Thierry Jacquin
La confidentialité des données n’est pas un nouvel écueil, loin de là, mais aujourd’hui, à l’ère de l’information et du Big data, elle revêt une importance et une urgence nouvelles. De fait, les entreprises tentent d’accroître leur compétitivité grâce à une meilleure connaissance du client, et de créer des services et des modèles économiques novateurs qui tiennent compte en temps réel de données personnelles collectées.
Cependant, les entreprises désireuses de récolter et d’utiliser ces données sont confrontées à des personnes de plus en plus méfiantes à l’idée de les leur transmettre. Celles-ci craignent de perdre le contrôle sur la manière dont ces données sont utilisées et sur les personnes qui les utilisent, sans compter qu’elles s’inquiètent des implications en découlant au niveau de leur droit à la protection de la vie privée.
« Bio » ou non ?
J’aime comparer la préoccupation indéniablement croissante du public en matière de confidentialité des données avec ce qu’il s’est passé en agriculture, lorsque les préoccupations sanitaires et environnementales liées à l’alimentation ont induit une croissance rapide de l’agriculture biologique. A l’instar des agriculteurs devant opter ou non pour la filière biologique, je pense que les entreprises sont désormais confrontées à un choix stratégique fondamental quant à la position qu’elles veulent occuper en matière de confidentialité des données.
Celles qui feront le choix du « biologique » suffisamment tôt, seront en pôle position pour profiter pleinement du potentiel concurrentiel qu’offre la multitude de données à portée de main. Elles seront capables de gagner la confiance des personnes possédant les données à utiliser en imposant, et bénéficiant de, l’équivalent du label « biologique », à savoir la PIVP (Protection intégrée de la vie privée). Connue sous l’appellation Privacy by design dans la littérature anglophone, la démarche PIVP vise à assurer la protection de la vie privée en l’intégrant dans les normes de conception des technologies, pratiques internes et infrastructures matérielles.
En plus d’instaurer la confiance, cette démarche a tendance à augmenter significativement la qualité des données, car l’une des mesures protectrices les plus courantes lorsque la confiance dans les services numériques fait défaut est de communiquer des informations inexactes; alors qu’à contrario la confiance fait naître une volonté de fournir des informations exactes, et plus nombreuses.
Établir les principes de vie privée
Voici un exemple d’une initiative donnant corps à la démarche PIVP. Il s’agit du projet MOBiNET — l’Internet (du Transport et) de la Mobilité — qui est cofinancé par une subvention de la Commission européenne. Son but est d’offrir aux voyageurs un portail unique leur permettant d’accéder à des informations, de planifier des voyages et d’acheter des tickets pour chaque moyen de transport à travers l’Europe (plutôt que de devoir se rendre sur un site internet différent ou télécharger une application pour chaque service dans chaque pays).
Il est évident qu’une telle plateforme est confrontée à d’importantes contraintes de confidentialité des données, puisqu’elle repose sur la collecte de données des usagers des transports et qu’elle les partage entre des systèmes appartenant à une multitude de fournisseurs de services et de contenus. Consciente que la plateforme se devait de disposer d’une architecture fonctionnelle et opérationnelle en matière de protection de la vie privée, le laboratoire de recherches du XRCE s’était fixé le défi d’en développer un au moment de son association au projet MOBiNET en 2012.
Pour ce faire, nous avons décidé à l’époque de bâtir cette architecture en respectant l’esprit et les principes du nouveau Règlement Général de la Protection des Données ne. Ce règlement est au cœur d’une bataille faisant rage entre les États-Unis et l’Europe en raison de son impact potentiel sur les enjeux commerciaux et diplomatiques internationaux. Ceci étant et malgré son issue imprévisible, nous sommes partis du constat que, quel que soit la forme finale et le caractère contraignant du RGPD, son raisonnement correspondait à notre objectif: protéger la vie privée dans le monde virtuel de la même manière que dans le monde réel.
Le RGPD va plus loin que l’actuelle directive européenne sur la protection des données à caractère personnel en stipulant que les personnes concernées (les personnes dont les données à caractère personnel font l’objet d’un traitement) doivent avoir davantage de contrôle sur l’utilisation des données. Les responsables du traitement ainsi que les sous-traitants qui se voient confier le traitement des données à caractère personnel ont ainsi beaucoup plus de comptes à rendre en matière de collecte, d’usage et de stockage des données personnelles. Les exigences relatives à l’obtention du consentement des personnes concernées pour l’utilisation de leurs données y sont plus spécifiques, et il prévoit de façon plus explicite la possibilité pour ces mêmes personnes de retirer leur consentement donné, et de demander la suppression de leurs données (droit à l’effacement et à l’oubli numérique).
Au final, nous avons donc intégré tous ces principes dans l’architecture que nous avons créée pour MOBiNET et l’avons fait savoir aux utilisateurs de la plateforme en les informant du contrôle dont ils disposaient. Nous avons annoncé très clairement que: « vos données vous appartiennent et nous le respecterons ». Voilà, selon nous, la façon de mettre sur pied un service inspirant confiance aux gens, et qui par conséquent sera utilisé.
Relever le défi technique tout en proposant une solution économique
L’un des sept principes fondamentaux de la PIVP vise à assurer la protection implicite de la vie privée d’un particulier. Cette protection est garantie même si ce dernier ne pose aucun geste, car elle est intégrée implicitement dans les systèmes informatiques. On parle de privacy by default dans la littérature anglophone.
Ceci posé, l’architecture privacy by default que nous avons élaborée offre des outils et fonctionnalités que les responsables du traitement et les sous-traitants peuvent utiliser facilement. Il leur permet de définir la nature exacte des données qu’ils doivent récolter et de préciser le but dans lequel elles seront utilisées, le tout en faisant un lien pertinent avec le code objet de l’application de service.
Ce travail d’analyse accompli, un ‘privacy manager’ – soit un système de gestion de la vie privée intégré – est généré au sein de l’architecture opérationnelle. Il garantit un très haut niveau de sécurité des données collectées peu importe leur nature; l’information sensible pouvant être sécurisée par le biais de techniques telles que l’anonymisation, le cryptage et la distribution, et ne pouvant être rendue utile et utilisable que si la personne concernée a donné explicitement son consentement.
Dans cette hypothèse, nous avons développé un langage en matière de consentement que l’utilisateur du service en ligne peut comprendre et utiliser facilement, bien qu’il doive encore faire l’objet de tests approfondis et puisse certainement être amélioré.
L’idée de base est de permettre aux utilisateurs de définir, de manière extrêmement précise, ce à quoi ils consentent. Ils peuvent dire par exemple : « j’accepte que ma localisation soit visible par [nom ou type de service, d’organisation ou d’acteur] dans le but de [X], mais seulement pour une durée de [Y], et pour aucun autre usage. »
Notre approche architecturale et l’outillage à disposition nous ont également permis d’offrir aux personnes concernées la liberté de modifier leur consentement à tout moment. Pour ce faire, nous avons relevé un défi de taille en développant une gestion dynamique des plus économiques capable d’opérer au niveau de l’application de service déployée sur la plateforme. Concrètement, notre ‘privacy manager’ est en mesure de compléter automatiquement le code objet de l’application de service pour prendre en compte les demandes de modification de consentement.
L’étape la plus complexe a consisté à appliquer d’une manière simple et économique les procédures de contrôle au niveau du traitement informatique, afin de s’assurer que les choix des personnes concernées sont pris en considération par les systèmes et organisations appropriés. Nous affinons actuellement cette approche, étant entendu qu’elle ne requiert aucune réécriture de l’application de service déployée et qu’elle s’inscrit pleinement dans le cadre de la démarche PIVP.
Les débuts : défi et opportunité
Celles et ceux qui œuvrent à faire de la confidentialité des données une réalité dans notre monde connecté n’en sont encore qu’à leurs débuts. Xerox n’est certainement pas la seule organisation à se pencher activement sur la question. D’autres le font, que ce soit du point de vue de la technologie, de la sécurité, de l’ingénierie logicielle, de la société ou des affaires. Toutefois, nous pensons sincèrement que l’approche architecturale de Xerox en termes de protection de la vie privée est singulière dans le sens où elle équilibre les besoins commerciaux, technologiques et sociétaux, en offrant le niveau de contrôle que souhaitent les utilisateurs à un coût de mise en œuvre raisonnable.
Parce que nous n’en sommes encore qu’aux balbutiements, il n’est pas facile pour les entreprises souhaitant s’investir sérieusement dans le domaine de la confidentialité des données d’y parvenir, car il y a peu de chance qu’elles disposent en interne d’experts en matière d’architecture de confidentialité des données. En réalité, si vous voulez développer un avantage compétitif au moyen de la confidentialité des données, vous aurez probablement besoin d’un fournisseur de services qui travaille activement sur la gestion agile de la vie privée. Étant donné qu’il est possible de devancer la législation et de prendre l’avantage en répondant aux attentes et demandes des personnes concernées, nous nous attendons à ce que la demande de services en matière de protection de la vie privée connaisse une forte croissance dans les années à venir.
Thierry Jaquin est senior research engineer en architecture d’entreprise, Xerox Research Centre Europe.
Comment et pourquoi faire de la confidentialité des données une priorité commerciale ?
29 septembre 2015