Les mod`eles classiques de gestion des croyances par un agent cognitif ne prennent pas en compte les sp´ecificit´es de la protection des donn´ees personnelles. Nous proposons des moyens pour modifier les mod`eles existants de mani`ere `a permettre le traitement diff´erenci´e de ces croyances particuli`eres. En consid´erant `a la fois les croyances normatives de l’agent sur la pro-tection des donn´ees personnelles et ses croyances portant sur des informations sensibles, il est pos-sible de construire des proc´edures sp´ecifiques mettant en œuvre des traitements sur les donn´ees personnelles tout en respectant le contexte normatif de l’agent.
5 - Assurer la protection ´etendue au sein d’une transaction entre agents
5.1 - Exigences de la protection ´etendue
La protection ´etendue des donn´ees, telle que nous l’avons d´efinie, n´ecessite de pouvoir garan-tir qu’une politique donn´ee s’applique bien aux informations sensibles, qu’elles soient g´er´ee par l’agent personnel de l’utilisateur ou bien par un agent distant. `A chacun des six axes de la protec-tion des donn´ees personnelles correspondent des exigences sp´ecifiques. Si l’on veut les satisfaire pleinement, il est n´ecessaire de caract´eriser la confiance que l’on peut avoir dans l’ex´ecution d’un programme distant, dans le syst`eme d’exploitation distant, et dans le mat´eriel de la plate-forme distante.
5.2 - Les technologies fond´ees sur le Trusted Computing
Les solutions de nature logicielle pr´esent´ees pr´ec´edemment ´echouent `a assurer cette protec-tion ´etendue. Les architectures utilisant les Trusted Computing Platforms, au contraire, peuvent fournir des garanties fortes sur le mat´eriel et le logiciel distant. Cette technologie est notam-ment fond´ee sur l’existence d’une composant cryptographique mat´eriel sur la plate-forme. Nous proposons une classification des architectures et protocoles fond´es sur le Trusted Computing en fonction de la localisation des diff´erents composants, de l’existence et de l’utilisation des tiers de confiance, ainsi que d’autres param`etres. Cette classification permet de d´eterminer les exi-gences (en termes de protection ´etendue) qui peuvent ˆetre assur´ees ou pas par l’architecture et les risques qu’elle fait courir `a la vie priv´ee de l’utilisateur.
5.3 - Proposition d’architecture applicative compl´ementaire
Nous proposons une nouvelle architecture profitant des possibilit´es du Trusted Computing. Cette architecture est orient´ee au maximum vers la protection de la vie priv´ee de l’utilisateur, quitte `a poser des restrictions sur le type de traitement distant envisageable et sur les garanties offertes aux fournisseurs de service. Cette architecture applicative vient compl´eter l’offre d´ej`a existante, en offrant un maximum de garanties `a l’utilisateur dans les cas o`u elle peut ˆetre utilis´ee.
13
5.4 - Discussion
Si le principe des Trusted Computing Platforms permet d’augmenter sensiblement la confiance dans les caract´eristiques d’un traitement distant (chose particuli`erement difficile `a assurer sans contrainte sur le mat´eriel distant), ce n’est pas n´ecessairement la seule solution possible `a ce probl`eme. D’autre part, il convient de prendre acte des dangers r´eels que certains types d’impl´ementations et d’utilisations peuvent faire courir `a la vie priv´ee des utilisateurs individuels.
Partie III - Mise en œuvre
6 - Impl´ementation
6.1 - Utilisation de la plate-forme JACK
Nous proposons l’impl´ementation d’un d´emonstrateur du mod`ele d’agent PAw `a partir d’une architecture d’agent JACK, `a l’aide de la plate-forme de d´eveloppement correspondante, constitu´ee d’une surcouche orient´ee agent du langage Java inspir´ee par le mod`ele PRS. Cette plate-forme dispose notamment de fonctionnalit´es permettant une mise en œuvre efficace de proc´edures de s´ecurit´e pour contrˆoler l’acc`es aux croyances sensibles.
6.2 - Couche de raisonnement normatif
La couche logique de l’agent fait usage d’une machine virtuelle Prolog, interfac´ee avec le mod`ele d’agent JACK. Au sein de la logique DLP, nous d´efinissons un sch´ema de formules particulier, nomm´e RDLP. Nous posons l’hypoth`ese simplificatrice, restrictive mais justifi´ee, que les autorit´es normatives ´emettent des normes qui sont des formules sous la forme RDLP. Cette hypoth`ese permettra par la suite des traitements plus efficaces pour la d´etection et la r´esolution des conflits d’obligations. Lorsqu’il re¸coit un nouvel ensemble de normes en provenance d’une autorit´e, l’agent PAw commence par v´erifier que cet ensemble est acceptable, avant de tenter de l’int´egrer `a sa base de normes existante. Un moteur d’inf´erence ´ecrit en Prolog lui permet de d´eriver une contradiction dans l’ensemble total des normes (d´eterminant ainsi un conflit d’obligations), d’identifier les normes individuelles participant au conflit et d’isoler celle qui doit ˆetre d´esactiv´ee pour r´esoudre le conflit.
6.3 - Mise en œuvre de la protection des donn´ees
Lors de la phase d’arbitrage, l’agent produit un ensemble de normes actives (sa politique interne) et un ensemble de normes d´esactiv´ees. Les normes actives sont examin´ees `a chaque fois que l’agent doit manipuler ou transmettre des donn´ees `a caract`eres personnel. Elles servent ´egalement `a planifier des actions pr´evues par le contexte normatif, comme les suppressions de donn´ees. En lien avec ces normes, nous avons propos´e un mod`ele de croyance sp´ecifique pour la repr´esentation des donn´ees personnelles. Il nous est donc possible, dans le cadre d’une impl´ementation en JACK, de les stocker dans une base de croyances s´epar´ee et de mettre en œuvre des politiques de restriction d’usage de ces informations par le biais du m´ecanisme de fonctions de rappel de JACK sur la manipulation des bases de croyances. L’agent PAw dispose de plus de connaissances factuelles sur l’ensemble des architectures applicatives que nous avons analys´ees et sur leurs diverses options possibles. Il est ainsi en mesure de d´eterminer, pour chaque interaction avec un agent tiers, quelle est l’architecture la plus adapt´ee au respect des normes
actives. L’introduction d’´el´ements de n´egociation lui permet de faire en sorte que l’architecture finalement choisie soit la plus favorable possible.
6.4 - Discussion
L’impl´ementation que nous proposons est un d´emonstrateur, con¸cu pour mettre en ´evidence les possibilit´es apport´ees, en termes de fonctionnalit´es pratiques, par nos d´eveloppements th´eoriques. Elle reste limit´ee notamment en ce qui concerne les capacit´es de d´eduction logique de l’agent et la mise en œuvre r´eelle des architectures applicatives.
7 - ´Evaluation
7.1 - Validation du mod`ele
Nous examinons les restrictions pos´ees en termes d’expressivit´e par l’utilisation du forma-lisme RDLP et nous assurons qu’elles ne limitent pas les capacit´es de l’agent PAw `a d´etecter et arbitrer les conflits d’obligations. Nous caract´erisons ´egalement les types de normes impossibles `
a repr´esenter en RDLP et proposons des moyens pour contourner ces limitations. D’autre part, le mod`ele de repr´esentation que nous proposons pour les croyances portant sur les donn´ees per-sonnelles, associ´e aux m´ecanismes JACK mis en œuvre, doit permettre d’assurer une protection locale de ces informations. L’impl´ementation du d´emonstrateur reposant sur des informations de nature d´eclarative sur les plans m´etier, la protection locale des donn´ees personnelles reste sensible `a certaines attaques. En ce qui concerne les diff´erentes architectures d’application, leur impl´ementation d´epasse le cadre de nos travaux. La gestion protocolaire n’´etant mise en œuvre dans le d´emonstrateur que par le biais du raisonnement sur les informations caract´eristiques des diff´erents protocoles, elle n’est donc pas sujette `a validation directe. L’utilisation des diff´erents protocoles sur des sc´enarios applicatifs permet d’illustrer le caract`ere adapt´e ou non de telle architecture `a tel type d’application.
7.2 - Sc´enarios applicatifs
Nous avons pr´ec´edemment identifi´e l’informatique m´edicale, l’intelligence ambiante et le com-merce ´electronique comme des domaines d’int´erˆets pour la conception de sc´enarios applicatifs. Le premier sc´enario se situe dans le domaine de la gestion d’un dossier m´edical informatis´e. L’agent PAw est ici responsable de donn´ees m´edicales appartenant `a des patients et susceptibles d’ˆetre consult´ees par le personnel m´edical et administratif d’un ´etablissement hospitalier. Il devra faire en sorte que la consultation et l’utilisation de ces donn´ees particuli`erement sensibles se fasse conform´ement `a divers jeux de r`egles. Le deuxi`eme sc´enario que nous proposons est orient´e vers l’intelligence ambiante. Ici, l’agent PAw est embarqu´e dans un art´efact intelligent interagissant avec son environnement. Il devra organiser sa collaboration avec les autres art´efacts du syst`eme, en limitant la diffusion d’informations sensibles. Le troisi`eme sc´enario applicatif propos´e place l’agent PAw dans la situation d’un agent personnel dans le cadre d’une transaction de commerce ´electronique. Il doit interagir avec des agents services et des agents tiers de confiance, en vue d’obtenir un service commercial dans un environnement ouvert de type internet. La personnali-sation de ce service n´ecessitant des informations de profil de l’utilisateur humain, l’agent PAw devra g´erer au mieux la protection de ces donn´ees.
15
7.3 - Discussion
Les r´esultats de l’´evaluation de l’agent PAw doivent ˆetre analys´es en consid´erant les li-mitations intrins`eques de son impl´ementation. Notamment, la robustesse et l’utilisabilit´e des architectures applicatives de type Trusted Computing ne sauraient ˆetre ´evalu´ees sans une r´eelle mise en œuvre mat´erielle.
17
Premi`ere partie
´
19
Chapitre 1
Vie priv´ee et protection des donn´ees
personnelles
Dans ce premier chapitre, nous nous int´eressons aux notions de vie priv´ee et de protection des donn´ees personnelles telles qu’elles sont consid´er´ees dans le domaine de l’informatique. Nous ´etudierons la nature de ces concepts, la mani`ere dont ils sont trait´es dans la r´eglementation ainsi que les moyens techniques qui leur sont rattach´es.
1.1 La sph`ere priv´ee
Nous commen¸cons par nous int´eresser `a la notion de vie priv´ee en g´en´eral, en-dehors du cadre informatique. Il nous faut clarifier les termes que nous allons utiliser, avant de nous pencher sur les probl`emes qu’ils peuvent poser du point de vue du ✭✭ l´egislateur ✮✮ et du point de vue individuel.
1.1.1 Nomenclature et d´efinitions
Les notions li´ees `a la vie priv´ee peuvent difficilement ˆetre d´efinies sans s’int´eresser aux diff´erentes acceptions du terme privacy en anglais. En effet, si l’on peut le faire correspondre en fran¸cais `a la notion assez g´en´erale de ✭✭ caract`ere priv´e ✮✮ d’une chose, ce mot semble ˆetre consid´er´e comme recouvrant un certain nombre de concepts li´es. Suivant leur culture et leur point de vue, les auteurs les plus consciencieux prennent soin de pr´eciser ce que d´esignent pour eux le terme privacy, sans l’utiliser indiff´eremment pour right of privacy ou privacy protection, par exemple. Nous consid´ererons ici le terme privacy comme une traduction imparfaite de la locution ✭✭ vie priv´ee ✮✮, nous autorisant par la suite `a d´efinir des termes d´eriv´es.
La mention du concept de vie priv´ee ´eveille chez tout un chacun un ensemble de probl´ematiques li´ees `a notre vie quotidienne ou `a notre perception de proc´ed´es techniques ou li´es `a un certain contexte professionnel. Ainsi, la capacit´e `a cacher un certain nombre de choses sur soi `a un journaliste, au public en g´en´eral, `a des coll`egues, `a des connaissances, rel`eve indu-bitablement de notre droit `a la vie priv´ee. La notion de surveillance des activit´es d’un individu, l’enregistrement ou le traitement d’informations le concernant, le fait d’entrer en communication avec lui sur la base des r´esultats d’un tel traitement sont autant d’actions en lien ´etroit avec la notion de vie priv´ee ou de sph`ere priv´ee. Le concept semble donc composite et par cons´equent difficile `a cerner. N´eanmoins, assez curieusement, certains auteurs ont propos´e des d´efinitions tr`es lapidaires dont on peut se demander si elles correspondent vraiment `a cette vision na¨ıve et intuitive de la vie priv´ee.
En 1967, Alan Westin d´efinit ainsi le terme privacy [Wes67], adoptant un point de vue de type juridique, confondant en un seul et mˆeme mot la chose et le droit `a la chose :
“Right of individuals to determine for themselves when, how and to what extent informations about them is communicated to other.”
La vie priv´ee est donc essentiellement une question de gestion des flux d’informations se rappor-tant `a une personne physique. G¨unter M¨uller adopte un point de vue assez similaire mais plus abstrait [M¨u06] en d´efinissant ainsi la privacy :
“Possibility to control the distribution and use of personal data.”
Ces deux points de vue semblent limiter la notion de vie priv´ee `a une diffusion maˆıtris´ee d’in-formations. Cela peut paraˆıtre frustrant au premier abord au vu des proc´ed´es relativement complexes et d´etach´es de toute consid´eration technique que nous venons de mettre en relation avec la notion de vie priv´ee.
Certains auteurs partent de ce constat pour poser des d´efinitions `a vocation plus g´en´erale, incluant certaines de ces notions. Ainsi, Sara Baase propose par exemple dans son livre The gift of fire [Baa03] une acception l´eg`erement diff´erente et sans doute plus ✭✭ parlante ✮✮, suivant laquelle le mot privacy peut signifier indiff´eremment :
– L’absence d’intrusion ;
– Le contrˆole des informations nous concernant1; – L’absence de surveillance.
Nous incluons donc ici explicitement deux nouveaux processus dans le concept de vie priv´ee, processus qui semblent se rapporter `a notre tentative de description intuitive de la vie priv´ee. Il en ressort donc l´egitimement une certaine satisfaction. Cependant, cette circonscription de la notion de vie priv´ee peut ´egalement paraˆıtre peu naturelle `a cause d’un certain t´el´escopage conceptuel introduit par ces nouvelles notions. En effet, l’intrusion comme la surveillance sont craintes en tant qu’elles sont des menaces pour le contrˆole de nos informations. Cette tentative de d´efinition, comme nombre d’autres, am`ene `a penser que les concepts de la vie courante que nous associons instinctivement `a la notion de vie priv´ee se r´eduisent effectivement tous `a un probl`eme de contrˆole de l’information. Il est ais´e en effet de consid´erer un `a un les ´el´ements que nous avions inclus dans la notion de vie priv´ee, pour les exprimer sous la forme d’une manipulation d’informations.
Ceci pos´e, nous pouvons formaliser quelques d´efinitions li´ees `a la vie priv´ee `a partir des ´el´ements d´ej`a recueillis, afin de faire r´ef´erence par la suite `a des concepts clairs et distincts. Plutˆot que d’utiliser le terme de ✭✭ vie priv´ee ✮✮ qui, nous l’avons vu, peut s’av´erer assez vague `
a cause mˆeme de son ´echo intuitif, nous prendrons appui sur le concept ´equivalent de sph`ere priv´ee, notamment formalis´e par Ludivine Cr´epin et al [CVJ+08].
D´efinition 1.1 (Sph`ere priv´ee). La sph`ere priv´ee d’un individu est l’ensemble des informations, se rapportant `a lui-mˆeme, qu’il consid`ere comme sensibles et donc dignes d’ˆetre prot´eg´ees. Cette sph`ere est personnelle (l’individu est le propri´etaire des informations qu’elle contient), person-nalisable (l’individu d´ecide des informations qu’elle contient), dynamique (les informations peuvent y ˆetre ajout´ees ou en ˆetre retir´ees) et d´ependante du contexte (les informations qu’elle contient peuvent, en nature et en nombre, d´ependre du temps, des activit´es de l’individu ou d’autres param`etres).
1
Dans ce contexte, lesdites informations peuvent ˆetre de deux types : ou bien des faits (des actions ayant ´et´e ex´ecut´ees) ou bien des donn´ees personnelles (comme des identifiants, des informations d’´etat civil ou des caract´eristiques physiques).
21 La sph`ere priv´ee
Nous disposons, avec le concept de sph`ere priv´ee, d’un outil ais´ement manipulable pour traiter de vie priv´ee. La sph`ere priv´ee encapsule donc toutes les informations, explicitement repr´esent´ees ou non, qui nous concernent et que nous souhaitons prot´eger pour quelque motif que ce soit.
D´efinition 1.2 (Droit `a la vie priv´ee). Le droit `a la vie priv´ee d’un individu est sa pr´etention aux caract`eres personnel, personnalisable, dynamique et contextuel de sa sph`ere priv´ee ainsi qu’au contrˆole de la diffusion, de l’utilisation et de la conservation des informations contenues dans sa sph`ere priv´ee, quelles que soient la repr´esentation de ces informations et la localisation de cette repr´esentation.
Nous incluons ainsi explicitement dans le droit `a la vie priv´ee la notion de propri´et´e des donn´ees, fortement li´ee `a celle du contrˆole. Nous explicitons ce contrˆole (de mani`ere compatible avec la d´efinition de Westin) en l’appliquant `a des donn´ees distantes, g´er´ees par des tiers ou bien `
a la repr´esentation desquelles nous n’avons pas acc`es.
D´efinition 1.3 (Protection de la vie (ou de la sph`ere) priv´ee). La protection de la vie priv´ee est l’ensemble des mesures techniques visant `a assurer le respect du droit `a la vie priv´ee.
1.1.2 Aspects l´egaux du droit `a la sph`ere priv´ee
Le fondement du droit `a la vie priv´ee est assez flou et prend ses sources dans les droits li´es `
a l’individu et `a la propri´et´e priv´ee. Deux points de vue particuliers s’opposent sur la nature philosophique de ce droit.
En 1890, dans leur essai The right of privacy, Samuel D. Warren et Louis D. Brandeis identi-fient le droit `a la vie priv´ee comme un droit `a part, n´ecessitant une nouvelle protection juridique appropri´ee [WB90]. Dans cette ´etude, le droit `a la vie priv´ee, s’appliquant aux personnes phy-siques, leur permet d’interdire la publication d’informations ou de photographies les concernant. Judith J. Thomson au contraire, dans sa recherche des fondements du droit `a la vie priv´ee, consid`ere que ce n’est pas un ✭✭ nouveau ✮✮ droit, mais un droit d´eriv´e qui proc`ede du droit `a la propri´et´e priv´ee, des droits attach´es au corps d’un individu et du droit des contrats [Tho75]. Dans ces deux points de vue distincts nous voyons poindre d’une part la notion de propri´et´e implicitement appliqu´ee `a une information, id´ee effectivement fondamentale dans la notion de droit `a la vie priv´ee, et d’autre part le concept essentiel de consentement de la personne physique dont la vie priv´ee est mise en question.
Dans un contexte plus pragmatique et contemporain, le droit de la vie priv´ee a ´et´e int´egr´e dans la plupart des cadres l´egaux nationaux `a partir de la fin du XVIIIe si`ecle, et adapt´e `a l’´evolution de l’environnement technique en mati`ere de gestion de l’information au cours des trente derni`eres ann´ees. Les textes concern´es pr´esentent une vision de la sph`ere priv´ee ax´ee sur des imp´eratifs ´economiques tr`es contextualis´es, et remise `a jour au fil de l’´evolution des technologies et des menaces.
Dans le cadre de notre ´etude, nous nous int´eresserons, `a titre d’exemple, au cadre l´egal