The legality of online Privacy-Enhancing Technologies

L’utilisation d’Internet prend beaucoup d’ampleur depuis quelques années et le commerce électronique connaît une hausse considérable. Nous pouvons présentement acheter facilement via Internet sans quitter notre domicile et avons accès à d’innombrables sources d’information. Cependant, la navigation sur Internet permet également la création de bases de données détaillées décrivant les habitudes de chaque utilisateur, informations ensuite utilisées par des tiers afin de cerner le profil de leur clientèle cible, ce qui inquiète plusieurs intervenants. Les informations concernant un individu peuvent être récoltées par l’interception de données transactionnelles, par l’espionnage en ligne, ainsi que par l’enregistrement d’adresses IP. Afin de résoudre les problèmes de vie privée et de s’assurer que les commerçants respectent la législation applicable en la matière, ainsi que les exigences mises de l’avant par la Commission européenne, plusieurs entreprises comme Zero-knowledge Systems Inc. et Anonymizer.com offrent des logiciels permettant la protection de la vie privée en ligne (privacy-enhancing technologies ou PETs). Ces programmes utilisent le cryptage d’information, une méthode rendant les données illisibles pour tous à l’exception du destinataire. L’objectif de la technologie utilisée a été de créer des systèmes mathématiques rigoureux pouvant empêcher la découverte de l’identité de l’auteur même par le plus déterminé des pirates, diminuant ainsi les risques de vol d’information ou la divulgation accidentelle de données confidentielles. Malgré le fait que ces logiciels de protection de la vie privée permettent un plus grand respect des Directives européennes en la matière, une analyse plus approfondie du sujet témoigne du fait que ces technologies pourraient être contraires aux lois concernant le cryptage en droit canadien, américain et français.

PROTECT_U: Un système communautaire pour la protection des usagers de Facebook

Article publié dans le journal « Journal of Information Security Research ». March 2012.

Online Dispute Resolution

SSHRC

Wireless privacy and personalized location-based services: the challenge of translating the legal framework into business practices

L'avancement des communications sans-fil permet l'obtention de nouveaux services bases sur l'habileté des fournisseurs de services sans-fil à déterminer avec précision, et avec l'utilisation de technologies de pistage, la localisation et position géographiquement d'appareils sans-fil Cette habileté permet d'offrir aux utilisateurs de sans-fil de nouveaux services bases sur la localisation et la position géographique de leur appareil. Le développement des services basés sur la localisation des utilisateurs de sans-fil soulevé certains problèmes relatifs à la protection de la vie privée qui doivent être considérés. En effet, l'appareil sans-fil qui suit et enregistre les mouvements de I 'utilisateur permet un système qui enregistre et entrepose tous les mouvements et activités d'un tel utilisateur ou encore qui permet l'envoi de messages non anticipes à ce dernier. Pour ce motif et afin de protéger la vie privée des utilisateurs de sans-fil, une compagnie désirant développer ou déployer une technologie permettant d'offrir ce genre de services personnalisés devra analyser l'encadrement légal touchant la protection des données personnelles--lequel est dans certains cas vague et non approprié à ce nouveau contexte--ainsi que la position de l'industrie dans ce domaine, et ce, afin d'être en mesure de traduire cet encadrement en pratiques commerciales. Cette analyse permettra d'éclairer le fournisseur de ces services sur la façon d'établir son modèle d'affaires et sur le type de technologie à développer afin d'être en mesure de remédier aux nouveaux problèmes touchant la vie privée tout en offrant ces nouveaux services aux utilisateurs de sans-fil.

Vie privée et bon usage des NTIC au travail : risques et responsabilités

Un nombre croissant de salariés ont aujourd’hui accès à l’Internet et à la messagerie électronique sur leur lieu de travail. Ils sont parfois tentés d’utiliser ces outils à des fins autres que professionnelles, ce qui constitue une source potentielle de conflits. En effet, sous prétexte d’assurer la protection de leurs biens et équipements, de vérifier que les salariés exécutent leurs obligations et de prévenir les risques de responsabilité, les entreprises contrôlent de plus en plus souvent – et parfois subrepticement – l’utilisation qui est faite des ressources ainsi fournies. Les employés, de leur côté, revendiquent leur droit à ce que leurs activités personnelles en ligne demeurent privées, même lorsqu’elles sont réalisées durant leur temps de travail et avec le matériel de l’employeur. Peuvent-ils raisonnablement voir leurs droits protégés, bien que le droit à la vie privée soit traditionnellement atténué en milieu de travail et que les entreprises aient accès à des technologies offrant des possibilités d’espionnage toujours plus intrusives? Comment trouver un équilibre viable entre le pouvoir de direction et de contrôle de l’employeur et les droits des salariés? Il s’agit d’une problématique à laquelle les tribunaux sont de plus en plus souvent confrontés et qui les amène régulièrement à réinterpréter les balises établies en matière de surveillance patronale, au regard des spécificités des technologies de l’information. Ce contexte conflictuel a également entraîné une évolution des pratiques patronales, dans la mesure où un nombre grandissant d’employeurs se dotent d’outils techniques et juridiques leur permettant de se protéger contre les risques, tout en s’aménageant un droit d’intrusion très large dans la vie privée des salariés.

Web2.0, knowledge sharing and privacy in E-learning

Quand le E-learning a émergé il ya 20 ans, cela consistait simplement en un texte affiché sur un écran d'ordinateur, comme un livre. Avec les changements et les progrès dans la technologie, le E-learning a parcouru un long chemin, maintenant offrant un matériel éducatif personnalisé, interactif et riche en contenu. Aujourd'hui, le E-learning se transforme de nouveau. En effet, avec la prolifération des systèmes d'apprentissage électronique et des outils d'édition de contenu éducatif, ainsi que les normes établies, c’est devenu plus facile de partager et de réutiliser le contenu d'apprentissage. En outre, avec le passage à des méthodes d'enseignement centrées sur l'apprenant, en plus de l'effet des techniques et technologies Web2.0, les apprenants ne sont plus seulement les récipiendaires du contenu d'apprentissage, mais peuvent jouer un rôle plus actif dans l'enrichissement de ce contenu. Par ailleurs, avec la quantité d'informations que les systèmes E-learning peuvent accumuler sur les apprenants, et l'impact que cela peut avoir sur leur vie privée, des préoccupations sont soulevées afin de protéger la vie privée des apprenants. Au meilleur de nos connaissances, il n'existe pas de solutions existantes qui prennent en charge les différents problèmes soulevés par ces changements. Dans ce travail, nous abordons ces questions en présentant Cadmus, SHAREK, et le E-learning préservant la vie privée. Plus précisément, Cadmus est une plateforme web, conforme au standard IMS QTI, offrant un cadre et des outils adéquats pour permettre à des tuteurs de créer et partager des questions de tests et des examens. Plus précisément, Cadmus fournit des modules telles que EQRS (Exam Question Recommender System) pour aider les tuteurs à localiser des questions appropriées pour leur examens, ICE (Identification of Conflits in Exams) pour aider à résoudre les conflits entre les questions contenu dans un même examen, et le Topic Tree, conçu pour aider les tuteurs à mieux organiser leurs questions d'examen et à assurer facilement la couverture des différent sujets contenus dans les examens. D'autre part, SHAREK (Sharing REsources and Knowledge) fournit un cadre pour pouvoir profiter du meilleur des deux mondes : la solidité des systèmes E-learning et la flexibilité de PLE (Personal Learning Environment) tout en permettant aux apprenants d'enrichir le contenu d'apprentissage, et les aider à localiser nouvelles ressources d'apprentissage. Plus précisément, SHAREK combine un système recommandation multicritères, ainsi que des techniques et des technologies Web2.0, tels que le RSS et le web social, pour promouvoir de nouvelles ressources d'apprentissage et aider les apprenants à localiser du contenu adapté. Finalement, afin de répondre aux divers besoins de la vie privée dans le E-learning, nous proposons un cadre avec quatre niveaux de vie privée, ainsi que quatre niveaux de traçabilité. De plus, nous présentons ACES (Anonymous Credentials for E-learning Systems), un ensemble de protocoles, basés sur des techniques cryptographiques bien établies, afin d'aider les apprenants à atteindre leur niveau de vie privée désiré.

Towards a Privacy-enhanced Social Networking Site

L’avénement des réseaux sociaux, tel que Facebook, MySpace et LinkedIn, a fourni une plateforme permettant aux individus de rester facilement connectés avec leurs amis, leurs familles ou encore leurs collègues tout en les encourageant activement à partager leurs données personnelles à travers le réseau. Avec la richesse des activités disponibles sur un réseau social, la quantité et la variété des informations personnelles partagées sont considérables. De plus, de part leur nature numérique, ces informations peuvent être facilement copiées, modifiées ou divulguées sans le consentement explicite de leur propriétaire. Ainsi, l’information personnelle révélée par les réseaux sociaux peut affecter de manière concrète la vie de leurs utilisateurs avec des risques pour leur vie privée allant d’un simple embarras à la ruine complète de leur réputation, en passant par l’usurpation d’identité. Malheureusement, la plupart des utilisateurs ne sont pas conscients de ces risques et les outils mis en place par les réseaux sociaux actuels ne sont pas suffisants pour protéger efficacement la vie privée de leurs utilisateurs. En outre, même si un utilisateur peut contrôler l’accès à son propre profil, il ne peut pas contrôler ce que les autres révèlent à son sujet. En effet, les “amis” d’un utilisateur sur un réseau social peuvent parfois révéler plus d’information à son propos que celui-ci ne le souhaiterait. Le respect de la vie privée est un droit fondamental pour chaque individu. Nous pré- sentons dans cette thèse une approche qui vise à accroître la prise de conscience des utilisateurs des risques par rapport à leur vie privée et à maintenir la souveraineté sur leurs données lorsqu’ils utilisent un réseau social. La première contribution de cette thèse réside dans la classification des risques multiples ainsi que les atteintes à la vie privée des utilisateurs d’un réseau social. Nous introduisons ensuite un cadre formel pour le respect de la vie privée dans les réseaux sociaux ainsi que le concept de politique de vie privée (UPP). Celle-ci définie par l’utilisateur offre une manière simple et flexible de spécifier et communiquer leur attentes en terme de respect de la vie privée à d’autres utilisateurs, tiers parties ainsi qu’au fournisseur du réseau social. Par ailleurs, nous dé- finissons une taxonomie (possiblement non-exhaustive) des critères qu’un réseau social peut intégrer dans sa conception pour améliorer le respect de la vie privée. En introduisant le concept de réseau social respectueux de la vie privée (PSNS), nous proposons Privacy Watch, un réseau social respectueux de la vie privée qui combine les concepts de provenance et d’imputabilité afin d’aider les utilisateurs à maintenir la souveraineté sur leurs données personnelles. Finalement, nous décrivons et comparons les différentes propositions de réseaux sociaux respectueux de la vie privée qui ont émergé récemment. Nous classifions aussi ces différentes approches au regard des critères de respect de la vie privée introduits dans cette thèse.

Plateforme pour se protéger tant de soi-même que de ses "amis" sur Facebook

Les réseaux sociaux accueillent chaque jour des millions d’utilisateurs. Les usagers de ces réseaux, qu’ils soient des particuliers ou des entreprises, sont directement affectés par leur fulgurante expansion. Certains ont même développé une certaine dépendance à l’usage des réseaux sociaux allant même jusqu’à transformer leurs habitudes de vie de tous les jours. Cependant, cet engouement pour les réseaux sociaux n’est pas sans danger. Il va de soi que leur expansion favorise et sert également l’expansion des attaques en ligne. Les réseaux sociaux constituent une opportunité idéale pour les délinquants et les fraudeurs de porter préjudice aux usagers. Ils ont accès à des millions de victimes potentielles. Les menaces qui proviennent des amis et auxquelles font face les utilisateurs de réseaux sociaux sont nombreuses. On peut citer, à titre d’exemple, la cyberintimidation, les fraudes, le harcèlement criminel, la menace, l’incitation au suicide, la diffusion de contenu compromettant, la promotion de la haine, l’atteinte morale et physique, etc. Il y a aussi un « ami très proche » qui peut être très menaçant sur les réseaux sociaux : soi-même. Lorsqu’un utilisateur divulgue trop d’informations sur lui-même, il contribue sans le vouloir à attirer vers lui les arnaqueurs qui sont à la recherche continue d’une proie. On présente dans cette thèse une nouvelle approche pour protéger les utilisateurs de Facebook. On a créé une plateforme basée sur deux systèmes : Protect_U et Protect_UFF. Le premier système permet de protéger les utilisateurs d’eux-mêmes en analysant le contenu de leurs profils et en leur proposant un ensemble de recommandations dans le but de leur faire réduire la publication d’informations privées. Le second système vise à protéger les utilisateurs de leurs « amis » dont les profils présentent des symptômes alarmants (psychopathes, fraudeurs, criminels, etc.) en tenant compte essentiellement de trois paramètres principaux : le narcissisme, le manque d’émotions et le comportement agressif.

Le dépôt électronique pour les cours au Canada (une idée qui arrive à point nommé) : une réponse à un document de travail publié par la Cour suprême du Canada recommandant des stratégies pour choisir un FSDE

"Ce texte se veut une réflexion sur les points à considérer avant l'adoption d'un système de dépôt électronique accessible à toutes les cours du Canada. En prenant pour exemple l'expérience torontoise, l'auteur souligne une série d'éléments à considérer avant la mise en œuvre d'un tel processus, à savoir : La nécessité de tenir compte des coûts associés à la formation des avocats, des juges, ainsi que du personnel juridique; L'attachement au document "" papier "" et le manque d'unanimité quant à la valeur du document électronique; et L'impact négatif que peut avoir l'informatisation des données sur la vie privée des contribuables. L'auteur conclu en ventant l'aspect centralisé du projet de dépôt électronique proposé par la Cour suprême en soulignant toutefois qu'un tel projet devra nécessairement évaluer les besoins des utilisateurs du système afin d'en tenir compte lors de sa conception."

Online Dispute Resolution: Some Implications for the Emergence of Law in Cyberspace

"L’auteur Ethan Katsh analyse les problématiques posées par les relations de la communauté virtuelle de l’Internet et son processus en ligne de résolution des conflits. Il explique comment le cyberespace constitue un environnement intégral et indépendant qui développe ses propres règles normatives. L’évolution des normes au sein du cyberespace semble être une conséquence des interactions entre les acteurs, sans intervention législative fondamentale de la part des états. L’auteur trace l’évolution, depuis le début des années 1990, du processus en ligne de résolution des différends, principalement dans le domaine du commerce électronique. L’accroissement rapide des relations commerciales électroniques a entraîné une hausse des litiges dans ce domaine. Dans le cadre de tels litiges, les moyens en ligne de résolution des conflits offrent aux justiciables plus de facilité, de flexibilité et d’accessibilité que les moyens alternatifs traditionnels de résolution des conflits. C’est donc dans ce contexte qu’a été développé le système ""Squaretrade"" qui a pour objectif d’aider la résolution de conflits entre les utilisateurs de ""E-Bay"". Ce système présente l’avantage important d’encadrer et d’uniformiser le processus de résolution en définissant les termes généraux et spécifiques du conflit. L’auteur soutient que la principale fonction d’un tel système est d’organiser et d’administrer efficacement les communications entre les parties. Ainsi, cette fonction préserve le ""paradigme de la quatrième personne"", nécessaire aux processus alternatifs traditionnels de résolution de conflits. Par ailleurs, cette fonction, en tant que partie intégrante du programme informatique, constitue pour les justiciables une alternative intéressante aux règles législatives. Pour l’auteur, l’analyse de ce phénomène soulève des questions importantes concernant la création de normes et leur acceptation par les citoyens. L’auteur analyse par la suite le concept général de la formation des normes dans le contexte d’un environnement non régularisé. Il soutient que les normes émergeantes doivent toujours viser à développer une forme de légitimité auprès des justiciables. Dans le cadre du processus en ligne de résolution des conflits, cette légitimité doit être acquise autant auprès des parties au litige qu’auprès de la population en général. Toutefois, les attentes des parties au litige sont souvent très différentes de celles du public. L’auteur illustre ainsi comment certains processus en ligne de résolution de conflit ne réussissent pas à obtenir une telle légitimité, alors que d’autres s’établissent en tant qu’institutions reconnues. Dans ce contexte, les institutions en ligne de résolution de conflits devront développer leur propre valeur normative. Ainsi, les moyens en ligne de résolution des conflits remettent en question le processus traditionnel de formation des normes et peuvent être considérés comme des éléments d’un nouvel environnement normatif."

Online Dispute Resolution: The Next Phase

Ce texte traite de l’évolution des modes alternatifs de résolution de conflit (MARC) en ligne. L’auteur dresse un historique des différents projets de médiation en ligne en passant par ses « débuts » en 1999 lorsque l’Online Ombuds Office (OOO) fut approché pour l’élaboration d’un système de médiation pour les clients d’eBay, par SquareTrade.com, par les règles de l’ICANN, par Cybersettle et Clicknsettle, etc. Il expose ensuite le courrant que prendra la cybermédiation et le cyberarbitrage dans les années à venir. Ainsi, le médium informatique devient lentement une « quatrième partie » aux discussions et peut venir en aide aux arbitres et aux médiateurs dans la gestion et la communication d’informations. De plus les fonctions d’affichages propres aux ordinateurs, c’est-à-dire la possibilité d’incorporer images, graphiques, plans, etc., devront être mis à l’œuvre par les systèmes de MARC en ligne si ceux-ci sont destinés à prendre de l’expansion dans d’autres domaines que ceux leur étant présentement réservés.

Investing Online: Concerns about the Evolving Use of the Internet as an Investment Tool in the Secondary Market Context

La croissance dramatique du commerce électronique des titres cache un grand potentiel pour les investisseurs, de même que pour l’industrie des valeurs mobilières en général. Prenant en considération ses risques particuliers, les autorités réglementaires vivent un défi important face à l’Internet en tant que nouveau moyen d’investir. Néanmoins, malgré l’évolution technologique, les objectifs fondamentaux et l’approche des autorités réglementaires restent similaires à ce qui se produit présentement. Cet article analyse l’impact de l’Internet sur le commerce des valeurs mobilières en se concentrant sur les problèmes soulevés par l’utilisation de ce nouveau moyen de communication dans le contexte du marché secondaire. Par conséquent, son objectif est de dresser le portrait des plaintes typiques des investisseurs, de même que celui des activités frauduleuses en valeurs mobilières propres au cyberespace. L’auteur fait une synthèse des développements récents en analysant l’approche des autorités réglementaires, les études doctrinales, la jurisprudence et les cas administratifs. L'auteure désire remercier la professeure Raymonde Crête pour ses précieux commentaires et conseils.