Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Protection des donnes personnelles dans les Systmes Multi-Agents centrs Utilisateurs
Guillaume Piolle, Yves Demazeau
Laboratoire IMAG-Leibniz, Equipe MAGMA

17 octobre 2006 - Annecy D2A2

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Introduction
La protection de la vie prive est un problme gnral dans le domaine du commerce lectronique et de l'informatique distribue.

Quel est le point de vue spciquement multi-agent que l'on peut avoir sur la question ? Y a-t-il une approche spciquement multi-agent pour rsoudre les problmes de protection des donnes personnelles ?
Compromis habituel : qualit ou uidit du service, versus protection de la vie prive

Est-il possible de dplacer ce compromis, ou de dplacer les rapports de conance ?

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Introduction

Domaines sensibles pour la protection des donnes personnelles : E-commerce, assistants personnels Traabilit dans un rseau (Internet) Dossier mdical distribu Sondages et vote lectronique

Privacy sur le lieu de travail

Informatique pervasive et ambiante

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Traductions de Privacy Autres interprtations Dnition implicite, contexte lgal Un point de vue multi-agent sur la question

Introduction Dnitions et contexte Traductions de Privacy Autres interprtations Dnition implicite, contexte lgal Un point de vue multi-agent sur la question Aperu de l'tat de l'art Conclusion

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Traductions de Privacy Autres interprtations Dnition implicite, contexte lgal Un point de vue multi-agent sur la question

Traductions de Privacy
Dsigne la fois, suivant le contexte, "vie prive" et "protection de la vie prive". Mention de la "protection des donnes personnelles (nominatives)" dans la lgislation francophone. Dnition anglaise sur Wikipedia : Privacy is the ability of an individual

or group to keep their lives and personal aairs out of public view, or to control the ow of information about themselves.
Spcialisation de la dnition par champ d'application (domaine politique, mdical, gntique, gouvernemental, sur internet, en entreprise) Terme anglais : porte beaucoup plus technique et applique que la "vie prive" en franais (article francophone trs sociologique). D'o le choix de "donnes personnelles".
Guillaume Piolle, Yves Demazeau Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Traductions de Privacy Autres interprtations Dnition implicite, contexte lgal Un point de vue multi-agent sur la question

Autres interprtations

Publications de recherche en informatique : rduction de la protection de la vie prive un problme de contrle d'accs local. Selon la lgislation europenne, ce n'est qu'un point parmi d'autres. Inclusion du "SPAM" (communications non sollicites) dans le problme : plutt la consquence d'une faille qu'une composante en elle-mme. Consquence importante et rpandue cependant, traite part dans la lgislation.

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Traductions de Privacy Autres interprtations Dnition implicite, contexte lgal Un point de vue multi-agent sur la question

Dnition implicite, contexte lgal

Loi 78-17 "Informatique et Liberts", Directive europenne EC/02/58. Aucun de ces textes ne donne de dnition prcise pour la protection de la vie prive (cf problme de traduction), mais une caractrisaion de ses proprits :

donnes Restriction de la communication des tiers des informations collectes ou traites Limitation de la dure de conservation des donnes

Information Consentement de l'utilisateur But et justication de la collecte de donnes Droit de l'utilisateur la modication et la Suppression des

Cadre similaire au Canada, mais pas aux Etats-Unis par exemple (ECPA et lgislations par tat)
Guillaume Piolle, Yves Demazeau Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Traductions de Privacy Autres interprtations Dnition implicite, contexte lgal Un point de vue multi-agent sur la question

Le concept de vie prive dans un environnement multi-agent

Les applications "typiquement multi-agents" gnrent un contexte riche et complexe du point de vue du respect de la vie prive : multiplication des contacts, collaborations inter-agents souvent nombreuses et dynamiques, motivations divergentes. Cette situation met l'accent sur certaines proprits en particulier de la protection de la vie prive, notamment la conservation et la transmission des donnes. Un simple contrle d'accs devient insusant d'une manire vidente. Un agent autonome peut tre conscient du caractre sensible de ses propres informations personnelles (problmatiques de traabilit en informatique ambiante, agents mobiles).

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Traductions de Privacy Autres interprtations Dnition implicite, contexte lgal Un point de vue multi-agent sur la question

Des mthodologies typiquement multi-agent ?

Le paradigme multi-agent (et les approches distribues en gnral) peut proposer des approches intressantes pour assurer (ou tout au moins augmenter le niveau de) la protection des donnes personnelles : Division d'une application de service en plusieurs agents de traitement spcialiss ; Dportation de traitements sensibles sur des agents plus contrls et plus spcialiss (agents matriels ?), aux fonctionnalits limites ; Dveloppement d'agents capables de raisonner sur le contexte normatif ; Spcialisation du moteur de gestion de la connaissance des agents cognitifs ; Automatisation de la mise en place de schmas de communication protgeant les donnes personnelles.
Guillaume Piolle, Yves Demazeau Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Platform for Privacy Preferences IETF IDsec Architectures de type TCPA Gestion d'un prol distribu

Introduction Dnitions et contexte Aperu de l'tat de l'art Platform for Privacy Preferences IETF IDsec Architectures de type TCPA Gestion d'un prol distribu Conclusion

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Platform for Privacy Preferences IETF IDsec Architectures de type TCPA Gestion d'un prol distribu

Platform for Privacy Preferences

P3P : projet du W3C, visant l'tablissement d'un standard pour communiquer sur les politiques de protection des donnes personnelles entre applications web. Fonctionnalits : Spcication des politiques ct service/serveur ; Spcication des exigences ct utilisateur ; Dtection de la compatibilit P3P des services ; Transmission de la politique du serveur au client ; Acceptation ou refus automatique par le client (par exemple pour le dpt d'un cookie). Aucun seuil minimum n'est x concernant les politiques, et aucune garantie n'est donne sur le respect de ces politiques.
Guillaume Piolle, Yves Demazeau Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Platform for Privacy Preferences IETF IDsec Architectures de type TCPA Gestion d'un prol distribu

IETF IDsec
IDsec est un protocole permettant de grer des identits virtuelles (associes des prols utilisateur) par le biais d'un service distant. Le systme est bas sur l'utilisation de jetons d'accs, dlivrs au service dsirant accder un lment de prol. Le protocole prsente plusieurs risques, principalement lis la concentration des informations personnelles.

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Platform for Privacy Preferences IETF IDsec Architectures de type TCPA Gestion d'un prol distribu

Architectures de type TCPA

Trusted Computing Platform : une plate-forme utilisateur + une puce cryptographique (le Trusted Computing Module, TPM) sur la carte-mre. Les prols sont gnrs sur la plate-forme utilisateur, et associs une identit virtuelle (anonyme). Les identits virtuelles sont ensuite communiques au service distant. Le TPM stocke les cls prives et le code des agents responsables de la gestion du prol utilisateur. D'o une certication crypto de la plate-forme, du processus de cration du prol et de l'association identit virtuelle / prol par une autorit de certication (Privacy Certication Authority, PCA). A suivre : dans les spcications v1.2, un processus sans PCA, bas sur un protocole zero-knowledge (cf rapport du groupe de travail de l'UE sur la protection des donnes).
Guillaume Piolle, Yves Demazeau Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Platform for Privacy Preferences IETF IDsec Architectures de type TCPA Gestion d'un prol distribu

Gestion d'un prol distribu

Approche intressante pour son centrage utilisateur important. Stphanie Rich et Gavin Brebner (HP labs Grenoble) proposent une architecture permettant la gestion d'un prol utilisateur distribu sur un rseau ad hoc de terminaux, centr sur l'utilisateur. Les prols sont distribus et rpliqus de manire dynamique sur les dirents terminaux, de la mme manire qu'une politique de contrle d'accs et de consistance des donnes.

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Synthse Perspectives de recherche Questions and comments References

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion Synthse Perspectives de recherche Questions and comments References

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Synthse Perspectives de recherche Questions and comments References

Synthse
Questions poses par l'tat de l'art : Est-ce seulement possible de garantir chacune des composante de la protection des donnes personnelles ? Si ce n'est pas le cas (indcidabilit), comment peut-on contourner les dicults pour augmenter le niveau de conance malgr tout ? Quels composantes de la protection des donnes personnelles sont les plus spciques aux SMA ? La protection des donnes personnelles ne se rsume pas au contrle d'accs, mais s'assurer des "proprits distantes" apparat comme trs dicile.

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Synthse Perspectives de recherche Questions and comments References

Perspectives de recherche

P3P : peut tre intgr tel quel dans une application TCPA : ides intressantes sur la certication des processus. Est-il possible de renverser l'architecture ? Est-il possible de s'appuyer sur une certication logicielle, ou de limiter l'usage de la certication matrielle ? Faire en sorte de pouvoir traiter des prols distribus ct utilisateur. Recherche future : dveloppement de plusieurs modles de protection des donnes (bass sur la certication cryptographique, la gestion de connaissance adaptative...) et d'un banc de tests appropri.

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Synthse Perspectives de recherche Questions and comments References

Questions and comments

Merci de votre attention Question, commentaires, suggestion et rfrences bienvenus !

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U

Introduction Dnitions et contexte Aperu de l'tat de l'art Conclusion

Synthse Perspectives de recherche Questions and comments References

Internet Engineering Task Force. Idsec : Virtual identity on the internet. http://idsec.sourceforge.net/. Pearson, S. (2002). Trusted agents that enhance user privacy by self-proling. In AAMAS-02 Workshop on Deception, Fraud and Trust in Agent Societies, pages 113121, Bologna, Italy. Rich, S., Brebner, G., and Gittler, M. (2002). Client-side prole storage. In NETWORKING 2002 Workshops on Web Engineering and Peer-to-Peer Computing, pages 127133, Pisa, Italy. World Wide Web Consortium. Platform for privacy preferences specication 1.0. http://www.w3.org/P3P.

Guillaume Piolle, Yves Demazeau

Protection des donnes personnelles dans les SMA centrs U