Ce billet papote autour d’une manière de faciliter l’explication des politiques de protection de données personnelles inspirée de « Creative Commons ». C’est un mouvement qui est en train de se former, qui est sujet à recherche et qui tend à s’appeler « Privacy Commons » (ô originalité !) !
Quelques mots sur Creative Commons
Creative Commons est une association à but lucratif permettant de protéger des créations par une licence. Ces licences sont particulières car elles permettent de protéger ses œuvres tout en permettant leur rediffusion sous certaines conditions. Une licence se décompose en trois couches :
- Les termes légaux
- Des icônes, traduisant de manière rapidement compréhensibles par un lecteur humain les termes légaux
- Des moyens pour une machine de comprendre les termes légaux
Je suis sûr que vous avez déjà vu les icônes ci-dessous ! Sur le Site du Zéro ou Flickr par exemple. Ce sont des icônes Creative Commons.Creative Commons a ainsi réussi à rendre la loi sur les copyrights très facilement compréhensibles pour tous les utilisateurs.
En savoir plus sur Creative Commons
Une approche Créative Commons pour les politiques de protection des données personnelles
L’idée est de créer des icônes facilement compréhensible par un être humain (et associé à une donnée compréhensible par un ordinateur) et représentant un point fondamental de la gestion des données personnelles.
Un utilisateur voyant ces icônes sur un site Internet est donc assuré que ce site respecte au moins certains fondamentaux, sans entrer dans les détails de sa politique de gestion des données. Ex : « nous ne vendons pas vos données à des tiers », « nous supprimons vos données après 6 mois ».
Pour Internet, les navigateurs sont des acteurs importants de ce projet, car ils pourraient avertir les utilisateurs qu’un site Internet ne précise pas ces icônes et qu’il peut potentiellement « vendre vos données à un tiers », « utiliser vos données pour un autre but que celui que vous avez accepté »… Les gros sites Internet peu respectueux des données personnelles auront alors intérêt à afficher ces icônes sur leur site, et à mieux protéger les données personnelles de leurs utilisateurs de manière à ne pas les effrayer. En l’état de réflexions actuelles, ces icônes devraient répondre aux questions suivantes (traduction faites très rapidement) :
- Vos données sont-ils utilisées autrement que pour leur but initial ? Sont-elles partagées à des tiers ? (Is your data used for secondary use? And is it shared with 3rd parties?)
- Sont-elles vendues ou échangées ? (Is your data bartered?)
- Sous quelles conditions vos données sont-elles transmises au gouvernement ou à la justice ? (Under what terms is your data shared with the government and with law enforcement?)
- Le stockage et la manipulation de vos données sont-ils sécurisés sur ce site ? (Does the company take reasonable measures to protect your data in all phases of collection and storage?)
- Le site ou le service vous permet-t-il de contrôler vos données ? (Does the service give you control of your data?)
- Vos données sont-elles utilisées pour créer un profil de vous non nécessaire aux besoins initiaux du service ? (Does the service use your data to build and save a profile for non-primary use?)
- Vos données sont-elles utilisées en lien avec de la publicité ? (Are ad networks being used and under what terms?)
Et ci-dessous un exemple d’icône. Ce n’est encore qu’une version alpha proposée par un WorkShop :
Il y a cependant plusieurs approches ayant des similitudes et des divergences :
- Celle de Aza Raskin (personnalité tout à fait remarquable, je vous invite à lire sa bio et à vous intéresser d’avantages à ses créations) et … un groupe de travail : What should matter in privacy ?
- Celle de Aaron helton : Privacy policy standardization (avec John Palfrey, Urs Gasser, Mark Blevi et Sheila Anthony)
- Celle de Christopher Parsons : Thinking about a privacy common (et Ralf Bendrath : icons of privacy)
Rien ne semble standardisé pour l’instant. C’est comme si la même idée avait poussé telle un champignon dans la tête de plein de personnes en même temps ! Cette étude est en tout cas motivée par la constatation de deux facteurs :
- Les politiques de protection des données personnelles sont généralement illisibles et peu clairs : donc peu lus et mal comprises
- « Nous estimons que lire des politiques de gestion des données personnelles coûte environ 201h et 2 418€ par an par internautes américains ! » (
We estimate that reading privacy policies carries costs in time of approximately 201 hours a year, worth about $3,534 annually per American Internet user
) d’après l’étude « The Cost of Reading Privacy Policies » d’Aleecia M. McDonald et Lorrie Faith Cranor (Article Reading Policy Cost).
ça fait rêver non ? Alors d’après-vous ? C’est une bonne idée ? Hum, à mon avis, ça va faire son chemin !
En savoir plus sur le mouvement Privacy Commons
- http://www.azarask.in/blog/post/is-a-creative-commons-for-privacy-possible/
- http://www.azarask.in/blog/post/what-should-matter-in-privacy/
- http://www.azarask.in/blog/post/privacy-icons/
- http://aaronhelton.wordpress.com/2009/02/20/privacy-commons-icon-set/
- http://aaronhelton.wordpress.com/2009/02/19/privacy-policy-standardization/
- http://www.securitycatalyst.com/creative-commons-for-privacy/