OMS et openPDS

Un article intéressant de InternetActu fait découvrir openPDS (Personal Data Store). On y retrouve les bases autour desquelles gravitent un certain nombre de recherches sur l’amélioration de la gestion des données privées. C’est surtout sur leur contrôle de ces données par l’utilisateur légitime, et notamment leur divulgation volontaire à des tiers. C’est un projet fait en collaboration avec ID3 et dont la base technique est Open Mustard Seed (OMS). OMS est à openPDS ce que nebule est à sylabe.

La solution semble reposer sur un espace de stockage et de traitement centralisé. L’espace de stockage est voulu comme étant sous contrôle exclusif et complet de l’utilisateur détenteur. Le traitement centralisé avec les données permet d’extraire une partie des données sans en exporter plus que demandé. L’export de données pour un traitement délocalisé semble poser un problème pour les auteurs de openPDS. Rien ne semble prévu notamment pour conserver localement certaines données en cache ou pour un mode déconnecté. Les données ainsi pré-traitées peuvent être transmises aux tiers extérieurs.

La centralisation du stockage permet logiquement une grande cohérence de gestion des données. Tout étant en un emplacement unique, le traitement peut en permanence accéder à tout. Il est sûrement prévu un mécanisme de sauvegarde des données dans un autre emplacement, mais c’est un autre débat. Cette centralisation va poser à mon avis deux problèmes. Le premier est la disponibilité en cas de panne de l’infrastructure de stockage. La deuxième réserve concerne le traitement. Pour traiter les données, il faut accéder aux données. Mais en permettant à une machine d’accéder aux données, on permet aussi aux administrateurs d’y avoir accès. On retombe finalement sur une sorte de solution de cloud assez classique. Finalement, qu’est ce qui garanti que les données ne sont pas exploitées par derrière par l’opérateur technique du cloud ? En l’état, rien.

L’identité des personnes est assurée par OAuth2 ou OpenID. La confiance dans les identifiants entre personnes est gérée par une notion de rôles, c’est à dire des groupes auxquels on attribue des droits.

Le site de référence de openPDS ne dit pas quelle genre de données peuvent être stockées et traitées, ou plutôt la variété des données. On manipule potentiellement plus que la géolocalisation, des données bancaires par exemple.

OMS semble vouloir de son côté s’assurer de la bonne application des préférences de confidentialité définies par l’utilisateur légitime sur ses données. Il faut voir comment l’implémentation est réalisée, mais la théorie montre que c’est illusoire.

Enfin, l’ensemble se base sur de la cryptographie pour identifier les personnes et leurs échanges avec les PDS. Mais les données ne semblent pas en profiter. Tout se base sur des droits d’accès, donc des droits assez faibles.

Bon, la critique est facile. OMS et openPDS sont encore très jeunes. Il faut voir comment cela évoluera dans le temps…

L’article de InternetActu fait aussi référence à MesInfos, une initiative de la Fing. Ici l’étendue des données est visiblement assez restreinte : consommation, finances, communication, navigation, mobilité, santé, emploi et énergie. En fait, ça regroupe des domaines de données mais pas des types de données. Le but est ici encore de permettre à l’usager de se réapproprier ses données et leurs usages. Est on est ici aussi au stade de la réflexion préliminaire.

Liens :
http://openpds.media.mit.edu/
http://www.internetactu.net/2013/07/03/dautres-outils-et-regles-pour-mieux-controler-les-donnees/
http://idcubed.org/
http://idhypercubed.org/
http://fing.org/?-MesInfos-les-donnees-personnelles-
http://fing.org/