Technologies d’amélioration de la confidentialité – Un survol des outils et des techniques

Rapport préparé par la Division de l’analyse de la technologie du Commissariat à la protection de la vie privée du Canada

Novembre 2017

Introduction

Un certain nombre de développements (relativement) récents ont contribué à accroître la reconnaissance du besoin de sécurité et de confidentialité (en particulier en ce qui concerne l’activité en ligne)^{Note de bas de page 1}, notamment :

l’évolution constante des technologies qui permettent aux individus d’entrer en contact et de dialoguer (p. ex., courriel, messagerie instantanée, clavardage, réseaux sociaux en ligne, etc.), engendrant une quantité accrue de données personnelles (générées par des individus et à leur sujet) disponibles en ligne;
l’intérêt grandissant des entreprises^{Note de bas de page 2} à rassembler ces données et à les utiliser d’une façon ou d’une autre (p. ex., taux d’assurance automobile réduit, publicités ciblées, personnalisation, etc.);
les révélations sur l’étendue de la surveillance gouvernementale sur les communications individuelles et d’autres activités en ligne y compris celles des citoyens respectueux des lois (p. ex., les révélations de Snowden, qui ont commencé en juin 2013, sur les activités de la National Security Agency (NSA) des États-Unis)^{Note de bas de page 3};
les gros titres constants sur les atteintes importantes à la sécurité des données touchant des organismes gouvernementaux et des entreprises^{Note de bas de page 4}, donnant lieu à la compromission de millions de documents contenant des renseignements personnels^{Note de bas de page 5}.

Ces développements entraînent des risques potentiels ou réels de divulgation d’identité, d’association d’un trafic de données à une identité, de divulgation de localisation en rapport avec un transfert de contenu d’information, de divulgation d’un profil d’utilisateur ou de ses renseignements. Les technologies d’amélioration de la confidentialité (TAC)^{Note de bas de page 6} peuvent aider à répondre à ces risques.

Les TAC sont une catégorie de technologies qui n’ont pas encore été systématiquement étudiées par le Commissariat à la protection de la vie privée du Canada (Commissariat). Par conséquent, nos connaissances de ces outils et techniques présentaient des lacunes. Afin de commencer à combler ces lacunes, une étude plus systématique de ces outils et techniques a été entreprise, avec en premier lieu une revue (non exhaustive) des principaux types de technologies d’amélioration de la confidentialité disponibles. Ce document présente les résultats de cette revue.

Portée

Bien que l’on puisse considérer que de nombreuses technologies traditionnelles en matière de sécurité (le chiffrement, par exemple) protègent la vie privée, pour les besoins de cette revue, on s’est intéressé aux TAC que les citoyens et les consommateurs respectueux des lois utilisent principalement pour protéger leurs renseignements personnels en ligne. La portée de ce projet a été en outre limitée aux technologies qui protègent l’information en transit (autrement dit, communiquée ou transmise par des technologies de l’information et des communications (TIC)). Sont donc exclues les technologies qui protègent les données statiques (p. ex, stockées sur des périphériques mobiles) et les descriptions des systèmes de TIC auxquels les TAC peuvent s’appliquer (à moins que cela ne soit nécessaire pour bien comprendre la fonctionnalité des TAC).

En outre, ce rapport n’inclut pas :

de description de l’incidence sur la sécurité et la protection de la vie privée, des faiblesses ou limites des produits ou services ciblés;
de vérification, par le Commissariat à la protection de la vie privée du Canada, des déclarations faites par les développeurs ou fournisseurs de TAC quant à leurs fonctionnalités, au moyen de recherches documentaires ou d’essais de toute sorte^{Note de bas de page 7};
d’analyse comparative des TAC d’une catégorie donnée (p. ex., anonymisation) afin de déterminer quelle TAC est la meilleure;
l’élaboration de lignes directrices ou de recommandations particulières pour la mise en œuvre ou l’utilisation d’une TAC en particulier.

Taxonomie des technologies d’amélioration de la confidentialité

La taxonomie est définie comme « la pratique et la science de classification des choses ou des concepts, y compris les principes sous-jacents d’une telle classification » [traduction]^{Note de bas de page 8}. Tout comme il n’existe pas de définition universellement admise, il n’existe pas non plus de taxonomie universellement admise pour les TAC^{Note de bas de page 9}. Par exemple, l’Agence Européenne chargée de la sécurité des réseaux et de l’information (ENISA), dans ses travaux sur une matrice de contrôle des TAC, établit quatre grandes catégories de technologie : messagerie sécurisée, réseaux virtuels privés, anonymisation des réseaux et outils anti-suivi pour la navigation en ligne^{Note de bas de page 10}. D’autres chercheurs ont caractérisé les TAC en fonction de leurs contributions techniques (p. ex., communication anonyme, et exploration de données préservant la confidentialité)^{Note de bas de page 11}.

Aux fins de ce document, la taxonomie des technologies d’amélioration de la confidentialité (TAC) décrites ci-dessous^{Note de bas de page 12} est un moyen de classifier ces technologies selon la fonctionnalité ou les capacités qu’elles fournissent à un utilisateur final. Cette taxonomie particulière a été choisie, car elle fournit un moyen assez granulaire de classer les divers outils et les diverses techniques qui ont été cernés au cours de nos recherches en catégories, à l’aide de termes qui apparaissent souvent dans l’usage courant ou dans les médias. Elle permet également de déterminer les domaines dans lesquelles des recherches et des développements supplémentaires sont requis. Cependant, comme certains outils et certaines techniques offrent plusieurs capacités, il est parfois difficile d’établir une catégorie précise.

Les TAC ont pour but de permettre aux utilisateurs de protéger leur vie privée (renseignements personnels) en les laissant décider, entre autres choses, quels renseignements ils souhaitent communiquer à des tiers, notamment des fournisseurs de services en ligne, dans quelles circonstances ces renseignements seront communiqués et à quelles fins les tierces parties peuvent utiliser ces renseignements. Pour ce faire, elles proposent une ou plusieurs des fonctions ou capacités suivantes.

Consentement éclairé

Lorsqu’une personne divulgue ses renseignements personnels à un commerce ou à d’autres entités, elle consent également, parfois de manière explicite, parfois de manière implicite, à ce qu’ils soient utilisés dans un ou plusieurs buts. Le consentement est un principe important de la plupart des lois sur la protection des données et la vie privée. Bien que le langage utilisé varie, un élément clé du consentement est le fait qu’il soit éclairé (c.-à-d., basé sur une bonne compréhension de ce à quoi la personne consent). Le contrôle ultérieur du stockage, de l’utilisation et de la communication de ces renseignements repose sur la notion de confiance à l’égard du respect du consentement donné. Malheureusement, dans les faits, en raison du langage complexe des politiques, de la complexité de l’écosystème commercial dans lequel évolue l’organisation avec laquelle la personne traite, et d’autres facteurs similaires, cette confiance est parfois mal placée.

Comme il est indiqué dans le Rapport annuel de 2017 du Commissariat à la protection de la vie privée du Canada^{Note de bas de page 13}, pour rétablir cette confiance, on peut notamment utiliser une technique connue sous le nom de « marquage des données ». Dans le marquage des données, les renseignements personnels d’un utilisateur sont associés à des étiquettes comportant des instructions ou des préférences pour le traitement des données par les fournisseurs de services. Ces préférences peuvent être exprimées dans un format lisible par un ordinateur, utilisant le langage d’une politique de confidentialité, et des mécanismes automatiques sont proposés pour garantir le respect de ces instructions par les fournisseurs de services.

Les « politiques collantes » (sticky policies) sont un exemple de marquage des données. Ces politiques forcent l’application technique des préférences lorsque des renseignements personnels sont communiqués à plusieurs parties. L’utilisation du chiffrement est un moyen de les appliquer. Le projet EnCoRe (Ensuring Consent and Revocation) proposait une architecture^{Note de bas de page 14} dans laquelle les données personnelles chiffrées, associées à une politique lisible par un ordinateur, ne peuvent être déchiffrées et lues que par des entités qui respectent les règles de cette politique. Une autorité de confiance s’en assure en vérifiant la conformité et ne distribuant les clés de déchiffrement qu’aux services qui adhèrent aux politiques^{Note de bas de page 15}.

Les « politiques collantes » font partie intégrante de certaines propositions de formulation des politiques de confidentialité telles que le PrimeLife Policy Language (PPL)^{Note de bas de page 16} et E-P3P (Platform for Enterprise Privacy Practices^{Note de bas de page 17}). PPL repose sur le langage XACML (eXtensible Access Control Markup Language)^{Note de bas de page 18}. Il est utilisé pour accorder l’accès aux données aux fournisseurs de services dans la mesure où leur politique est compatible avec les préférences de l’utilisateur en matière de confidentialité. L’utilisation du langage XACML pour le marquage des données a été suggérée au cours des consultations sur le consentement réalisées récemment par le Commissariat à la protection de la vie privée du Canada. E-P3P est un langage de contrôle d’accès propre à la protection de la vie privée qui permet aux organisations de concevoir et de déployer des politiques de confidentialité lisibles par un ordinateur, notamment la détermination des choix visant à accorder ou à retirer un consentement (selon la nature de l’information) et la limitation de l’accès aux renseignements personnels, et de concevoir des politiques de contrôle d’accès pour mettre en œuvre les politiques de confidentialité.

Les recherches sur le marquage des données et les politiques collantes se poursuivent depuis 2002, mais les travaux n’en sont qu’au stade de la validation de principe et les déploiements commerciaux sont peu nombreux. En règle générale, les langages de politique automatisés et lisibles par une machine ont obtenu un succès très limité, peut-être en raison de leur complexité, d’un manque d’interopérabilité^{Note de bas de page 19} et du peu de demandes à l’égard de leurs capacités. Récemment, Microsoft a mis fin à la prise en charge de P3P dans ses navigateurs Windows 10^{Note de bas de page 20}.

Limitation des données^{Note de bas de page 21}

La limitation des données est un principe fondamental de la conception de la protection de la vie privée en vertu duquel les services et les applications ne traitent que la quantité minimale de renseignements absolument nécessaire pour offrir le service ou pour une transaction donnée. L’objectif consiste à réduire la quantité de renseignements personnels recueillis et utilisés par les fournisseurs de services en ligne (p. ex., pour réduire le risque de profilage basé sur le comportement de l’utilisateur). Les TAC de cette catégorie incluent des sites Web qui choisissent délibérément de ne pas recueillir ou conserver des renseignements personnels tels que les mots utilisés pour la recherche, l’historique des recherches, les adresses IP^{Note de bas de page 22}, etc. On peut citer par exemple DuckDuckGo^{Note de bas de page 23}, Ixquick^{Note de bas de page 24} (maintenant StartPage), Disconnect^{Note de bas de page 25} et Unbubble^{Note de bas de page 26}.

D’autres outils pourraient entrer dans cette catégorie, notamment ceux conçus pour protéger la vie privée en supprimant l’historique de navigation et d’autres activités sur l’ordinateur. Privacy Eraser^{Note de bas de page 27} en est un exemple. Privacy Eraser prétend effacer toutes les empreintes numériques, à savoir la mémoire cache du navigateur Web, les témoins, l’historique de navigation, l’historique de la barre d’adresse, les adresses URL saisies, l’historique de saisie semi-automatique de formulaire, les mots de passe enregistrés, l’historique de recherche, les documents récents, les fichiers temporaires, la corbeille, etc.

Lorsque des personnes naviguent sur le Web, leur navigateur enregistre des renseignements sur l’activité de navigation (p. ex., les sites visités, la date et l’heure de chaque visite, les termes recherchés, etc.). Il peut arriver, cependant, qu’une personne ne souhaite pas que ce genre de renseignements soit accessible aux autres utilisateurs. Tous les principaux navigateurs prennent désormais en charge un mode d’utilisation parfois appelé « navigation privée »^{Note de bas de page 28}.

Il est à noter, toutefois, qu’il existe des limites à la protection offerte par la navigation privée :

si l’ordinateur utilisé est connecté à un réseau d’entreprise, l’administrateur réseau pourrait voir quels sites ont été visités;
si l’ordinateur utilisé a été infecté par un programme malveillant, les activités en ligne pourraient toujours être suivies;
si l’ordinateur utilisé dispose d’un logiciel de protection Internet (p. ex., un programme de contrôle parental tel que Qustodio^{Note de bas de page 29}), les sessions de navigation privée peuvent être suivies;
le fournisseur de services Internet de l’utilisateur peut accéder à l’historique en ligne de l’utilisateur (p. ex., en réponse à une demande d’accès légal).

Une autre catégorie d’outils ou de techniques utilisée pour mettre en œuvre la limitation des données est celle des communications éphémères. Ces outils ont été élaborés en réaction à la permanence des conversations Internet, un phénomène qui a vu le jour lorsque les ordinateurs ont commencé à servir de médiateurs dans nos communications en ligne. Les ordinateurs produisent naturellement des enregistrements des conversations et ces données ont souvent été enregistrées et archivées. Ces outils, en revanche, déclarent faire expirer automatiquement les messages, les vidéos et autres contenus^{Note de bas de page 30}. Snapchat^{Note de bas de page 31}, Wickr^{Note de bas de page 32}, Confide^{Note de bas de page 33} et Firechat^{Note de bas de page 34} en sont des exemples.

Suivi des données

Pour que les personnes puissent gérer correctement leur vie privée numérique, il leur est utile de disposer d’un moyen permettant de consigner, d’archiver et de rechercher (suivi des données) les renseignements qu’ils ont déjà divulgués, et de savoir quand, à qui et dans quelles circonstances ils l’ont fait. Ceci inclut le fait de permettre à une personne d’avoir un suivi des renseignements que possède un site ou un fournisseur de services (Google, par exemple) à son sujet, ce qui peut être fait à partir d’un tableau de bord (voir la discussion sous le titre « Contrôle »), mais aussi de lui permettre de faire le suivi des données communiquées entre plusieurs sites.

Pour ce faire, il existe un outil de suivi des données appelé « Data Track », élaboré dans le cadre du projet PRIME (Privacy and Identity Management for Europe) de l’Union européenne^{Note de bas de page 35}. Data Track avait pour but de fournir un historique de toutes les transactions en ligne et enregistrait, pour le compte de l’utilisateur, des données concernant les renseignements personnels divulgués et leurs destinataires. Data Track visait également à assurer aux utilisateurs la transparence de leurs transactions en ligne et à leur permettre d’interroger ultérieurement les contrôleurs de données pour savoir s’ils avaient réellement traité leurs renseignements personnels comme promis. Les travaux sur Data Track ont été interrompus en 2011.

Anonymat^{Note de bas de page 36}

Il existe un certain nombre d’« états » d’identité ou d’identification possibles, allant de totalement anonyme à totalement identifié (parfois appelé « vérifié »)^{Note de bas de page 37}. Une gamme de renseignements peuvent également être utilisés pour identifier les individus en ligne, du nom à l’adresse IP. Les TAC peuvent permettre aux utilisateurs de choisir le degré d’anonymat souhaité (p. ex., en utilisant des pseudonymes, des anonymiseurs ou des justificatifs de données anonymes).

Les anonymiseurs de communications masquent l’identité réelle en ligne (p. ex., adresse électronique, adresse IP, etc.) d’un utilisateur et la remplacent par une identité non traçable (p. ex., adresse électronique jetable ou adresse électronique pour un envoi unique, adresse IP aléatoire des hôtes participant à un réseau préservant l’anonymat, pseudonyme, etc.). Ils peuvent s’appliquer à la messagerie électronique, la navigation sur le Web, une mise en réseau P2P, la téléphonie IP, le clavardage, la messagerie instantanée, etc^{Note de bas de page 38}.

Tor^{Note de bas de page 39} est l’un des anonymiseurs de communications les plus connus. Tor est un réseau mondial de relais gratuit sur Internet que des individus et des groupes peuvent utiliser pour empêcher des sites Web de les surveiller et pour se connecter à des sites d’actualités, à des services de messagerie instantanée ou des services réseau similaires lorsqu’ils sont bloqués par leurs fournisseurs de services Internet ou peuvent être de nature sensible. Une fonctionnalité connue sous le nom de « services cachés » permet également aux utilisateurs de publier des sites Web et d’autres services sans qu’il soit nécessaire de révéler l’emplacement du site. Par exemple, des journalistes utilisent Tor pour communiquer de manière plus sécuritaire avec des dénonciateurs et des dissidents.

Contrôle^{Note de bas de page 40}

Les TAC de cette catégorie permettent aux utilisateurs d’exercer un plus grand contrôle sur les renseignements personnels transmis aux fournisseurs de services et aux commerçants en ligne (ou d’autres utilisateurs en ligne) et utilisés par ces derniers. Pour ce faire, ces technologies permettent par exemple aux utilisateurs de limiter le type ou la quantité de renseignements qu’ils communiquent à des tierces parties. Elles sont parfois appelées « techniques de divulgation sélective » ou « technologies de divulgation sélective ».

On nous demande presque tous les jours de nous identifier, que ce soit pour obtenir un service (p. ex., soins médicaux) ou pour acheter des biens (p. ex., alcool ou cigarettes) qui sont restreints d’une manière ou d’une autre (p. ex., en fonction d’un certain âge). Pour ce faire, nous dépendons habituellement des pièces d’identité émises par le gouvernement (p. ex., permis de conduire). Cela entraîne la divulgation de plus de renseignements que ce qui est strictement nécessaire pour la transaction en question. Dans de nombreux cas, il nous suffit de pouvoir démontrer que nous répondons à certains critères, ou que nous disposons de certains attributs (p. ex., que nous résidons à un endroit particulier ou que nous avons l’âge légal)^{Note de bas de page 41}.

Un moyen de limiter la quantité de renseignements que nous divulguons au cours des transactions liées à l’identité consiste à utiliser des techniques connues sous le nom de « justificatifs d’identité reposant sur des attributs » (appelés aussi ABC pour attribute-based credentials)^{Note de bas de page 42}. Ces justificatifs d’identité sont un fondement important des systèmes de gestion de l’identité respectant la vie privée. Parmi les fonctions de protection de la vie privée des ABC, il y a la capacité des détenteurs de justificatifs à divulguer un nombre minimal d’attributs aux services, ou à produire des preuves anonymes de possession de certains justificatifs ou à attribuer des valeurs correspondant à certains critères, tout en limitant la possibilité de relier des transactions touchant l’identité^{Note de bas de page 43}. UProve^{Note de bas de page 44} de Microsoft et Identity Mixer^{Note de bas de page 45} d’IBM sont des exemples d’ABC.

D’autres technologies de « contrôle » ont été ciblées au cours de notre revue, notamment les suivantes :

Identité auto-souveraine : un concept qui place l’utilisateur au centre de l’administration de son identité. Pour y parvenir, l’identité de l’utilisateur doit être interopérable dans de multiples emplacements, avec le consentement de l’utilisateur, mais également soumis à un véritable contrôle utilisateur de cette identité numérique, ce qui laisse place à une autonomie de l’utilisateur. Une identité auto-souveraine doit être également transportable et elle doit aussi permettre à des utilisateurs ordinaires de faire des revendications qui les concernent, ce qui pourrait inclure des renseignements permettant de les identifier ou des données sur leurs capacités personnelles ou l’appartenance à un groupe. Elle doit également respecter un ensemble de principes directeurs^{Note de bas de page 46}. UPort^{Note de bas de page 47} est un exemple de cette technologie;
Systèmes de gestion des informations personnelles (PIMS)^{Note de bas de page 48} : conformément à l’idée de base inhérente au concept des PIMS, les individus devraient pouvoir décider à qui ils transmettent leurs renseignements personnels, à quelles fins et pour combien de temps, afin de pouvoir suivre tous les renseignements communiqués et d’être en mesure de se rétracter si les circonstances le justifient et le permettent. Cette catégorie de technologie englobe plusieurs autres composants, notamment des écosystèmes de données personnelles^{Note de bas de page 49}, des tableaux de bord de données personnelles^{Note de bas de page 50} et des entrepôts de données personnelles^{Note de bas de page 51};
Autres (divers) : un certain nombre d’autres technologies de « contrôle » ont été ciblées, notamment Sieve^{Note de bas de page 52}, TACYT^{Note de bas de page 53} et Protection intégrée des renseignements^{Note de bas de page 54}, mais celles-ci n’entrent pas facilement dans l’une des catégories précédentes.

Négocier les modalités

Dans de nombreux cas, les politiques de confidentialité établies et publiées par les fournisseurs de services en ligne sont du type « à prendre ou à laisser ». Aucune adaptation ni personnalisation n’est possible. Cependant, les consommateurs considèrent la confidentialité différemment et se préoccupent de plus en plus des répercussions de la communication de renseignements en vertu de politiques de confidentialité complexes et difficiles à comprendre. Ils vont donc fréquemment renoncer à la transaction en ligne. Si les individus pouvaient négocier les politiques de confidentialité, qui prendraient la forme d’ententes personnalisées, et s’ils pouvaient avoir confiance que les fournisseurs de services en ligne respecteraient ces ententes, cela serait un pas dans la bonne direction.

Le projet de plateforme pour les préférences de confidentialité (P3P)^{Note de bas de page 55}, élaboré par le World Wide Web Consortium (W3C), visait à permettre aux sites Web d’exprimer leurs pratiques en matière de confidentialité dans un format standard lisible par une machine, qui pouvait être récupéré automatiquement et interprété facilement par des agents utilisateurs. Les individus pouvaient utiliser P3P pour définir leurs propres préférences de confidentialité. Les agents utilisateurs P3P, intégrés dans les navigateurs Web, devaient alors informer les utilisateurs des pratiques du site (dans un format lisible par l’homme et dans un format lisible par l’ordinateur), permettre aux utilisateurs de filtrer et de rechercher des sites qui offrent certaines protections en matière de respect de la vie privée, et automatiser la prise de décision en fonction de ces pratiques, le cas échéant. Comme il a été indiqué précédemment, P3P n’a jamais été largement adopté et sa prise en charge a essentiellement été abandonnée.

Nos recherches ont mis au jour plusieurs initiatives destinées à rendre P3P plus facile à utiliser, notamment Policy Aware Web^{Note de bas de page 56} et Transparent Accountable Datamining Initiative^{Note de bas de page 57}, mais aucune d’elles ne semble avoir progressé au-delà de la théorie. Des efforts ont été faits pour développer des solutions de rechange à P3P^{Note de bas de page 58}, mais elles ne semblent pas non plus avoir fait de grands progrès.

Application technique

Lorsqu’il est possible de négocier les modalités d’un service, les TAC de cette catégorie offrent aux utilisateurs la possibilité que ces modalités soient mises en application techniquement par les infrastructures des fournisseurs de services et des commerçants en ligne (c.-à-d., de ne pas devoir seulement se fier aux promesses, mais être absolument certain qu’il est techniquement impossible pour les fournisseurs de services d’enfreindre l’accord passé sur les conditions de traitement des données). L’application technique des modalités négociées peut être réalisée de différentes manières, dont un grand nombre sont utilisées actuellement, bien que pour des objectifs différents (cette liste n’est pas exhaustive) :

surveillance réseau : surveillance passive ou active de l’activité sur le réseau pour la comparer aux modalités convenues (p. ex., Wireshark^{Note de bas de page 59}, Fiddler^{Note de bas de page 60}, etc.). Certains outils offrent une prévention en temps réel contre les fuites de données personnelles^{Note de bas de page 61};
détection des événements sur les nœuds finaux^{Note de bas de page 62} : une catégorie d’outils et de solutions qui se concentrent sur la détection, l’investigation et l’atténuation des activités suspectes et des problèmes sur les hôtes et les nœuds finaux (p. ex., McAfee Active Response^{Note de bas de page 63}, Symantec Endpoint Protection^{Note de bas de page 64}, etc.);
outils de transparence du Web^{Note de bas de page 65} : ces outils visent principalement à fournir à l’utilisateur des renseignements sur la collecte, le stockage et/ou le traitement prévus de ses renseignements personnels, ou à l’aider à déterminer les répercussions potentielles du profilage des données. Ces outils incluent les bloqueurs de publicités (p. ex., Adblock Plus^{Note de bas de page 66} et Ghostery^{Note de bas de page 67}) et les bloqueurs de suivi (p. ex., Privacy Badger^{Note de bas de page 68});
gestion des droits numériques : technologies de contrôle des accès qui tentent de contrôler l’utilisation, la modification et la distribution des travaux protégés par le droit d’auteur (comme un logiciel ou un contenu multimédia), ainsi que les systèmes au sein des dispositifs qui appliquent ces politiques (p. ex., ContentGuard^{Note de bas de page 69}, Digimarc^{Note de bas de page 70}, etc.).

Vérification à distance de la mise en application

Les TAC de cette catégorie permettent aux utilisateurs de vérifier à distance la mise en application des modalités offertes par les fournisseurs de services et les commerçants en ligne. Bien que l’expression s’applique plus fréquemment aux vérifications des données financières d’une entreprise, d’autres secteurs peuvent faire l’objet d’un audit, notamment la gouvernance, la conformité et les risques, et les contrôles internes. Une vérification suppose le rassemblement et l’analyse de renseignements appropriés par rapport aux objectifs, à la portée et aux critères en cause. Bien que ces renseignements soient habituellement obtenus à partir d’entretiens sur place, d’examens de documents et de l’observation des processus ou des personnes, une partie de la collecte de ces données peut désormais être réalisée à distance.

Pour faciliter l’audit d’une organisation, cette dernière peut publier de façon préventive des renseignements concernant ses politiques, ses procédures et ses pratiques. Par exemple, des statistiques exactes et opportunes des entreprises du secteur privé sur les demandes de renseignements personnels ou d’accès à ces renseignements de la part du gouvernement (sous la forme de la publication régulière de rapports clairs sur les mesures de transparence^{Note de bas de page 71}) peuvent aider les consommateurs à faire des choix rationnels et renforcer leur confiance envers une économie numérique en pleine croissance et son interface avec l’État aux fins de l’application de la loi et de la sécurité.

Les personnes peuvent également effectuer une « vérification » d’une entreprise si celle-ci accepte de se soumettre à une procédure de certification selon un label de confiance^{Note de bas de page 72}, défini comme étant « une étiquette électronique ou une représentation visuelle indiquant qu’un cybercommerçant a fait la preuve de sa conformité aux normes relatives, par exemple, à la sécurité, à la confidentialité et aux pratiques commerciales » [traduction]^{Note de bas de page 73}. Les organismes qui offrent la certification selon un label de confiance publient souvent des renseignements sur leur site Web sur le label de confiance et les critères auxquels une entreprise doit satisfaire pour obtenir le label^{Note de bas de page 74}. Les personnes peuvent alors effectuer des recherches sur le label de confiance et le fournisseur de ce label et décider si elles sont prêtes à communiquer leurs renseignements personnels au site Web en question.

Aussi utiles que peuvent être ces labels pour établir la confiance à l’égard d’une organisation, ils présentent des limites. Par exemple, un label de confidentialité (p. ex., TRUSTe, maintenant TrustArc^{Note de bas de page 75}) ne garantit pas nécessairement que l’organisation a mis en œuvre des normes ou des processus de sécurité technique donnés (comme un chiffrement du trafic de base ou des essais de vulnérabilité de l’infrastructure)^{Note de bas de page 76}, car il peut y avoir plusieurs moyens de satisfaire aux exigences du label de confiance.

Utilisation des garanties juridiques

De nombreuses lois sur la protection des données ou la vie privée confèrent aux individus certains droits, notamment ceux de pouvoir accéder aux renseignements les concernant détenus par une organisation, de contester l’exactitude et l’intégralité de ces renseignements, et de les faire modifier comme il convient^{Note de bas de page 77}. En règle générale, pour exercer ces droits, les individus doivent envoyer une demande par écrit à une organisation et attendre que celle-ci réponde. Un moyen d’aider les personnes à exercer leurs droits consiste à automatiser le processus.

En 2014, le Citizen Lab^{Note de bas de page 78}, en partenariat avec Open Effect^{Note de bas de page 79} et Open Media^{Note de bas de page 80}, a lancé la version initiale de l’outil Obtenir mes infos (OMI)^{Note de bas de page 81}. OMI est un assistant pas-à-pas qui permet la création d’une lettre officielle personnalisée demandant l’accès aux renseignements qu’un fournisseur conserve et utilise à propos d’une personne. La version initiale ne permettait aux utilisateurs que de créer une lettre destinée aux sociétés de télécommunications. Un outil amélioré, relancé en juin 2016^{Note de bas de page 82}, offre aux individus la possibilité d’envoyer des demandes officielles à un éventail plus large d’organisations, notamment celles qui fournissent des moniteurs d’activité physique et des applications de rencontres.

L’« échec » des TAC

Notre revue a démontré qu’il ne semble pas y avoir de pénurie de bonnes idées en matière de protection de la vie privée. Les TAC énumérées préalablement dans ce document ne font qu’effleurer la liste des technologies disponibles. Une vaste gamme de TAC a été proposée, mais peu de ces technologies semblent avoir percé au-delà du stade des recherches et être utilisées sur le marché ou dans la vie des gens de manière notable. De nombreuses raisons peuvent être à l’origine de « l’échec » de l’adoption des TAC par le grand public.

Les environnements économiques et réglementaires actuels fournissent peu d’incitatifs au déploiement de technologies de consentement prometteuses. Les nouveaux développements technologiques sont donc peu susceptibles en soi d’entraîner des changements importants. Une grande partie du monde virtuel fonde ses flux de revenus sur la collecte et le traitement des renseignements personnels, en particulier pour la publicité ciblée. De plus, l’industrie repose souvent sur un consentement implicite ou négatif, où l’absence d’action est interprétée comme l’autorisation de traiter des renseignements personnels. Les technologies de consentement qui permettent aux consommateurs d’agir plus facilement, en particulier pour retirer leur consentement, auraient vraisemblablement pour effet de réduire les flux de revenus.

Les exemples examinés ci-dessus illustrent le fait qu’il ne manque pas de bonnes idées ni de technologies viables pour améliorer le processus de consentement. Il y a cependant un manque d’incitatifs parmi les organisations, principalement les entreprises commerciales, à utiliser la technologie pour offrir de meilleurs moyens de donner ou de retirer son consentement. L’aspect économique du contexte actuel, grandement axé sur la compétition et dominé par les modèles d’autoréglementation et de consentement négatif, peut dissuader les entreprises d’offrir des mécanismes de consentement efficaces.

L’adoption des outils peut parfois échouer, car l’utilisateur moyen les trouve trop complexes. Il se peut qu’ils ne soient pas intuitifs, qu’ils requièrent des connaissances spécialisées ou des aptitudes particulières pour fonctionner, ce dont le consommateur moyen peut ne pas disposer. L’échec pourrait être dû au fait qu’il n’y a pas de demande de la part des consommateurs pour des mesures de protection de la vie privée (ce qui peut découler, en partie, d’un manque de connaissances des outils disponibles) ou que le gouvernement pourrait ne pas souhaiter réglementer les mesures de protection de la vie privée de peur de freiner l’innovation.

Il se peut que les utilisateurs potentiels ne fassent pas confiance aux outils (c.-à-d., qu’ils fourniront les protections qu’ils prétendent offrir). Il y a des raisons d’être sceptiques. De nombreuses TAC ne semblent être que des prototypes de laboratoire ou n’avoir été utilisées que pour des essais limités. Il y a donc peu ou pas d’étude de leur utilisation pratique et de leur incidence sur le traitement des renseignements personnels. Certaines TAC peuvent impliquer des tierces parties inconnues du grand public auxquelles celui-ci ne fait donc pas confiance.

Certains outils échouent parce qu’ils sont incapables de surmonter l’« effet de réseau » (un phénomène selon lequel un bien ou un service prend de la valeur lorsque davantage de personnes l’utilisent). Des entreprises puissantes ou dominantes (p. ex., Facebook) sont en mesure d’exploiter des « économies d’agrégation » et de créer des barrières à l’entrée du fait qu’elles contrôlent des ensembles volumineux de données personnelles ainsi que à des logiciels propriétaires qui organisent les données^{Note de bas de page 83}.

Et maintenant?

Comme nos recherches préliminaires l’ont montré, il n’y a pas de pénurie de bonnes idées pour protéger la vie privée des personnes. Cependant, certaines catégories de TAC (p. ex, le suivi des données) ne semblent pas avoir suscité autant d’intérêt que d’autres. Nous ne savons pas si cela est dû à un manque d’intérêt de la part des chercheurs ou si les problèmes auxquels ces technologies sont censées s’attaquer sont difficiles à résoudre.

La précédente section du rapport a permis de cerner un certain nombre d’obstacles potentiels à la mise en œuvre ou à l’adoption des TAC, notamment le manque de connaissances liées à l’existence de ces outils, leur manque de convivialité et l’absence de mesures incitatives pour les organisations à offrir ou à mettre en œuvre ces outils. La présente revue n’ayant pas examiné les taux d’adoption des différentes technologies ciblées au cours de la recherche, nous ne savons donc pas quels obstacles précis sont davantage responsables de la faible adoption des TAC. De la même manière, lorsqu’une TAC a été adoptée avec succès, nous ne savons pas quels facteurs y ont contribué.

Au vu de cette revue préliminaire, il est clair que des recherches supplémentaires sont nécessaires pour évaluer les forces et les faiblesses relatives des TAC, développer de nouvelles TAC ou améliorer l’efficacité de celles qui existent, et mieux comprendre les obstacles au déploiement et à l’adoption des TAC sur le marché virtuel. Les individus doivent également être mieux informés de l’existence des TAC et recevoir de l’aide pour les utiliser davantage, s’ils le désirent, en vue de protéger leurs renseignements personnels en ligne et d’exercer un plus grand contrôle sur leur utilisation (ou non-utilisation) potentielle par autrui.

Notes

Note de bas de page 1

Voir, par exemple, le rapport de recherche sur l’opinion publique de décembre 2016 réalisé par le Commissariat à la protection de la vie privée du Canada « Sondage auprès des Canadiens sur la protection de la vie privée de 2016 », consulté le 26 septembre 2017.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Voir, par exemple, le rapport en ligne de la FTC des États-Unis datant de mai 2014 « DATA BROKERS: A Call for Transparency and Accountability », consulté le 18 septembre 2017.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Voir, par exemple, le document « Snowden Surveillance Archive », consulté le 7 septembre 2017.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Les atteintes récentes à la sécurité des données incluent : Ashley Madison (juillet 2015), VTech (novembre 2015), Yahoo (décembre 2016) et Equifax (septembre 2017). Voir, par exemple, l’infographie « World’s Biggest Data Breaches », consultée le 26 septembre 2017.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

« Renseignement personnel » est l’expression utilisée dans la Loi sur la protection des renseignements personnels et les documents électroniques. Elle est définie comme « tout renseignement concernant un individu identifiable » (se reporter à la Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5), paragraphe 2(1), Définitions). Pour une définition plus complète de « renseignements personnels », y compris de nombreux exemples de ce qui constitue un renseignement personnel, se reporter à l’article 3 de Loi sur la protection des renseignements personnels (L.R.C., 1985, ch. P-21), Définitions. D’autres expressions sont parfois utilisées comme synonymes de « renseignement personnel », notamment « donnée à caractère personnel » (voir, par exemple, le paragraphe 4(1) du Règlement général sur la protection des données) ou « renseignement permettant d’identifier une personne » (voir, par exemple, la publication spéciale 800-122 du National Institute of Standards and Technology (NIST), Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), datant d’avril 2010).

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Il n’existe pas de définition communément acceptée pour les technologies d’amélioration de la confidentialité (TAC), bien que toutes les définitions semblent présenter des caractéristiques communes. Plus précisément, une TAC est quelque chose qui : a) réduit ou élimine le risque de contrevenir à la loi et aux principes en matière de protection de la vie privée; b) limite la quantité de données détenues sur les individus et c) permet auxdits individus de garder à tout moment le contrôle sur les données qui les concernent. Voir, par exemple, le document « Privacy by Design - An Overview of Privacy Enhancing Technologies », préparé par l’Enterprise Privacy Group pour le compte du Commissariat à l’information du Royaume-Uni, daté du 26 novembre 2008, consulté le 26 septembre 2017. Pour une liste d’exemples de TAC, se reporter au wiki sur les technologies d’amélioration de la confidentialité du Center for Internet and Society (CIS) de la Stanford Law School, consulté le 29 septembre 2017. Voir également la liste d’outils et de techniques disponible sur les pages PRISM Break, Electronic Frontier Foundation (EFF), Mon ombre et moi ou Electronic Privacy Information Center (EPIC), consultées le 10 octobre 2017.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

L’Agence Européenne chargée de la sécurité des réseaux et de l’information (ENISA) a travaillé à l’élaboration d’une méthodologie pour l’évaluation systématique des outils en ligne et mobiles de protection de la vie privée. Voir le rapport final « PETs controls matrix: A systematic approach for assessing online and mobile privacy tools » datant de décembre 2016, consulté le 26 septembre 2017.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Définition reprise de l’article en anglais de Wikipédia sur la taxonomie, consulté le 26 septembre 2017.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Il n’existe pas de taxonomie admise unique de la fonctionnalité des TAC. Consulter, par exemple, le projet de recherche du Network of Centres of Excellence of Canada « Useful Privacy Enhancing Technologies ». Il existe également d’autres taxonomies, par exemple, « A critical review of 10 years of Privacy Technology », de G. Danezis et S. Guerses du Département de génie électrique de l’Université KU Leuven daté du 12 août 2010, consulté le 29 juin 2017 ou le rapport final intitulé « Study on the economic benefits of privacy-enhancing technologies (PETs) », présenté à la Commission européenne, DG Justice, liberté et sécurité, préparé par la London Economics, en juillet 2010, pages 8 à 14, consulté le 12 octobre 2017.

Retour à la référence de la note de bas de page 9

Note de bas de page 10

Rapport « PETs Controls Matrix » de l’ENISA, table des matières, chapitre 4.

Retour à la référence de la note de bas de page 10

Note de bas de page 11

« Privacy Enhancing Technologies: A Review », Y. Shen et S. Pearson, HP Laboratories, 6 août 2011, consulté le 26 septembre 2017.

Retour à la référence de la note de bas de page 11

Note de bas de page 12

Cette taxonomie repose, en partie, sur les buts des TAC décrits dans l’article en anglais de Wikipédia sur les technologies d’amélioration de la confidentialité, consulté le 29 juin 2017. Elle a été enrichie en incluant les objectifs de non-associativité et d’indétectabilité décrits dans le document « A terminology for talking about privacy by data minimization: Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity and Identity Management », A. Pfitzmann et M. Hansen, version v0.34, daté du 10 août 2010, site Privacy and Data Security, TU Dresden, Faculty of Computer Science, Institute of Systems Architecture, consulté le 2 octobre 2017.

Retour à la référence de la note de bas de page 12

Note de bas de page 13

Voir « Des craintes réelles, des solutions pour y remédier : Plan pour rétablir la confiance dans la protection de la vie privée », Rapport annuel au Parlement 2016-2017 concernant la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur la protection des renseignements personnels, Commissariat à la protection de la vie privée du Canada, rapport déposé le 21 septembre 2017, page 13, consulté le 12 octobre 2017.

Retour à la référence de la note de bas de page 13

Note de bas de page 14

Pour plus de renseignements, voir le projet EnCoRe (Ensuring Consent and Revocation), « Technical Architecture for the first realized Case Study », daté du 10 février 2010, et des documents connexes consultés le 1^er avril 2016.

Retour à la référence de la note de bas de page 14

Note de bas de page 15

La Privacy eSuite d’HIPAAT est un exemple de cette technologie. HIPAAT est l’acronyme de Health Information Protection and Associated Technologies. La Privacy eSuite se compose de deux services Web reposant sur une architecture orientée services (SOA) : un service de gestion du consentement (Consent Management Service) qui permet aux politiques de confidentialité des consommateurs, des organisations et des administrations d’être gérées et traitées par l’entremise de règles d’accès programmables et un service de validation du consentement (Consent Validation Service) qui détermine si l’accès d’un utilisateur aux renseignements médicaux personnels est autorisé en fonction des règles des politiques de confidentialité en place.

Retour à la référence de la note de bas de page 15

Note de bas de page 16

Le PrimeLife Policy Language (PPL) a été élaboré par le PrimeLife Consortium dans le cadre du septième programme-cadre (7^e PC) de la Commission européenne. Pour un aperçu du PPL, voir le document « PrimeLife – Privacy and Identity Management in Europe for Life: Policy Languages », janvier 2011. Des détails supplémentaires sur PPL sont disponibles dans le document sur PrimeLife H.5.2.3, intitulé « Draft 2^nd Design for Policy Languages and Protocols », du 7 juillet 2009. Documents sur PrimeLife consultés le 16 août 2017. Voir également le document « PrimeLife Policy Language », Ardagna, C.A., et al, non daté.

Retour à la référence de la note de bas de page 16

Note de bas de page 17

Pour plus de renseignements sur la plateforme E-P3P (Platform for Enterprise Privacy Practices), voir, par exemple, le document « Platform for Enterprise Privacy Practices: Privacy-enabled Management of Customer Data », G. Karjoth, M. Schunter, et M. Waidner, présenté lors du 2^nd Symposium on Privacy Enhancing Technologies, à San Francisco, les 14 et 15 avril 2002, consulté le 2 octobre 2017.

Retour à la référence de la note de bas de page 17

Note de bas de page 18

Voir Comité technique XACML d’OASIS, consulté le 2 octobre 2017.

Retour à la référence de la note de bas de page 18

Note de bas de page 19

Voir, par exemple, le document « Privacy Languages: Are we there yet to enable user controls? », J. Zhao, et al, présenté lors de la 25^e Conférence internationale sur le World Wide Web, qui s’est tenue à Montréal, du 11 au 15 avril 2016, consulté le 2 octobre 2017.

Retour à la référence de la note de bas de page 19

Note de bas de page 20

Voir, par exemple, la page « P3P is no longer supported », consultée le 29 septembre 2017.

Retour à la référence de la note de bas de page 20

Note de bas de page 21

Les définitions de certains termes utilisés dans le présent document sont tirées du document « A terminology for talking about privacy by data minimization: Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity and Identity Management », A. Pfitzmann, et M. Hansen, version v0.34, daté du 10 août 2010, consulté le 2 octobre 2017. La limitation des données peut être définie/décrite comme étant la réduction de la possibilité de recueillir des données personnelles en premier lieu, la réduction de la quantité de renseignements personnels recueillis et la réduction du nombre de manipulations (p. ex., utilisation, transfert, divulgation, rétention, etc.) auxquelles les renseignements personnels sont soumis (voir page 6, note de bas de page 2).

Retour à la référence de la note de bas de page 21

Note de bas de page 22

Il ne s’agit pas seulement de sites Web qui refusent de collecter des adresses IP. Des services, tels que ProtonMail (voir en particulier la section sur la sécurité), Scryptmail, et Onion Mail ont également renoncé à la collecte des métadonnées.

Retour à la référence de la note de bas de page 22

Note de bas de page 23

Voir DuckDuckGo en général et sa politique de confidentialité en particulier, consultés le 16 août 2017. Cette page explique également quels renseignements sont recueillis et communiqués par des moteurs de recherche plus traditionnels, pourquoi cela peut poser des problèmes et pourquoi DuckDuckGo a choisi de ne pas recueillir ou conserver ces données.

Retour à la référence de la note de bas de page 23

Note de bas de page 24

Voir StartPage en général et sa politique de confidentialité en particulier, consultés le 16 août 2017.

Retour à la référence de la note de bas de page 24

Note de bas de page 25

Voir Disconnect en général et sa politique de confidentialité en particulier, consultés le 17 octobre 2017.

Retour à la référence de la note de bas de page 25

Note de bas de page 26

Voir Unbubble en général et sa politique de confidentialité en particulier, consultés le 16 août 2017.

Retour à la référence de la note de bas de page 26

Note de bas de page 27

Pour plus de renseignements, voir Privacy Eraser, consulté le 16 août 2017.

Retour à la référence de la note de bas de page 27

Note de bas de page 28

La navigation privée également appelée « mode de confidentialité » ou « mode incognito » permet aux utilisateurs de naviguer sur Internet sans enregistrer d’information (p. ex., les entrées dans les formulaires en ligne ou dans les barres de recherche, les mots de passe, les témoins ou les fichiers temporaires, tels que ceux enregistrés pour l’affichage hors ligne des pages Web) à propos des sites et des pages qu’ils visitent sur leur ordinateur. Certains navigateurs mettent également en œuvre la protection contre le suivi en navigation privée, empêchant les sociétés d’effectuer un suivi de l’historique de votre navigation sur plusieurs sites. Pour une plus grande discussion sur la protection contre le suivi, voir par exemple le site Web d’EFF, « Tracking Protection Lists: A privacy enhancing technology that complements Do Not Track », datant de mars 2011, consulté le 12 octobre 2017.

Retour à la référence de la note de bas de page 28

Note de bas de page 29

Voir, par exemple, l’article de Techradar « The best free parental control software 2017 », G. Marshall, daté du 29 septembre 2017, consulté le 2 octobre 2017.

Retour à la référence de la note de bas de page 29

Note de bas de page 30

Dans certains cas, le contenu des communications n’a pas été aussi éphémère que promis. Voir, par exemple, « Snapchat, Kik, and 6 More Iffy Messaging Apps Teens Love », C. Elgersma, Common Sense Media, du 26 février 2016. Voir également l’article « Ephemeral Apps », du blogue sur la sécurité de B. Schneier, daté du 2 avril 2014, consulté le 28 septembre 2017.

Retour à la référence de la note de bas de page 30

Note de bas de page 31

Pour plus de renseignements, voir Snapchat, consulté le 29 septembre 2017.

Retour à la référence de la note de bas de page 31

Note de bas de page 32

Pour plus de renseignements, voir Wickr. L’application permet aux utilisateurs de définir l’expiration de leurs communications chiffrées. Elle supprime également les métadonnées de tout le contenu transmis sur le réseau. Pour de plus amples détails sur la sensibilité des métadonnées des communications, voir par exemple, le document de recherche du Commissariat à la protection de la vie privée du Canada, « Métadonnées et vie privée : Un aperçu technique et juridique », datant d’octobre 2014, consulté le 29 septembre 2017. Voir également « Evaluating the privacy properties of telephone metadata », J. Mayer, et al, Proceedings of the National Academy of Sciences of the United States of America, daté du 17 mai 2016, consulté le 2 octobre 2017.

Retour à la référence de la note de bas de page 32

Note de bas de page 33

Pour plus de renseignements, voir Confide, consulté le 29 septembre 2017.

Retour à la référence de la note de bas de page 33

Note de bas de page 34

Pour plus de renseignements, voir FireChat, consulté le 29 septembre 2017.

Retour à la référence de la note de bas de page 34

Note de bas de page 35

Pour plus de renseignements, voir le projet PRIME, consulté le 16 août 2017.

Retour à la référence de la note de bas de page 35

Note de bas de page 36

L’anonymat se définit comme la qualité ou l’état d’être inconnu ou de passer inaperçu. Voir, par exemple, la définition de l’American Heritage Dictionary of the English Language, 5^e édition, 2011, Houghton Mifflin Harcourt Publishing Company, consultée le 9 mai 2017. Pfitzmann et Hansen définissent l’anonymat comme suit « l’anonymat d’un sujet signifie que le sujet n’est pas identifiable parmi un ensemble de sujets, appelé ensemble d’anonymat » [traduction] (Pfitzmann et Hansen, page 9).

Retour à la référence de la note de bas de page 36

Note de bas de page 37

Pour une description facile à lire de la gamme des états d’identité possibles, voir l’article « The Identity Spectrum », du blogue Identity Woman de K. Hamlin, du 27 mai 2010, consulté le 29 septembre 2017. Voir également « The Inglis Jane ID Attribute Spectrum », du 17 novembre 2015, consulté le 29 septembre 2017.

Retour à la référence de la note de bas de page 37

Note de bas de page 38

Les services de messagerie électronique et de navigation sur le Web anonymes sont proposés par des entreprises, telles qu’Anonymizer, Hushmail, Guerilla Mail et Mailinator, entre autres. Voir, par exemple, l’article « 16 Online Services to Send / Receive Anonymous Emails », consulté le 10 octobre 2017. D’autres services de communications anonymes incluent Yik Yak, qui a récemment cessé ses activités (voir « Yik Yak social media app shutting down », CBC News, Business, du 1^er mai 2017); Secret (qui a cessé ses activités en avril 2015), Whisper et SnapChat. L’article « Your Favourite Anonymous App Is Not Anonymous At All », A.C. Estes, Gizmodo.com, du 12 septembre 2014, montre que des applications anonymes ne l’étaient en fait pas du tout. Tous les sites ont été consultés en septembre 2017.

Retour à la référence de la note de bas de page 38

Note de bas de page 39

D’autres services offrant des services similaires à ceux de Tor sont disponibles. Voir, par exemple, Freenet, I2P (The Invisible Internet Project) et Orbot (Tor pour Android).

Retour à la référence de la note de bas de page 39

Note de bas de page 40

D’autres exemples de TAC de contrôle incluent Sieve du Massachusetts Institute of Technology (MIT) et de l’Université Harvard dont le but est de permettre aux utilisateurs de contrôler comment et quand leurs données sont utilisées par des applications. Voir, par exemple, le communiqué du MIT « Secure, user-controlled data », du 18 mars 2016, consulté le 28 juillet 2017. Pour une initiative similaire, voir le projet EnCoRe (Ensuring Consent and Revocation), consulté le 28 juillet 2017.

Retour à la référence de la note de bas de page 40

Note de bas de page 41

Pour une discussion approfondie, mais cependant accessible, sur l’identité, l’identification et d’autres concepts connexes, voir le document « L’identité, la protection de la vie privée et le besoin d’autrui de savoir qui vous êtes : document de travail sur l’identité et les questions qu’elle soulève », publié en septembre 2007 par le Commissariat à la protection de la vie privée du Canada, consulté le 27 septembre 2017.

Retour à la référence de la note de bas de page 41

Note de bas de page 42

Ces outils peuvent être également considérés comme des outils de limitation des données.

Retour à la référence de la note de bas de page 42

Note de bas de page 43

Voir, par exemple, la discussion dans l’Introduction (page 7) du document « Privacy-ABC Technologies, Personal Data Ecosystem, and Business Models: A feasibility study report », préparé pour le projet ABC4Trust, sous la direction de F. Veseli et W. Tesfay, en janvier 2015, consulté le 26 septembre 2017.

Retour à la référence de la note de bas de page 43

Note de bas de page 44

Pour plus de renseignements, voir U-Prove, consulté le 26 septembre 2017.

Retour à la référence de la note de bas de page 44

Note de bas de page 45

Pour plus de renseignements, voir Identity Mixer. Voir également Privacy by Design Foundation et en particulier, la discussion concernant la carte IRMA (I Reveal My Attributes). Il est allégué que la carte IRMA est la seule source ouverte et mise en œuvre pratique d’Idemix. Voir le document « Efficient implementation of AND, OR and NOT operators for ABCs », A. de la Piedra, publié en 2015. Voir également « Efficient Selective Disclosure on Smart Cards Using Idemix », P. Vullers et G. Alpar, publié dans Proceedings of the 3rd IFIP WG 11.6 Working Conference on Policies and Research in Identity Management, IDMAN 2013, Londres, RU, 8 et 9 avril 2013. Ce document indique qu’Idemix et UProve ont été mis en œuvre sur des cartes à puce. Tous les liens ont été consultés le 26 septembre 2017.

Retour à la référence de la note de bas de page 45

Note de bas de page 46

Pour une discussion approfondie sur ce concept, et comment il a évolué, voir « The Path to Self-Sovereign Identity », C. Allen, du 25 avril 2016. Les principes directeurs sont abordés vers la fin de l’article. Voir également « A gentle introduction to self-sovereign identity », publié sur le blogue Bits on Block le 17 mai 2017. Les deux articles ont été consultés le 26 septembre 2017.

Retour à la référence de la note de bas de page 46

Note de bas de page 47

Pour de plus amples renseignements, voir le projet de texte « UPORT: A PLATFORM FOR SELF-SOVEREIGN IDENTITY », C. Lundkvist, et al, daté du 21 février 2017. Voir également « Ethereum identity system uPort working with Brazil's Ministry of Planning », qui décrit un modèle de mise en œuvre d’UPort.

Retour à la référence de la note de bas de page 47

Note de bas de page 48

Voir, par exemple, l’Avis 9/2016 du contrôleur européen de la protection des données « Avis du CEPD sur les systèmes de gestion des informations personnelles », daté du 20 octobre 2016, consulté le 27 septembre 2017. Voir également la discussion (à partir de la page 10) sur les systèmes de gestion des données personnelles dans le document « Rethinking Personal Data: A New Lens for Strengthening Trust », préparé en collaboration avec A.T. Kearney, publié en mai 2014, consulté le 10 octobre 2017.

Retour à la référence de la note de bas de page 48

Note de bas de page 49

Un écosystème de données personnelles est un système dans lequel les individus gèrent leurs propres données et accordent un accès précis et autorisé aux entreprises avec lesquelles ils souhaitent échanger leurs renseignements. Voir, par exemple, « Introduction to the Personal Data Ecosystem » ou une illustration de l'écosystème, consultés le 2 octobre 2017. Voir également les sites Personal Data Ecosystem Consortium, DigiMe, Personal (fusion avec DigiMe), Datacoup, Sedicii et Meeco, consultés le 11 octobre 2017.

Retour à la référence de la note de bas de page 49

Note de bas de page 50

Un tableau de bord de données personnelles est un moyen pour les individus de suivre différents types de renseignements personnels (p. ex., apport calorique, niveau d’activité, durée du sommeil, etc.). Voir, par exemple, TicTrac en général et « TicTrac is a Great Personal Data Aggregation Dashboard and Reporting Service » en particulier. Ces tableaux peuvent être également utilisés pour gérer les paramètres de confidentialité à partir d’un seul emplacement. D’autres tableaux de bord sont proposés par Google, Microsoft (voir « Microsoft Personal Data Dashboard Gives You Control Over What Happens to Your Information ») et Facebook. Les projets européens PRIME et par la suite PrimeLife ont élaboré des tableaux de bord de suivi des données « Data Track » et de renseignements personnels (Personal Information). Data Track a été pensé comme un outil améliorant la transparence offrant à l’utilisateur une fonction d’historique montrant quels documents, quelles données personnelles l’utilisateur a divulgués, à qui et dans quelles conditions, ainsi que des fonctions permettant d’accéder à ses données personnelles à partir de services en ligne distants. Pour de plus amples renseignements, voir « End User Transparency Tools: UI Prototypes », sous la direction d’E. Wästlund et S. Fischer Hübner, PrimeLife version D.4.2.2 du 29 juin 2010. Le tableau de bord était une extension du navigateur Firefox. Cependant, les travaux sur le projet ont été arrêtés en 2011 et les tableaux de bord ont été très peu utilisés. Tous les liens ont été consultés le 29 septembre 2017.

Retour à la référence de la note de bas de page 50

Note de bas de page 51

Ces outils permettent aux utilisateurs de recueillir, de conserver et de donner un accès granulaire à leurs données, y compris à des métadonnées personnelles, tout en protégeant leur vie privée. Voir, par exemple, OpenPDS/SA (Open Personal Data Store/Safe Answers). Voir aussi l’article « OpenPDS: Protecting the Privacy of Metadata through SafeAnswers », Y-A. de Montjoye, et al, publié le 9 juillet 2014, consulté le 27 septembre 2017.

Retour à la référence de la note de bas de page 51

Note de bas de page 52

Sieve vise à fournir aux individus un moyen de révéler de manière sélective des renseignements personnels aux services Web. Les individus étiquettent les renseignements à l’aide d’attributs, comme la date ou l’emplacement de l’individu. Sieve chiffre ensuite les renseignements avant de les envoyer, avec les attributs, au fournisseur de stockage (le nuage, p. ex.). Lorsqu’une tierce partie demande l’accès aux données, l’individu décide à quels renseignements celle-ci peut accéder et Sieve fournit les renseignements nécessaires qui lui permettent de déchiffrer (uniquement) ces données. Pour de plus amples renseignements, voir « Sieve: Cryptographically Enforced Access Control for User Data in Untrusted Clouds », F. Wang, et al, publié dans Proceedings of the 13^th USENIX Symposium on Networked Systems Design and Implementation (NSDI ’16), 16 au 18 mars 2016, Santa Clara, CA, États-Unis, consulté le 28 septembre 2017.

Retour à la référence de la note de bas de page 52

Note de bas de page 53

L’unité de cybersécurité de Telefónica, Eleven Paths, a développé une application, appelée TACYT, qui met en correspondance les applications Internet avec l’accès et les autorisations qu’elles recherchent. L’opérateur (Telefonica) utilisera cette base de données pour créer un système de guidage, dans le style de l’étiquetage nutritionnel sur les emballages alimentaires, afin d’avertir les clients au sujet des services qu’ils installent. Les clients pourront alors utiliser ces renseignements pour gérer les autorisations des applications, améliorant ainsi leur contrôle sur les renseignements que les applications recueillent et communiquent. Consulté le 20 septembre 2017.

Retour à la référence de la note de bas de page 53

Note de bas de page 54

La Protection intégrée des renseignements est vue comme un ensemble normalisé de paramètres ou de renseignements en matière de confidentialité qui s’appliquerait à diverses plateformes, y compris les navigateurs Internet, les tablettes et les téléphones intelligents. Elle permettrait aux individus de choisir quand communiquer un renseignement (p. ex. l’emplacement) et de déterminer comment cette information est utilisée et révélée aux autres parties. Pour de plus amples renseignements, voir « La Protection intégrée des renseignements : permettre au consommateur de faire des choix et de donner un consentement significatif en matière de confidentialité », A. Lau, Centre pour la défense de l’intérêt public (PIAC), publié en juin 2017, consulté le 20 septembre 2017.

Retour à la référence de la note de bas de page 54

Note de bas de page 55

Pour de plus amples renseignements, voir le site Web P3P du World Wide Web Consortium (W3C), consulté le 1^er avril 2016. Malheureusement, P3P n’est pas largement adopté/déployé. Voir également le projet Usable Privacy Policy, consulté le 17 août 2017.

Retour à la référence de la note de bas de page 55

Note de bas de page 56

Voir, par exemple, « Creating a Policy-Aware Web: Discretionary, Rule-based Access for the World Wide Web », D. J. Weitzner, et al, non daté, consulté le 29 septembre 2017.

Retour à la référence de la note de bas de page 56

Note de bas de page 57

Voir le projet TAMI. Le site ne semble pas avoir été mis à jour depuis 2008 ou 2009. Site visité le 29 septembre 2017.

Retour à la référence de la note de bas de page 57

Note de bas de page 58

Voir « Research of User Privacy Negotiation and Protection Architecture based on Semantic Web », L. Cai, et al, Department of Network Engineering, School of Software, Université Yunnan, janvier 2008; « PPNP: A Privacy Profile Negotiation Protocol for Services in Public Spaces », S. Tamaru, et al, Université Keio, octobre 2003; ou « Enabling Web Services Policy Negotiation with Privacy preserved using XACML », V.S.Y. Cheng, et al, Department of Computer Science, Hong Kong University of Science and Technology, janvier 2007. Tous les documents ont été consultés le 15 août 2017.

Retour à la référence de la note de bas de page 58

Note de bas de page 59

Wireshark® est un analyseur de protocole réseau. Il permet la capture et l’exploration interactive du trafic circulant sur un réseau informatique. Consulté le 17 août 2017.

Retour à la référence de la note de bas de page 59

Note de bas de page 60

Fiddler est un proxy gratuit de débogage Web qui consigne tout le trafic HTTP(s) entre un ordinateur et Internet. Il peut être également configuré pour décrypter tout le trafic HTTPS ou le trafic associé à des sessions données. Consulté le 17 août 2017.

Retour à la référence de la note de bas de page 60

Note de bas de page 61

Les outils de prévention contre la perte de données (DLP) utilisent les règles opérationnelles pour classifier et protéger les renseignements confidentiels et essentiels de façon à ce que les utilisateurs finaux non autorisés ne puissent pas communiquer par accident ou par malveillance les données dont la divulgation pourrait mettre l’organisation en péril (p. ex., blocage du téléchargement des fichiers de l’entreprise vers le nuage). DLP Monitor (McAfee) et Integrated DLP (Trend Micro) sont des exemples d’outils de prévention contre la perte de données. D’autres solutions sont également proposées. Par exemple, un groupe de chercheurs de l’Université de la Californie (UC) Irvine a publié un document décrivant AntMonitor, une application visant à empêcher les applications de laisser échapper des données personnelles, comme les numéros de téléphone, les courriels et les identifiants des appareils. Voir « AntMonitor: Network Traffic Monitoring and Real-Time Prevention of Privacy Leaks in Mobile Devices », A. Shuba, et al, UC Irvine, juillet 2015. Tous les documents ont été consultés le 17 août 2017.

Retour à la référence de la note de bas de page 61

Note de bas de page 62

Ces outils peuvent permettre de voir les accès à une application et son activité, l’activité du système d’exploitation, les interactions des données (création, modification, transmission, duplication, etc.) et l’accès des utilisateurs aux données sensibles.

Retour à la référence de la note de bas de page 62

Note de bas de page 63

Pour de plus amples renseignements, voir McAfee Endpoint Threat Defense & Response, consulté en septembre 2017.

Retour à la référence de la note de bas de page 63

Note de bas de page 64

Pour de plus amples renseignements, voir Symantec Endpoint Protection 14, consulté en septembre 2017.

Retour à la référence de la note de bas de page 64

Note de bas de page 65

Les outils de transparence du Web prennent souvent la forme de modules d’extension de navigateur qui permettent aux utilisateurs de voir par quelles organisations ils sont suivis. Certains outils ne peuvent fournir que des renseignements sur les organisations exerçant un suivi, alors que d’autres peuvent bloquer ou limiter le suivi. Ces outils gagnent en popularité chez les utilisateurs expérimentés qui comprennent les implications du suivi sur le Web et souhaitent faire l’apprentissage de ces outils afin de contrôler leur vie privée, mais leur utilisation se limite à un petit groupe de consommateurs. En outre, de nombreuses agences de publicité traitent ces outils comme des menaces envers leur existence et recherchent activement des méthodes pour les vaincre. Voir, par exemple, « Ad blocking poses a major threat to digital media companies that depend on advertising for revenue », Business Insider, daté du 24 avril 2016. Pour un aperçu des outils de transparence du Web, voir « A Survey on Transparency Tools for Enhancing Privacy », H. Hedbom, sans date. Les deux documents ont été consultés le 29 septembre 2017.

Retour à la référence de la note de bas de page 65

Note de bas de page 66

Pour de plus amples renseignements, voir Adblock Plus, consulté en septembre 2017.

Retour à la référence de la note de bas de page 66

Note de bas de page 67

Pour de plus amples renseignements, voir Ghostery, consulté en septembre 2017.

Retour à la référence de la note de bas de page 67

Note de bas de page 68

Pour de plus amples renseignements, voir Privacy Badger, consulté le 2 octobre 2017.

Retour à la référence de la note de bas de page 68

Note de bas de page 69

Pour de plus amples renseignements, voir Content Guard, consulté en septembre 2017.

Retour à la référence de la note de bas de page 69

Note de bas de page 70

Pour de plus amples renseignements, voir Digimarc, consulté en septembre 2017.

Retour à la référence de la note de bas de page 70

Note de bas de page 71

Innovation, Sciences et Développement économique (ISDE) Canada a publié ses Lignes directrices concernant la production de rapports sur les mesures de transparence sur son site Web le 30 juin 2015, consultées le 30 juin 2017. Les lignes directrices ont été conçues pour aider les entreprises privées à faire preuve de transparence à l’égard de leurs clients concernant la gestion de leurs renseignements personnels et leur communication au gouvernement, tout en respectant le travail des organismes de réglementation et d’application de la loi et de sécurité nationale.

Retour à la référence de la note de bas de page 71

Note de bas de page 72

Différents labels de confiance sont proposés. Voir, par exemple, le rapport « Trust marks report 2013: Can I trust the trust mark? », octobre 2013, préparé par le Centre Européen des Consommateurs (ECC-Net), consulté le 16 août 2017. Ce rapport répertorie 54 labels de confiance différents que les consommateurs peuvent rencontrer lorsqu’ils magasinent en ligne en Europe. D’autres modèles de label de confiance sont utilisés en Amérique du Nord.

Retour à la référence de la note de bas de page 72

Note de bas de page 73

« Trust marks report 2013: Can I trust the trust mark? », page 7, octobre 2013, préparé par le Centre Européen des Consommateurs (ECC-Net). Les labels de confiance peuvent couvrir l’identité ou la réputation (assurance qu’il y a une activité réelle et légitime derrière un site Web qui respecte de bonnes pratiques commerciales), la sécurité (assurance que le site Web est soumis régulièrement à des vérifications de sécurité et à des analyses des vulnérabilités, qu’il utilise un chiffrement adéquat, etc.) et la confidentialité (assurance que l’organisation respecte un ensemble de pratiques de gestion des données des clients). Adapté de la page 4 de « Trust Marks: What’s Behind the Label Counts », P. Hochmuth, Yankee Group, février 2009, consulté le 16 août 2017.

Retour à la référence de la note de bas de page 73

Note de bas de page 74

Voir, par exemple, TrustArc, consulté le 16 août 2017.

Retour à la référence de la note de bas de page 74

Note de bas de page 75

Pour de plus amples renseignements, voir les normes de certification de la confidentialité d'entreprise de TrustArc, consulté le 16 août 2017.

Retour à la référence de la note de bas de page 75

Note de bas de page 76

Pour une discussion sur les limites des labels de confiance, voir par exemple, « Trust Marks: What’s Behind the Label Counts », P. Hochmuth, Yankee Group, février 2009, consulté le 29 septembre 2017.

Retour à la référence de la note de bas de page 76

Note de bas de page 77

Voir, par exemple, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), annexe 1, principe 4.9, consulté le 29 juin 2017.

Retour à la référence de la note de bas de page 77

Note de bas de page 78

Le Citizen Lab est un laboratoire interdisciplinaire de la Munk School of Global Affairs, Université de Toronto, Canada, qui se concentre sur la recherche et le développement de pointe à l’intersection des technologies de l’information et des communications (TIC), des droits de la personne et de la sécurité mondiale.

Retour à la référence de la note de bas de page 78

Note de bas de page 79

Open Effect est un organisme canadien sans but lucratif qui effectue des recherches et de la défense des droits visant à garantir que les données personnelles des individus sont traitées de manière sécurisée et responsable.

Retour à la référence de la note de bas de page 79

Note de bas de page 80

Open Media s’efforce d’utiliser des processus participatifs et dirigés par la communauté, portant sur les valeurs sur lesquelles le processus décisionnel gouvernemental et commercial devrait se fonder, afin d’ouvrir la voie vers un Canada plus connecté et un avenir numérique plus prometteur pour les Canadiens.

Retour à la référence de la note de bas de page 80

Note de bas de page 81

Pour plus de renseignements sur l’outil Obtenir mes infos, consulté le 19 mai 2017.

Retour à la référence de la note de bas de page 81

Note de bas de page 82

Voir, par exemple, « What are your dating and fitness apps sharing about you? », E. Chung, CBC News, 21 juin 2016, consulté le 29 juin 2016. Voir également Bienvenue sur Obtenir mes infos.

Retour à la référence de la note de bas de page 82

Note de bas de page 83

Voir, par exemple, l’Avis préliminaire du Contrôleur européen de la protection des données « Vie privée et compétitivité à l’ère de la collecte de données massives : l’interaction entre le droit à la protection des données, le droit de la concurrence et la protection des consommateurs dans l’économie numérique », datant de mars 2014, consulté le 2 octobre 2017.

Retour à la référence de la note de bas de page 83

Date de modification :: 2017-11-15

Sélection de la langue

Recherche et menus

Recherche

Technologies d’amélioration de la confidentialité – Un survol des outils et des techniques

Table des matières

Rapport préparé par la Division de l’analyse de la technologie du Commissariat à la protection de la vie privée du Canada

Introduction

Portée

Taxonomie des technologies d’amélioration de la confidentialité

Consentement éclairé

Limitation des données^{Note de bas de page 21}

Suivi des données

Anonymat^{Note de bas de page 36}

Contrôle^{Note de bas de page 40}

Négocier les modalités

Application technique

Vérification à distance de la mise en application

Utilisation des garanties juridiques

L’« échec » des TAC

Et maintenant?

Technologies d’amélioration de la confidentialité – Un survol des outils et des techniques

Table des matières

Rapport préparé par la Division de l’analyse de la technologie du Commissariat à la protection de la vie privée du Canada

Introduction

Portée

Taxonomie des technologies d’amélioration de la confidentialité

Consentement éclairé

Limitation des donnéesNote de bas de page 21

Suivi des données

AnonymatNote de bas de page 36

ContrôleNote de bas de page 40

Négocier les modalités

Application technique

Vérification à distance de la mise en application

Utilisation des garanties juridiques

L’« échec » des TAC

Et maintenant?

Table des matières

Limitation des données^{Note de bas de page 21}

Anonymat^{Note de bas de page 36}

Contrôle^{Note de bas de page 40}