Accueil🇫🇷Chercher

Bases de données d'Hippocrate

La notion de bases de données d'Hippocrate concerne la préservation des données privées des personnes dans les bases de données informatiques. Rappelons que les lois, dans de nombreux pays, et l'autorégulation obligent les entreprises à considérer que les informations personnelles appartiennent à la personne et que l'entreprise en est simplement dépositaire.

Menaces

Les menaces sont nombreuses :

  • IndiscrĂ©tion de la part des employĂ©s. Par exemple, l'administrateur peut presque toujours consulter tout le contenu des bases ; les utilisateurs avancĂ©s ont souvent un accès total Ă  ces bases ;
  • Failles du système d'information : par exemple, lors d'une erreur, le message peut laisser voir des donnĂ©es normalement privĂ©es ;
  • Vols de donnĂ©es ;
  • Vente de donnĂ©es dans un objectif d'exploration de donnĂ©es ;
  • Utilisation de ces donnĂ©es dans un but diffĂ©rent de ce qui Ă©tait promis au dĂ©part.

Problématique

La problématique de protection de la vie privée impose deux notions principales:

  • Notification: l'utilisateur doit ĂŞtre notifiĂ© de la façon dont sont utilisĂ©es ses donnĂ©es.
  • Consentement: l'utilisateur consent Ă  l'utilisation de ses donnĂ©es dans ce cas d'utilisation.

Prérequis: cet article fait appel à des connaissances en administration des bases de données.

Description

DĂ©finition

Une base de donnĂ©es peut s'appeler « d'Hippocrate Â» si deux exigences sont remplies:

  • le système hippocratique gère les prĂ©fĂ©rences individuelles des utilisateurs. Par exemple, l'un acceptera que ses donnĂ©es soient utilisĂ©es pour faire des statistiques sur les groupes sanguins, l'autre pas.
  • le système hippocratique se couvre contre les accès illĂ©gaux de tous les acteurs du système: l'utilisateur de base ne peut pas voir des donnĂ©es des autres, pas plus que l'utilisateur avancĂ© (par exemple le docteur, que l'on prend pour quelqu'un de sĂ©rieux et probe), ni l'administrateur de base de donnĂ©es, ni l'administrateur des systèmes (la personne de l'entreprise qui se charge d'installer, de configurer ou de gĂ©rer les applications sur les serveurs), ni le directeur gĂ©nĂ©ral… qui peut exercer son pouvoir sur les administrateurs de base de donnĂ©es pour exiger de voir certains enregistrements privĂ©s.

Deux exigences :

  • Les prĂ©fĂ©rences sont individuelles
  • La protection est cohĂ©rente

Premiers corollaires

  • La gestion hippocratique doit ĂŞtre gĂ©rĂ©e au cĹ“ur du système de gestion de base de donnĂ©es et non dans un framework ou dans une couche supĂ©rieure. Ce n'est que par ce moyen que l'on pourra appliquer une politique de confidentialitĂ© uniforme et cohĂ©rente contre tous les acteurs du système.
  • Il est nĂ©cessaire d'ajouter un contrĂ´le du contexte: un chercheur en statistiques peut accĂ©der Ă  l'identitĂ© de ses sujets dans un certain contexte (vĂ©rifier leur honnĂŞtetĂ© par exemple) et Ă  la variable qu'ils ont acceptĂ© de fournir (s'il leur Ă©tait arrivĂ© de mentir Ă  un juge par exemple) mais n'a pas de droit d'accès aux deux Ă  la fois.
  • Il est nĂ©cessaire de rĂ©cupĂ©rer les prĂ©fĂ©rences des personnes. C'est lĂ  que les langages tels que EPAL et P3P deviennent utiles. Ces langages assurent la communication entre un serveur web et un client web (Mozilla par exemple) et assurent la fonction « notification et consentement Â» Ă  l'utilisateur. Ils facilitent donc la transmission des prĂ©fĂ©rences personnelles Ă  la base de donnĂ©es.
    • P3P est un langage libre et crĂ©Ă© en commun avec plusieurs acteurs de l'informatique.
    • EPAL est un langage d'IBM qui assure la communication jusqu'au Tivoli Privacy Manager, l'interface d'IBM pour la gestion de la sĂ©curitĂ© dans DB2 (le SGBD d'IBM).
  • Il est nĂ©cessaire de procĂ©der Ă  des audits de sĂ©curitĂ©. Ainsi, si un directeur oblige un DBA Ă  livrer le contenu de sa base, ce qui restera toujours possible, les associations de consommateurs seront alertĂ©es en consultant les rapports d'audits de sĂ©curitĂ© effectuĂ©s par un tiers.

Quelle différence avec la gestion des droits actuelle ?

La gestion des droits actuelle se base sur les définitions suivantes :

  • Utilisateurs
  • RĂ´les
  • Privilèges

Un utilisateur endosse plusieurs rôles. Par exemple un directeur commercial est un commercial (donc tous les droits des commerciaux en termes d'accès à leurs applications) et un directeur (donc des droits qu'ont tous les directeurs de l'entreprise sur la gestion de leurs employés, des finances, etc.). Chaque rôle est associé à un ensemble de privilèges. Par exemple, le commercial aura accès à tout son catalogue en termes de prix de vente, d'intéressement, etc. mais ne pourra pas voir les prix d'achat des mêmes produits.

Donc la différence entre une gestion des droits comme celle-ci, et une autre "d'Hippocrate" est que la seconde s'appuie sur:

  • une gestion du contexte
  • et une gestion ligne par ligne des prĂ©fĂ©rences

Ce que le concept « hippocratique Â» permet

  • Ă©viter que les personnes/applications accèdent Ă  des donnĂ©es en dehors de leurs Ă©tudes justifiĂ©es.
  • permettre, lors d'exploration de donnĂ©es et de revente de fichiers, d'Ă©viter de tirer des donnĂ©es tellement personnelles qu'il soit possible de retrouver l'identitĂ© de la majoritĂ© des individus.
  • crĂ©dibiliser la gestion des donnĂ©es privĂ©es.

Origine du nom

La notion a été principalement inventée par Rakesh Agrawal, chercheur au centre d'Almaden d'IBM (Silicon Valley).

Techniques et méthodes

Voir aussi

  • le P3P et EPAL, qui permettent l'interface avec l'utilisateur en ce qui concerne les prĂ©fĂ©rences de vie privĂ©e.

Liens internes

Lien externe

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.