Respect de la vie privée sur le Web : le W3C explore les solutions

Comment garantir la protection de la vie privée lors de l’échange d’informations ? Comment les mécanismes de responsabilisation et les décisions de contrôle d’accès peuvent-ils tirer parti du Web pour faciliter la gestion des obligations et des actions découlant de l’échange des données ? Comment les sites Web pilotés par la communauté et les utilisateurs peuvent-ils valoriser les structures de responsabilisation et de contrôle d’accès ? Ce sont là autant de questions qui se posent avec de plus en plus d'acuité et auxquelles le W3C (World Wide Web Consortium) a cherché à répondre en organisant récemment un atelier consacré à la protection de la vie privée, atelier qui traitait plus particulièrement des langages relatifs à la négociation des règles de confidentialité et leur application favorisée par la sémantique.

Les challenges de la vie privée en ligne

Le W3C, dont le pilier européen se trouve à Sophia Antipolis avec l'ERCIM, avait déjà abordé cette question du droit à la vie privée sur le Web. Son projet "Platform for Privacy Preferences Project (P3P)" s’est attaché à développer un langage standardisé décrivant les pratiques de la vie privée pour favoriser l’application par les logiciels des préférences de l’utilisateur. Cet atelier est allé plus loin pour explorer d’autres questions.

La vie privée en ligne se trouve en confronté à plusieurs challenges. Sur le Web, la collecte et l'échange d’informations sont monnaie courante. Elles sont souvent effectuées par de nombreux tiers sans que l’utilisateur en ait conscience. Compte tenu du nombre croissant de personnes accédant aux informations, il devient de plus en plus difficile d’en suivre le fil pour tenir les promesses tenu lors de l'échange initial et appliquer les règles y afférant. Si les outils sont utiles, ils impliquent la description des droits d’accès, souvent complexe à formuler au vu du nombre de participants concernés.

S’il est vrai que le scénario de l’échange des données des patients entre un médecin et un laboratoire est connu, le problème de la confidentialité ne s’arrête pas à la porte des grandes entreprises, souligne le W3C. En effet, les particuliers sont de plus en plus nombreux à partager des informations personnelles (photos, articles de blogs, etc.) sur le Web. Aussi reconnaissent-ils la nécessité d’approches plus efficaces pour la gestion des données personnelles, la description des personnes autorisées à accéder à leurs informations et l’identification de ceux pouvant être tenus pour responsables quand un service donné ne respecte pas leurs préférences de confidentialité.

Vers une structure commune pour les langages de police

Un des obstacles communs à l’évolution des approches intégrées du droit à la vie privée, à la fois pour les processus d’entreprise et le Web, réside dans le manque d’interopérabilité entre les différents langages utilisés dans les polices. Actuellement, les langages de police sont personnalisés pour s’adapter à des cas d’utilisation spécifiques et les satisfaire au mieux. Or, les environnements Web et des entreprises d’aujourd’hui nécessitent l’adoption de différentes approches étroitement intégrées.

Les participants à cet atelier ont convenu que la communauté devait accepter la réalité de la diversité des langages de police et s’attacher à faciliter les connexions entre ces nombreux langages, plutôt que de tenter de créer un seul langage de règles combiné pour couvrir le cadre complet du contrôle d’accès et du traitement des données personnelles. Le W3C participe ainsi aux projets PRIME et PAW, qui promettent de contribuer au travail futur dans ce domaine. D'autre part, les participants à l’atelier ont suggéré que le W3C mette en place un Groupe d’intérêt comme forum de discussion pour permettre la prolongation des débats sur ces questions.

Pour le professeur Piero A. Bonatti de l’Université de Naple, "cet atelier a clairement présenté les grandes lignes des enjeux relatifs à la protection de la vie privée dans la société de l’information. Il nous a donné l’occasion de réunir les visions et les approches des industriels, autorités publiques et académiques, concernant non seulement l’informatique mais également les domaines économiques et autres disciplines. Les enjeux que nous avons abordés constitueront, sans conteste, les thèmes de recherche prioritaires pour les années à venir."