Le projet PDP4E, financé par l’UE, a adopté le point de vue d’un ingénieur face aux défis générés par la conformité du RGPD. Les outils qu’il a développés vont permettre de concevoir des produits, des systèmes et des services qui protègent les droits des citoyens européens.

Économie numérique

Le RGPD a eu un impact sur tout le monde, des utilisateurs aux fournisseurs de services, et même les ingénieurs de logiciels. Pour ces derniers, cependant, concevoir l’ingénierie de la confidentialité est un concept relativement nouveau qui peut aisément être considéré comme abstrait ou d’une importance secondaire. Mais ce serait une erreur. Des réseaux intelligents aux mégadonnées, des véhicules connectés aux données bancaires, l’ingénierie de la confidentialité ne doit jamais être écartée. «Les ingénieurs ont besoin de quatre types d’outils», déclare Antonio Kung, co-fondateur de la société Trialog et coordonnateur du projet PDP4E (Methods and tools for GDPR compliance through Privacy and Data Protection Engineering). «Le premier type qui est centré sur la gestion des risques en matière de la confidentialité, aidera les ingénieurs à identifier, évaluer et gérer des risques en matière de confidentialité d’un point de vue technique. Le deuxième porte sur le partage des exigences liées à la confidentialité, ce qui devrait permettre aux ingénieurs de transformer les contraintes de confidentialité en exigences réelles. Mais ce n’est pas tout. Il leur faut aussi une préservation de la confidentialité et des données en créant un cadre défini (PDPbD) et également un dossier d’assurance garantissant que les décisions prises pour assurer la confidentialité et réduire les risques associés peuvent être contrôlées et évaluées à l’aune de leur conformité au RGPD». Le projet PDP4E fournit ces quatre outils en gardant à l’esprit un objectif: permettre la création à grande échelle de produits, de systèmes et de services protégeant au mieux la confidentialité et les données personnelles des citoyens européens. Pour ce faire, il tire parti d’une ingénierie créée à partir de modèles. «Le projet exploite des modèles, ou des représentations révisables des systèmes. Ces modèles ont été développés par des experts en protection de la vie privée et peuvent dès lors être réutilisés par des ingénieurs. Qui plus est, un modèle peut être exploité pour justifier un potentiel de confidentialité», explique Antonio Kung. Concrètement, l’équipe du projet a travaillé dur pour intégrer la confidentialité lors de la conception et la protection des données aux méthodes d’ingénierie de systèmes et de logiciel existantes et traditionnelles. Et pour ces outils qui n’existent pas ou qui sont encore en cours de développement, ils fournissent un logiciel libre qui conduira à un procédé de développement respectueux de la confidentialité. «Nous supposons l’existence de deux communautés ouvertes de concepteurs de logiciels pour notre écosystème: un premier groupe traitant de la confidentialité et un second qui s’occupe des outils d’ingénierie de confidentialité (au sein de la Fondation Éclipse); le premier pouvant partager des modèles relevant de protection de la confidentialité et aussi de son ingénierie».

Des véhicules connectés aux réseaux intelligents

Les propositions ont été testées dans les deux domaines innovants que sont les véhicules connectés et les mégadonnées pour les réseaux intelligents. Pour la collaboration des ingénieurs travaillant sur les véhicules autonomes, les compromis que cela entraîne au niveau de la confidentialité des conducteurs ne peuvent pas être ignorés. L’objectif du projet PDP4E sera, dans ce cas précis, de démontrer comment de tels compromis peuvent être gérés d’un point de vue de la confidentialité dès la conception. Pendant ce temps, l’exemple des mégadonnées dans les réseaux intelligents pose des difficultés majeures en termes de confidentialité et de protection des données, que le projet vise à évaluer. «Un problème majeur pour les véhicules connectés est lié aux données de localisation, alors que le partage de données dans les réseaux intelligents soulève des inquiétudes liées à la dé-identification (les algorithmes indispensables qui protègent les compteurs intelligents des fuites de données liées au mode de vie des utilisateurs concernés et aux dispositifs en cours d’utilisation). En fin de journée, les deux schémas utilisés mettent en jeu des écosystèmes complexes qui font intervenir de nombreux organismes. Cela montre que les modèles de protection de la confidentialité doivent aussi comprendre des modèles structurels», fait remarquer Antonio Kung. Au moment où le projet s’achève, Antonio Kung et les partenaires du projet PDP4E espèrent apporter un soutien à la communauté d’ingénierie de la confidentialité et ils souhaitent même promouvoir la création d’un «Pacte pour la création de la confidentialité et de protection des données personnelles» (Alliance for Privacy and Data Protection Engineering). Leur contribution à des activités de normalisation, en particulier leur implication dans le développement de la norme ISO 31700 (respect de la vie privée assuré dès la conception des biens de consommation et services aux consommateurs), est certainement une étape importante en ce sens.

Mots‑clés

PDP4E, RGPD, conformité, ingénieurs, accès libre, réseau intelligent, véhicule connecté