La notion de vie privée d’un individu (ainsi que la question de sa protection) est apparue et a évolué dans les sociétés occidentales parallèlement à l’émergence de l’ensemble des libertés individuelles. La Magna Carta, la Glorieuse Révolution britannique, les textes des Lumières, la Déclaration d’Indépendance des Etats-Unis d’Amérique ou la Déclaration des Droits de l’Homme et du Citoyen sont quelques une des étapes historiques témoignant de l’importance croissante donnée à l’individu dans la société. On y voir poindre les délicats équilibres et points de compromis qui existent entre les libertés individuelles et le bien collectif. La gestion de ces équilibres occupe toujours une place prépondérante dans l’organisation de la chose publique des nations policées. Parmi ces libertés individuelles, le droit à la vie privée et à sa protection apparait historiquement assez tôt, mais uniquement dans son principe. L’apparition de la photographie, notamment, sera à la source d’études fondatrices comme l’article « the right of privacy » de Samuel D.Warren et Louis D. Brandeis, posant en 1890 les fondements du droit des individus à protéger leur image et, de manière plus générale, leur vie privée [WB90].
La délimitation du droit à la vie privée (et à sa protection) n’est pas un problème trivial, car cette notion dépend de la culture, de l’histoire locale et des sensibilités individuelles. La conscience collective d’un besoin de protection de la vie privée peut notamment être influencée par la mise au grand jour de failles significatives dans cette dernière. En France par exemple, le scandale du projet de fichage SAFARI, dans les années 1970, constitue une des motivations principales de la rédaction de la loi « Informatique et Libertés » [Ré78]. Une fois définie, la protection de la vie privée n’est pas plus simple à assurer. En effet, les usagers maitrisent rarement la formulation spécifique des textes réglementaires. Leur conception de ce qui est protégé ou pas, et dans quelle mesure, peut rester très floue.
VIE ET PROTECTION DES DONNEES PERSONNELLES
Vie privée et protection des données personnelles
La sphère privée
Nous commençons par nous intéresser à la notion de vie privée en général, en dehors du cadre informatique. Il nous faut clarifier les termes que nous allons utiliser, avant de nous pencher sur les problèmes qu’ils peuvent poser du point de vue du « législateur » et du point de vue individuel.
Nomenclature et définitions
Les notions liées à la vie privée peuvent difficilement être définies sans s’intéresser aux différentes significations du terme privacy en anglais. En effet, si l’on peut le faire
correspondre en français à la notion assez générale de « caractère privé » d’une chose, ce mot semble être considéré comme recouvrant un certain nombre de concepts liés. Suivant leur culture et leur point de vue, les auteurs les plus consciencieux prennent soin de préciser ce que désigne pour eux le terme privacy, sans l’utiliser indifféremment pour le droit à la vie privée (right of privacy) ou la protection de la vie privée (privacy protection). Nous considérerons ici le terme privacy comme une traduction imparfaite de l’expression « vie privée », nous autorisant par la suite à définir des termes dérivés. La mention du concept de vie privée éveille chez tout un chacun un ensemble de problématiques liées à notre vie quotidienne ou à notre perception de procédés techniques ou liées à un certain contexte professionnel. Ainsi, la capacité à cacher un certain nombre de choses sur soi au public en général, à des collègues, à des connaissances, relève nécessairement de notre droit à la vie privée. La notion de surveillance des activités d’un individu, l’enregistrement ou le traitement d’informations le concernant, le fait d’entrer en communication avec lui sur la base des résultats d’un tel traitement sont autant d’actions en lien étroit avec la notion de vie privée ou de sphère privée. Le concept semble donc composite et par conséquent difficile à cerner. Néanmoins, certains auteurs ont proposé des définitions très restreintes dont on peut se demander si elles correspondent vraiment à cette vision naïve et intuitive de la vie privée. En 1967, Alan Westin définit ainsi le terme privacy [Wes67], adoptant un point de vue de type juridique, confondant en un seul et même mot la chose et le droit à la chose : “Right of individuals to determine for themselves when, how and to what extent information about them is communicated to other.” La vie privée est donc essentiellement une question de gestion des flux d’informations se rapportant à une personne physique. Günter Müller adopte un point de vue assez similaire mais plus abstrait [Mü06] en définissant ainsi la privacy : “Possibility to control the distribution and use of personal data.” Ces deux points de vue semblent limiter la notion de vie privée à une diffusion maîtrisée d’informations. Cela peut paraître frustrant au premier abord au vu des procédés relativement complexes et détachés de toute considération technique que nous venons de mettre en relation avec la notion de vie privée. Certains auteurs partent de ce constat pour poser des définitions à vocation plus générale, incluant certaines de ces notions. Ainsi, Sara Baase propose par exemple dans son livre The gift of fire [Baa03] une acception légèrement différente et sans doute plus « parlante », suivant laquelle le mot privacy peut signifier indifféremment :
➢ L’absence d’intrusion ;
➢ Le contrôle des informations nous concernant1;
➢ L’absence de surveillance.
Nous incluons donc ici explicitement deux nouveaux processus dans le concept de vie privée, processus qui semblent se rapporter à notre tentative de description intuitive de la vie privée. Il en ressort donc légitimement une certaine satisfaction. Cependant, cette circonscription de la notion de vie privée peut également paraître peu naturelle à cause d’un certain télescopage conceptuel introduit par ces nouvelles notions. En effet, l’intrusion comme la surveillance sont craintes en tant qu’elles sont des menaces pour le contrôle de nos informations. Cette tentative de définition, comme nombre d’autres, amène à penser que les concepts de la vie courante que nous associons instinctivement à la notion de vie privée se réduisent effectivement tous à un problème de contrôle de l’information. Il est aisé en effet de considérer un à un les éléments que nous avions inclus dans la notion de vie privée, pour les exprimer sous la forme d’une manipulation d’informations. Ceci posé, nous pouvons formaliser quelques définitions liées à la vie privée à partir des éléments déjà recueillis, afin de faire référence par la suite à des concepts clairs et distincts. Plutôt que d’utiliser le terme de « vie privée » qui, nous l’avons vu, peut s’avérer assez vague à cause même de son écho intuitif, nous prendrons appui sur le concept équivalent de sphère privée, notamment formalisé par Ludivine Crépin et al. [CVJ08].
Définition 1.1 (Sphère privée). La sphère privée d’un individu est l’ensemble des informations se rapportant à lui-même, qu’il considère comme sensibles et donc dignes d’être protégées. Cette sphère est personnelle (l’individu est le propriétaire des informations qu’elle contient), personnalisable (l’individu décide des informations qu’elle contient), dynamique (les informations peuvent y être ajoutées ou en être retirées) et dépendante du contexte (les informations qu’elle contient peuvent, en nature et en nombre, dépendre du temps, des activités de l’individu ou d’autres paramètres). Nous disposons, avec le concept de sphère privée, d’un outil aisément manipulable pour traiter de vie privée. La sphère privée encapsule donc toutes les informations, explicitement représentées ou non, qui nous concernent et que nous souhaitons protéger pour quelque motif que ce soit.
Définition 1.2 (Droit à la vie privée). Le droit à la vie privée d’un individu est sa prétention aux caractères personnel, personnalisable, dynamique et contextuel de sa sphère privée ainsi qu’au contrôle de la diffusion, de l’utilisation et de la conservation des informations contenues dans sa sphère privée, quelles que soient la représentation de ces informations et la localisation de cette représentation. Nous incluons ainsi explicitement dans le droit à la vie privée la notion de propriété des données, fortement liée à celle du contrôle.
Définition 1.3 (Protection de la vie (ou de la sphère) privée). La protection de la vie privée est l’ensemble des mesures techniques visant à assurer le respect du droit à la vie privée.
Aspects légaux du droit à la sphère privée
Ce que recouvre l’expression “droit au respect de la vie privée” est fort difficile à cerner. Ce droit assez flou, prend ses sources dans les droits liés à l’individu et à la propriété privée. Deux points de vue particuliers s’opposent sur la nature philosophique de ce droit. En 1890, dans leur essai « The right of privacy », Samuel D. Warren et Louis D. Brandeis identifient le droit à la vie privée comme un droit à part, nécessitant une nouvelle protection juridique appropriée [WB90]. Dans cette étude, le droit à la vie privée, s’appliquant aux personnes physiques, leur permet d’interdire la publication d’informations ou de photographies les concernant. En effet, les auteurs dissocient la vie privée et les données personnelles, des personnes concernées. L’objet de ce droit est ainsi distingué de son titulaire: ce sont les personnes qui sont protégées, et non les données. Judith J. Thomson au contraire, dans sa recherche des fondements du droit à la vie privée, considère que ce n’est pas un « nouveau » droit, mais un droit dérivé qui procède du droit à la propriété privée, des droits attachés au corps d’un individu et du droit des contrats [Tho75]. Dans ces deux points de vue distincts, nous voyons apparaître d’une part la notion de propriété implicitement appliquée à une information, idée effectivement fondamentale dans la notion de droit à la vie privée, et d’autre part le concept essentiel de consentement de la personne physique dont la vie privée est mise en question. Dans un contexte plus pragmatique et contemporain, le droit de la vie privée a été intégré dans la plupart des cadres légaux nationaux à partir de la fin du XVIIIe siècle, et adapté à l’évolution de l’environnement technique en matière de gestion de l’information au cours des trente dernières années. Les textes concernés présentent une vision de la sphère privée axée sur des impératifs économiques très contextualisés, et remise à jour au fil de l’évolution des technologies et des menaces. Dans le cadre de nos travaux, nous nous intéresserons, à titre d’exemple, au cadre légal existant en France. Depuis 2004, il est globalement accepté que le droit français en matière de protection de la vie privée est compatible avec la législation de la plupart des pays de l’Union Européenne (se situant parmi les plus protectrices, derrière l’Espagne notamment), ou avec celle du Canada, par exemple. La législation fédérale américaine, par contre, est très différente et la présente étude ne saurait en constituer une illustration représentative. En France, depuis la création du code civil en 1803, le droit des individus à la vie privée est affirmé par son article 9 [Ré03], mais de manière générique et appelant une interprétation appuyée au regard des moyens de traitements mis à disposition par le développement de l’informatique. En effet, les moyens techniques actuels permettent la mise en œuvre de collectes et de traitements automatisés des données personnelles, contexte qui n’était pas envisageable en 1803. Cette adaptation débute en 1978 par une loi nationale [Ré78] et va se poursuivre dans le cadre de l’Union Européenne. L’essentiel du cadre législatif en matière de protection de la vie privée réside dans deux lois nationales [Ré78, Ré04], reprenant deux directives européennes [The95, The02]. Il est à noter que ces textes contiennent tous des limitations au droit à la vie privée, concernant notamment l’instruction des enquêtes judiciaires. Nous ne nous intéresserons pas au cas particulier des restrictions pouvant être apportées par des juges à la protection de la vie privée, pour nous situer plutôt dans le contexte de traitements informatiques ne faisant pas directement suite à un contentieux ou à une mesure de protection de la sécurité nationale.
|
Table des matières
Introduction
1 Vie privée et protection des données personnelles
Introduction
1.1 La sphère privée
1.1.1 Nomenclature et définitions
1.1.2 Aspects légaux du droit à la sphère privée
1.1.3 Protection de la sphère privée au quotidien
1.2 Les dimensions techniques de protection de la vie privée sur Internet
1.2.1 Gestion des identités
1.2.2 Communications IP anonymes
1.2.3 Accès anonymes aux services
1.2.4 Autorisation préservant la vie privée
1.2.5 Gestion des données personnelles
1.3 La protection des données personnelles
1.3.1 Les six axes de la protection des données personnelles
1.3.2 Problématiques spécifiques aux domaines d’intérêt
1.4 Technologies de protection des données personnelles
1.4.1 Platform for Privacy Preferences
1.4.2 Sticky policies
1.4.3 Gestion déportée des données sensibles
1.4.4 Agents utilisateurs
1.5 Discussion
1.5.1 Représentation et raisonnement
1.5.2 Manque de contrôle
1.6 Conclusion
2 Langage XPACML et modèle d’architecture pour la protection des données personnelles
Introduction
2.1 Problématiques et besoins
2.2 Langages de politiques de protection des données
2.2.1 Platform for Privacy Preferences (P3P)
2.2.2 P3P Privacy Policy Exchange Language APPEL et XPREF
2.2.3 Implémentations existantes côté utilisateur
2.3 Limitations
2.4 Le langage de politiques de contrôle d’accès XACML
2.4.1 Modèles de contrôle d’accès sensibles à la protection de la confidentialité
2.4.2 Principes de XACML
2.4.3 Architecture de XACML
2.5 Complémentarité des langages de politiques de protection des données et des langages de contrôle d’accès
2.6 XPACML
2.6.1 Contraintes à considérer dans les politiques de protection des données XPACML
2.6.2 Principes du langage XPACML
2.6.3 Architecture de contrôle d’accès XPACML
2.7 Génération des politiques XPACML
2.7.1 Définition du schéma de politique
2.7.2 Exemples de politiques XPACML
2.7.3 Vérification de conformité des fichiers de politiques
2.7.4 Comparaison des politiques (implémentation du PPDP)
2.8 Prime Life Policy Language (PPL)
2.8.1 Principes du langage PPL
2.8.2 Architecture de contrôle d’accès PPL
2.8.3 Diagramme de flux du moteur de contrôle d’accès PrimeLife
2.8.4 Comparaison entre PPL et XPACML
2.9 Conclusion
3 Prise en compte du contexte situationnel dans la protection des données personnelles
Introduction
3.1 Problématique
3.2 Etat de l’art
3.3 Discussion et idée principale
3.4 Prérequis en modélisation sémantique et gestion des contextes
3.4.1 La modélisation sémantique
3.4.2 Gestion de contextes
3.5 Approche proposée
3.5.1 Modélisation des contextes
3.5.2 Politiques de protection des données à base de contextes
3.6 Scénario
3.6.1 Modélisation des contextes sémantiques
3.6.2 Politiques de protection des données à base de contextes
3.7 Prototype d’implémentation
3.8 Conclusion
Conclusion
Télécharger le rapport complet