Le “Privacy by Design” en action: étude de cas

Pour illustrer le principe “Privacy by Design”, rien de tel qu’une étude de cas, même fictive. Imaginons le développement d’une application pour smartphone qui permet à ses utilisateurs d’éditer et de partager leurs critiques sur des films. La liste des points à mettre en œuvre ci-dessous n’est pas exhaustive, elle illustre uniquement des points reflétant des exemples d’une approche Privacy by Design.

Finalités de l’application:

  • créer et/ou éditer une critique;
  • partager les critiques dont un utilisateur est l’auteur;
  • pouvoir consulter les critiques des autres utilisateurs.

Remarques:

  • La liste des finalités doit être fermée. Une information claire et explicite devra être fournie aux utilisateurs quant aux finalités de l’application.
  • Lorsqu’une quantité importante d’information est à fournir aux utilisateurs, une approche de mise à disposition de l’information par couche (layered approach) est généralement une technique de communication adéquate: la page d’information affiche aux utilisateurs un résumé de l’information essentiel par catégorie et un lien pour en savoir plus leur est proposé. Un “clic” sur ce lien affiche le détail des informations pour la catégorie sélectionnée.

Collecte des données:

Il est important de réduire la collecte de données à son strict minimum, tant au niveau du type, que de la quantité des données à caractère personnel. Dans ce contexte, nous pouvons nous interroger sur les données nécessaires pour identifier les utilisateurs. Connaitre le nom et le prénom de l’utilisateur est-il nécessaire pour le processus d’authentification ? Un pseudonyme n’est-il pas suffisant?

  • Si on souhaite connaitre l’âge de l’utilisateur, la collecte de son année de naissance peut être suffisante. Il n’est pas forcément nécessaire de collecter également le jour et le mois de naissance.
  • Si l’utilisateur souhaite dans le cadre de l’application et de ses fonctions de partage pouvoir s’identifier auprès d’autrui avec son prénom et son nom, ces informations peuvent être renseignées de façon optionnelle par l’utilisateur a posteriori lorsqu’il active, par exemple, une fonction de partage non anonyme.
  • Est-il nécessaire de collecter les données de localisation de l’appareil de l’utilisateur? Si, dans le contexte de l’application, un utilisateur peut partager sa position géographique lors de la rédaction d’une critique, une telle collecte et son exploitation devrait être optionnelle et activée explicitement par l’utilisateur. Si l’utilisateur active la collecte de ses données de géolocalisation, celle-ci ne devrait être qu’active qu’au moment où l’utilisateur enregistre sa critique et elle devrait être désactivée dès que la collecte est effectuée. Une information de géolocalisation peut être très intrusive pour la sphère privée de l’utilisateur.

Un smartphone permet à l’éditeur d’une application de collecter un nombre important de données qui permettent de profiler ou suivre un utilisateur ou lui fournir divers services. L’éditeur de l’application collectera uniquement les informations strictement nécessaires à la réalisation des finalités de l’application. De plus, avant de collecter les données, l’éditeur devra avoir une réflexion sur l’opportunité de réaliser ses finalités qui impactent le moins possible la vie privée de ses utilisateurs.

  • Éviter toutes collectes passives de données
  • Ne stocker et conserver que les informations strictement nécessaires

Contrôle sur le partage des critiques

Le créateur de l’application doit prendre quelques mesures en ce qui concerne le partage de critiques entre utilisateurs:

  • Mise en place d’un mécanisme de whitelisting par défaut: rien n’est partagé jusqu’à ce que l’utilisateur active explicitement le partage d’une information. L’éditeur peut également considérer la mise en place de différents niveaux de granularité pour le partage de contenu.
  • Avant chaque partage d’une critique, l’utilisateur devrait être informé de façon claire avec qui l’information qu’il vient d’éditer va être partagée.
  • Une fonction granulaire de modification/suppression d’un partage doit être disponible pour l’utilisateur.

Stockage des données à caractère personnel

Dans le contexte de l’application en exemple, les mesures de sécurité de l’information suivantes pourraient être prises:

  • Le stockage des données à caractère personnel identifiant et pouvant avoir un impact négatif pour les utilisateurs en cas de vol/perte des données (ex: pour contribuer à un vol d’identité) devrait être chiffré. Il peut s’agir de données comme le prénom, le nom, le login, la date de naissance ou l’adresse email.
  • Le mot de passe de l’utilisateur devrait être stocké après l’application d’une mesure cryptographique de type hashage (le stockage de la valeur originelle du mot de passe est une très mauvaise pratique).
De telles mesures minimisent, voire rendent impossible, l’utilisation des informations en cas, par exemple, de vol des données. L’information ne sera potentiellement pas compréhensible, donc non exploitable par le hacker. Le vol de l’information n’aura pas d’impact pour les utilisateurs (ex: vol d’identité, tentative de  phishing , utilisation à des fins d’ingénierie sociale, dommages financiers…)

Transfert des données à des tiers

Si l’éditeur de l’application prévoit de transférer les données des utilisateurs à des tiers, les utilisateurs doivent donner leur consentement préalablement sur base d’une information explicite et précise :- sur les tiers auxquels les informations vont être transférées;- sur la(les) finalité(s) d’un tel transfert.Une réflexion quant à l’opportunité de mettre en œuvre une pseudonymisation ou une anonymisation des données à caractère personnel avant le transfert à un tiers est également un élément important à considérer dans le cadre de l’approche Privacy by Design.

Croisement des informations

Si l’éditeur prévoit de croiser les informations de ses utilisateurs avec des informations obtenues d’autres sources, une information des utilisateurs de ce traitement et de sa (ses) finalité(s) doit être fournie. Si un tel traitement résulte en un profilage de l’utilisateur dont les résultats serviront à effectuer des décisions automatiques le concernant, l’éditeur devrait obtenir son consentement préalable et l’informer d’un point de contact pour contester les résultats de décisions automatiques qui le concernent.

Mise à jour de l’application

Lorsqu’une mise à jour de l’application est disponible et appliquée, les paramètres de confidentialité configurés par l’utilisateur doivent rester en l’état. Si de nouveaux paramètres sont ajoutés à l’application, ceux-ci devraient appliquer par défaut le mode le plus restrictif de confidentialité pour les informations des utilisateurs.

Effacement des données

  • L’utilisateur devrait avoir la possibilité d’effacer les informations dont il est l’auteur lorsqu’il le souhaite.
  • Une politique d’effacement des données devrait également être disponible. Celle-ci comprend notamment un potentiel effacement ou anonymisation des données lorsqu’un utilisateur a désinstallé ou n’a plus utilisé l’application pendant une certaine période (l’utilisateur devrait recevoir plusieurs notifications d’alerte avant l’effacement).

Autres éléments contribuant au Privacy by Design

  • Mettre en place une politique vie privée.
  • Adopter une procédure de gestion des incidents: prévoir la notification d’un incident aux utilisateurs et les mesures pour atténuer l’impact sur leur vie privée.

Dernière mise à jour