Toute la complexité du monde se cache dans le champ Nom d’un formulaire

Une personne n’a pas forcé­ment un seul prénom suivi d’un seul nom de famille. Elle peut avoir un seul nom, ou trois prénoms et quatre noms de famille, en changer au cours de sa vie, son nom peut être très long ou très court… il y a telle­ment de variantes à travers les sociétés humaines que l’ex­cep­tion doit être consi­dérée comme la norme. Cette complexité existe aussi pour les numéros de télé­phone, les adresses, et pour tant d’autres méca­nismes qu’il existe toute une litté­ra­ture à ce sujet, avec un titre devenu coutu­mier : « Les erreurs que font les déve­lop­peurs avec [bidule] ».

S’il existe une longue liste de ces dispo­si­tifs, c’est qu’ils sont trop souvent mal pris en compte en infor­ma­tique. Cela peut avoir des consé­quences très gênantes, par exemple si votre nom de famille est aussi un mot réservé qui signifie le « rien » en program­ma­tion et que vous faites tout bugger.

C’est un problème clas­sique d’écart entre le terri­toire et la carte. Un concep­teur modé­lise la réalité comme il peut, en faisant des raccourcis : un être humain est iden­tifié par un prénom et un nom, dans cet ordre et sans rien d’autre. Il doit bien exister deux trois excep­tions mais on verra plus tard, se dit-il.

Les noms sont déjà complexes, alors imaginez une notion comme la famille. Par exemple le service Google Play Family impose des règles qui forment une défi­ni­tion impli­cite.

Admettons que ce sont surtout des limites commer­ciales pensées pour que les gens n’abusent pas du système en ajou­tant trois cent personnes du monde entier à leur « famille ». Mais quand même. Qui est Google pour dire qu’une famille ne peut être composée de nombreuses personnes vivant dans plusieurs pays ? Ensuite, ça influe forcé­ment sur la vie des gens : le service devient intriqué avec leur quoti­dien et définit quels films peut regarder un enfant, avec qui et sur quel appa­reil. Tout ça dans un contexte d’ob­jets toujours plus présents et connectés, où la famille peut avoir un appa­reil Google dans chaque pièce et plus d’ap­pa­reils que de membre.

Nom, prénom et design tragique

Bref, conce­voir un système peut avoir des consé­quences graves et inat­ten­dues, c’est un thème dont la profes­sion prend conscience, avec diffé­rents approches (design tragique, design systé­mique…) et spécia­lités (impact sur les mino­rités, biais et auto­ma­ti­sa­tion forcenée en intel­li­gence arti­fi­cielle…).

Mais ce que j’aime avec mes exemples, c’est qu’ils paraissent anodins. On ne parle pas de l’UI qui a causé l’envoi d’une fausse alerte d’at­taque de missiles à tout Hawaï ou de cock­pits d’avions mal conçus. La majo­rité des gens aujourd’hui saisissent leur nom en deux secondes et leur adresse par auto-complétion. Pourtant les noms sont une construc­tion à l’in­ter­sec­tion de bien des enjeux et des insti­tu­tions sociales :

Enfin et plus large­ment, les noms de personnes sont en eux-même un phéno­mène social complexe, avec un champ d’étude dédié en sciences sociales : l’an­thro­po­nymie, dont on pourra lire une synthèse fasci­nante ici. Elle nous apprend qu’ils ne servent pas qu’à iden­ti­fier une personne, loin de là, mais aussi à classer et hiérar­chiser, à inscrire la personne dans une certaine orga­ni­sa­tion sociale et symbo­lique, ainsi qu’à s’adresser à elle d’une certaine manière, dans un certain contexte.

Bref, pour peu qu’on creuse un peu, toute la complexité de ce qu’on appelle un système socio-technique peut surgir d’un modeste champ de formu­laire.

Le futur sera trivial

J’aime beau­coup le concept de futur trivial (« future mundane ») de Nick Foster, qu’il a présenté dans un article et lors d’une confé­rence. Qu’est-ce à dire ?

Millenium Falcon

Thèse 1 : « dans le futur, les tables resteront branlantes » (source de la formule)

Comprendre : la tech­no­logie restera impar­faite, soumise à l’usure, pleine d’im­prévus, et vecteur de désa­gré­ments, petits ou gros.

Thèse 2 : une société humaine change par accrétion.

  • Elle évolue selon des rythmes diffé­ren­ciés. Comme le suggère le schéma ci-après, la mode change plus vite que les infra­struc­tures.
  • Elle évolue de manière non séquen­tielle : une tech­no­logie n’est pas adoptée instan­ta­né­ment et univer­sel­le­ment, et des tech­no­lo­gies de géné­ra­tion diffé­rente peuvent coha­biter et se mélanger. Pour reprendre l’exemple favori de David Edgerton, on n’a jamais autant utilisé de chevaux que pendant les deux guerres mondiales. Je recom­mande d’ailleurs vive­ment les articles et livres de cet histo­rien des sciences.

2016-09-29_23h49_56

On peut inter­préter ce concept de plusieurs manières :

  • Pessimisme (90% des choses sont nulles et le reste­ront).
  • Difficulté à conce­voir un système complexe en anti­ci­pant tous ses aspects. Comme le dit Frederik Pohl : « une bonne histoire de science-fiction doit pouvoir prédire l’embouteillage et non l’automobile ».
  • L’idée que certains micro-phénomènes sont plus révé­la­teurs de chan­ge­ment que les jetpacks et autres voitures volantes.

A ce sujet, on pourra aussi lire le chapitre « Futurs au quoti­dien » de ce livre par Nicolas Nova – d’ailleurs un collègue de Foster.

Six métaphores plus modestes qu’il n’y parait pour le rôle du designer

Le desi­gner comme hôte – Charles Eames, 1972.

Le desi­gner comme traduc­teur, perfor­meur ou réali­sa­teur — Mickael Rock, 1996.

Le desi­gner comme drama­turge – Brenda Laurel, 1991.

Le desi­gner comme ventri­lo­quiste – Hutchins, 1987 (alerte mauvais PDF) :

The meta­phor of user and computer engaged in a conver­sa­tion with each other or carrying on a dialogue about the task at hand is the most popular of the mode of inter­ac­tion meta­phors for human computer inter­faces.

Voir aussi :

Vous n’avez pas le mono­pole du design.

Le Tao du design web (2000).

De quelques similitudes entre utilisabilité et sécurité

Créer un système, c’est s’as­surer qu’il remplit un ensemble de fonc­tions données, mais aussi qu’il possède des qualités globales comme la main­te­na­bi­lité, la fiabi­lité, la rapi­dité… On les appelle parfois des exigences non-fonctionnelles. Parmi elles, l’uti­li­sa­bi­lité et la sécu­rité sont des qualités cruciales et moins anta­go­nistes que l’on ne pour­rait le croire.

Ne pas raisonner dans l’absolu

On se demande souvent « est-ce que cette inter­face est ergo­no­mique ? » Ce n’est pas la bonne ques­tion à se poser car elle n’a pas grand sens dans l’ab­solu. Il faut plutôt cher­cher à savoir dans quelle mesure elle est utili­sable, selon certains critères, pour certains usages et avec certaines contraintes.

Le même enjeu existe en sécu­rité : on oscille entre fantasmes de protec­tion totale et senti­ment résigné que, de toute façon, Google et la NSA savent tout de nous. Pourtant, non seule­ment la sécu­rité n’est pas une propriété binaire, mais grosso modo elle dépend de trois facteurs.

  1. Les enjeux : à quel point les données à protéger sont critiques ? Cette évalua­tion se fait clas­si­que­ment selon trois critères : la dispo­ni­bi­lité (les personnes auto­ri­sées ont accès aux données), la confi­den­tia­lité (unique­ment ces personnes y ont accès) et l’in­té­grité (les données n’ont pas été modi­fiées dans leurs dos). Selon le contexte, certains critères vont être privi­lé­giés : par exemple je consi­dère que déver­rouiller mon télé­phone faci­le­ment est plus impor­tant que de le rendre indé­chif­frable, donc je ne lui donne pas de mot de passe inter­mi­nable.
  2. Le modèle de menace : qui en a après mes données, quelles ressources a‑t-il et à quel point est-il déter­miné.
  3. La réponse : quelles mesures mettre en place ?

Elaborer une poli­tique de sécu­rité n’est pas forcé­ment très compliqué. Par exemple, selon James Mickens dans cet article très drôle, le modèle de menaces d’un parti­cu­lier peut se limiter à « Mossad ou pas Mossad ». Si le Mossad (ou une insti­tu­tion compa­rable) en a après vous, vous êtes foutus. Si non, prenez des mesures raison­nables et tout ira bien.

Même si elle n’est pas très compli­quée, la sécu­rité n’est jamais une propriété binaire. Il en va de même en ergo­nomie : on peut favo­riser la poly­va­lence ou la spécia­li­sa­tion, une appre­na­bi­lité rapide ou longue, etc.

Ne pas se croire tout puissant

En sécu­rité, un aspect inté­res­sant est que les mesures prises ont pour objec­tifs de rendre accep­table le niveau de risque — et pas plus. Pour chaque risque iden­tifié, on évalue sa vrai­sem­blance et sa gravité, avant de prendre une mesure pour dimi­nuer son impact. A la fin, il reste des vulné­ra­bi­lités rési­duelles, qu’il suffit d’ex­pli­citer et de justi­fier : certes, quel­qu’un avec un accès physique au système, une porte dérobée déjà en place et un super­cal­cu­la­teur de poche pour­rait opérer une brèche. Mais c’est un risque accep­table.

Ce n’est pas très diffé­rent d’une démarche ergo, dans laquelle on iden­tifie certains déter­mi­nants de l’ac­ti­vité (par exemple, l’uti­li­sa­teur est forcé d’uti­liser sa tablette avec des moufles), auxquels on répond par des solu­tions (doubler la taille des boutons) ou des recom­man­da­tions (ne pas utiliser la tablette dans un contexte néces­si­tant ces moufles).

La diffé­rence, dans mon expé­rience, c’est que la démarche ergo est :

  • Moins forma­lisée : Les obser­va­tions et solu­tions sont moins décom­po­sées, les points faibles sont affi­chés de manière moins trans­pa­rente. (Mais j’ai peut-être une vision idéa­liste des audits de sécu­rité.)
  • Moins cadrée : au nom d’une utili­sa­bi­lité parfaite et absolue, on nous demande souvent l’im­pos­sible. Une bonne part du boulot d’un expert en ergo­nomie est d’ex­pli­quer que l’on n’est pas omni­po­tents.

Faire avec l’utilisateur

Une dernière simi­li­tude, c’est qu’on ne peut pas conce­voir un système isolé : il faut anti­ciper son utili­sa­tion et supposer que l’uti­li­sa­teur peut être étourdi, brico­leur, ou malveillant (voire les trois en même temp). Par exemple, il faut anti­ciper ce qui se passe si l’uti­li­sa­teur oublie son mot de passe ou s’il est laxiste dans une procé­dure de véri­fi­ca­tion quel­conque.

Dans les deux cas, il y a une tension entre les utili­sa­teurs réels (pressés et tous diffé­rents) et idéaux (conscien­cieux et atten­tifs). Il existe même un concept juri­dique de « personne prudente et raison­nable », consa­crant le fait que mani­puler des infor­ma­tions sensibles entraine certaines respon­sa­bi­lités et exige un certain compor­te­ment. Evidemment, c’est plutôt rare d’aller en prison parce que vous n’avez pas utilisé un logi­ciel comme un concep­teur l’es­pé­rait. Malgré tout, la concep­tion doit faire certains postu­lats et compromis.

Similaires, voire complémentaires

La sécu­rité nuit souvent telle­ment à l’uti­li­sa­bi­lité qu’elle se tire une balle dans le pied. Les exemples ne manquent pas, des critères absurdes de choix de mot de passe à la complexité (PDF) des outils de chif­fre­ment. Les deux approches sont suffi­sam­ment simi­laires pour pouvoir être complé­men­taires. Il suffit d’en revenir à l’uti­li­sa­teur. Voici deux articles clas­siques pour creuser le sujet : « Users are not the enemy  » (PDF) et « When secu­rity gets in the way ».

L’offre crée sa propre demande

Cette formule de Keynes résume l’idée que la demande n’est pas statique et tend au contraire à augmenter lorsque l’offre croît elle aussi. La raison est simple : si un domaine est en situa­tion de pénurie, une partie de la demande va rester inex­primée. Par exemple, je ne vais même pas essayer d’emprunter une route si je sais qu’elle est en perma­nence bouchée. Cela ne veut pas dire que je n’en ai pas envie. Ce phéno­mène a été redé­cou­vert, avec des variantes, dans bien des domaines :

  • Mon exemple est un problème de plani­fi­ca­tion des réseaux de trans­port. On y trouve le concept de demande induite (ou latente), la conjec­ture de Lewis-Mogridge et le para­doxe de Braess.
  • L’effet de rebond en économie : augmenter l’ef­fi­ca­cité des méthodes de consom­ma­tions d’une ressource natu­relle tend à en augmenter la demande. Par exemple, l’in­ven­tion du moteur à vapeur de Watt, nette­ment plus effi­cace que ses prédé­ces­seurs, a large­ment augmenté la demande en charbon, alors que le volume néces­saire à l’in­dus­trie avait tech­ni­que­ment diminué.
  • Le prin­cipe de Blynn, en image de synthèse : la puis­sance crois­sante des ordi­na­teurs s’est réper­cutée dans une augmen­ta­tion de la qualité des images, pas dans une dimi­nu­tion des temps de rendu. Le prin­cipe de Wirth, plus général, peut aussi être inter­prété dans ce sens.
  • Le prin­cipe de Parkinson : dans une orga­ni­sa­tion, le temps néces­saire pour accom­plir une tâche augmente jusqu’à occuper toute la durée qu’on lui a attribué.

Je tiens à remer­cier la section « voir aussi » de Wikipédia, sans qui je n’au­rais pas décou­vert la moitié de ces idées.