Les langages de protection de la vie privée

Cours les langages de protection de la vie privée, tutoriel & guide de travaux pratiques en pdf.

Les Langages d’expression de politique de la vie privée

Dans cette section nous présentons les langages d’expression de politique, ces langages devraient fournir un degré élevé de fonctionnalité, afin de couvrir tous les types définis de politique. D’ailleurs, nous considérons l’expressivité d’un langage, qui garantit la définition de toutes les parties obligatoires d’une politique.
Cette section présentera les langages XACML, EPAL et plus en détaille le P3P le standard de w3c.

P3P (The Platform for Privacy Preferences)

Présentation

P3P est une recommandation du w3c, qui donne la possibilité aux sites web d’informer les utilisateurs de leurs politiques vis-à-vis du respect de la vie privée. Il définit un format standardisé pour décrire ces politiques. [27]
P3P permet aux sites Web d’exprimer leurs politiques de confidentialité dans un format normalisé que les agents utilisateurs14 peuvent obtenir automatiquement et interpréter aisément et cela en langage XML (eXtensible Markup Language). Les agents utilisateurs P3P permettront d’informer les utilisateurs des pratiques des sites (dans des formats lisibles à la fois par une machine et par un humain) et d’automatiser au besoin les prises de décisions en fonction de ces pratiques. Les utilisateurs n’auront donc pas besoin de lire les politiques de confidentialité de chaque site visité.

La spécification P3P 1.0

La spécification P3P1.0 définit la syntaxe et la sémantique des politiques de confidentialité P3P et les mécanismes permettant d’associer les politiques aux ressources Web. Les politiques P3P consistent en déclarations utilisant le vocabulaire P3P afin d’exprimer des pratiques touchant à la vie privée. Les politiques P3P appellent également des éléments du schéma de données de base de P3P, un jeu standard d’éléments de données que tout agent utilisateur P3P devrait reconnaître. La spécification P3P comprend un mécanisme permettant de définir de nouveaux éléments de données et ensembles de données et un mécanisme simple autorisant l’extension du vocabulaire de P3P.
La figure suivante donne une vision concrète du modèle p3p.
Figure II.1 : Le modèle P3P

Les buts et les possibilités de P3P1.0

Le protocole P3P version 1.0 est conçu pour informer les utilisateurs du Web des pratiques des sites Web concernant la collecte de données. Il permet à un site Web de transcrire ses pratiques de collecte et d’utilisation des données dans un format XML, lisible par une machine, que l’on appelle politique P3P.
Le but de P3P version 1.0 est double :
Premièrement, permettre aux sites Web d’annoncer leurs pratiques de collecte de données de manière normalisée, lisible par une machine et facilement disponible.
Deuxièmement, permettre aux utilisateurs du Web de savoir quelles données seront collectés par les sites visités, comment ces données seront utilisées, et quels usages de ces données ces utilisateurs accepteront ou bien refuseront.
Cinq premiers topiques ont pour but d’exprimer l’intension de site Web.
• Qui est entrain de collecter cette donnée.
• Quelle information est entrain d’être collectée.
• Pour quel but.
• Quelles informations vont être partagés avec d’autre (site)
• Qui va recevoir ces informations [26]

Les politiques P3P

Les politiques P3P utilisent un codage XML avec des espaces de nommage du vocabulaire P3P afin de fournir les coordonnées de l’entité légale responsable des pratiques de confidentialité d’une politique, d’énumérer les types de données ou les éléments de données collectés et d’expliquer la destination des données en question comme il est montré dans la figure II.2. En outre, les politiques identifient les destinataires des données et divulguent d’autres informations, dont les renseignements pour la résolution des litiges et l’adresse de la politique de confidentialité d’un site écrite pour un humain. Les politiques P3P doivent couvrir tous les éléments de données et pratiques mobilisés.
Toutefois, les questions concernant le respect des demandes de renseignement légales ne sont pas traitées par cette spécification. Tout en respectant sa politique de non-redistribution des données à des tiers, un site peut être contraint de le faire par force de loi. Les déclarations P3P sont positives : les sites annoncent ce qu’ils font plutôt que ce qu’ils ne font pas. Le vocabulaire P3P est conçu pour décrire les pratiques d’un site plutôt que d’être juste un indicateur de la conformité à une loi particulière ou un code de conduite particulier. Par contre, on peut développer les agents utilisateurs de façon à tester si les pratiques d’un site sont conformes, ou non, à une loi ou un code.
Il faut remarquer que chaque politique P3P s’applique aux ressources Web spécifiques (pages Web, images, cookies, etc.) listées dans un fichier d’appel de politique. [26]
Pour plus d’informations sur le vocabulaire de P3P voir Annexe B.
<ENTITY>
<DATA-GROUP>
<DATA ref= »#business.name »>Location Provider Service</DATA>
<DATA ref= »#business.contact-info.online.email »>p3p@example.com</DATA> <DATA ref= »#business.contact-info.online.uri »>http://www.example.com</DATA> <DATA ref= »#business.contact-info.postal.street »>University Address</DATA> </DATA-GROUP>
</ENTITY> <ACCESS><all/></ACCESS>
<DISPUTES-GROUP>
<DISPUTES resolution-type= »service » service=http://www.example.com/p3p_dispute.html short-description= »Dispute »>
<LONG-DESCRIPTION> For any inconvenience, apply to our Customer Service (dispute@example.com) </LONG-DESCRIPTION>
<REMEDIES><correct/><money/><law/></REMEDIES>
</DISPUTES>
</DISPUTES-GROUP>
Figure II.2: Échantillon de politique de P3P [26]

Les agents utilisateurs P3P

Les agents utilisateurs P3P peuvent être intégrés aux navigateurs Web, aux modules d’extension des navigateurs ou aux serveurs mandataires. Ils peuvent aussi se présenter sous forme d’applets Java15 ou de scripts JavaScript, ou être intégrés à des portefeuilles électroniques, des remplisseurs de formulaire automatiques ou à d’autres outils de gestion des données de l’utilisateur. Les agents utilisateurs P3P recherchent les appels de politiques P3P dans l’emplacement notoire, dans les en-têtes P3P des réponses HTTP et dans les balises link incorporées à un contenu HTML. Ces appels indiquent l’emplacement des politiques P3P concernées. Les agents utilisateurs peuvent récupérer la politique à l’endroit indiqué, l’analyser puis afficher des symboles, émettre des sons ou générer des invites pour l’utilisateur afin de refléter les pratiques de confidentialité P3P d’un site. Ils peuvent aussi comparer les politiques P3P aux préférences de confidentialité choisies par l’utilisateur et prendre les mesures appropriées. Un agent utilisateur n’autoriserait la délivrance des données si la politique est cohérente avec les préférences de l’utilisateur.
La spécification P3P1.0 impose peu de contraintes sur l’interface utilisateur des agents utilisateurs. Les développeurs peuvent ainsi choisir les messages et symboles à présenter à l’utilisateur pour les informer de la politique de confidentialité d’un site Web. Les développeurs ne sont pas tenus d’utiliser textuellement les définitions qui se trouvent dans cette spécification pour leurs interfaces utilisateurs. Toutefois, ils devraient s’assurer que les informations présentées à l’utilisateur, quelles qu’elles soient, représentent fidèlement les politiques P3P décrites. [26]

 La mise en œuvre de P3P1.0 sur les serveurs

Les sites Web peuvent mettre en œuvre P3P1.0 sur leurs serveurs en transcrivant leurs politiques de confidentialité, lisibles par un humain, vers une syntaxe P3P puis en publiant les fichiers résultants en même temps qu’un fichier d’appel de politique qui désigne les parties du site concernées par la politique. Des outils automatisés peuvent assister les opérateurs de site dans cette traduction. [26]

La localisation du fichier de référence

Ce sont des mécanismes utilisés pour indiquer la location du fichier de référence des politiques.
 Dans une location bien connue
 Un document peut indiquer la location en utilisant la balise link du HTML
 Un document peut indiquer la location en utilisant la balise link du XHTML
 Dans l’entête de la réponse HTTP.
Les politiques sont appliquées au niveau de ressource. Une page peut se composer de plusieurs ressources, et chacun peut avoir une politique associée à lui. [26]

Les politiques compactes

Les politiques compactes sont des politiques P3P récapitulés qui fournies des conseils à des agents pour que ces agents puissent prendre des décisions vite. Les politiques compactes sont une optimisation de performance dont sa présente n’est pas obligatoire pour les agents comme les serveurs. Un agent d’utilisateur qui ne peut pas obtenir assez d’information à prendre une décision doit obtenir la politique normale.
Dans P3P 1.0, les politiques compactes contiennent des informations politiques concernant seulement les cookies. Le serveur Web doit construire les politiques compactes pour représenter des politiques sur les cookies dans la politique entière. [26]
Voici un exemple de politique compacte :
compact-policy-field = `CP= »` compact-policy ` »` compact-policy = compact-token *( »  » compact-token) compact-token = compact-access |
compact-disputes |
compact-remedies |
compact-non-identifiable |
compact-purpose |
compact-recipient |
compact-retention |
compact-categories |
compact-test
Figure II.3: Syntaxe de la politique compacte [26]

Les Politiques complètes

Une version longue et complète de la politique de confidentialité peut être donnée au format XML, selon une forme (DTD) spécifiée par le W3C. Ce document XML, placé à un endroit « bien connu » de l’arborescence du site peut être consulté automatiquement par le navigateur afin de connaître la politique de confidentialité du site Web préalablement à la navigation.
En complément, cette politique de confidentialité sous forme informatique peut renvoyer vers une page lisible par l’internaute (une page Web).

État actuel des choses

Actuellement, cette technologie n’est utilisée que par certains navigateurs et seulement :
• Pour gérer les cookies de manière «intelligente», par exemple en bloquant ceux donnant la possibilité un enregistrement abusif des actions de l’internaute.
• Pour afficher un résumé de cette politique de confidentialité à la demande de l’internaute.
D’autre part, peu de sites Web envoient une politique P3P. Ceci limite toujours la portée de cette technologie.
Etant donné que la plupart des internautes n’est guère susceptible de modifier des paramètres préconfigures sur leur logiciel de navigation, la configuration “par défaut” des choix de l’utilisateur en matière de respect de sa vie privée influera considérablement sur le niveau global de protection de la vie privée en ligne.

Cours gratuitTélécharger le cours complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *