Axiomatique

      X0ϕ^def= ϕ ∀n ∈ Z^∗+, Xnϕ^def= XXn−1ϕ ∀n ∈ Z^∗−, Xnϕ^def= X⁻¹Xn+1ϕ (4.33)

4.2.2.3 Syntaxe compl`ete de DLP

Nous pouvons maintenant donner la grammaire du langage DLP final, dans laquelle les op´erateurs d´eontiques et temporels sont librement mˆel´es.

dlp= predicate | dlp “ ∨ ” dlp | “¬” dlp | “Obν a” dlp | dlp “ U ” dlp | “H” dlp | “X−1” dlp ; (4.34) 4.2.3 Axiomatique

L’axiomatique que nous proposons pour la logique DLP est fond´ee sur les axiomatiques standard des diverses modalit´es utilis´ees.

4.2.3.1 R`egles d’inf´erence

Les r`egles d’inf´erence de la logique DLP sont celles de la logique propositionnelle (modus ponens et instanciation universelle), augment´ees des r`egles de n´ecessitation sp´ecifiques aux mo-dalit´es introduites. On utilisera l’op´erateur d’inf´erence logique ⊢DLP, qui pourra ˆetre not´e ⊢ en l’absence d’ambigu¨ıt´e.

Les r`egles de n´ecessitation d´eontique (une r`egle pour chaque modalit´e d´eontique) permet de d´eriver l’obligation de tout th´eor`eme :

⊢ ϕ ⊢ Obν

a ϕ ^(Ob

ν a-RN) Les r`egles de n´ecessitation temporelle permettent de d´eriver la permanence de tout th´eor`eme dans le pass´e et dans le futur :

⊢ ϕ

⊢ Gϕ ^(G-RN)

⊢ ϕ

4.2.3.2 Axiomatisation des op´erateurs individuels Les modalit´es Obν

a sont entendues comme des obligation SDL, elles sont donc assorties d’une axiomatique de type KD.

Ob^ν_a (ϕ → ψ) → (Ob^ν_a ϕ → Ob^ν_a ψ) (Obν

a-K)

Ob^ν_a ϕ → P er_a^ν ϕ (Obν

a-D) La modalit´e U est axiomatis´ee comme pr´ecis´e dans le chapitre 2, `a l’exclusion de l’axiome de conversion (2.27) entre U et S. On omet ´egalement l’axiome (S-L), qui impose un point de d´epart au flot de temps, car la logique SDL est pr´evue pour travailler sur un flot de temps isomorphe `a (Z, <) plutˆot qu’`a (N, <).

La modalit´e X⁻¹ a la mˆeme axiomatique que celle pr´esent´ee pour X dans le chapitre 2, `a savoir KDAlt :

X⁻¹(ϕ → ψ) → (X⁻¹ϕ → X⁻¹ψ) (X⁻¹-K)

X⁻¹ϕ → ¬X⁻¹¬ϕ (X⁻¹-D)

¬X⁻¹¬ϕ → X⁻¹ϕ (X⁻¹-Alt)

L’axiomatique des modalit´es G et F sur le futur est contenue dans l’axiomatique de U dont elles sont des abr´eviations, mais celle de H (et par extension de son dual P ) doit ˆetre pr´ecis´ee. Elle correspond `a l’axiomatique classique de l’op´erateur en logique temporelle lin´eaire.

H(ϕ → ψ) → (Hϕ → Hψ) (H-K)

Hϕ → P ϕ (H-D)

Hϕ → HHϕ (H-4)

(P ϕ ∧ P ψ) → P (ϕ ∧ P ψ) ∨ P (ϕ ∧ ψ) ∨ P (P ϕ ∧ ψ) (H-.3) 4.2.3.3 Axiomes de conversion entre modalit´es temporelles

La logique DLP permettant un raisonnement conjoint sur pass´e et futur, il est n´ecessaire d’utiliser les axiomes de conversion correspondants, emprunt´es `a LTL, et liant les modalit´e H et X<sup>−1</sup> `a U.

ϕ ↔ XX⁻¹ϕ (XX⁻¹)

ϕ ↔ X⁻¹Xϕ (X⁻¹X)

ϕ → GP ϕ (GP)

ϕ → HF ϕ (HF)

Il est ´egalement n´ecessaire d’introduire un certain nombre d’axiomes pour assurer les bonnes relations entre les modalit´es X⁻¹ et H⁶ :

6

En r´ealit´e, l’axiome (HX−1) est un th´eor`eme, il peut ˆetre d´eriv´e de (X−1P) et de (X−1-D). Nous le laissons n´eanmoins pr´esent pour des raisons de sym´etrie et de lisibilit´e de l’axiomatique.

99 D´efinition de la logique DLP

X⁻¹ϕ → P ϕ (X⁻¹P)

Hϕ → X⁻¹ϕ (HX⁻¹)

(X⁻¹ϕ ∧ X⁻¹Hϕ) → Hϕ (H-FP)

(X⁻¹ϕ ∧ H(ϕ → X⁻¹ϕ)) → Hϕ (H-LFP)

4.2.3.4 Pertinence des axiomes de conversion entre modalit´es d´eontiques et temporelles

Il convient par ailleurs de consid´erer les relations existant entre modalit´es temporelles et modalit´es d’obligation. Les candidats principaux sont les ´equivalences suivantes :

– Obν a Xϕ ↔ XObν a ϕ – Obν a F ϕ ↔ F Obν a ϕ – Obν a Gϕ ↔ GObν a ϕ

Ces axiomes de conversion sont connus pour avoir des cons´equences dramatiques sur la com-plexit´e calculatoire du probl`eme de satisfaisabilit´e. Cependant, ces consid´erations ne doivent pas nous arrˆeter si nous nous attachons `a concevoir une logique dont le but est de repr´esenter au mieux la r´ealit´e des r´eglementations. L’acceptation de tels axiomes de conversion aurait pour cons´equence une certaine p´erennit´e des obligations, d`es lors qu’elle sont exprim´ees. Par exemple, si `a une date donn´ee une autorit´e impose `a un agent que ϕ soit vraie le lendemain, ou `a un ins-tant ind´etermin´e du futur, ou d´efinitivement, alors cette obligation ne pourra plus ˆetre invalid´ee, elle sera report´ee jusqu’`a la date `a laquelle elle doit ˆetre respect´ee. Cette id´ee est en contradic-tion ´evidente avec la n´ecessit´e que nous avons identifi´ee de repr´esenter des normes dynamiques, pouvant varier au cours du temps.

En cons´equence, nous choisissons de ne pas adopter de tels axiomes, mais de nous engager `

a fournir des op´erateurs d´eontiques temporels (d´efinis comme des abr´eviations) qui prendront soin par eux-mˆeme de propager obligations et interdictions, et qui pourront ˆetre utilis´es dans les cas o`u cela s’av´erera n´ecessaire.

4.2.3.5 Axiomes de persistance des pr´edicats d’´etat

Dans le langage de base LDLP, nous avons introduit un certain nombre de pr´edicats que nous avons appel´es ✭✭ pr´edicats d’´etat ✮✮. En effet, ils servent `a m´emoriser des informations relatives `a des traitements identifi´es de mani`ere unique. Afin que la valeur de v´erit´e de ces pr´edicats ne soit pas limit´ee `a un instant du temps mais puisse perdurer `a partir du moment o`u ils sont connus par l’agent (en accord avec la s´emantique de ✭✭ m´emorisation ✮✮), il faut inclure dans la logique DLP des axiomes de persistance de ces pr´edicats d’´etat :

actionType(ID, ActionType) → GactionType(ID, ActionType) (G-at)

datatype(ID, DataID, DataType) → Gdatatype(ID, DataID, DataType) (G-dt) forwardList(ID, DataID, Agent) → GforwardList(ID, DataID, Agent) (G-fl) duration(ID, DataID, Duration) → Gduration(ID, DataID, Duration) (G-dur)

responsible(Agent, ID) → Gresponsible(Agent, ID) (G-res)

contact(Agent, ID) → Gcontact(Agent, ID) (G-ct)

L’introduction de ces axiomes dans le langage interdit toute modification ult´erieure de ces valeurs. Ceci peut ˆetre justifi´e par l’identification unique des donn´ees et des traitements : si un traitement ayant exist´e dans le pass´e est remis en service par un nouvel agent, plutˆot que de modifier l’instance m´emoris´ee du pr´edicat responsible pour ce traitement, un nouveau traitement similaire sera cr´e´e avec un nouvel identifiant unique. La mˆeme justification s’applique pour les donn´ees personnelles, d’autant plus que l’on dispose du pr´edicat performatif forward pour mettre en relation une donn´ee personnelle avec une autre.

4.2.3.6 Axiomes de coh´erence des pr´edicats performatifs

La logique DLP ne comporte pas d’axiomes suppl´ementaires concernant l’agencement des diff´erents pr´edicats performatifs. Au premier abord, il pourrait pourtant paraˆıtre sens´e de consid´erer, par exemple, un axiome du type de la formule (4.35), obligeant qu’une demande de suppression de donn´ees soit imm´ediatement suivie d’effet, ou encore de la forme de (4.36), l’imposant de mani`ere m´ecanique dans la logique.

forgetRequest(Agent1, Agent2, ID, DataID) → Ob^ν_a Xforget(Agent2, ID, DataID) (4.35) forgetRequest(Agent1, Agent2, ID, DataID) → Xforget(Agent2, ID, DataID) (4.36) Cependant, cela introduirait dans le langage des pr´esuppos´es sur ce que doit ˆetre une politique de traitement des donn´ees personnelles (ou sur la n´ecessit´e de son respect par les agents), ce qui n’est pas l’objectif de DLP. La logique DLP doit permettre de raisonner sur des normes et des situations relevant de mod`eles r´eglementaires et sociaux tr`es diff´erents, et non prendre parti pour certaines r`egles. En revanche, un agent PAw peut tr`es bien introduire lui-mˆeme ce genre de normes dans sa base de formules DLP, par exemple par le biais des pr´ef´erences de son utilisateur ou via une autorit´e normative fictive.

4.2.3.7 Axiomes de d´eduction sur les types de donn´ees

Nous avons vu que le pr´edicat d’´etat dataType enregistrait une information s´emantique sur une donn´ee personnelle particuli`ere, en utilisant notamment les structures arborescentes des sch´emas de donn´ees P3P [Wor06, 5.5]. `A cause mˆeme de cette structure, il peut ˆetre utile `a l’agent PAw de disposer de moyens de g´en´eralisation des types de donn´ees. Par exemple, le type de donn´ee user.home-info.telecom est un fils du type user.home-info. En cons´equence, la validit´e de la formule suivante fait tout-`a-fait sens :

datatype(ProcessID, DataID, user.home-info.telecom)

→ datatype(ProcessID, DataID, user.home-info) ^(4.37)

De la mˆeme mani`ere, on peut concevoir, pour chaque sch´ema de donn´ees accept´e par l’agent (ceux-ci pouvant ´eventuellement ˆetre fournis par des tierces parties, en compl´ement des sch´emas de base de P3P), un ensemble (fini) de telles implications logiques (sous forme de sch´emas axiomatiques) repr´esentant dans le langage DLP la structure arborescente du sch´ema de donn´ees. 4.2.3.8 Axiomes de coh´erence entre pr´edicats informatifs et pr´edicats

d’´etat

De la mˆeme mani`ere, nous n’introduisons pas d’axiomes imposant que l’information d’un agent par un autre implique que les deux interlocuteurs enregistrent les donn´ees correspondantes

101 D´efinition de la logique DLP

de mani`ere identique dans des pr´edicats d’´etat. En effet, il est n´ecessaire de laisser la possibilit´e `

a un agent utilisateur de manipuler artificiellement les valeurs des pr´edicats d’´etat, par exemple pour se m´enager des marges de s´ecurit´e sur les dur´ees de conservation des donn´ees. De mani`ere similaire, il faut pouvoir permettre `a un agent de service de mettre en œuvre le mˆeme genre de marges de s´ecurit´e, ou au contraire de mentir d´elib´er´ement `a l’utilisateur sur ses intentions r´eelles. Si cette libert´e ainsi laiss´ee peut apparaˆıtre comme contraire aux principes qui nous guident (`a savoir le d´eveloppement d’agent capables de respecter strictement les normes en mati`ere de vie priv´ee), il faut bien comprendre ´egalement que la repr´esentation des strat´egies de violation est essentielle `a leur appr´ehension et `a leur anticipation par l’agent PAw.

Ces consid´erations pos´ees, il est probable qu’un agent PAw bienveillant, ne pouvant consid´erer par exemple les axiomes (4.38) et (4.39) (for¸cant les pr´edicats d’´etat actionType et duration `a correspondre `a d’´eventuelles d´eclarations pass´ees) comme valides, int`egre les formules (4.40) et (4.41) (o`u self d´esigne l’agent lui-mˆeme) dans sa base de normes7. Dans ces normes, l’agent s’oblige lui-mˆeme `a informer son interlocuteur des valeurs qui sont `a sa connaissance vraies concernant ces mˆemes pr´edicats d’´etat.

P⁻informActionType(ServiceAgent, UserAgent, ID, ActionType)

→ actionType(ID, ActionType) ^(4.38)

P⁻informDuration(ServiceAgent, UserAgent, ID, DataID, Duration)

→ duration(ID, DataID, Duration) ^(4.39)

request(self, OtherAgent, ID, Datatype, DataID) actionType(ID, ActionType)    → ^Ob self self informActionType(self,

OtherAgent, ID, ActionType) ^(4.40) request(self, OtherAgent, ID,

Datatype, DataID) duration(ID, DataID, Duration)

   → ^Ob self self informDuration(self,

UserAgent, ID, DataID, Duration) ^(4.41) 4.2.3.9 Diff´erenciation et inconsistance

Comme en logique d´eontique standard, le sch´ema axiomatique (Obν

a-D) menace d’inconsis-tance logique les syst`emes contenant des obligations incompatibles. Ainsi, un ensemble de normes comme celui pr´esent´e en (4.42) est inconsistant.

 Obν

a forget(agent1, trait1, data1) Obν

a ¬forget(agent1, trait1, data1) ^(4.42)

Cette situation est coh´erente avec le point de vue que nous avons choisi sur les incoh´erences de normes internes `a une mˆeme autorit´e normatives : l’agent PAw n’a pas `a raisonner dessus et par cons´equent les ´eliminera avant de les introduire dans sa base DLP, sous peine de la voir devenir inconsistante.

Si l’on s’int´eresse au cas des incoh´erences entre autorit´es distinctes, on observe que l’utilisa-tion d’une modalit´e d’obligal’utilisa-tion unique pour chaque autorit´e normative et pour chaque agent permet (outre la diff´erenciation des traitements) de limiter le risque d’inconsistance logique du syst`eme en cas d’incoh´erences dans les normes. En effet, l’ensemble de normes (4.43) ne provoque

7

Nous consid´erons ici ces normes comme des obligations imm´ediates. Nous verrons par la suite comment affiner leur port´ee temporelle.

pas l’inconsistance en logique DLP, alors qu’avec une seule modalit´e (comme en SDL), l’ensemble de normes (4.44) empˆeche tout raisonnement sain, `a cause du principe ex contradictione sequitur quodlibet.

 Obν1

a forget(agent1, trait1, data1) Obν2

a ¬forget(agent1, trait1, data1) ^(4.43)



Ob forget(agent1, trait1, data1)

Ob ¬forget(agent1, trait1, data1) ^(4.44)

Cette diff´erenciation des op´erateurs d’obligation et leur axiomatisation de type KD permet donc `a DLP de rester compatible avec notre besoin de repr´esenter les conflits entre autorit´es normatives, sans avoir `a g´erer l’incoh´erence d’une autorit´e unique.