Protection de la vie privée : lois et outils

Plusieurs violations et attaques ont suscité des préoccupations croissantes pour la protection de la vie privée (Tierney et Subramanian, 2014). Cela a mené les défenseurs des libertés à proposer des lois ainsi que des solutions techniques pour protéger la vie privée des utilisateurs et leurs données personnelles.

Nous discutons dans cette section les principales lois et réglementations et surtout les solutions techniques qui visent à protéger la vie privée des utilisateurs.

Lois et réglementations

La vie privée est protégée au niveau international par l'article 12 de la déclaration universelle des droits de l'homme de 1948 : « Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation » (Pfitzmann et Hansen, 2010).

Plusieurs autres organismes ont comme mission principale de protéger la vie privée et les données personnelles des utilisateurs tels que le Commissariat à la protection de la vie privée

32

du Canada2 (CPVP) et la Commission nationale de l'informatique et des libertés3 (CNIL) en France. Les deux organismes évoquent les lignes directrices à suivre pour la protection de la vie privée et identifient plusieurs principes et critères de protection dont principalement le consentement, la minimisation de la collecte des données et la détermination des fins, etc. De son côté, Ann Cavoukian, la commissaire à l’information et à la protection de la vie privée de l’Ontario, a proposé le principe de la vie privée par défaut (Privacy by design) énonçant que résoudre efficacement les questions relatives à la vie privée et les données personnelles, requiert de traiter le problème dès la création des informations à caractère personnel (Cavoukian, 2011).

Ces règlements ont été proposés pour protéger la vie privée des utilisateurs de la collecte, l’utilisation et la conservation illégales par des institutions ou applications informatiques. Cependant, l’auto-divulgation n'a pas reçu une attention égale dans le système juridique en raison de la nouveauté de ce concept et pratique de dévoilement de soi. Bien que la majorité des lois précisent le fait que la personne ait elle-même révélé des données n'autorise pas la redivulgation de certains de ces données en faisant référence au droit à l'oubli (Pfitzmann et Hansen, 2010).

Nous ne saurions trop mettre l'accent sur le fait que les lois et règlementations n'offrent aucune protection de la vie privée et que la capacité accrue des systèmes d’aujourd’hui pour recueillir, traiter et conserver les informations au sujet d’un utilisateur a exacerbé les craintes concernant la collecte, l’utilisation et la conservation des renseignements personnels. Il est donc très important de mettre en œuvre des solutions techniques qui garantissent la protection de la vie privée.

Solutions de protection

La nécessité de mettre en œuvre des solutions efficaces quant à la protection de la vie privée des utilisateurs en ligne est primordiale. Dans ce sens, le standard P3P 4 du World Wide Web Consortium a été proposé pour vérifier que les exigences de respect de la vie privée de l'utilisateur sont compatibles avec la politique de sécurité et de préservation de la vie privée proclamée par le service utilisé. Il s’agit d’un outil de communication des sites web sur leurs politiques de protection des données personnelles. Un document P3P contient des

2 _{www.priv.gc.ca/}

3 _www.cnil.fr/

33

informations comme l’identité de l’entité collectant les données, la nature des données collectées, la justification de la collecte de données, etc. Par conséquent, son seul objectif est de résoudre le problème de l’information de l’utilisateur, il n’impose aucune politique et il ne permet pas de vérifier si une politique déclarée par un site est véritablement appliquée (Aïmeur et al., 2016).

Un utilisateur n’a alors aucun moyen de savoir si ces politiques respectent telle loi ou telle directive et si elle est effectivement respectée. Cela implique qu’un outil comme P3P n’assure pas réellement la protection des données personnelles.

D'un autre côté, dans un contexte d'apprentissage en ligne, Aïmeur et Hage (2010) ont proposé un système d'e-learning préservant la vie privée en se focalisant sur la protection lors de l'authentification. Dans leurs travaux, ils ont utilisé une accréditation anonyme (anonymous credential) pour prouver qu’un apprenant ait certains droits sans dévoiler explicitement son identité. De ce fait, l'apprenant ne sera pas obligé de révéler son identité à chaque fois qu'il accède au système. D'ailleurs, dans le domaine du e-learning, la majorité des travaux ont proposé des techniques et outils pour assurer surtout l’intégrité et la confidentialité des données comme étant les deux clés de la protection de la vie privée de l’apprenant (Isabwe et Reichert, 2013). Ils se sont, donc, plus concentrés sur la mise en œuvre des mécanismes de contrôle d’accès pour restreindre l’accès aux données de l’apprenant.

Bien que ces solutions puissent assurer la protection de la vie privée de l’apprenant dans certains contextes, elles ne permettent pas de garantir un principe important de la protection de la vie privée celui de l’anonymat (Deswarte et Gambs, 2010). Dans ce sens, plusieurs méthodes ont été proposées comme k-anonymat (Sweeney, 2002), qui garantit qu’un individu ne puisse pas être distingué des autres dans un groupe d’au moins k personnes. D’autres travaux, comme ceux de Fung et al. (2010) et Ganti et al. (2008) ont proposé des techniques d’assainissement (sanitizing en anglais), qui consistent à remplacer des données sensibles par d’autres qui soient génériques (généralisation), ou de perturber certaines valeurs par des variations aléatoires, ou encore d’échanger des valeurs d’attributs entre différentes personnes (perturbation).

Les outils et techniques proposés dans le contexte des données relationnelles ne garantissent qu’une protection partielle, et ce pour deux raisons : les informations dans les systèmes d’aujourd’hui sont collectées continuellement et changent durant la session d’apprentissage

34

(1), et ces informations ne peuvent pas être séparées de l’identité de la personne dans la plupart de cas (2).

Dans le contexte d’analyse des données, peu de travaux se sont intéressés à proposer des techniques de protection de la vie privée des utilisateurs surtout que les risques dans ce contexte sont beaucoup plus nombreux à cause de la collecte continue et l’utilisation des algorithmes de prédiction et de profilage. La collecte concerne plusieurs types des données dont l’état psychologique et émotionnel. Dans ce contexte, Cornelius et al. (2008) ont proposé Anonysense pour rendre anonymes les données provenant de différents utilisateurs en se basant sur des réseaux Mix (Deswarte et Gambs, 2010) pour empêcher l’analyse de trafic (non observabilité). PoolView proposée par Ganti et al. (2008) est une architecture basée sur un schéma de perturbation qui ajoute du bruit aux données collectées. D’autres travaux comme ceux d’Ahmadi et al. (2010) ont introduit des techniques de perturbation ou transformation sur les données originales pour protéger les identités des utilisateurs.

Cependant, ces techniques peuvent préserver l’identité de l’utilisateur mais ne peuvent pas protéger les données en relation avec son comportement et sa navigation qui font l’objet de la collecte aussi. De plus, ils n’assurent pas le contrôle sur la divulgation de ces données. Ce principe est par contre, en quelque sorte présent dans le contexte des réseaux sociaux (Hélou et al., 2012). Les concepteurs des réseaux sociaux en ligne ont pris conscience de ces risques et ont mis en place un système de contrôle des paramètres de confidentialité. Le but de ces outils de paramétrage est d’offrir aux utilisateurs les moyens de disposer d’un contrôle perçu, même s’ils encourageaient la divulgation, sur les données personnelles qu’ils mettent en ligne, en leur permettant de définir avec précision quelles seront les informations accessibles et par qui. En s’inspirant de ces travaux, plusieurs architectures offrent aux utilisateurs le contrôle sur leurs données personnelles telles que virtual individual servers proposée par (Cáceres et al., 2009), PrPl proposée par Seong et al. (2010) qui est une architecture décentralisée avec un stockage des données personnelles (Personal Cloud Butler).

En ce qui concerne la divulgation des données par les utilisateurs eux-mêmes, certains travaux se sont surtout concentrés sur la quantification de la divulgation principalement sur les réseaux sociaux tels que les recherches de Liu et Terzi (2010) qui ont proposé une approche pour quantifier le risque d’un profil utilisateur en fonction des paramètres de confidentialité. D’autres auteurs ont fourni des recommandations aux utilisateurs dans le but de minimiser les risques en surveillant leurs comportements de divulgation (Hélou et al., 2012).

35

Ces techniques sont bien évidemment insuffisantes dans le cas des interactions en ligne car elles s’appuient sur les paramètres du profil de l’utilisateur pour évaluer le risque. Toutefois, la divulgation des données personnelles dans les interactions sociales, que ce soit dans un contexte d’apprentissage ou non, se fait beaucoup plus dans les échanges textuels entre les apprenants.

L'absence des technologies de protection pertinentes et suffisantes de la vie privée dans ces contextes est notamment due à l'absence des travaux qui ont abordé cette question de la protection contre la divulgation de données personnelles d’une part et d’autre part à l’évolution des pratiques, comportements des utilisateurs et par conséquent des risques courus. Par ailleurs, une protection de la vie privée est nécessaire dans un contexte d’apprentissage pour garantir un environnement favorable aux apprenants pour évoluer et apprendre sans être privé d’un niveau essentiel de personnalisation et d’interaction pour maintenir leur motivation et engagement sur les tâches d’apprentissage.