Remettre la vie privée au cœur des technos : l’ambitieux objectif du « Privacy by Design » share
back to to

Remettre la vie privée au cœur des technos : l’ambitieux objectif du "Privacy by Design"

13 octobre 2014

Alors que la CNIL épingle régulièrement de grandes entreprises du numérique pour exploitation abusive des données personnelles et que la protection de la vie privée est plus que jamais d’actualité, un concept élaboré dans les années 90 vise à remettre de l’humain au cœur des technologies : le Privacy by design. Ce principe entend attaquer le problème de la préservation des informations personnelles à la racine en faisant de ce dernier un élément clé de l’architecture des logiciels, applications ou sites web.

« Vous tous, ici réunis dans cette pièce, vous avez dès à présent les moyens d’aider à construire un futur meilleur en incorporant nos droits dans les programmes et protocoles que nous utilisons au quotidien ».

Ainsi s’exprimait le whistleblower (ou « lanceur d’alerte ») Edward Snowden le 20 juillet dernier, intervenant à la Conférence Hope X de New York depuis son pays d’asile, la Russie, pour appeler la communauté des développeurs à intégrer le « Privacy by design » à la base de leurs conceptions. 

Pour mettre au point ce concept vingt ans plus tôt, Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada) était partie d’un constat simple : la protection de la vie privée est toujours pensée en aval, via différents « remèdes » après que les services aient commencé d’être utilisés et les atteintes avérées. Jamais en amont, au moment de leur conception pour éviter les possibles abus. Une approche contre-productive et avide de temps. De plus, la réutilisation à des fins commerciales des données personnelles à caractère sensible, ou les divers abus relatifs à leur exploitation s’inscrivent dans un véritable vide juridique qu’il convient d’encadrer.

Mesures proactives contre réactions tardives

Le non-respect de la vie privée s’est récemment hissé au rang de préoccupation majeure, pour un nombre grandissant de citoyens qui ressentent le besoin de s’en protéger. C’est en tout cas ce que révèle une étude menée en 2010 par l’Université de Berkeley (Californie). Les particuliers se voient en effet confrontés à des fuites de leurs propres données personnelles, telles que leurs noms, adresse postale, emails, mots de passe, identifiants, voire données bancaires. Certains réseaux de distribution d’électricité « intelligents » (Smart Grid) aux Etats-Unis se révèlent particulièrement intrusifs, recueillant non seulement la consommation d’électricité de chaque foyer, mais aussi le nombre d’occupants, leur rythme de sommeil… des informations qui risquent par la suite d’émerger au grand jour, voire d’être vendues et réutilisées d’une façon non autorisée par les intéressés. En 2009, la perte de données relatives aux pistes magnétiques de près de 130 millions de cartes bancaires avait ainsi été constatée de la part de Heartland Payment Systems et constitue la plus importante fuite d’informations personnelles à ce jour.

Le Privacy by design veut répondre aux inquiétudes suscitées par de tels événements en intégrant la protection des données personnelles dans les normes de conception des technologies, des pratiques internes et des infrastructures matérielles, et en en faisant une contrainte majeure pour les développeurs, dès la conception. Il s’attaque à trois mythes régulièrement évoqués, et considérés à tort, comme indiscutables :

– suite à la révolution numérique, la vie privée n’existerait plus ;
– plus personne ne s’en soucierait ;
– plus de sécurité reviendrait à tirer un trait sur ce principe.

Le flou actuel autour des applications concrètes de ce principe représente une source importante de critiques. La démarche de Privacy by design peut néanmoins se manifester à travers de nombreuses mesures simples, comme le fait de rendre les données des internautes privées par défaut sur les services en ligne, de laisser aux mobinautes la possibilité de savoir quand leur localisation est sur le point d’être partagée, ou aux enfants surveillés par leurs parents la possibilité d’en être avertis.

Un véritable écho à l’échelle internationale

Le « Privacy by design » trouve un retentissement certain au sein des institutions européennes, désireuses de remédier au cruel manque de législation en la matière. Dès le 26 mars 2009, une recommandation du Parlement européen au Conseil en faisait le moyen d’assurer aux citoyens un « environnement convivial », en introduisant la protection des données et de la vie privée dès que possible dans le cycle de vie des nouveaux développements technologiques. En 2011, un rapport de l’assemblée nationale sur les droits de l’individu dans la révolution numérique visait notamment à faire du Privacy by Design un atout majeur pour l’Europe.

Au-delà de l’Union, les révélations d’Edward Snowden ont eu un effet certain sur la remontée en popularité de ce concept sur la scène internationale. Lorsqu’il appelait la communauté des développeurs à intégrer le « Privacy by design » dans leurs conceptions, l’informaticien alertait notamment sur l’importance de rendre les protocoles résistants à l’analyse du trafic et les connexions individuelles davantage anonymes.

A mi-chemin entre technologie et droit, le Privacy by design nécessite le travail conjoint d’experts issus de ces deux domaines pour gagner en clarté et assumer son ambition principale : s’attacher au design et à la conception des nouvelles technologies pour prévenir en amont l’exploitation abusive des données personnelles. De nouvelles contraintes favorables à la créativité et à l’inspiration des développeurs, pour un Internet plus sûr ?

Chaque semaine,
recevez les immanquables
par email