Approches et stratégies pour améliorer la protection de la vie privée dans le contexte des inforoutes

[À l'origine dans / Was originally part of : CRDP - Droit et technologies d'information et de communication]Mémoire présenté à la Commission de la culture de l'Assemblée nationale dans le cadre de son mandat sur l'étude du Rapport quinquennal de la Commission d'accès à l'informatio

L'Internet des objets. Quels enjeux pour les Européens ?

L'Internet accueille aujourd'hui des milliards de connexions et d'échanges qui en font l'outil le plus puissant jamais inventé pour le partage de l'information. En quelques décennies, il est devenu le moteur de profondes transformations dans la vie des entreprises, des individus et des institutions. Cet élan n'est pas près de cesser et dans tous les pays ingénieurs et techniciens, industriels et sociétés de services, chercheurs de toutes disciplines et responsables politiques sont déjà en train de dessiner l'Internet du Futur1. La perspective est celle d'un monde de connexion encore plus dense, entre les hommes mais aussi avec les objets - une connexion permanente et de plus en plus invisible, qui engendre autant de craintes qu'elle est porteuse de promesses. Elle pose sous de nouvelles formes la question des relations entre innovation et marché, entre ressources techniques et applications de services, mais aussi entre sécurité et liberté. Elle perpétue et renforce le besoin d'une gouvernance « transparente, multilatérale et démocratique » qui a irrigué les débats du Sommet mondial sur la société de l'information2. L'enjeu est de répondre aux incertitudes tant industrielles que réglementaires et aux préoccupations éthiques d'accessibilité, de diversité culturelle et de protection des libertés. Entre avancées technologiques et méconnaissance des usages, entre harmonisation des standards et aléas de la compétition économique, l'Union européenne est confrontée à trois défis majeurs : - Comment articuler de manière partagée, durable et à moindre coût, des réseaux et des applications diversifiés ? - Comment guider l'innovation et favoriser la croissance économique ? Comment faire en sorte qu'un réseau de réseaux conçu comme « ubiquitaire » ne soit pas excessivement intrusif ? Le 7ème programme-cadre européen de recherche sur les technologies de l'information et de la communication marque une étape importante. Il est largement consacré aux réseaux et services du futur3. Quatre aspects essentiels y sont abordés : - les nouvelles infrastructures de réseaux (très haut débit, sans fil, mobile), - le développement des logiciels et des plateformes de services, - l'exploration des technologies 3D Media, l'intégration des puces RFID (Radio Frequency Identification systems) et des adresses IP conduisant à ce qu'on appelle « l'Internet des Objets4 ». En fonction des acteurs, et de leurs intérêts parfois divergents, il est difficile de trancher entre « révolution » ou « évolution » technique. Le web sémantique, les nanotechnologies, les Next. Generation Networks vont renouveler dans un proche avenir la physionomie de l'Internet. Mais la présente étude a choisi de partir des usages, avérés ou émergents, pour questionner ces mutations. C'est pourquoi elle est consacrée à l'Internet des Objets qui a largement entamé son déploiement, qui focalise un très grand nombre de recherches en cours, aussi bien en sciences et techniques qu'en sciences sociales et, surtout, qui suscite les interrogations les plus pressantes dans le débat public. La manière dont l'IdO est appréhendé aujourd'hui est très largement structurée par les infrastructures disponibles (réseaux et protocoles Internet), les processus de suivi déjà existants (en particulier les codes-barres) ainsi que les acteurs en place (développeurs, tiers de confiance). Mais son développement ne saurait se limiter aux seules questions techniques de la RFID5. Il soulève des enjeux économiques et sociaux, mais aussi politiques, philosophiques, cognitifs, juridiques et éthiques dont la perception, par le grand public comme par les autorités, n'est pas exempte d'ignorance et d'amalgames. Le panorama que nous proposons s'inscrit de plain-pied dans une perspective pluridisciplinaire, pour permettre de porter en parallèle l'ensemble de ces questionnements. Il se situe également dans une perspective d'action, pour concevoir et promouvoir une gouvernance équilibrée et ainsi réussir le développement de l'IdO en Europe. Après avoir défini l'Internet des Objets (chapitre 1), nous tenterons de comprendre en quoi ses enjeux sont cruciaux (chapitre 2), puis d'évaluer son stade de développement (chapitre 3), en insistant sur la construction de la standardisation. Nous nous interrogerons sur les conditions d'émergence et de succès du marché de l'IdO (chapitre 4) et nous analyserons les représentations qui conditionnent sa mise en oeuvre, à la fois pour les industriels, les citoyens et les gouvernements, en mettant en relief la problématique de la protection de la vie privée « privacy » (chapitre 5). Le dernier chapitre (6) s'attachera aux principales questions qui doivent être gérées politiquement, en Europe et au delà, pour construire un Internet des Objets profitable, acceptable et « gouvernable ».

La gouvernance extérieure de l’Union européenne en matière de protection des données à caractère personnel

"Le droit de la protection des données à caractère personnel ne semble pas à première vue concerner directement les relations extérieures de l’Union européenne. Cependant, dans notre « société globale de l’information », caractérisée par les défis qu'impliquent les nouvelles technologies et la mondialisation, les questions relatives à la circulation des informations et notamment à la circulation des données personnelles sont devenues cruciales. Il suffit pour s’en convaincre de se reporter aux succès des entreprises Google ou Facebook, dont l’essentiel des revenus repose sur la collecte et le traitement de ces dernières données précisément. Aussi et puisque « désormais (…), nulle culture nationale, nulle économie ne sont plus à l’abri de leurs frontières naturelles » 2 ; il apparaît que l’Union européenne (UE) ne peut plus définir de façon autonome un standard de protection des données personnelles de ses ressortissants, sans que ce celui-ci ne soit continuellement remis en cause.

Propriété littéraire et artistique et libertés individuelles dans l\u27environnement numérique

Propositions juridiques et techniques pour garantir un nouveau compromis entre propriété intellectuelle et libertés individuelles (d\u27accès, de copie privée, etc.) dans l\u27univers du numérique et de l\u27internet. Développements sur les DRMS, la gestion numérique des droits et les moyens de lutte contre la contrefaçon

Méthodes formelles pour le respect de la vie privée par construction

Privacy by Design (PbD) is increasingly praised as a key approach to improving privacy protection. New information and communication technologies give rise to new business models and services. These services often rely on the exploitation of personal data for the purpose of customization. While privacy is more and more at risk, the growing view is that technologies themselves should be used to propose more privacy-friendly solutions. Privacy Enhancing Technologies (PETs) have been extensively studied, and many techniques have been proposed such as anonymizers or encryption mechanisms. However, PbD goes beyond the use of PETs. Indeed, the privacy requirements of a system should be taken into account from the early stages of the design because they can have a large impact on the overall architecture of the solution. The PbD approach can be summed up as ``prevent rather than cure''. A number of principles related to the protection of personal data and privacy have been enshrined in law and soft regulations. They involve notions such as data minimization, control of personal data by the subject, transparency of the data processing, or accountability. However, it is not clear how to translate these principles into technical features, and no method exists so far to support the design and verification of privacy compliant systems. This thesis proposes a systematic process to specify, design, and verify system architectures. This process helps designers to explore the design space in a systematic way. It is complemented by a formal framework in which confidentiality and integrity requirements can be expressed. Finally, a computer-aided engineering tool enables non-expert designers to perform formal verifications of the architectures. A case study illustrates the whole approach showing how these contributions complement each other and can be used in practice.Le respect de la vie privée par construction est de plus en plus mentionné comme une étape essentielle vers une meilleure protection de la vie privée. Les nouvelles technologies de l'information et de la communication donnent naissance à de nouveaux modèles d'affaires et de services. Ces services reposent souvent sur l'exploitation de données personnelles à des fins de personnalisation. Alors que les exigences de respect de la vie privée sont de plus en plus sous tension, il apparaît que les technologies elles-mêmes devraient être utilisées pour proposer des solutions davantage satisfaisantes. Les technologies améliorant le respect de la vie privée ont fait l'objet de recherches approfondies et diverses techniques ont été développées telles que des anonymiseurs ou des mécanismes de chiffrement évolués. Cependant, le respect de la vie privée par construction va plus loin que les technologies améliorant simplement son respect. En effet, les exigences en terme de protection des données à caractère personnel doivent être prises en compte au plus tôt lors du développement d’un système car elles peuvent avoir un impact important sur l'ensemble de l'architecture de la solution. Cette approche peut donc être résumée comme « prévenir plutôt que guérir ». Des principes généraux ont été proposés pour définir des critères réglementaires de respect de la vie privée. Ils impliquent des notions telles que la minimisation des données, le contrôle par le sujet des données personnelles, la transparence des traitements ou encore la redevabilité. Ces principes ne sont cependant pas suffisamment précis pour être directement traduits en fonctionnalités techniques. De plus, aucune méthode n’a été proposée jusqu’ici pour aider à la conception et à la vérification de systèmes respectueux de la vie privée. Cette thèse propose une démarche de spécification, de conception et de vérification au niveau architectural. Cette démarche aide les concepteurs à explorer l'espace de conception d'un système de manière systématique. Elle est complétée par un cadre formel prenant en compte les exigences de confidentialité et d’intégrité des données. Enfin, un outil d’aide à la conception permet aux concepteurs non-experts de vérifier formellement les architectures. Une étude de cas illustre l’ensemble de la démarche et montre comment ces différentes contributions se complètent pour être utilisées en pratique

Gestion des connaissances des firmes globales : entre pratiques de codification et pratiques de diffusion

Document de travail LEST. 29 p.Knowledge Management arouses a lot of questioning about the implemented methods. This article proposes a study of knowledge management practices within multinationals. Two main results are drawn from it. On one hand we show the structuring of several methods who differ about objectives and uses. On the other hand we propose a typology of knowledge management practices who indicates different levels of maturity.Le management des connaissances suscite beaucoup d'interrogations au sujet des méthodes mises en œuvre. Cet article propose une étude des pratiques de management des connaissances au sein de firmes multinationales. Deux résultats principaux sont dégagés. Nous montrons d'une part que plusieurs méthodes assez différentes du point de vue des objectifs et des usages peuvent être articulées au sein d'une même entreprise. Nous proposons également une typologie de pratiques de gestion des connaissances qui fait état de niveaux différents de maturité en la matière

Gestion durable des données : point sur les enjeux et proposition d'une démarche de pilotage de la performance appuyée sur un balanced scorecard thématique

Texte intégral disponible gratuitement à http://aim.asso.fr/index.php/mediatheque/finish/16-aim-2010/8-gestion-durable-des-donnees-point-sur-les-enjeux-et-proposition-d-une-demarche-de-pilotage-de-la-performance-appuyee-sur-un-balanced-scorecard-thematique/0L'objectif de cet article est de faire le point sur enjeux, acteurs et facteurs clés de succès de la mise en œuvre d'une gestion des données minimisant l'impact environnemental et de proposer une démarche de contrôle et de pilotage des performances applicable par les entreprises. Cet article s'appuie sur une recherche au cours de laquelle, après une revue bibliographique, nous avons analysé 70 appels d'offres concernant des solutions de stockage et mené 12 entretiens semi-directifs auprès d'experts du green IT et du secteur du stockage, de représentants de DSI et responsables d'exploitation. Les principales contributions de cet article sont d'une part de mettre l'accent sur la nécessité - au-delà de l'optimisation des infrastructures de stockage - de mettre en œuvre une gouvernance durable des données dont nous définissons les grands principes et de proposer, en nous appuyant sur l'approche du balanced scorecard, une démarche de contrôle et de pilotage des performances en ce domain

Les environnements numériques d’apprentissage (ENA) : État des lieux et prospective

Rapport d’analyse et de synthès