a l’axiomatique de la modalit´e correspondante. Un exemple de logique modale normale est la famille des logiques temporelles lin´eaires, dans lesquelles les modalit´es repr´esentent des notions li´ees au pass´e, au futur ou `a la pr´ec´edence temporelle d’´ev´enements. Dans ces logiques, les mondes repr´esentent des instants, et sont reli´es par une relation d’accessibilit´e en une chaˆıne lin´eaire qui va du pass´e vers le futur. Ces logiques servent `a d´ecrire de mani`ere formelle des propri´et´es sur les successions temporelles d’´ev´enements.
2.4 - Logique d´eontique et politiques de s´ecurit´e
La logique d´eontique standard (SDL) est ´egalement une logique modale normale, o`u la modalit´e universelle repr´esente la notion d’obligation ou de devoir. Cette logique permet ´egalement d’exprimer le caract`ere interdit, permis, facultatif ou gratuit d’une formule. SDL est g´en´eralement accept´ee comme base pour les travaux sur la logique d´eontique, et notamment pour la repr´esentation de politiques de s´ecurit´e. L’int´erˆet de la notion de politique de s´ecurit´e est de repr´esenter de mani`ere formelle les r`egles de fonctionnement d’un syst`eme, permettant ainsi de raisonner dessus ou d’y adapter automatiquement des processus. Les travaux dans le do-maine portent notamment sur les v´erifications de coh´erence des politiques. Le besoin d’int´egrer la notion de temps aux politiques `a conduit `a plusieurs propositions associant aux notions de la logique d´eontique les possibilit´es offertes par les logiques temporelles, notamment lin´eaires. Une telle association permet de mieux caract´eriser la notion de violation d’une obligation, ou encore d’exprimer des obligations comportant des dur´ees de validit´e, ou des dates limites. Ces notions sont en effet courantes dans les r´egulations de la vie courante, et notamment dans les politiques de protection des donn´ees personnelles. De nombreux travaux existent ´egalement concernant les m´ecanismes de fusion de normes ou d’ensembles de normes. En effet, un agent doit souvent consid´erer plusieurs ensembles de normes diff´erents (par exemple parce qu’il joue plusieurs rˆoles simultan´ement, ou qu’il appartient `a plusieurs syst`emes normatifs distincts), et ces ensembles de normes peuvent ˆetre incompatibles les uns avec les autres. Les inconsistances logiques ainsi g´en´er´ees peuvent par exemple ˆetre g´er´ees par des techniques de fusion fond´ees sur des relations de pr´ef´erence. D’autres formalismes logiques permettent de raisonner sur les normes, le temps et les inconsistances. Nous examinons par exemple le cas des logiques STIT, des logiques temporelles fond´ees sur la notion de fluent, des logiques paraconsistantes et des logiques d´efaisables.
2.5 - Synth`ese et discussion
Les travaux existants formulent des propositions pour des probl`emes qui se posent forc´ement lorsqu’un agent artificiel doit s’adapter aux diverses contraintes existantes en mati`ere de pro-tection des donn´ees personnelles. Cependant, aucun n’a un point de vue portant sp´ecifiquement
9
cette orientation, il reste donc des questions en suspens qui doivent ˆetre trait´ees dans ce contexte particulier. En effet, suivant le rˆole exact que l’on donne aux normes dans le syst`eme, les probl`emes peuvent se poser de mani`eres diff´erentes.
Partie II - Outils th´eoriques pour la protection de la vie priv´ee
3 - L’agent PAw
L’´etat de l’art en mati`ere de protection des donn´ees personnelles met en exergue un certain nombre de principes et de bonnes pratiques, mais comporte encore principalement deux la-cunes. La premi`ere est que les d´emarches d’automatisation de la gestion sont tr`es rares et encore embryonnaires, alors que les travaux en mati`ere de personnalisation et d’organisation des ap-plications distribu´ees autour de l’utilisateur en montrent le besoin. Le second manque concerne la protection ´etendue des donn´ees, quasiment absente des solutions existantes. En r´eponse `a ce constat, notre contribution consiste en la conception d’un type d’agent artificiel assistant (l’agent PAw, ou Privacy-Aware Agent), li´e `a son agent humain utilisateur et charg´e d’interfa-cer ses interactions avec des applications de service tout en prenant en charge la protection de ses donn´ees personnelles.
3.1 - Syst`emes multi-agents centr´es utilisateur
La recherche sur les syst`emes multi-agents a ´evolu´e au cours des derni`eres ann´ees pour mettre un accent particulier sur le rˆole de l’utilisateur dans la compr´ehension et la conception du syst`eme. La notion, essentiellement applicative, de syst`emes multi-agents centr´es utilisateur d´esigne notamment les architectures dans lesquelles les utilisateurs humains d´eveloppent une interaction privil´egi´ee avec certains agents artificiels du syst`eme, qui leur servent d’interface.
3.2 - Gestion des profils utilisateur
De nombreuses approches proposent des mod`eles pour la repr´esentation et le traitement des profils d’utilisateurs. Les informations peuvent ˆetre structur´ees sous diverses formes, centralis´ees ou distribu´ees, et peuvent ˆetre r´eduits `a quelques types de donn´ees bien pr´ecis : des tuples attributs-valeurs, des r`egles logiques ou des journaux d’historique bruts. La plupart du temps, les probl´ematiques li´ees `a la s´ecurit´e des informations du profil ne sont pas abord´ees, ou alors d’une mani`ere trop limit´ee. La nature des six axes de la protection des donn´ees personnelles peut cependant permettre de s’abstraire de la structure g´en´erale d’un mod`ele de profil, pour s’int´eresser `a une repr´esentation interm´ediaire des informations, utilis´ee pour la transmission de donn´ees `a un service. Il est possible de construire un mod`ele abstrait permettant d’interfacer le moteur de gestion du profil utilisateur, quel qu’il soit, afin de ne traiter que des informations dans un format homog`ene.
3.3 - Mod`ele d’un Privacy-Aware Agent
La contribution propos´ee est ax´ee autour de l’architecture d’agent PAw (Privacy-Aware), un agent cognitif conscient de son contexte normatif en mati`ere de protection des donn´ees per-sonnelles. Ce mod`ele int`egre des fonctionnalit´es de raisonnement logique sur les r´eglementations `
a respecter et un mod`ele appliqu´e des outils techniques `a mettre en œuvre pour cela. Tout d’abord, un agent PAw doit assurer un certain nombre de fonctionnalit´es essentielles. Il doit notamment ˆetre capable de repr´esenter explicitement des donn´ees personnelles (appartenant
`
a son propri´etaire ou `a un autre utilisateur), de prendre connaissance des r´eglementations qui s’appliquent `a son ex´ecution courante, d’en d´eduire un ensemble de normes coh´erent `a respecter, d’asservir la gestion des donn´ees personnelles `a ces normes et de choisir de mani`ere dynamique les protocoles applicatifs `a mettre en œuvre pour assurer la protection ´etendue de ces donn´ees. Ces fonctionnalit´es sont int´egr´ees `a l’agent PAw au sein d’une organisation en couches, suivant une architecture impl´ementant un mod`ele BDI. La couche logique assure les fonctionnalit´es de raisonnement sur les r´eglementations et politiques de s´ecurit´e, et fournit `a la couche inf´erieure un ensemble de normes. La couche de gestion des croyances prend en charge les croyances concer-nant les normes en question, les croyances identifi´ees comme personnelles, les croyances sur la caract´erisation des protocoles applicatifs et les croyances m´etier de l’agent. La couche des buts contient les buts normatifs de l’agent, qui caract´erisent son objectif de respecter les normes, ainsi que ses buts m´etier. La couche des plans, qui est la couche la plus basse en termes de niveau d’abstraction, contient les proc´edures effectives mises en œuvre par l’agent, qui sont les plans de gestion des croyances personnelles respectant les normes, les plans m´etier li´es aux activit´es applicatives de l’agent et les plans de mise en œuvre des protocoles applicatifs. La structure g´en´erale de l’agent PAw est fond´ee sur les travaux relatifs aux mod`eles BDI, et profite princi-palement des principes du mod`ele PRS. Les sp´ecifications du mod`ele mental de l’agent peuvent ˆetre construites sous forme logique (et ainsi profiter des m´ethodes aff´erentes aux syst`emes nor-matifs), mais les traitements n´ecessit´es par la gestion des donn´ees personnelles et la mise en place de protocoles de s´ecurit´e potentiellement complexes appellent des outils proc´eduraux, plus ais´ement configurables qu’un moteur purement logique.
4 - Appropriation des normes par l’agent PAw
4.1 - Le contexte normatif
Nous d´efinissons la notion d’autorit´e normative comme une entit´e qui ´emet des normes dont elle est responsable. Cette notion peut ˆetre compar´ee (mais pas assimil´ee) `a celles d’institu-tion ou de d´epˆot de normes. Dans le cadre qui nous int´eresse, l’agent PAw reconnaˆıt un certain nombre d’autorit´es normatives, qui ´emettent des normes et qui exigent qu’elles soient respect´ees par l’agent. Ces normes constituent le contexte normatif qui s’applique lors d’une transaction ou d’une collaboration avec un autre agent. Au sein de ce contexte normatif, l’agent PAw doit respecter les normes ´emanant de plusieurs autorit´es normatives ind´ependantes. Suivant le res-sort l´egislatif dont d´ependent son propri´etaire, la machine sur laquelle il s’ex´ecute et l’agent avec lequel il communique, l’agent PAw est soumis `a plusieurs syst`emes de lois nationales ou interna-tionales. Il peut ´egalement d´ependre de divers r´eglements, contrats ou encore des exigences de son utilisateur humain. Les diff´erentes autorit´es normatives auxquelles est soumis l’agent PAw sont a priori faillibles et ind´ependantes les unes des autres. Il peut donc arriver que plusieurs autorit´es normatives ´emettent des normes qui entrent en conflit les unes avec les autres. Dans ce cas, il faut mettre au point une technique de fusion de normes qui permette `a l’agent de construire un nouvel ensemble de normes exempt de conflits. De plus, suivant le profil applicatif de l’agent PAw, celui-ci est susceptible de changer de contexte normatif tr`es fr´equemment, par exemple s’il est mobile au niveau international, s’il communique avec des agents sous le couvert de diff´erents contrats ou bien s’il est en charge `a la fois d’affaires professionnelles et personnelles pour son utilisateur humain. Le contenu des normes ´edict´ees par les autorit´es normatives peut ´egalement varier au cours du temps. Le module de gestion des normes de l’agent PAw doit donc pouvoir g´erer un contexte normatif h´et´erog`ene, dynamique et possiblement incoh´erent.
11
4.2 - D´efinition de la logique DLP
Nous prenons en compte les nombreux d´eveloppements dans le domaine de la logique d´eontique et de la repr´esentation des politiques de s´ecurit´e pour proposer une logique qui soit `a mˆeme de repr´esenter les r´eglementations en mati`ere de protection des donn´ees personnelles. La logique DLP permet la gestion du contexte normatif en vue de l’adaptation du comportement de l’agent PAw `a celui-ci. La logique DLP utilise un langage propositionnel de base, LDLP, qui d´ecrit les informations relatives aux donn´ees personnelles et `a leur traitement. La grammaire de LDLP d´ecrit les six axes de la protection des donn´ees personnelles. On d´efinit alors la logique DLP comme une logique d´eontique et temporelle normale fond´ee sur un produit entre la logique d´eontique standard (adapt´ee pour prendre en compte la multiplicit´e des autorit´es et des agents) et la logique temporelle lin´eaire, appliqu´e au langage LDLP. Les formules DLP sont donc des normes d´ecrivant des politiques ou des r´eglementations sur la gestion de ces donn´ees. L’axioma-tique que nous proposons est celle de la logique d´eonL’axioma-tique, pour la partie normative, et d’une s´election d’axiomes classiques pour la partie temporelle. Nous discutons la pertinence d’´eventuels axiomes de conversion entre les deux notions. La logique DLP est interpr´et´ee sur des structures s´emantiques bidimensionnelles, les domaines d’interpr´etation DLP, dont un axe repr´esente le temps et l’autre les histoires possibles du syst`eme. Nous d´efinissons une s´emantique de Kripke pour la logique DLP, fond´ee sur les domaines d’interpr´etation pr´ec´edemment introduits. Nous introduisons les relations d’accessibilit´e (temporelles et d´eontiques) correspondant aux diverses modalit´es utilis´ees et nous d´etaillons les r`egles d’interpr´etation des formules DLP.
4.3 - Utilisation de la logique DLP
Nous avons vu que le standard P3P est un moyen efficace de communiquer sur les politiques de protection des donn´ees personnelles. Cependant, il manque `a ce formalisme la notion de norme et les capacit´es de raisonnement, c’est pourquoi nous avons introduit la logique DLP. Cepen-dant, il paraˆıt essentiel, pour des raisons d’int´erop´erabilit´e, de pr´evoir un moyen d’extraire des formules DLP `a partir de politiques P3P. D’autre part, les notions `a la fois d´eontiques et tem-porelles que sont les obligations avec ´ech´eances et les interdictions maintenues sont n´ecessaires `
a l’expression des r´eglementations en mati`ere de protection des donn´ees personnelles. Nous dis-cutons des crit`eres `a respecter pour concevoir de tels op´erateurs et proposons une formalisation adapt´ee `a DLP. Sur la base de quelques r´eglementations, en langue naturelle, traitant des six axes de la protection des donn´ees personnelles, nous montrons comment le langage DLP peut ˆetre utilis´e pour formaliser les normes.
4.4 - Conflits d’obligations
De nombreux travaux existent dans le domaine de la d´etection et de la r´esolution des conflits en logique d´eontique. Nous d´etaillons quelques approches existantes ainsi que leurs ca-ract´eristiques. Il s’av`ere que la notion habituellement utilis´ee pour caract´eriser les conflits est inappropri´ee dans notre cas, car en donnant une place trop importante `a la notion de permission, elle restreindrait abusivement les agissements de l’agent PAw dans des cas o`u une solution satis-faisant l’ensemble des normes est possible. En effet, les normes que nous consid´erons ici servent `
a contraindre le comportement de l’agent. Dans le cadre de cette utilisation tr`es pr´ecise, une permission ne restreint pas les possibilit´es d’action et doit donc avoir un statut `a part. Partant de ce constat, nous proposons une d´efinition du conflit d’obligation fond´ee uniquement sur les obligations et ignorant les permissions, afin de s’affranchir de certaines inconsistances logiques non pertinentes. Nous proposons une proc´edure th´eorique de d´etection des conflits d’obligations
fond´ee sur une caract´erisation purement axiomatique de ces derniers. Pour produire un ensemble de normes coh´erent `a partir d’un ensemble comportant des conflits, l’agent PAw met en place une proc´edure de fusion en se basant sur une relation de pr´evalence entre les autorit´es normatives. Les autorit´es normatives que l’agent juge plus importantes ont une pr´evalence plus ´elev´ee que celles que l’agent juge secondaires. Au cours de cette proc´edure d’arbitrage des conflits d’obli-gations, l’agent d´esactive un nombre minimal de normes, ´edict´ees par des autorit´es normatives de pr´evalence minimale.
4.5 - Impact sur les croyances
Les mod`eles classiques de gestion des croyances par un agent cognitif ne prennent pas en compte les sp´ecificit´es de la protection des donn´ees personnelles. Nous proposons des moyens pour modifier les mod`eles existants de mani`ere `a permettre le traitement diff´erenci´e de ces croyances particuli`eres. En consid´erant `a la fois les croyances normatives de l’agent sur la pro-tection des donn´ees personnelles et ses croyances portant sur des informations sensibles, il est pos-sible de construire des proc´edures sp´ecifiques mettant en œuvre des traitements sur les donn´ees personnelles tout en respectant le contexte normatif de l’agent.
5 - Assurer la protection ´etendue au sein d’une transaction entre agents
5.1 - Exigences de la protection ´etendue
La protection ´etendue des donn´ees, telle que nous l’avons d´efinie, n´ecessite de pouvoir garan-tir qu’une politique donn´ee s’applique bien aux informations sensibles, qu’elles soient g´er´ee par l’agent personnel de l’utilisateur ou bien par un agent distant. `A chacun des six axes de la protec-tion des donn´ees personnelles correspondent des exigences sp´ecifiques. Si l’on veut les satisfaire pleinement, il est n´ecessaire de caract´eriser la confiance que l’on peut avoir dans l’ex´ecution d’un programme distant, dans le syst`eme d’exploitation distant, et dans le mat´eriel de la plate-forme distante.
5.2 - Les technologies fond´ees sur le Trusted Computing
Les solutions de nature logicielle pr´esent´ees pr´ec´edemment ´echouent `a assurer cette protec-tion ´etendue. Les architectures utilisant les Trusted Computing Platforms, au contraire, peuvent fournir des garanties fortes sur le mat´eriel et le logiciel distant. Cette technologie est notam-ment fond´ee sur l’existence d’une composant cryptographique mat´eriel sur la plate-forme. Nous proposons une classification des architectures et protocoles fond´es sur le Trusted Computing en fonction de la localisation des diff´erents composants, de l’existence et de l’utilisation des tiers de confiance, ainsi que d’autres param`etres. Cette classification permet de d´eterminer les exi-gences (en termes de protection ´etendue) qui peuvent ˆetre assur´ees ou pas par l’architecture et les risques qu’elle fait courir `a la vie priv´ee de l’utilisateur.
5.3 - Proposition d’architecture applicative compl´ementaire
Nous proposons une nouvelle architecture profitant des possibilit´es du Trusted Computing. Cette architecture est orient´ee au maximum vers la protection de la vie priv´ee de l’utilisateur, quitte `a poser des restrictions sur le type de traitement distant envisageable et sur les garanties offertes aux fournisseurs de service. Cette architecture applicative vient compl´eter l’offre d´ej`a existante, en offrant un maximum de garanties `a l’utilisateur dans les cas o`u elle peut ˆetre utilis´ee.
13
5.4 - Discussion
Si le principe des Trusted Computing Platforms permet d’augmenter sensiblement la confiance dans les caract´eristiques d’un traitement distant (chose particuli`erement difficile `a assurer sans contrainte sur le mat´eriel distant), ce n’est pas n´ecessairement la seule solution possible `a ce probl`eme. D’autre part, il convient de prendre acte des dangers r´eels que certains types d’impl´ementations et d’utilisations peuvent faire courir `a la vie priv´ee des utilisateurs individuels.
Partie III - Mise en œuvre
6 - Impl´ementation
6.1 - Utilisation de la plate-forme JACK
Nous proposons l’impl´ementation d’un d´emonstrateur du mod`ele d’agent PAw `a partir d’une architecture d’agent JACK, `a l’aide de la plate-forme de d´eveloppement correspondante, constitu´ee d’une surcouche orient´ee agent du langage Java inspir´ee par le mod`ele PRS. Cette plate-forme dispose notamment de fonctionnalit´es permettant une mise en œuvre efficace de proc´edures de s´ecurit´e pour contrˆoler l’acc`es aux croyances sensibles.
6.2 - Couche de raisonnement normatif
La couche logique de l’agent fait usage d’une machine virtuelle Prolog, interfac´ee avec le mod`ele d’agent JACK. Au sein de la logique DLP, nous d´efinissons un sch´ema de formules particulier, nomm´e RDLP. Nous posons l’hypoth`ese simplificatrice, restrictive mais justifi´ee, que les autorit´es normatives ´emettent des normes qui sont des formules sous la forme RDLP. Cette hypoth`ese permettra par la suite des traitements plus efficaces pour la d´etection et la r´esolution