ils sont bloqués, ils sont coincés,
ils ont du mal à en sortir.
Et ils prennent pas de décisions en fait.
Mais ouais, mais c'est un vrai frein aussi.
Enfin, il imagine le marketeux
qui a passé son habilitation Google.
Oui, la certification.
Voilà, sa certification.
Il a investi du temps.
Il a mis en place des funnels et tout ça.
Et demain on lui dit,
ton tools, tu le dégages et tu sors.
Ou des grosses sites de e-commerce
qu'on basait tout...
Enfin sans analytics.
Mais ils ont tout basé de suite.
Un site de e-commerce, ils se tournent pas.
C'est la base de ce site.
C'est la base du web marketing.
Donc tu peux optimiser ce que tu mesures.
Du coup si tu peux plus mesurer
avec la même précision
ou avec le même niveau de granularité,
tu dois repenser ton boulot.
Et c'est là où
ça me paraît un peu utopique
de changer...
En tout cas que ce shift
se fasse très rapidement.
Parce qu'il va y avoir
une grosse...
des gros freins
et non pas sur des techs
ou des devs qu'on est
ou on a une dimension
éthique
éthique, je vais pas dire éthique
mais on va dire philosophique
du tracking.
Beaucoup de nous
utilisent Brave ou des choses comme ça
qui viennent cuter
toutes les analytics par défaut.
C'est la hantise
des marketeux.
Mais la majorité des personnes
cliquent oui sur le cookie des analytics
parce qu'elles veulent aller vite sur le site.
Donc les clients sont un petit peu aussi
coupables de ça
et les web marketeux
comment ils vont faire maintenant.
Les clients sont pas coupables de ça
dans le sens où ça reste quand même
une décision de l'entreprise
qui met en place la bannière de tracking
de faire que le bouton oui soit plus proéminant
que les deux.
Techniquement, selon le RGPD,
les deux doivent être identiques.
Oui, j'accepte tout et non je refuse tout.
C'est hyper difficile.
Oui, quand ça le met.
Sur la taille, je suis d'accord mais par contre
tu vas jouer avec les couleurs.
Non, le RGPD dit clairement
que les deux doivent être identiques.
Oui, j'accepte beaucoup.
Je refuse tout, ils doivent être identiques.
Et puis, si on parlait des P.O.L.
ou si t'acceptes pas, ils te disent de payer 2 euros
par mois ou je sais pas quoi.
C'est de ça de bien.
Oui.
Après, je vais pas balancer pour les web
marketer comme tu dis mais la plupart
utilisent Google Analytics et utilisent
vraiment une infime partie de ce qu'il est capable
de faire.
Mais bon.
Mais c'est là où ils sont très très fort
en
négémonie.
Aujourd'hui, même un petit client
que moi j'ai,
il dit moi je veux un système
Google Analytics.
Et là, tu lui dis bah oui mais en fait non
tu vas utiliser déjà un, c'est une usine
à gaz.
Donc pour quelqu'un qui n'est pas très
très advanced, clairement c'est
super difficile.
Et donc
et là, tu lui dis bah en fait il va falloir
payer un service ou mettre en place
un serveur ou quelque chose de tout.
Et là, il fait bah non, c'est gratuit.
Mais est-ce que t'es prêt à tout donner
à Google, ça va dépendre en fait
de ton client.
Il y a la plupart des clients, ils sont totalement d'accord avec ça.
Moi c'est la raison principale
pour laquelle j'ai lancé
chiffre. Je travaillais avec
un client
qui balançait absolument toutes ces données
business.
Tous les événements qui se passaient sur leur
appui.
Google Analytics dans des custom events.
Y compris les données personnelles
des clients pour que la personne puisse les rappeler
derrière s'ils n'avaient pas fini leur
final ou quoi que ce soit. J'ai vu ça, j'ai halluciné.
Je vais non.
Je vais non, non, non.
Et donc, sans suie de
trouver des alternatives,
on trouve tous les alternatives dont on va
discuter plus tard. Le problème
c'est que toutes ces alternatives, bah tu leur
filtes quand même des données, tu vois. Tu leur filtes
tout tes données business telles
qu'elles. Ils sont pas Google, c'est
sûr, mais Google a aussi commencé tout petit.
Et tout entreprise
peut se faire racheter. Donc au final,
avoir la donnée
chez quelqu'un
c'est toujours plus ou moins un risque
dans le sens où la donnée, ça se diffuse
si c'est laissé en clair.
Et donc c'était une des solutions sur lesquelles
j'avais eu d'idée d'appliquer
du chiffrement de bouton bout.
Comme ça, tu m'envoies ma donnée
mais elle est chiffrée, moi je peux rien en faire.
Je peux juste de la rediffuser
pour que toi tu puisses la voir et en faire
ce que tu veux. Une fois qu'elle est chez toi, chez
ton client, c'est toi qui la possède.
C'est pas moi qui la... Moi je fais juste que
de la transférer.
Et au final,
c'est toi qui en fais ce que tu veux.
Mais du coup,
c'est quelque chose qui a
s'impli personne qui
pense comme ça. C'est-à-dire, la donnée
c'est de l'or, il pense que c'est de l'or
puisque tu peux
lui donner
de la valeur en la combinant
avec d'autres données en la envoyant
à quelqu'un qui peut en faire autre chose, etc.
Pour les web-marketeurs qui eux
cherchent à générer de la valeur sur
des choses qui mesurent, c'est super.
Ils sont super contents quand ils peuvent connecter
leur compte Google Analytics
en adonne une certaine partie qui va leur analyser
une partie de leur truc,
les hit maps, etc. Ils sont super contents
quand tu feras mon tout le monde chose.
Sauf que, ils n'ont pas
le côté
éthique derrière de...
Ouais mais ça envoie toutes les données
des clients
à un tiers parti.
Ils lui ensuite peuvent agriger, faire du
machine learning, re-générer de la valeur
que tu n'as pas forcément
autorisé, etc.
Donc, ouais.
La data, c'est pas de l'or, la data c'est
de l'uranium. Il faut faire très attention, mec.
Ça a un énorme pouvoir, mais si tu
l'utilises mal, ça te pète à la gueule.
C'est la crypto-net.
C'est de la crypto-net, oui.
Comme l'uranium, ça peut être utilisé pour
une bonne chose aussi.
Ok.
On va
transiter
dans l'épisode.
Et on va faire solution alternative
à Google Analytics, dont ta solution
que tu proposes.
Alex, tu l'éconnées mieux que moi.
Je te laisse.
Après, en fait,
ce qu'il faut comprendre,
c'est qu'il y a plein de solutions
qui ont émergé.
Elles sont toutes sorties
en même temps, avec
une vision pour la plupart
où elles sont tous
vraiment privacy.
Donc, est-ce qu'il y a
une tendance
de fond qui se met en place sur la privacy ?
Je pense que oui, quand on
voit Google,
je sais plus sur quelle Google I.O.
la grande conférence Google,
ou je sais plus si c'était Apple ou Google.
Mais en fait, les deux étaient vraiment
en mode le thème principal, c'est privacy.
Et là, tu te dis
mais avant,
c'était pas privacy.
Et donc, du coup,
si maintenant, ils disent, on va appliquer
un truc
où on va faire attention aux données et tout,
ça veut dire que avant, c'était vraiment open bar.
Du coup,
il y a plein de solutions
qui sont sorties,
qui commencent un peu
à fleurir, et qui ont
une vision hyper minimaliste.
Et en fait, où on se concentre uniquement
sur les données
importantes.
Je pense à qui,
alors je ne sais pas si ça se prononce comme ça,
mais je pense que
oui.
Pour beaucoup,
ce sont self-hosted.
Et donc là, pour le coup, c'est nous qui
contrôlons vraiment
tout de bout en bout.
Par contre, attention,
si on héberge
la solution aux États-Unis,
on revient dans le problème
initial.
Mais en fait, on vient quand même,
alors je parle sous couvert
de François, si je dis une grosse connerie, mais on
reste quand même
dans un niveau d'abstraction qui est un petit
peu plus loin
dans la mesure où c'est ma solution.
Après, c'est
l'hébergeur.
Et si j'utilise une base de données, c'est
de la donnée brute.
Et donc, il va moins pouvoir l'utiliser.
Oui, voilà.
La plateforme chez qui c'est l'héberge,
globalement, ils ne vont pas s'amuser
à regarder SQL dans tes données
à moins que ces contenus
il égaux.
Globalement, si tu oses ton blog,
ton blog de cuisine,
par exemple, et que tu mets
toutes tes recettes dans une base de données
aux États-Unis, je pense que la NSI,
ils n'en ont pas grand chose à faire de genre de choses.
Et c'est pas le genre
de choses sur lesquelles tu crains
quoi que ce soit.

C'est pas dans l'intérêt, disons, de la plateforme
de faire des conneries avec tes données, puisque
ça reste quand même toi qui les paye.
Et donc, si ils perdent un client, c'est pas bon.
Ouais.
C'est dans leur intérêt
de donner un service,
de garantir que ce service reste...
Il risque de venir dans ton serveur si jamais tu vends
de la tournoi.
Donc globalement,
ils sont pas sur le même deal
en fait. Ils sont pas du tout sur le même deal
d'exploitation de données et de revente
de données, eux, ils vendent
du temps machine, quoi,
ces espaces de... Et donc, ils sont pas
sur le même business. Du coup, bon ça.
Et surtout, ils font très attention
au niveau de la sécurité
des données, de qui peut accéder
à leur truc. La sécurité, ça reste
leur boulot aussi.
C'est là où tu peux faire confiance
à des gens, quoi.
Après, encore une fois,
c'est une question
de la localisation des données
physiques. C'est encore une question
qui va dépendre
des lois européennes
qui sont votées.
Et je pense
notamment à essayer de
re souverainiser le cloud
européen pour essayer de
limiter la dépendance
à des solutions telles qu'AWS
ou les géants du cloud.
Donc, les 3 grands
qui sont AWS Azure et
Google Cloud Platform
pour essayer de retrouver
une sorte de cloud européen
avec des alternatives, disons,
européennes.
Je pense notamment à Clever Cloud en France,
à
Hetzner en Allemagne.
Fly, je sais pas exactement
exactement qui sont, je crois, qui sont basés au
St-Dunis, mais ils ont des serveurs pour tout.
Et après, est-ce que
il y a aussi
Scaleway, je pense ?
Après, est-ce que
ils ont l'infrastructure
et
une fois de plus, je vais être encore méchant
et je vais me faire la vocation de dire, mais est-ce qu'ils ont
l'infrastructure suffisante
pour pouvoir
être totalement autonome et
supporter
les charges que les gros
ont ? Et
surtout, est-ce qu'ils ont
des expériences utilisateurs
proches
de ce qu'on peut voir ?
Moi, je fais pas mal de frontes
un service type
Versel ou
Netlify.
C'est
hyper rapide
et c'est hyper facile à mettre en place.
Et donc, du coup, est-ce qu'on a
des acteurs français
qui vont permettre
ce type d'expérience développeur ?
On est très attachés
sur Double Slash
sur l'expérience de développeur
parce que ça vient nous faciliter la vie
c'est hyper simple.
Est-ce qu'on a des solutions alternatives
à ça ?
Donc, en fait, c'est
une question de
capacité à faire, mais aussi
de qualité de service
non pas sur l'aspect technique, mais
sur l'aspect design,
sur l'aspect expérience utilisateur
pour le développeur.
Alors, je peux parler uniquement
pour Clever Cloud,
le plateforme à la service que j'utilise
pour développer mes applis,
qui est basé en France. Ils sont basés à Nantes,
mais ils ont leur serveur à Paris.
Qui est globalement
un hero-coup ?
C'est ce que hero-coup était à l'époque
où tu peux développer
des serveurs.
Exactement, c'est du passe.
Tu développes tes serveurs, tes database,
tu développes des services tiers-parties
qui viennent se connecter.
Tu connectes tous ces ensembles
et tu scales ça
de manière déclarative.
Et automatique,
tu dois peut-être cocher un truc
en mode scale up, scale down, activer.
Exactement, tu peux dire, si tu as trop de trafic,
tu montes jusqu'à 6 instances
de telle taille,
tu peux configurer ça.
Et ça se scale tout seul.
Ouais, franchement,
c'est top comme service.
C'est assez différent
d'un versel ou un truc comme ça,
dans le sens où verselles, ils ont vraiment
fait le choix du serveur less
pur et tu peux rien faire d'autre.
Et du coup, tu es coincé dans ce paradigme-là.
Là où Clever, c'est toi qui gère ton code,
tu gères ton type de serveur,
tu gères ce genre de choses.
Ils vont proposer du serveur less bientôt,
ils sont en train de bosser,
mais typiquement, comme tu l'as
sur l'écran, tu peux lancer
une image Docker, donc du coup, tu peux mettre
tout ce que tu veux dedans.
C'est assez souple.
Et l'expérience utilisateur,
développeur plutôt,
elle est franchement top.
Tu développes ça bien.
Et ça, c'est full host
et France,
RGPD Compliance,
avec plein de mots anglais que j'utilise,
parce qu'on fait tout en France.
C'est full host et France, c'est ça.
Entièrement édergé en France.
Moi, je peux parler
de Squalingo que j'utilise actuellement
et pareil.
Serveur à Paris,
tout est en France,
tous les gars sont en France, ils te répondent
direct.
C'est un pass aussi pareil.
Très intéressant.
Parfait. Et donc du coup, on va pouvoir
utiliser tous ces services français
pour aller
on repart
sur l'applicatif pur
de
toutes ces solutions
d'analytics.
On arrive
sur des visions
assez basiques, assez claires.
Et en fait, on se rend compte
vraiment minimalistes, mais essentielles.
C'est-à-dire, on va juste
aller essentielle, on voit le nombre
de pages, leur provenance,
leur navigateur,
leur système d'opération, si ils ont
coché ce niveau
de détail.
Et on a des custom events
qu'on peut personnaliser.
Alémy, est-ce que tu peux
nous montrer
François, ta solution
que tu as sur
chiffre ?
Tu vas voir, c'est très semblable à ce qu'on a
sur Oumami.
C'est pas mal. J'ai testé
avec tes comptes que tu nous as
ouvert. C'est pas mal du tout.
Je trouve que l'interface, c'est vraiment pas mal.
C'est très simple.
Comme tu disais, tu as vraiment les infos de base.
Combien de visites tu as eu ?
Je suis sur le mois d'avril.
Combien de visites tu as eu ?
De nombre de pages views.
Avec, comme info,
quel page ont été visités,
d'où les gens venaient,
les navigateurs et
système d'exploitation.
Système d'exploitation.
Voilà.
Les tailles d'écran,
des trucs comme ça, dont tu as besoin
pour faire du responsif.
La langue,
j'ai rajouté ça parce que ça peut être utile
de savoir quelle langue les gens parlent
si tu veux localiser ton contenu.
Par contre,
sur la langue, c'est quoi ?
C'est la langue du navigateur ?
Ok.
J'utilise uniquement des données que je récupère
dans
documentes, navigateurs,
trucs comme ça.
Des données disponibles en GIS.
Il n'y a aucun appel à pays externes
qui ait fait pour récupérer quoi que ce soit.
La seule donnée que j'ai en clair
dans ce système-là, c'est le pays
que je récupère
par Cloudflare.
Cloudflare me fait le...
...le...
La géologue sur la paix ?
Oui, sur la paix.
Sur l'IP, quoi.
Ils utilisent l'IP pour géologue.
Et moi, je récupère ça en clair parce que
je ne peux pas vraiment faire un appel
de géologue chez le client pour qu'il le chiffre
et qu'il me l'envoie.
Ce serait assez beau.
Et surtout, ça futrait...
L'appel d'API en question
futrait la localisation du client
à l'API en question.
Donc, du coup, j'ai fait le choix de passer
par ce système-là.
Et je ne descends pas plus bas que le pays.
Ça ne sert à rien de descendre dans...
...le village, le fond de la creuse
dans lequel pays on s'en fout.
On n'a pas besoin de savoir ça.
C'est juste l'histoire de savoir dans quel pays tu viens
à peu près pour avoir une idée de la segmentation
de tes visiteurs.
Mais voilà, c'est à peu près tout.
Et puis après, tu vas avoir pour un jour donner...
Et est-ce que tu as
des...
ce qu'on appelle des custom events
sur les autres...
sur les entrepérateurs, ils utilisent
un système d'événement.
Par exemple, je veux avoir un sign-up.
Voilà, je veux notifier un sign-up.
Je veux faire quelque chose.
J'ai un système qui est en place,
qui n'est pas encore documenté, ni vraiment
développé. Sur cette version
de chiffre que j'ai déployé
récemment,
la visualisation des custom events
n'est plus en place. Mais typiquement,
sur le chiffre lui-même,
je stop
des événements
de sign-up,
de choix, de plans, de pricing.
J'ai une sorte de mini-funnel
qui est mis en place avec ses custom events.
Et c'est quelque chose
qui va se mettre en place
assez rapidement.
Il faut juste que j'arrive à trouver la bonne
façon de présenter ça
manière visuelle sur le dashboard.
Et après, est-ce que
il n'y a pas aussi un enjeu
d'utilisation
de marketing pour toi ?
Parce que les équipes marketing
sont assez friands de ce type
d'utilisateur,
d'utilisation.
Et après aussi de
repousser cet événement
à d'autres systèmes,
soit un dashboard interne,
si les mecs sont fous,
ils sont fin à énerver,
ou peut-être les pousser
sur des web-books classiques
qu'on pourrait utiliser
20 000 autres systèmes.
Mais
la donnée est captée par toi
dans le respect
des règles
que t'as signé. Après,
libre à lui de l'utiliser
et comme il veut.
Sachant qu'il faut savoir
une chose sur chiffres, vu qu'il y a un système
de chiffres en bout en bout, la donnée que tu vois
là, elle existe uniquement
dans mon navigateur.
Elle n'existe pas
cette donnée de savoir
typiquement que ça vient
de google.com.
Ça, moi je l'ai pas dans mon serveur.
Ça t'info là.
Elle est chiffrée.
Elle est chiffrée. Donc
si tu veux retransférer par exemple
soit une version digirée
de ces données-là,
à un système third party,
ça va être ton client
qui va pouvoir faire l'appel
d'API vers le 3rd partie.
Et donc c'est littéralement toi
qui est
au manette du système.
Ce n'est pas que tu me donnes
la possibilité à moi de
faire l'appel pour toi. C'est littéralement le client
qui va choisir de
faire ce genre de choses.
Ce qui veut dire que tu te fermes la possibilité
d'avoir du push
API,
une API qui repousse
les chiffres.
Parce qu'elles sont chiffrées.
Donc pour le coup c'est un paradigme
qui est assez fort.
Parce que
si mon équipe marketing
veut automatiser
le truc, ça va être un petit peu plus compliqué.
Bien sûr.
Le chiffre ne se fait pas pour du web marketing.
Clairement pas.
Pour l'instant, ça utilise
une couche applicative basée sur des web analytics.
Parce que c'était facile à mettre en place
et d'avoir quelque chose de visuel.
Mais je pense pas que la force du produit
soit vraiment basée
sur
le web marketing
basée sur les web analytics.
Parce que ça demande
des flux de données assez importants
pour avoir des infos
cohérentes.
Et des flux de données importants quand tout est chiffré
c'est pas donné. Quand la donnée est en clair
c'est facile de faire
des algorithmes
de digestion donnée sur un serveur
et de donner
l'info condensé dans ton dashboard.
Là tout est
téléchargé en brut, tel que ça a été envoyé
donc chiffré,
déchiffré localement et
l'analytique tourne sur ton browser.
Il n'y a rien qui tourne sur mon serveur.
Mon serveur c'est une message que je quille globalement.
Ok.
C'est je récupère des données chiffrées, j'attends
que tu me les demandes, je te les file
et ensuite localement ton browser fait tout le taf.
Ok.
Donc littéralement c'est toi qui possède
tes données dans ton
index DB, dans ton browser.
Ok.
C'est vraiment retrouver
la qualité de je possède mes données.
Là c'est clairement le cas.
Par contre
excuse moi Patrick
c'est dans index DB mais toi
tu les stockes bien chez toi
parce que moi si je ferme ma session, si je ferme
mon navigateur elles sont stockées chez toi
mais chiffré donc inexploitable.
Non.
Les données sont stockées chez moi
pour que je puisse te les redonner
quand tu te connectes avec un nouveau client
ou au moment où tu te connectes, récupérer les données
depuis le dernier instant que tu avais
jusqu'à maintenant.
Une fois qu'elles sont récupérées et déchiffrées
stockées dans ton index DB, tu fermes ton browser
elles sont toujours stockées sur ton disque dur
sur ta machine. Tu rouves ton browser
elles sont disponibles.
T'as pas de connexion internet, elles sont toujours disponibles.
Les données sont littéralement sur ta machine.
Ok
Donc tu as vraiment tout en local.
Par contre si je
donne accès
alors je sais pas si c'est une possibilité
sur chiffre mais
si je veux donner accès à mon client
pour qu'il puisse regarder ses analytics
lui il va re télécharger
ces données là.
Vous aurez deux copies des données effectivement
chacun chez soi.
Il y a un système de partage de compte
qui n'est pas encore tout à fait mis en place
parce que forcément ça demande
des questions
un peu plus compliquées
que juste dire telle personne
accès à tel projet.
Dès partage de clés et des trucs comme ça.
Mais c'est
quelque chose qui est pensé pour
en tout cas.
Pour que tu puisses effectivement créer un projet
et le partager avec un collègue ou quoi que ce soit.
Et du coup
effectivement dans ce genre de cas la donnée est dupliquée
la donnée est en clair
et donnée est dupliquée
chez les différents clients
qui la visualisent.
Très clair.
Quand je me souviens
quand j'ai fait mon compte
il y avait une clé qui est donnée avec le compte
quand tu crées ton compte
c'est un système que j'ai mis en place récemment.
C'est le cas où tu perds ton mot de passe principal
pour info dans chiffre
tout est basé sur ton mot de passe principal
ça dérive
une clé de tout côté de passe
qui sert à chiffrer une clé
qui chie une clé etc.
C'est une espèce de graphe récursif
qui finit par chiffrer
la clé privée associée
à ton projet.
Ton projet ça utilise
la publique qui cryptographie
je ne sais plus comment dire ça en français
du chiffre non-sive
asymétrique
ouais c'est ça
asymétrique. T'as une clé publique, une clé privée
La clé publique sert à chiffrer des événements
c'est elle qui est chipée avec ton tracker script
pour lui dire chiffre
tous les événements avec ça
et la clé secrète
elle est dans ton compte
chiffrée par une cascade
qui finit par ton mot de passe principal
si tu perds ton mot de passe principal
non seulement tu ne peux pas te loguer et avoir accès à ton cookie
et faire des appels à la paix
mais tu ne peux pas non plus déchiffrer
les différents événements
enfin les différentes clés
qui permettront d'accéder à tes données
donc c'est un peu ennuyeux
sachant que les gens oublient leur mot de passe
du coup
j'essaie de mettre en place un système
où tu peux faire du recovery
de mot de passe
par ce qu'on appelle
du split
de secret
ok
moi j'avais deux questions
avant de faire le chiffre.io
est-ce que tu maîtrisais
le chiffrement comme ça
ou tu as appris en faisant ça
et puis
moi j'avais commencé déjà à faire des trucs
mais j'ai vraiment mis ça
en prod avec chiffre
ça demande à apprendre pas mal de choses
pour faire ça de manière sécurisée
c'est complexe
et c'est pas simple
la couche de chiffrement, les algorithmes en tant que telle
ils sont pas tellement compliqués
ça reste des trucs standard
c'est de la E.S.256
pour le chiffrement symétrique
et du NACL
solde
box pour la symétrique
donc c'est deux standards assez bien établi
qui sont en place
non, la problématique
quand tu commences à faire du chiffrement
c'est que toute l'architecture
de ton appli
il faut la penser de manière à ce que tu puisses garantir
ce chiffrement de bout en bout
c'est à dire que tu n'es pas une faille à un endroit
ou le mot de passe il fluit en clair
et du coup tu pourrais techniquement
utiliser pour dériver, récupérer les clés etc
typiquement l'authentification
comment est-ce que tu authentifie ton client
avec login mot de passe
sans envoyer le mot de passe
il y a des protocoles
qui servent à ça pour faire ce qu'on appelle
de l'authentification zéro knowledge
tu prouve que tu as accès au mot de passe
sans envoyer le mot de passe
c'est
une sorte
d'échange qui se fait en deux temps
au moment du login
et qui se base sur des infos
qui ont été calculés au moment du sign up
ça permet de prouver
que tu connais le mot de passe
sans avoir à l'envoyer
ce qui est bien pratique
parce que le mot de passe sert à autre chose
que juste autant de cipiers
ça demande
à penser le système un peu différemment
c'est ça c'est plus que la technique
c'est comment
la technique en elle même
tu as toujours des détails
d'implémentation
qui vont faire que
tu peux te tirer une balle dans le pied
on a vu ça avec java
qui avait un problème
avec un algorithme de signature
qui faisait que tu pouvais envoyer
une signature nul que des zéro
et ils te disaient ok ça passe
parce qu'ils avaient fait une erreur d'implémentation
ils avaient voulu vérifier un détail
de crypto quelque part
et ce genre de choses c'est sérieux
donc il y a toujours
une question de risque
sur ce genre de choses
généralement ce genre de choses tu peux le détecter
en utilisant des librairies
qui sont bien audités et qui sont vérifiées
par pas mal de gens
ensuite tu peux faire un audit de ta propre plateforme
pour vérifier toute ta chaîne
de crypto et
elle est solide
c'est quelque chose que je ferai avec chiffre je pense
quand ça prend un peu plus d'envergure
quand tu seras arrivé
à maturité sur le produit
voilà c'est ça quand la partie produit
il sera plus
définie que pour l'instant comme je disais
c'est basé sur des analytics web mais je pense qu'il y a
mieux à faire que ça
il reste à définir quel est le mieux à faire
je suis en discussion avec pas mal de gens
pour voir
comment faire évoluer tout ça
et voilà
mais ouais la partie crypto
c'est un des aspects
en tout cas sur lesquels
la technique
peut donner
un début de solution
à ce concept
de souveraineté des données
ok et après
donc là normalement tu sort la
enfin tu viens de sortir la v2 c'est ça
c'est ça alors la v1 c'était le
le MVP on va dire
qui tournait chez bon
pour moi et pour quelques potes
là je commence à
discuter d'avoir un truc un peu plus
sérieux
pour l'ouvrir à tout le monde
ok donc la v2 c'est un peu en test
et puis là ça y est
surtout en fait la v1 c'était
j'avais
sur-engineer le truc avec des micro
services de partout et tout
parce que c'était cool à l'époque
pour faire plaisir
mais tu te tires une balle très vite dans le pied
et tu t'en rends pas compte tout de suite
et quand ça commence à devenir la galère à maintenir
et à poucher des updates
et des trucs comme ça entre différents packages
partout différents ripos à synchroniser
c'est quand c'est l'an dernier
je me suis dit et c'est là pour nous arrêter tout ça
on réécrit tout dans un monolithe
bon vieux monolithe notre js partout
c'est marrant ça
et ça marche beaucoup plus
un peu un problème des micro services c'est la maintenance
du truc
le micro service c'est bien quand tu as beaucoup d'équipe
avec beaucoup de gens
mais quand t'es tout seul c'est pas une bonne idée
c'est pas du tout une bonne idée
ton code est tout open source
alors pas encore
il y a des parties du MVP
qui sont open source
puisqu'il y avait plusieurs ripos
donc toute la couche de crypto et open source
pour montrer comment ça fonctionne
toute la couche de
de tracking
le tracker script qui tourne chez les visiteurs
lui il est open source
il faut qu'il soit open source pour montrer
voilà ce que je chip chez les gens
j'ai rien à cacher que je fais autre chose
et voilà ce que je récupère aussi
et ce que je récupère
et donc l'autre partie qui était open source
c'était l'agrégateur d'événement
là où je récupère finalement ce qui a été envoyé par le visiteur
et je le stock dans une base de données
après une fois que c'est stocké dans la base de données
c'est chiffré
toute la partie API front end
n'était pas encore open source
mais la v2
qui du coup est dans un seul réquisitori
je l'aime sortir en open source
quand la beta sera terminée
et du coup
l'entièreté du code littéralement de la plateforme
sera visible
parce que le chiffrement c'est bien
mais si tu le fais de manière privée
ça n'a aucun intérêt
il faut que ce soit transparent
ce genre de choses
et donc la transparence ça vient par l'ouverture
des codes pour montrer vraiment ce qui tourne
sur le
enfin quel est le code qui est utilisé
pour que les gens puissent le lire
et ça vient aussi
par la transparence
de déploiement
voici le code que je vous montre
mais je dois pouvoir vous prouver
que c'est aussi le code qui tourne
c'est bien de vous montrer du code
mais si je veux déploie autre chose
ça ne vaut pas grand chose
ça me rappelle une certaine application pendant la Covid
ou le code était open source
mais en fait
ce n'est pas le code qui était répliqué
ce genre de choses
il y a plein plein de problèmes
à TIC
pour essayer de prouver
que c'est vraiment le serveur qui tourne
avec un peu de crypto
ça peut se faire, c'est pas la meilleure solution
généralement c'est mieux
de faire confiance
à un tiers parti
qui vérifie régulièrement que tout va bien
ou un réseau de tiers parties
qui est tous ensemble
ou une blockchain
non non non
je l'avais vu venir celle-là
non non
et pourquoi pas bien ?
ça pourrait être fait
pour genre de choses la blockchain
typiquement
mais c'est extrêmement
wasteful
comme on dit en français
c'est
inefficace au possible la blockchain
pour arriver à faire quelque chose
qui reste une base de données
à la base, tu brûles la moitié de la planète
juste pour vérifier
2-3 calculs
bref, il y a des blockchain
qui pourraient fonctionner
mais la plupart du temps quand on dit blockchain
les gens pensent à bitcoin ou Ethereum
qui sont horribles au niveau
performance
efficacité, efficacité
efficience, pas du tout
pas du tout
pour arriver à vérifier quelque chose
ça te prend 4 minutes
ça brûle je sais pas combien de gigawatts
c'est clair
mais bon il y a d'autres solutions
qui sont en passe
qui sont en passe
d'être développés, d'autres protocoles
qui sont justement beaucoup moins
énergivores
tu prends par exemple tout le fait
que le web entier
est basé sur HTTPS
qui est basé sur une chaîne
de trusted parties
qui génère les certificats
est-ce qu'on a besoin d'une blockchain
pour gérer des choses ? non
on a très bien
tourné avec HTTPS
depuis je sais pas combien d'années
ça fonctionne, est-ce qu'on a besoin
de mettre tout ça dans une blockchain ? non
c'est pas nécessaire
du moment qu'on a suffisamment d'acteurs
différents et bien séparés
qui se mettent d'accord
on va vérifier quelque chose
ça suffit
pareil le système banquier mondial
il a assez faille
mais il a marché
pendant des milliers d'années
on va pas refaire les petites
on va pas refaire
les petites sur 3m
mais ça pourrait être intéressant
d'en refaire un autre
mais bien sûr
il faut échanger
il faut confronter
j'avais une dernière question
si je peux
au niveau du script
tu sais qu'on insère sur le site web
c'est super important
qu'il soit rapide
et est-ce que tu as
travaillé spécifiquement
sur cette partie ?
c'est une chose sur laquelle
je suis moins bien placé
que
un Oumami
ou un plausible
qui ont des scripts qui font 1Kb
parce qu'ils n'ont pas grand chose à collecter
ça tient en 4 lignes
moi j'embarque
toute l'algorithme de chiffrement
puisqu'il n'est pas disponible
sur tous les navigateurs
et sur l'algorithme
que j'utilise et pas disponible sur tous les navigateurs
je pourrais utiliser un algorithme un peu plus vieux
typiquement RSA
mais qui n'est pas du tout
recommandé en termes de
sécurité de crypto
en théorie la seule personne
qui pourrait la casser c'est moi
si j'essaye d'attaquer le truc
on pourrait juger
d'utiliser du système
mais la volonté
d'utiliser un algorithme assez moderne
c'était parce que un jour
RSA se fera craquer
et un jour ma database se fera liquer
par une raison ou pour une autre
c'est pas une question de si
c'est une question de quand
toujours les données fuite
c'est leur nature
et donc du coup
la question c'était comment est-ce que je garantis
la sécurité des
des données que je chiffre
et donc du coup
j'embarque forcément
l'algorithme de chiffrement dans le
tracker script pour qu'il puisse tourner
chez le client
et donc
c'est un script un peu plus lourd
que les RSA sur
après aujourd'hui on peut le
différer
avec
oui bien sûr
c'est conseillé dans l'installation
tu rends tout ça à sync
différable
sur Next.js
et même le mettre
sur des services workers qui ne viennent pas
bloquer la page
par exemple
tu peux le loader comme tu veux
c'est un script
un script.js
et après tu l'as
tu l'as fait en mode
jspure ou tu t'as fait des
librairies type react
ou Angular
pour pouvoir le bloquer directement
pour l'intégration tu vois bien
pour l'instant il y a une librairie
pour NuxT
c'est un pote à moi qui
utilise NuxT beaucoup et qui utilise
des chiffres qui a développé ça
je vais faire sûrement
un component pour Next.js
qui utilise le script component
qui sera à 4 lignes
mais que je pourrais mettre dans un package
histoire que ce soit facile à intégrer
et surtout là où ça va être intéressant
c'est quand on va commencer à avoir des événements custom
avoir une bonne API
pour traquer des événements business
dans ton appli
pour pouvoir suivre ce qui se passe
et voilà
donc il y a pour l'instant
une appli qui existe mais qui est pas encore documentée
mais qui fonctionne
qui stoppe des données mais qui pour l'instant
ne sont pas affichées donc
il n'a pas vraiment d'intérêt
mais c'est quelque chose sur lequel
je vais sûrement travailler plus
dans l'avenir puisque comme je disais
la partie web pour l'instant elle tourne bien
l'avenir principalement
de la plateforme c'est
qu'est-ce qu'on fait avec des données qui ont vraiment du sens pour les utilisateurs
et
vraiment instrumenter leurs applications
et arriver
à visualiser ça de manière cool
derrière
et tout ça ça va passer par les custom events
top
donc ouais du coup
t'as quand même pas mal de boulot quoi encore
oh oui oui ça c'est sûr
alors après ça reste un site project
que je fais dans mon temps libre
donc c'est pas non plus
la même approche que
que les alternatives que t'as proposé
qui eux sont souvent des boîtes
qui sont dédiées à ça et qui travaillent là-dessus
euh
5 jours sur 7 quoi
c'est pas du tout la même approche
moi c'est vraiment
je fais mon site project dans mon coin
je mettrai sûrement
les paywalls à un moment
dès que tu dépasses un certain volume
d'événement
histoire que de rentabiliser un peu le truc
parce que c'est bien que
moi je paye pour le hosting
mais bon
ce serait mieux si ce soit partagé
après
je sais, j'essaierai sûrement pas
de scaleer le système jusqu'à
des millions de clients avec des gros
gros serveurs et trucs comme ça
j'essaie quand même de faire un système
où ça peut garantir de la privacy
pour certaines personnes
il reste encore à trouver vraiment le marché
pour lequel ça va bien coller
mais ce sera clairement pas
du web marketing comme tu disais
pour des grosses boîtes
la façon dont le système est
architecturé, de toute façon je pense que
ça va combien d'attends
yes
et surtout ils ont plein d'alternatives
ça marche
mais écoute
François
top tout ça
je sais pas si tu veux rajouter
quelque chose, Patrick peut-être
on peut quand même repasser
vite fait sur les solutions alternatives
en plus de chiffres.io
je répète le site de François
la solution de François
chiffres.io
l'adresse URL
mais si on peut repasser vite fait
sur la liste parce que finalement on n'a pas tout
encore un autre
il y a plausible
qui est assez
pareil toujours sur le même
créneau
sur appliquer une alternative
eux ils ont un service de cloud
et je pense que c'est comme ça
qui gagne de l'argent
c'est host directement sur le cloud
du coup ça fait un truc un peu rapide
rapide à installer
et
une alternative rapide en tout cas
et efficace
après on peut l'utiliser aussi en mode open source
et l'héberger
nous-mêmes si on veut pas payer
les fises
il y a
pardon
tu payes ton hébergeur du coup par contre
exactement tu payes ton hébergeur
après
il y a fantôme
aussi
phatom
phatom
c'est pas évidement comme mot pour les français
phatom
c'est pas faux
dans mes recherches
j'avais trouvé
piratepx
et en fait lui il reprend le concept
de l'image du pixel
de 1.1
un truc super lite
pour le coup c'est hyper
hyper hyper limité
mais on mettra le lien
dans la description
ou on prend
toujours le même
le même concept
pour éviter
de sortir
coco analytics je sais pas si tu connais
François
ça me dit rien
il y en a tellement
un qui sort tous les mois
il y a des sites
qui essaient de lister
on m'a demandé
plusieurs fois de matchs
et je t'avoue que j'ai plus les noms
des agrégateurs en question
il y a des gens qui ont mis ça
sur des awesome githab repo
des jolis pageways de mec
c'est assez rigolo
comme exercice
de développer un système d'analytique
du coup
chaque personne a sa vision
de comment ils voudraient faire les choses
et c'est pour ça que ça fleurit
comme des pâcrettes
ok
et matomo je pense qu'il est
déjà plus en place
je l'avais utilisé
c'était une des premières solutions
que j'avais essayé avant de créer les chiffres
de self hosting matomo chez moi
le self hosting c'est bien
mais il faut déjà avoir des connaissances
si tu veux juste avoir un système
d'analytique
pour mettre en place sur ta page web
et qu'il faut que tu le celles fosses
que tu comprennes comment fonctionne une base de données
que tu connais tous les trucs ensemble
c'est un peu lourd
après matomo
c'était assez proche
de ce que Google Analytics proposait
par défaut
mais encore une fois c'est lourd pour le commun des mortels
en termes
de ce dont t'as besoin et comment c'est présenté
c'est un peu lent
ça prend du temps à ficher des trucs
c'est
une grosse usinagase
c'est une grosse usinagase quand tu veux sortir
d'une usinagase fermée
c'est une usinagase ouverte
donc c'est un peu mieux
c'est un peu mieux
mais ça dépend vraiment des problématiques
que tu essaies de répondre
ok
top
top
et ouais
toute façon on mettra toutes les solutions
alternatives
dans la description
de l'épisode
et ah ouais top
si tu peux
parfaite, de toute façon on pourra faire une mise à jour
au pire si tu l'as pas tout de suite
c'est pas gênant
parfaite
écoutez
top, un grand merci à toi
François
pour le temps que tu nous as accordé
pour la discussion
et ta vision
super intéressant
merci à vous de m'avoir invité
plaisir
et puis à limite
quand on reparlent d'open source
ou de chiffrement de blockchain
on t'invite et puis on re-exécute
en open source
carrément parce que je fais pas mal
de boulot en open source sur github
la plupart des trucs que j'ai fait
pour chiffre
quand c'était possible je les ai mis en open source
il y a différentes petites solutions
il y en a pas mal qui tournent bien
et c'est vraiment une philosophie
à laquelle j'adhère pleinement
donc si vous faites un épisode open source
ça m'intéresse clairement
ok, ça marche
un grand merci à tout le monde
d'être resté jusqu'au bout
merci à tous
vous pouvez nous retrouver sur youtube
sur les petits pouces
les petits likes et tout ça
et ça fait toujours plaisir
un grand merci à vous
salut