La confidentialité en toute transparence

Cédric Tournay

28 avril 1999
Suite et fin (6/6)

Des réponses techniques

L’attitude des pouvoirs publics à l’égard des questions de confidentialité s’exprime – nous venons de le voir – sur le plan législatif et réglementaire, mais les mesures prises ont un impact technique. La Directive européenne exerce un effet indirect sur l’organisation des flux électroniques et des bases de données. Dans d’autres cas, les Etats interviennent pour définir directement certaines orientations technologiques. Le Conseil des ministres européens des télécommunications vient notamment de prendre la décision d’accorder une valeur légale à la signature électronique. C’est un pas important en faveur de la sécurisation et de la protection de la confidentialité. Garantie par des tiers de confiance certifiés, la signature électronique permettra en effet à chaque internaute de se livrer à des opérations sensibles sur le réseau, de l’achat en ligne de produits à la signature de documents officiels en passant par la signature d’un courrier électronique personnel. [cliquer ici pour en savoir + sur cette décision]

Par ailleurs, en attendant la généralisation des systèmes dérivés des standards OPS/P3P, diverses solutions techniques émergent pour protéger la confidentialité des internautes. Complémentaires ou potentiellement concurrentes des protocoles OPS, elles pourraient – pour les plus populaires d’entre elles – s’imposer comme des normes de fait dans les prochains mois. Quelques exemples de solutions :

• Anonymizer est un service Web qui permet aux internautes inscrits de naviguer sur le réseau de façon confidentielle, c’est-à-dire sans qu’il ne soit possible de découvrir leur identité. Derrière ce service figure un principe simple : envoyer aux serveurs visités des requêtes émises par le service Anonymizer plutôt que par l’internaute lui-même. Cette protection peut être contournée (par exemple si votre prestataire d’accès décide de vous ‘pister’ grâce à vos fichiers de connexion) mais le procédé illustre la possibilité d’imaginer des systèmes simples pour répondre aux enjeux de la confidentialité à court terme, c’est-à-dire en attendant l’adoption de normes et d’outils universels. Le succès d’Anonymiser a conduit ses promoteurs à étendre leur service au mail, désormais disponible, également sous une forme anonyme, sur le site.

• Autre application astucieuse, Crowd est actuellement en phase de R&D dans les laboratoires de AT&T. Le principe de départ est simple : l’anonymat aime la foule. Autrement dit, un internaute peut naviguer en toute confidentialité s’il appartient à un groupe de personnes qui effectuent sur le réseau les mêmes actions au même moment. La mise en œuvre de ce principe est complexe puisque les internautes ont par définition des comportements individualistes. Les ingénieurs d'AT&T essaient donc de mettre en œuvre des serveurs intermédiaires (proxy) capables d’administrer en temps réel une multitude de connexions et de flux informatiques pour empêcher la traçabilité d’un individu donné. Le système Crowd ne sera probablement pas commercialisé sous sa forme actuelle mais, comme souvent dans ce secteur d’activité, les concepts éprouvés lors de la phase de R&D alimenteront le développement d’applications novatrices, notamment pour organiser des communautés virtuelles.

• Autre fruit de la recherche d’AT&T, The Lucent Personalized Web Assistant (LPWA). Comme son nom l’indique, cet agent logiciel gère pour un internaute des relations électroniques avec divers sites Web, en toute confidentialité et sur longue période. Cet assistant est une sorte de représentant numérique qui ne révélerait en aucun circonstance l’identité de son mandataire. Il renseignera par exemple les formulaires Web d’une identité d’emprunt, qu’il gardera en mémoire pour gérer les interactions avec les applications que souhaite utiliser régulièrement un internaute. On imagine aisément l’intérêt de ce type d’agent pour la consultation de sites pornographiques ou de recherche d’emploi.

Ces outils répondent aux préoccupations des internautes mais ne permettent pas de résoudre les questions de confidentialité de façon globale. En effet, la protection des informations confidentielles se traite aussi au niveau des serveurs et des bases de données, dont la sécurité reste très insuffisante dans de nombreux secteurs d’activité, quel que soit le pays considéré.

Une réponse culturelle et pédagogique

Au-delà du combat juridique, les institutions et les associations de protection de la vie privée s’emploient aujourd’hui à informer les internautes des risques encourus sur le réseau. L’importance de cette démarche pédagogique croît avec l’arrivée progressive sur le réseau d’utilisateurs peu au fait des questions techniques et de l’économie générale de l’Internet. Parmi les applications utiles, il convient de citer le site de la CNIL et, aux Etats-Unis, celui de la Federal Trade Commission.

La CNIL a mis en place une application ludique pour montrer aux internautes les précautions nécessaires à la protection de leurs données sur le réseau. Sous le tire " Découvrez comment vous êtes pistés sur Internet ", la CNIL illustre les question de confidentialité en piégeant l’Internaute au cours d’un jeu destiné à lui montrer les traces qu’il laisse sur son passage : cookies, données issues de formulaires, paramètres de session, etc. La CNIL complète cette approche par un exposé synthétique des enjeux posés par la confidentialité électronique, notamment dans le cadre de l’entreprise. Face aux pertes de productivité et aux risques de fuite d’information apportés par l’Internet, certaines entreprises mettent en effet en place des systèmes de contrôle des connexions et des comportements bureautiques. [cliquer ici pour une information complète sur les cookies]

Dans le domaine médical, la CNIL a édité un guide à destination des médecins, intitulé Santé, informatique et libertés. Disponible in extenso sur cnil.fr, il passe en revue les questions que se posent les professionnels, et apportent des réponses juridiques et techniques :

• Quelles sont les précautions à prendre pour choisir son équipement informatique ?
• Comment déclarer son fichier à la CNIL ?
• Quelles sont les mesures de sécurité à prendre ?
• Quelle est le rôle de la CNIL dans le projet SESAM-VITALE ?
• Quelles sont les règles à respecter pour mettre des données de santé sur l’Internet ?
• Etc.

La FTC, pour sa part, anime de nombreux séminaires de réflexion et d’information sur la protection des données confidentielles sur l’Internet. Elle a également développé un site dédié au grand public pour apprendre aux internautes les conduites à tenir pour protéger son intimité sur le réseau. Intitulé Savvy Traveler (le voyageur futé), ce site donne accès à un glossaire pédagogique et explique les risque encourus sur les sites Web ainsi que les façons de se protéger.

De nombreux autres acteurs, comme les associations de défense des libertés publiques, participent à cet effort d’éducation, qui se poursuit généralement dans une politique de surveillance du comportement des opérateurs du Web et des grandes entreprises. Ces efforts commencent à porter leurs fruits. Plusieurs études ont montré que 25% des internautes choisissent d’indiquer des informations fausses lorsqu’ils sont sollicités. Faute d’un système collectif intelligent de protection de la confidentialité, ces formes de résistance individuelle continueront de se développer.

Réagissez à cet article.

Retrouvez tous les autres articles de la rubrique Internet Médical.

28 avril 1999