Une approche ascendante de la protection de la vie privée
Des affaires récentes comme le scandale des données de Cambridge Analytica nous ont tous fait prendre conscience de l’importance de protéger notre vie privée lorsque nous utilisons Internet. Pourtant, dans la pratique, c’est une autre histoire. Aucun d’entre nous n’a vraiment le temps de passer en revue les paramètres de confidentialité de chaque application que nous utilisons, et le large éventail d’applications tierces existantes peut être pour le moins déroutant. L’objectif du consortium PRIVACY FLAG (Enabling Crowd-sourcing based privacy protection for smartphone applications, websites and Internet of Things deployments) était de se démarquer grâce à une combinaison unique de crowdsourcing, de TIC et d’expertise juridique. La solution mise au point par PRIVACY FLAG permet aux citoyens de surveiller et de contrôler leur vie privée grâce à la combinaison de trois éléments: une application pour smartphone, une extension pour navigateur web et un site web public contenant des informations générales – le tout connecté à une base de données partagée. Parallèlement, les entreprises peuvent utiliser les services de PRIVACY FLAG pour devenir plus respectueuses de la vie privée en proposant des solutions spécifiques, notamment la conformité volontaire et la certification. PRIVACY FLAG s’est appuyé sur les résultats de 18 autres projets financés par l’UE pour créer un nouveau paradigme de protection de la vie privée combinant la «protection endo» – avec des outils de protection de la vie privée déployés localement – et la «protection exo» – avec un cadre de surveillance distribué et collaboratif qui exerce une pression implicite sur les entreprises pour qu’elles améliorent leur respect de la vie privée. Le projet a transformé les concepts existants en technologies développées, testées et validées et, tandis que la plateforme PRIVACY FLAG en tant que solution complète a été considérée comme TRL 2 lors de son lancement, elle intègre des composants qui avaient déjà été testés en amont du projet (TRL 4 ou 5). Le recours au crowdsourcing est l’aspect qui rend le projet unique: «L’idée maîtresse du crowdsourcing est que pratiquement tout le monde a la possibilité d’apporter des informations précieuses», explique le Dr Ioannis Chochliouros, coordinateur du projet pour le compte de l’Organisation hellénique des télécommunications. «Le projet PRIVACY FLAG a élaboré un processus qui repose sur le crowdsourcing et un ensemble d’outils et de solutions permettant aux utilisateurs d’évaluer et de contrôler collectivement le niveau de risque pour leur vie privée dans différents contextes: applications web, applications pour smartphone, et déploiements de l’Internet des objets.» La plateforme PRIVACY FLAG se fonde sur la méthodologie universelle d’évaluation des risques d’atteinte à la vie privée (UPRAAM), qui comprend respectivement le RGPD et la législation sur la protection des données de la Suisse et des États-Unis. En combinant cette méthodologie avec des agents de surveillance de la vie privée distribués et le crowdsourcing, la plateforme permet d’engager un processus d’évaluation des risques à grande échelle qui ne pourrait être réalisé avec une approche «descendante» régulière. Par ailleurs, comme l’explique le Dr Chochliouros, «grâce à la mutualisation des compétences et des capacités des citoyens, PRIVACY FLAG renverse et rééquilibre la relation asymétrique entre les utilisateurs individuels et les grandes entreprises dominantes en offrant à ces dernières des incitatifs clairs à respecter la protection de la vie privée». Ces citoyens sont organisés autour d’une communauté de défenseurs de la vie privée. En «pointant du doigt» et en évitant les sites web et les applications qui ne respectent pas la vie privée, PRIVACY FLAG permet aux citoyens de sélectionner les applications en fonction de critères de confidentialité. Incitatifs pour les entreprises Les entreprises peuvent facilement obtenir de l’aide pour devenir «entièrement respectueuses de la vie privée» et «respectueuses de la propriété des données», et se voient attribuer une note sur la plateforme PRIVACY FLAG. Les PME et autres entreprises intéressées peuvent obtenir une analyse approfondie des risques d’atteinte à la vie privée de leurs solutions. Cette analyse débouche sur l’élaboration d’un rapport et de recommandations visant à optimiser leurs pratiques, ce qui peut constituer un avantage concurrentiel pour l’ensemble de l’industrie européenne. «Les données collectées sur les citoyens européens sont largement utilisées par des entreprises non européennes pour soutenir le marketing et obtenir des avantages par rapport à la concurrence. Cette pratique crée un effet de distorsion de la concurrence, ce qui favorise les entreprises possédant d’importantes capacités d’exploration des données qui sont principalement établies en dehors de l’Europe», explique M. Chochliouros. «En incitant les entreprises à offrir des services/sites web/produits respectueux de la vie privée, le projet PRIVACY FLAG contribue également à atténuer cette distorsion économique injuste.» À la fin du projet, les solutions de PRIVACY FLAG avaient été déployées et testées dans un environnement opérationnel (TRL 7) et avaient atteint un TRL de 9 avec une exploitation à grande échelle. Le consortium prévoit de générer la plupart des revenus à partir des services et des conseils, avec d’éventuels revenus complémentaires provenant de la publicité sélective. «Si nous parvenons à convaincre respectivement 1 % des sites web et 5 % des applications présentant un intérêt commercial ou une capacité à payer pour des services professionnels, nous pouvons nous attendre à ce que 200 000 sites web et 4 000 applications paient pour vos services», précise le Dr Chochliouros. Parallèlement, le consortium prévoit d’entrer en contact avec 100 grandes villes européennes intelligentes de premier plan et de leur accorder une analyse spécifique des risques d’atteinte à la vie privée.
Mots‑clés
PRIVACY FLAG, protection de la vie privée, données, crowdsourcing, application, extension de navigateur, PME