Upload
patrice-pena
View
268
Download
0
Embed Size (px)
Citation preview
LE CONTRÔLE UTILISATEUR DE LA VIE PRIVÉEAborder le contrôle de la vie privée du point de vue utilisateur
Patrice PENAErgonome IHM
Les lundis de l’ergonomieLe 12 décembre 2016
Introduction : le projet Paddoc
Aperçu du contexte et définition des données personnelles
Les pratiques des utilisateurs
Présentation des critères de contrôle des données personnelles
Conclusion
SOMMAIRE
INTRODUCTION : LE PROJET PADDOC
LE PROJET PADDOC
La notion de « contrôle exclusif »
Une solution sécurisée qui vise à dématérialiser le contenu de nos sacs à main et de nos portefeuilles (clefs, documents, identité, cartes, etc.) en mettant sous le contrôle exclusif du porteur l’ensemble de ses données personnelles et leurs modalités de diffusion
LE PROJET PADDOC DU POINT DE VUE UTILISATEUR
Guichet virtuel Paddoc
LE PROJET PADDOC DU POINT DE VUE UTILISATEUR
Application Paddoc
Guichet virtuel Paddoc
DES SOLUTIONS TECHNIQUES APPLIQUÉES AU RESPECT DE LA VIE PRIVÉE
Un ensemble de composants matériels et logiciels appliqués à la sécurisation des canaux de communication (architecture à clé publique, librairies cryptographiques, matériel dédié au chiffrage/déchiffrage des données, normes, etc.)
LA PLACE DU CONTRÔLE DES DONNÉES PERSONNELLES DANS LES GRILLES ERGONOMIQUES
Des critères appliqués à la conception et l’évaluation de l’utilisabilité des systèmes
LA PLACE DU CONTRÔLE DES DONNÉES PERSONNELLES DANS LES GRILLES ERGONOMIQUES
Des critères appliqués à la conception et l’évaluation de l’utilisabilité des systèmes
Heuristiques de Nielsen
Visibilité de l’état du système
Lien entre le système et le monde réel
Contrôle et liberté de l’utilisateur
Homogénéité et standard
Prévenir l’erreur
Reconnaître plutôt que se rappeler
Esthétique et design minimal
Aider l’utilisateur à reconnaître, diagnostiquer et comprendre ses erreurs
Aide et documentation
LA PLACE DU CONTRÔLE DES DONNÉES PERSONNELLES DANS LES GRILLES ERGONOMIQUES
Des critères appliqués à la conception et l’évaluation de l’utilisabilité des systèmes
Heuristiques de Nielsen
Visibilité de l’état du système
Lien entre le système et le monde réel
Contrôle et liberté de l’utilisateur
Homogénéité et standard
Prévenir l’erreur
Reconnaître plutôt que se rappeler
Esthétique et design minimal
Aider l’utilisateur à reconnaître, diagnostiquer et comprendre ses erreurs
Aide et documentation
Critères ergonomiques de Bastien et Scapin
Guidage (Incitation, Groupement / Distinction entre item, Feedback immédiat, Lisibilité)
Charge de travail (Brièveté, Densité informationnelle)
Contrôle explicite (Actions explicites, Contrôle utilisateur)
Adaptabilité (Flexibilité, Prise en compte de l’expérience de l’utilisateur)
Gestion des erreurs (Protection contre les erreurs, Qualité des messages d’erreurs , Correction des erreurs)
Homogénéité et cohérence
Signifiance des codes et dénominateurs
Compatibilité
LE BESOIN DE CRITÈRES ERGONOMIQUES DE CONCEPTION ET D’ÉVALUATION DE CONTRÔLE DES DONNÉES PERSONNELLES
Le constat
Absence de critères ergonomiques appliqués à la conception et l’évaluation des interfaces de contrôle des données personnelles
LE BESOIN DE CRITÈRES ERGONOMIQUES DE CONCEPTION ET D’ÉVALUATION DE CONTRÔLE DES DONNÉES PERSONNELLES
L’objectif des travaux de recherche
Elaborer de nouveaux critères de conception et d’évaluation du contrôle des données personnelles appliqués aux différentes cas d’usages Paddoc et aux IHM du dispositif Paddoc
Généraliser ses principes pour les appliquer à tous types de dispositifs collectant et utilisant les données personnelles de ses utilisateurs
LE BESOIN DE CRITÈRES ERGONOMIQUES DE CONCEPTION ET D’ÉVALUATION DE CONTRÔLE DES DONNÉES PERSONNELLES
La méthodologie d’élaboration des critères de contrôle
Situer le contrôle exclusif des données personnelles dans le contexte global de l’utilisateur et définir la notion de données personnelles
Définir des profils types d’utilisateurs à partir de la littérature sur les pratiques et les attitudes des individus engagés dans des interactions fondées sur le contrôle des données personnelles ou la protection de la vie privée
Transposer les critères d’utilisabilité aux contexte de la protection des données personnelles et du respect de la vie privée
Définir des critères ergonomiques à partir des approches techniques, légales, politiques et psychosociales
Elaborer une méthodologie de conception et d’évaluation d’interfaces de contrôle des données personnelles utilisables
APERÇU DU CONTEXTE ET DÉFINITION DES DONNÉES PERSONNELLES
Croissance des capacités d’émission, de recueil, de traitement et de stockage des données personnelles
Développement des technologies sans fil, de la mobilité et de la géolocalisation, des services personnalisés
Transformation des utilisateurs en source de production et de transmission de données personnelles
CNIL (2013). Mobilitics : Saison 1 : résultats iPhone. [http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/Mobilitics_confPresse_09042013.pdf]. CNIL (2014). Mobilitics : Saison 2 : Les smartphones et leurs apps sous le microscope de la CNIL et d'Inria. [http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/Lettre_IP_N-8-Mobilitics.pdf.
LE DÉVELOPPEMENT DES TECHNOLOGIES UBIQUITAIRES
LE DÉVELOPPEMENT DES TECHNOLOGIES UBIQUITAIRES
LE DÉVELOPPEMENT DES TECHNOLOGIES UBIQUITAIRES
LE DÉVELOPPEMENT DES TECHNOLOGIES UBIQUITAIRES
LE DÉVELOPPEMENT DES TECHNOLOGIES UBIQUITAIRES
LE DÉVELOPPEMENT DES TECHNOLOGIES UBIQUITAIRES
LE DÉVELOPPEMENT DES TECHNOLOGIES UBIQUITAIRES
etc.
LE DÉVELOPPEMENT DES TECHNOLOGIES UBIQUITAIRES
Article 2 de la Loi Informatique et Liberté
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.»
Source : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460#LEGIARTI000006528061
LES DONNÉES PERSONNELLES DU POINT DE VUE LÉGAL
Authentification directe
UN ENSEMBLE HÉTÉROGÈNE DE DONNÉES
Identité ou reconnaissance
Nom, prénom, photo contenu dans un fichier, un document officiel, une copie de document (photocopie, scans), formulaire web, etc.
Authentification indirecte
Gandon, F. L., & Sadeh, N. M. (2011). Semantic Web Technologies to Reconcile Privacy and Context Awareness. Web Semantics: Science, Services and Agents on the World Wide Web, 1(3).
UN ENSEMBLE HÉTÉROGÈNE DE DONNÉES
Informations permettant de
discriminer une personne
Lieu de résidence, la profession, le sexe, l’âge, adresse IP, numéro d’immatriculation d’un véhicule, numéro de carte de paiement, le numéro de téléphone, etc.
Données biométriques
Empreinte digitale, reconnaissance rétinienne, comportementales (saisie du clavier, reconnaissance de la démarche), ADN
Informations ou contenus issus des
actions individuelles ou sociales
Contenu d’une conversation téléphonique, d’une communication par internet (mail, chat, partage de média, commentaires, etc.), navigation sur le Web, transaction bancaire, etc.
Informations dynamiques
Paramètres issus d’un usage ou définis par l’utilisateur (Gandon et Sadeh, 2011)
Métadonnées Tags, heures de connexion et de déconnexion, nombre de connexions, enregistrement des actions réalisées, historique de navigation, messages échangés sur un réseau avec une personne précise, nombre et type d’achats effectués, etc.
S’assurer que l’information n’est accessible qu’à ceux dont l’accès est autorisé selon le contexte de l’utilisateur
Alan F. Westin, Privacy and Freedom (New York : Antheum, 1967), 7.Altman, I. (1976). Privacy. A Conceptual Analysis. Environment and Behavior, Vol. 8 No. 1, March 1976. Sage Publication, Inc.Warren, S. D., & Brandeis, L. D. (1890). The right to privacy. Harvard law review, 193-220.
DES DONNÉES SENSIBLES ET CONFIDENTIELLES
Du point de vue technico-légal
Protéger les informations selon les critères de confidentialité, d’intégrité, de disponibilité, de non-répudiation et d’imputation, de contrôle d’accès (authentification, identification, autorisation)
Du point de vue politique
S’assurer que les utilisateurs puissent « décider eux-mêmes quand, comment et dans quelle mesure les informations les concernant sont communiquées à autrui » (Westin, 1967)
Du point de vue psychosocial
Intégrer l’aspect social des interactions fondées sur la vie privée et les mécanismes qui prévalent dans la gestion des espaces de vie privée (Altman, 1976)
Du point de vue juridique
Avoir « le droit à être laissé seul » (Warren et Brandeis, 1890), le droit à la déconnexion, le droit à l’oubli, au déférencement.
LES PRATIQUES DES UTILISATEURS
Les préoccupations des individus sur le respect et la protection de la vie privée sont explicites et légitimesSentiment de perte de contrôle et d’intrusion
Effet de décuplement : retentissement médiatique de certaines affaires (Snowden), les vols récurrents de données personnelles , effet d’audience de certains services.
Kang, R., Dabbish, L., Fruchter, N., & Kiesler, S. (2015). “My Data Just Goes Everywhere:” User Mental Models of the Internet and Implications for Privacy and Security. In Eleventh Symposium On Usable Privacy and Security (SOUPS 2015) (pp. 39-52).
http://www.lemonde.fr/pixels/article/2016/09/23/les-principaux-vols-de-donnees-personnelles-depuis-2013_5002435_4408996.html
LE MODÈLE MENTAL DES UTILISATEURS
Les pratiques sont contradictoires avec les attentes et les besoins implicites ou explicites de contrôle et de sécuritéElles attestent d’un manque de contrôle et de comportements non sécurisants
Difficulté de réduire la vie privée à une définition (différences culturelles et légales)
Difficultés à percevoir et se représenter les conséquences immédiates ou à plus ou moins long terme
Motivé par l’accomplissement de ses tâches et de ses objectifs, l’utilisateur préfère subvertir les règles de sécurité et emprunter les chemins les plus rapides pour parvenir à son but
Les préoccupations dissuadent les utilisateurs d’interagir selon les données requises, le contexte d’utilisation et les supports utilisés
Child, J. T.and S. Petronio, Eds. (2010). Unpacking the Paradoxes of Privacy in CMC relationship : the Challenges of Blogging and Relational Communication on the Internet. Computer Mediated Communication in Personal Relationships, Cresskill, N. Hampton Press. Norberg, P. A., Horne, D. R., & Horne, D. A. (2007). The privacy paradox: Personal information disclosure intentions versus behaviors. Journal of Consumer Affairs, 41(1), 100-126.Norman, D. A. (2009). THE WAY I SEE IT: When Security Gets in the Way. Interactions, 16(6), 60–63.
LE « PARADOXE DE LA VIE PRIVÉE »
LES CONTRÔLEURS LES RELATIVISTES LES INATTENTIFS
Sensibilité à la vie privée Très sensibles au respect de la vie privée et à la protection des données personnelles (position de principes)
Relativement sensible à la vie privée et ont besoin d’un minimum de garanties pour adopter un service
Pas sensibles à la question du contrôle et de la protection des données personnelles
Motivation à obtenir un avantage
L’intérêt du service n’est pas déterminant en regard de la question du contrôle et de la transparence fournies par le service
Ils ont conscience de la valeur marchande de leurs données personnelles et les utilisent comme moyen d’échange dans la perspective d’obtenir d’un service
Ils communiquent leurs données personnelles dès lors que le système l’exige
Niveau d’expertise Ils peuvent exercer le contrôle selon des exigences élevées de sécurité
Ils attendent un niveau de contrôle leur permettant d’accéder au service au moindre coût
Leurs comportements et leurs pratiques peuvent porter atteinte à la protection du système et de leurs données personnelles
MODÉLISATION DES UTILISATEURS
Kumaraguru, P., & Cranor, L. F. (2005). Privacy indexes: a survey of Westin’s studies. Lancelot-Miltgen, C., & Gauzente, C. (2006). Vie privée et partage de données personnelles en ligne : une approche typologique. Sheehan, K. B. (2002). Toward a typology of Internet users and online privacy concerns. The Information Society, 18(1), 21-32.
PRÉSENTATION DES CRITÈRES
LE PÉRIMÈTRE DU CONTRÔLELE PÉRIMÈTRE DU CONTRÔLE
L’UTILISATEUR EXERCE LE CONTRÔLEL’UTILISATEUR EXERCE LE CONTRÔLE
L’UTILISATEUR CONL’UTILISATEUR CONTRÔLE LES DONNÉES PERSONNELLES
LE PÉRIMÈTRE DU CONTRÔLE
Photo
L’UTILISATEUR CONTRÔLE LES DONNÉES PERSONNELLES
LE PÉRIMÈTRE DU CONTRÔLE
Géolocalisation Métadatas
Photo
L’UTILISATEUR CONTRÔLE LES DONNÉES PERSONNELLES
Photo
LE PÉRIMÈTRE DU CONTRÔLELE CONTRÔLE DES REQUÉRANTS
Fournisseurs de services et tiers
LE PÉRIMÈTRE DU CONTRÔLELE CONTRÔLE DES REQUÉRANTS
LE PÉRIMÈTRE DU CONTRÔLE
Autres utilisateurs ou groupe d’utilisateurs
Fournisseurs de services et tiers
LE CONTRÔLE DES REQUÉRANTS
LE PÉRIMÈTRE DU CONTRÔLE
Autres utilisateurs ou groupe d’utilisateurs
Fournisseurs de services et tiers
Individus ou groupes malveillants (pirates informatiques, personne malintentionnée, etc.)
LE CONTRÔLE DES REQUÉRANTS
LE PÉRIMÈTRE DU CONTRÔLE
Les personnes présentes dans le contexte d’utilisation de l’utilisateur
Autres utilisateurs ou groupe d’utilisateurs
Fournisseurs de services et tiers
Individus ou groupes malveillants (pirates informatiques, personne malintentionnée, etc.)
LE CONTRÔLE DES REQUÉRANTS
LE PÉRIMÈTRE DU CONTRÔLELE CONTRÔLE DES INTERFACES
LE PÉRIMÈTRE DU CONTRÔLELE CONTRÔLE DES INTERFACES
Contrôle du support
LE PÉRIMÈTRE DU CONTRÔLE
Contrôle du logiciel
LE CONTRÔLE DES INTERFACES
Contrôle du support
LA TEMPORALITÉ DU CONTRÔLE
AVANT L’UTILISATION PENDANT L’UTILISATION
APRÈS L’UTILISATION
Décision d’installation (acceptabilité)
Réalisation des tâches Désinstallation du système
Installation et configuration Consultation de l’activité (historique)
Inactivité du système
Enrôlement des utilisateurs Support et assistance
Découverte du système
1. Contrôle intégré des données 9. Aide et formation
2. Visibilité de l’état réel ou anticipé 10. Contrôle du contexte
3. Prévention des risques d’intrusion ou d’exposition 11. Contrôle des communications
4. Respect des usages 12. Bidirectionnalité du contrôle
5. Flexibilité du contrôle 13. Régulation de l’accès à soi
6. Facilité d’apprentissage, de mémorisation et d’exécution 14. Confidentialité et gestion collective
7. Information et transparence 15. Délimitation et protection des espaces privés
8. Accessibilité du contrôle
15 CRITÈRES D’OPÉRATIONNALISATION DU CONTRÔLE DES DONNÉES PERSONNELLES
Le système contrôle et protège implicitement les données personnelles de l’utilisateur sans action préalable de l’utilisateur Il confère des environnements physiques et des espaces numériques sécurisés pour protéger l’accès, le stockage et les communications des données personnelles
Signal Private Messenger
CONTRÔLE INTÉGRÉ DES DONNÉES
Le système maintient l’attention de l’utilisateur et fournit des informations contextuelles sur les conditions d’exposition des données personnellesIl informe l’utilisateur sur l’état de sécurité du système et des moyens de communication, sur l’état de l’exposition des données personnelles, sur la fiabilité d’un requérant, etc.
VISIBILITÉ DE L’ÉTAT RÉEL OU ANTICIPÉ
Le système prévient les risques d’intrusions ou d’exposition des données personnelles et les risques d’affaiblissement de protection des données et de sécurité du systèmeLes mécanismes de contrôle proposés à l’utilisateur sont anticipés en regard de l’usage et du profil utilisateur et le système fournit les mécanismes de contrôle adaptés
PRÉVENTION ET GESTION DES RISQUES D’INTRUSION OU D’EXPOSITION
La collecte et l’utilisation des données personnelles sont raisonnées et justifiées par l’usage et le service rendu à l’utilisateurLes actions requises pour contrôler la vie privée sont proposées par le système seulement si le contexte d’utilisation l’exige
RESPECT DES USAGES
Les mécanismes de contrôle des données personnelles et les interfaces de gestion de la vie privée s’adaptent aux différents profils, attentes et besoins des utilisateursLes utilisateurs avancés peuvent configurer le système en profondeur et accéder à des informations plus détaillées sur le contrôle des données ou la sécurité du système
Les utilisateurs novices ne doivent pas être perturbés par des informations ou des actions inadaptées, inutiles et risquées pour le contrôle des données personnelles ou la sécurité du système
FLEXIBILITÉ DU CONTRÔLE
La charge de travail liée à l’apprentissage des mécanismes de contrôle est réduite pour que l’utilisateur puisse rapidement contrôler les données personnellesL’utilisation des mécanismes de contrôle et la charge de travail liée à l’exercice du contrôle, la facilité de répétition et d’exécution du contrôle contribuent à réduire le temps nécessaire à l’exercice du contrôle sans augmenter le risque d’erreur de contrôle
Le système rend l’utilisateur autonome, l’aide à prendre les bonnes décisions et à réaliser les bonnes actions
FACILITÉ D’APPRENTISSAGE, DE MÉMORISATION ET D’EXECUTION
Le système informe l’utilisateur des conditions d’accès et de communication des données personnellesLe requérant informe l’utilisateur des conditions de la collecte et de l’utilisation des données personnelles sur des plateformes dédiées (plateforme de téléchargement, site marketing, rubriques conditions générales d’utilisation, etc...)
L’information est accessible et adaptée au niveau d’expertise des utilisateurs finaux
INFORMATION ET TRANSPARENCE
Les mécanismes de contrôle des données personnelles sont accessiblesIls tiennent compte des obstacles physiques, cognitifs, sensoriels liés aux utilisateurs et des contraintes techniques identifiées liées aux supports envisagés
ACCESSIBILITÉ DU CONTRÔLE
Le système procure aux utilisateurs de l’information pour les former aux bonnes pratiques et les sensibiliser aux enjeux de la vie privée Les faiblesses de l’utilisateur sont identifiées en amont et le système considère l’utilisateur comme un agent de la protection globale du système en lui procurant les informations nécessaires et les ressources utiles à l’adoption de bonnes pratiques
AIDE ET FORMATION DE L’UTILISATEUR
Le système confère à l’utilisateur le contrôle du contexte des conditions d’accès aux données personnelles. L’utilisateur peut contrôler :
CONTRÔLE DU CONTEXTE
Le quoi le système indique explicitement les données personnelles requises ou les ressources issues d’applications tierces (contacts par ex.)
A qui l’utilisateur identifie et choisit les requérants
Le pourquoi le système informe l’utilisateur de la finalité et du cadre de la requête à ses données personnelles
La granularité selon les données, l’utilisateur peut ajuster la granularité des données personnelles (réduire, augmenter la précision de la géolocalisation par exemple) ou sélectionner les données personnelles
L’utilisateur conserve une trace et a accès a l’historique des échanges
L’utilisateur a le contrôle des communicationsIl peut rompre le partage des données personnelles, modifier la confidentialité des données personnelles, activer ou désactiver une autorisation d’accès à soi ou à des ressources tierces, etc.
CONTRÔLE DES COMMUNICATIONS
Le contrôle des données personnelles est bidirectionnelContrôle des données personnelles sortantes que l’utilisateur diffuse et partage avec un ou plusieurs requérants (communauté d’utilisateurs, tiers de confiance, partenaires commerciaux, etc.)
Contrôle des requêtes d’accès entrantes aux données personnelles de l’utilisateur issues ou stockées sur le support physique de l’utilisateur ou hébergés dans un espace personnel
BIDIRECTIONNALITÉ DU CONTRÔLE
Le système permet de contrôler la visibilité et la disponibilité de l’utilisateur vis-à-vis des autres utilisateurs ou du systèmeL’utilisateur peut exercer son droit à être « déconnecté » et de ne pas être sollicité par le système ou les requérants
RÉGULATION DE L’ACCÈS À SOI
Le système permet de contrôler les accès des requérants selon le contexteL’utilisateur alloue des droits d’accès aux données personnelles de manière individuelle, à des groupes en combinant toutes les possibilités en fonction de ses exigences et du contexte
CONFIDENTIALITÉ ET GESTION COLLECTIVE
Le système délimite et confère à l’utilisateur un espace personnel alloué à ses données personnelles L’espace personnel alloué par le système est sécurisé et son accès est contrôlé par l’utilisateur
DÉLIMITATION ET PROTECTION DES ESPACES PRIVÉS
Le contrôle des données personnelles est un réel enjeu de conception et d’évaluation qui nécessitent des outils adaptés au respect de la vie privée
Les critères sont une partie d’un ensemble d’outils à utiliser dans le cadre méthodologique de l’évaluation experte d’un système : persona, grille d’évaluation, scénario d’exercice du contrôle, procédure d’application des critères
Il conviendrait d’inclure d’autres approches et expertises pour compléter et affiner les critères : juridique, techniques, sécurité, etc.
Il reste a mener une étape de validation des critères et d’expérimentation de la méthodologie pour vérifier la pertinence des critères élaborés, l’utilité et l’utilisabilité de la méthodologie dans son ensemble
CONCLUSION
MERCI DE VOTRE ATTENTION