Contrôle utilisateur de la vie privée

LE CONTRÔLE UTILISATEUR DE LA VIE PRIVÉEAborder le contrôle de la vie privée du point de vue utilisateur

Patrice PENAErgonome IHM

Les lundis de l’ergonomieLe 12 décembre 2016

Introduction : le projet Paddoc

Aperçu du contexte et définition des données personnelles

Les pratiques des utilisateurs

Présentation des critères de contrôle des données personnelles

Conclusion

SOMMAIRE

INTRODUCTION : LE PROJET PADDOC

LE PROJET PADDOC

La notion de « contrôle exclusif »

Une solution sécurisée qui vise à dématérialiser le contenu de nos sacs à main et de nos portefeuilles (clefs, documents, identité, cartes, etc.) en mettant sous le contrôle exclusif du porteur l’ensemble de ses données personnelles et leurs modalités de diffusion

LE PROJET PADDOC DU POINT DE VUE UTILISATEUR

Guichet virtuel Paddoc

LE PROJET PADDOC DU POINT DE VUE UTILISATEUR

Application Paddoc

Guichet virtuel Paddoc

DES SOLUTIONS TECHNIQUES APPLIQUÉES AU RESPECT DE LA VIE PRIVÉE

Un ensemble de composants matériels et logiciels appliqués à la sécurisation des canaux de communication (architecture à clé publique, librairies cryptographiques, matériel dédié au chiffrage/déchiffrage des données, normes, etc.)

LA PLACE DU CONTRÔLE DES DONNÉES PERSONNELLES DANS LES GRILLES ERGONOMIQUES

Des critères appliqués à la conception et l’évaluation de l’utilisabilité des systèmes



Heuristiques de Nielsen

Visibilité de l’état du système

Lien entre le système et le monde réel

Contrôle et liberté de l’utilisateur

Homogénéité et standard

Prévenir l’erreur

Reconnaître plutôt que se rappeler

Esthétique et design minimal

Aider l’utilisateur à reconnaître, diagnostiquer et comprendre ses erreurs

Aide et documentation



Heuristiques de Nielsen

Visibilité de l’état du système

Lien entre le système et le monde réel

Contrôle et liberté de l’utilisateur

Homogénéité et standard

Prévenir l’erreur

Reconnaître plutôt que se rappeler

Esthétique et design minimal

Aider l’utilisateur à reconnaître, diagnostiquer et comprendre ses erreurs

Aide et documentation

Critères ergonomiques de Bastien et Scapin

Guidage (Incitation, Groupement / Distinction entre item, Feedback immédiat, Lisibilité)

Charge de travail (Brièveté, Densité informationnelle)

Contrôle explicite (Actions explicites, Contrôle utilisateur)

Adaptabilité (Flexibilité, Prise en compte de l’expérience de l’utilisateur)

Gestion des erreurs (Protection contre les erreurs, Qualité des messages d’erreurs , Correction des erreurs)

Homogénéité et cohérence

Signifiance des codes et dénominateurs

Compatibilité

LE BESOIN DE CRITÈRES ERGONOMIQUES DE CONCEPTION ET D’ÉVALUATION DE CONTRÔLE DES DONNÉES PERSONNELLES

Le constat

Absence de critères ergonomiques appliqués à la conception et l’évaluation des interfaces de contrôle des données personnelles


L’objectif des travaux de recherche

Elaborer de nouveaux critères de conception et d’évaluation du contrôle des données personnelles appliqués aux différentes cas d’usages Paddoc et aux IHM du dispositif Paddoc

Généraliser ses principes pour les appliquer à tous types de dispositifs collectant et utilisant les données personnelles de ses utilisateurs


La méthodologie d’élaboration des critères de contrôle

Situer le contrôle exclusif des données personnelles dans le contexte global de l’utilisateur et définir la notion de données personnelles

Définir des profils types d’utilisateurs à partir de la littérature sur les pratiques et les attitudes des individus engagés dans des interactions fondées sur le contrôle des données personnelles ou la protection de la vie privée

Transposer les critères d’utilisabilité aux contexte de la protection des données personnelles et du respect de la vie privée

Définir des critères ergonomiques à partir des approches techniques, légales, politiques et psychosociales

Elaborer une méthodologie de conception et d’évaluation d’interfaces de contrôle des données personnelles utilisables

APERÇU DU CONTEXTE ET DÉFINITION DES DONNÉES PERSONNELLES

Croissance des capacités d’émission, de recueil, de traitement et de stockage des données personnelles

Développement des technologies sans fil, de la mobilité et de la géolocalisation, des services personnalisés

Transformation des utilisateurs en source de production et de transmission de données personnelles

CNIL (2013). Mobilitics : Saison 1 : résultats iPhone. [http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/Mobilitics_confPresse_09042013.pdf]. CNIL (2014). Mobilitics : Saison 2 : Les smartphones et leurs apps sous le microscope de la CNIL et d'Inria. [http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/Lettre_IP_N-8-Mobilitics.pdf.

LE DÉVELOPPEMENT DES TECHNOLOGIES UBIQUITAIRES

etc.


Article 2 de la Loi Informatique et Liberté

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.»

Source : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460#LEGIARTI000006528061

LES DONNÉES PERSONNELLES DU POINT DE VUE LÉGAL

Authentification directe

UN ENSEMBLE HÉTÉROGÈNE DE DONNÉES

Identité ou reconnaissance

Nom, prénom, photo contenu dans un fichier, un document officiel, une copie de document (photocopie, scans), formulaire web, etc.

Authentification indirecte

Gandon, F. L., & Sadeh, N. M. (2011). Semantic Web Technologies to Reconcile Privacy and Context Awareness. Web Semantics: Science, Services and Agents on the World Wide Web, 1(3).

UN ENSEMBLE HÉTÉROGÈNE DE DONNÉES

Informations permettant de

discriminer une personne

Lieu de résidence, la profession, le sexe, l’âge, adresse IP, numéro d’immatriculation d’un véhicule, numéro de carte de paiement, le numéro de téléphone, etc.

Données biométriques

Empreinte digitale, reconnaissance rétinienne, comportementales (saisie du clavier, reconnaissance de la démarche), ADN

Informations ou contenus issus des

actions individuelles ou sociales

Contenu d’une conversation téléphonique, d’une communication par internet (mail, chat, partage de média, commentaires, etc.), navigation sur le Web, transaction bancaire, etc.

Informations dynamiques

Paramètres issus d’un usage ou définis par l’utilisateur (Gandon et Sadeh, 2011)

Métadonnées Tags, heures de connexion et de déconnexion, nombre de connexions, enregistrement des actions réalisées, historique de navigation, messages échangés sur un réseau avec une personne précise, nombre et type d’achats effectués, etc.

S’assurer que l’information n’est accessible qu’à ceux dont l’accès est autorisé selon le contexte de l’utilisateur

Alan F. Westin, Privacy and Freedom (New York : Antheum, 1967), 7.Altman, I. (1976). Privacy. A Conceptual Analysis. Environment and Behavior, Vol. 8 No. 1, March 1976. Sage Publication, Inc.Warren, S. D., & Brandeis, L. D. (1890). The right to privacy. Harvard law review, 193-220.

DES DONNÉES SENSIBLES ET CONFIDENTIELLES

Du point de vue technico-légal

Protéger les informations selon les critères de confidentialité, d’intégrité, de disponibilité, de non-répudiation et d’imputation, de contrôle d’accès (authentification, identification, autorisation)

Du point de vue politique

S’assurer que les utilisateurs puissent « décider eux-mêmes quand, comment et dans quelle mesure les informations les concernant sont communiquées à autrui » (Westin, 1967)

Du point de vue psychosocial

Intégrer l’aspect social des interactions fondées sur la vie privée et les mécanismes qui prévalent dans la gestion des espaces de vie privée (Altman, 1976)

Du point de vue juridique

Avoir « le droit à être laissé seul » (Warren et Brandeis, 1890), le droit à la déconnexion, le droit à l’oubli, au déférencement.

LES PRATIQUES DES UTILISATEURS

Les préoccupations des individus sur le respect et la protection de la vie privée sont explicites et légitimesSentiment de perte de contrôle et d’intrusion

Effet de décuplement : retentissement médiatique de certaines affaires (Snowden), les vols récurrents de données personnelles , effet d’audience de certains services.

Kang, R., Dabbish, L., Fruchter, N., & Kiesler, S. (2015). “My Data Just Goes Everywhere:” User Mental Models of the Internet and Implications for Privacy and Security. In Eleventh Symposium On Usable Privacy and Security (SOUPS 2015) (pp. 39-52).

http://www.lemonde.fr/pixels/article/2016/09/23/les-principaux-vols-de-donnees-personnelles-depuis-2013_5002435_4408996.html

LE MODÈLE MENTAL DES UTILISATEURS

Les pratiques sont contradictoires avec les attentes et les besoins implicites ou explicites de contrôle et de sécuritéElles attestent d’un manque de contrôle et de comportements non sécurisants

Difficulté de réduire la vie privée à une définition (différences culturelles et légales)

Difficultés à percevoir et se représenter les conséquences immédiates ou à plus ou moins long terme

Motivé par l’accomplissement de ses tâches et de ses objectifs, l’utilisateur préfère subvertir les règles de sécurité et emprunter les chemins les plus rapides pour parvenir à son but

Les préoccupations dissuadent les utilisateurs d’interagir selon les données requises, le contexte d’utilisation et les supports utilisés

Child, J. T.and S. Petronio, Eds. (2010). Unpacking the Paradoxes of Privacy in CMC relationship : the Challenges of Blogging and Relational Communication on the Internet. Computer Mediated Communication in Personal Relationships, Cresskill, N. Hampton Press. Norberg, P. A., Horne, D. R., & Horne, D. A. (2007). The privacy paradox: Personal information disclosure intentions versus behaviors. Journal of Consumer Affairs, 41(1), 100-126.Norman, D. A. (2009). THE WAY I SEE IT: When Security Gets in the Way. Interactions, 16(6), 60–63.

LE « PARADOXE DE LA VIE PRIVÉE »

LES CONTRÔLEURS LES RELATIVISTES LES INATTENTIFS

Sensibilité à la vie privée Très sensibles au respect de la vie privée et à la protection des données personnelles (position de principes)

Relativement sensible à la vie privée et ont besoin d’un minimum de garanties pour adopter un service

Pas sensibles à la question du contrôle et de la protection des données personnelles

Motivation à obtenir un avantage

L’intérêt du service n’est pas déterminant en regard de la question du contrôle et de la transparence fournies par le service

Ils ont conscience de la valeur marchande de leurs données personnelles et les utilisent comme moyen d’échange dans la perspective d’obtenir d’un service

Ils communiquent leurs données personnelles dès lors que le système l’exige

Niveau d’expertise Ils peuvent exercer le contrôle selon des exigences élevées de sécurité

Ils attendent un niveau de contrôle leur permettant d’accéder au service au moindre coût

Leurs comportements et leurs pratiques peuvent porter atteinte à la protection du système et de leurs données personnelles

MODÉLISATION DES UTILISATEURS

Kumaraguru, P., & Cranor, L. F. (2005). Privacy indexes: a survey of Westin’s studies. Lancelot-Miltgen, C., & Gauzente, C. (2006). Vie privée et partage de données personnelles en ligne : une approche typologique. Sheehan, K. B. (2002). Toward a typology of Internet users and online privacy concerns. The Information Society, 18(1), 21-32.

PRÉSENTATION DES CRITÈRES

LE PÉRIMÈTRE DU CONTRÔLELE PÉRIMÈTRE DU CONTRÔLE

L’UTILISATEUR EXERCE LE CONTRÔLEL’UTILISATEUR EXERCE LE CONTRÔLE

L’UTILISATEUR CONL’UTILISATEUR CONTRÔLE LES DONNÉES PERSONNELLES

LE PÉRIMÈTRE DU CONTRÔLE

Photo

L’UTILISATEUR CONTRÔLE LES DONNÉES PERSONNELLES


Géolocalisation Métadatas

Photo

L’UTILISATEUR CONTRÔLE LES DONNÉES PERSONNELLES

Photo

LE PÉRIMÈTRE DU CONTRÔLELE CONTRÔLE DES REQUÉRANTS

Fournisseurs de services et tiers

LE PÉRIMÈTRE DU CONTRÔLELE CONTRÔLE DES REQUÉRANTS


Autres utilisateurs ou groupe d’utilisateurs


LE CONTRÔLE DES REQUÉRANTS




Individus ou groupes malveillants (pirates informatiques, personne malintentionnée, etc.)



Les personnes présentes dans le contexte d’utilisation de l’utilisateur



Individus ou groupes malveillants (pirates informatiques, personne malintentionnée, etc.)


LE PÉRIMÈTRE DU CONTRÔLELE CONTRÔLE DES INTERFACES

LE PÉRIMÈTRE DU CONTRÔLELE CONTRÔLE DES INTERFACES

Contrôle du support


Contrôle du logiciel

LE CONTRÔLE DES INTERFACES

Contrôle du support

LA TEMPORALITÉ DU CONTRÔLE

AVANT L’UTILISATION PENDANT L’UTILISATION

APRÈS L’UTILISATION

Décision d’installation (acceptabilité)

Réalisation des tâches Désinstallation du système

Installation et configuration Consultation de l’activité (historique)

Inactivité du système

Enrôlement des utilisateurs Support et assistance

Découverte du système

1. Contrôle intégré des données 9. Aide et formation

2. Visibilité de l’état réel ou anticipé 10. Contrôle du contexte

3. Prévention des risques d’intrusion ou d’exposition 11. Contrôle des communications

4. Respect des usages 12. Bidirectionnalité du contrôle

5. Flexibilité du contrôle 13. Régulation de l’accès à soi

6. Facilité d’apprentissage, de mémorisation et d’exécution 14. Confidentialité et gestion collective

7. Information et transparence 15. Délimitation et protection des espaces privés

8. Accessibilité du contrôle

15 CRITÈRES D’OPÉRATIONNALISATION DU CONTRÔLE DES DONNÉES PERSONNELLES

Le système contrôle et protège implicitement les données personnelles de l’utilisateur sans action préalable de l’utilisateur Il confère des environnements physiques et des espaces numériques sécurisés pour protéger l’accès, le stockage et les communications des données personnelles

Signal Private Messenger

CONTRÔLE INTÉGRÉ DES DONNÉES

Le système maintient l’attention de l’utilisateur et fournit des informations contextuelles sur les conditions d’exposition des données personnellesIl informe l’utilisateur sur l’état de sécurité du système et des moyens de communication, sur l’état de l’exposition des données personnelles, sur la fiabilité d’un requérant, etc.

VISIBILITÉ DE L’ÉTAT RÉEL OU ANTICIPÉ

Le système prévient les risques d’intrusions ou d’exposition des données personnelles et les risques d’affaiblissement de protection des données et de sécurité du systèmeLes mécanismes de contrôle proposés à l’utilisateur sont anticipés en regard de l’usage et du profil utilisateur et le système fournit les mécanismes de contrôle adaptés

PRÉVENTION ET GESTION DES RISQUES D’INTRUSION OU D’EXPOSITION

La collecte et l’utilisation des données personnelles sont raisonnées et justifiées par l’usage et le service rendu à l’utilisateurLes actions requises pour contrôler la vie privée sont proposées par le système seulement si le contexte d’utilisation l’exige

RESPECT DES USAGES

Les mécanismes de contrôle des données personnelles et les interfaces de gestion de la vie privée s’adaptent aux différents profils, attentes et besoins des utilisateursLes utilisateurs avancés peuvent configurer le système en profondeur et accéder à des informations plus détaillées sur le contrôle des données ou la sécurité du système

Les utilisateurs novices ne doivent pas être perturbés par des informations ou des actions inadaptées, inutiles et risquées pour le contrôle des données personnelles ou la sécurité du système

FLEXIBILITÉ DU CONTRÔLE

La charge de travail liée à l’apprentissage des mécanismes de contrôle est réduite pour que l’utilisateur puisse rapidement contrôler les données personnellesL’utilisation des mécanismes de contrôle et la charge de travail liée à l’exercice du contrôle, la facilité de répétition et d’exécution du contrôle contribuent à réduire le temps nécessaire à l’exercice du contrôle sans augmenter le risque d’erreur de contrôle

Le système rend l’utilisateur autonome, l’aide à prendre les bonnes décisions et à réaliser les bonnes actions

FACILITÉ D’APPRENTISSAGE, DE MÉMORISATION ET D’EXECUTION

Le système informe l’utilisateur des conditions d’accès et de communication des données personnellesLe requérant informe l’utilisateur des conditions de la collecte et de l’utilisation des données personnelles sur des plateformes dédiées (plateforme de téléchargement, site marketing, rubriques conditions générales d’utilisation, etc...)

L’information est accessible et adaptée au niveau d’expertise des utilisateurs finaux

INFORMATION ET TRANSPARENCE

Les mécanismes de contrôle des données personnelles sont accessiblesIls tiennent compte des obstacles physiques, cognitifs, sensoriels liés aux utilisateurs et des contraintes techniques identifiées liées aux supports envisagés

ACCESSIBILITÉ DU CONTRÔLE

Le système procure aux utilisateurs de l’information pour les former aux bonnes pratiques et les sensibiliser aux enjeux de la vie privée Les faiblesses de l’utilisateur sont identifiées en amont et le système considère l’utilisateur comme un agent de la protection globale du système en lui procurant les informations nécessaires et les ressources utiles à l’adoption de bonnes pratiques

AIDE ET FORMATION DE L’UTILISATEUR

Le système confère à l’utilisateur le contrôle du contexte des conditions d’accès aux données personnelles. L’utilisateur peut contrôler :

CONTRÔLE DU CONTEXTE

Le quoi le système indique explicitement les données personnelles requises ou les ressources issues d’applications tierces (contacts par ex.)

A qui l’utilisateur identifie et choisit les requérants

Le pourquoi le système informe l’utilisateur de la finalité et du cadre de la requête à ses données personnelles

La granularité selon les données, l’utilisateur peut ajuster la granularité des données personnelles (réduire, augmenter la précision de la géolocalisation par exemple) ou sélectionner les données personnelles

L’utilisateur conserve une trace et a accès a l’historique des échanges

L’utilisateur a le contrôle des communicationsIl peut rompre le partage des données personnelles, modifier la confidentialité des données personnelles, activer ou désactiver une autorisation d’accès à soi ou à des ressources tierces, etc.

CONTRÔLE DES COMMUNICATIONS

Le contrôle des données personnelles est bidirectionnelContrôle des données personnelles sortantes que l’utilisateur diffuse et partage avec un ou plusieurs requérants (communauté d’utilisateurs, tiers de confiance, partenaires commerciaux, etc.)

Contrôle des requêtes d’accès entrantes aux données personnelles de l’utilisateur issues ou stockées sur le support physique de l’utilisateur ou hébergés dans un espace personnel

BIDIRECTIONNALITÉ DU CONTRÔLE

Le système permet de contrôler la visibilité et la disponibilité de l’utilisateur vis-à-vis des autres utilisateurs ou du systèmeL’utilisateur peut exercer son droit à être « déconnecté » et de ne pas être sollicité par le système ou les requérants

RÉGULATION DE L’ACCÈS À SOI

Le système permet de contrôler les accès des requérants selon le contexteL’utilisateur alloue des droits d’accès aux données personnelles de manière individuelle, à des groupes en combinant toutes les possibilités en fonction de ses exigences et du contexte

CONFIDENTIALITÉ ET GESTION COLLECTIVE

Le système délimite et confère à l’utilisateur un espace personnel alloué à ses données personnelles L’espace personnel alloué par le système est sécurisé et son accès est contrôlé par l’utilisateur

DÉLIMITATION ET PROTECTION DES ESPACES PRIVÉS

Le contrôle des données personnelles est un réel enjeu de conception et d’évaluation qui nécessitent des outils adaptés au respect de la vie privée

Les critères sont une partie d’un ensemble d’outils à utiliser dans le cadre méthodologique de l’évaluation experte d’un système : persona, grille d’évaluation, scénario d’exercice du contrôle, procédure d’application des critères

Il conviendrait d’inclure d’autres approches et expertises pour compléter et affiner les critères : juridique, techniques, sécurité, etc.

Il reste a mener une étape de validation des critères et d’expérimentation de la méthodologie pour vérifier la pertinence des critères élaborés, l’utilité et l’utilisabilité de la méthodologie dans son ensemble

CONCLUSION

MERCI DE VOTRE ATTENTION

Contrôle utilisateur de la vie privée

Technology

Transcript of Contrôle utilisateur de la vie privée