jump to navigation

Privacy by design, ça veut dire quoi? 21 avril 2011

Posted by Sylvain Métille in Logiciel, Protection des données, Sphère privée, Technique.
trackback

Les nouvelles technologies regorgent de notions très utilisées sans que l’on sache exactement à quoi cela correspond, comme Do not track/ne me trace pas, la neutralité du Net, la portabilité des données, etc. Intéressons-nous aujourd’hui à la notion de « Privacy by design ».

La protection intégrée de la vie privée (PIVP) (ou le respect de la vie privée dès la conception) en anglais «Privacy by Design», (PbD) est une idée développée durant les années 1990 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada) Ann Cavoukian. Partant du principe que le cadre légal ne serait pas suffisant pour assurer la protection de la sphère privée, elle a proposé d’intégrer le respect de la vie privée directement dans la conception et le fonctionnement des systèmes et réseaux informatiques, mais également dans l’élaboration de pratiques responsables.

Le respect de la vie privée dès la conception signifie prendre en compte dès le début les exigences en matière de protection de la sphère privée/protection des données et intégrer les outils de protection directement dans le produit, au lieu de les ajouter ultérieurement sous forme de compléments. La protection intégrée de la vie privée repose sur sept principes fondamentaux :
– prendre des mesures proactives et non réactives; des mesures préventives et non correctives;
– assurer la protection implicite de la vie privée;
– intégrer la protection de la vie privée dans la conception des systèmes et des pratiques;
– assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle;
– assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements;
– assurer la visibilité et la transparence;
– respecter de la vie privée des utilisateurs.

A fin 2010, la 32e Conférence internationale des commissaires à la protection des données et de la vie privée qui s’est tenue à Jérusalem a adopté une résolution dans ce sens sur proposition de Mme Cavoukian. Cette résolution encourage l’adoption des principes de la protection intégrée de la vie privée comme mode de fonctionnement de base des organisations et invite les commissaires à la protection des données et de la vie privée à promouvoir la protection intégrée de la vie privée, à en intégrer les principes fondamentaux dans les politiques et textes de loi de leur territoire et à favoriser la recherche sur la  protection intégrée de la vie privée.

« Privacy by default »
La notion de «Privacy by design » (respect de la vie privée dès la conception) ne doit pas être confondue avec celle de «Privacy by default » défendue par la Commissaire européenne à la justice Viviane Reding. Cette protection par défaut doit éviter les difficultés rencontrées par les utilisateurs pour définir les paramètres de protection de leurs données personnelles et éviter un usage différent que celui pour lequel l’accord au partage ou à la récolte des données a été donné. A ce stade, il ne m’apparaît pas encore clairement si cette protection par défaut implique que les paramètres soient automatiquement réglés sur le  mode le plus protectif ou s’ils doivent simplement être aisément accessibles et compréhensibles.


About these ads

Commentaires»

1. stéphane koch - 19 juin 2013

On devrait appliquer une approche similaire à celui de la PbD aux technologies de surveillance policière, en particulier pour ce qui touche à la perquisition électronique (Lawful by design). Les logiciels de perquisition devraient intégrer des informations de « traçabilité » similaires à celles contenues dans les passeports biométriques, en utilisant, par exemple, un système d’empreintes numériques stockées dans une base de données centralisée. Ca permettrait de s’assurer que le programme a correctement été utilisé et que la technologie correspond/respecte ce qui est défini au niveau du cadre légal (plutôt que d’appliquer un cadre légal à une technologie dont le champs d’application pourrait dépasser – dans son utilisation – le cadre en question).

Sylvain Métille - 24 juin 2013

Merci Stéphane pour ce commentaire. Il n’y a actuellement pas en Suisse de perquisition à distance (et cela ne devrait fort heureusement pas changer prochainement). En revanche, comme pour n’importe quel autre moyen de preuve, il est important que la preuve ne soit pas altérée et que l’on puisse en vérifier l’authenticité. Les outils d’analyse forensique doivent répondre à ces exigences et tout moyen de le vérifier est bienvenu.


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 699 autres abonnés