Évitez un cauchemar en matière de confidentialité avec « Lean Privacy Review »

Évitez un cauchemar en matière de confidentialité avec « Lean Privacy Review »

Un storyboard de confidentialité illustrant les pratiques de données lors du scénario d’utilisation d’une carte de fidélité dans un magasin de détail. Crédit : CyLab

Lorsque Google a lancé sa propre tentative de réseau social, Google Buzz, en 2010, l’entreprise a d’abord connu un cauchemar de relations publiques. « AVERTISSEMENT : Google Buzz présente un énorme défaut de confidentialité », lisez Business Insider. Il s’est avéré que Google générait des connexions d’utilisateurs en collectant des informations de contact à partir des comptes Gmail des utilisateurs. En d’autres termes, n’importe qui sur le réseau social pouvait voir qui étaient les contacts personnels de n’importe qui d’autre.

Pour essayer d’éviter des cauchemars de confidentialité comme celui-ci, les entreprises effectuent parfois des examens de confidentialité sur de nouvelles applications ou de nouveaux services pour essayer de détecter tout problème de confidentialité potentiel avant leur publication. Ces examens impliquent généralement des experts en protection de la vie privée et des avocats et ont tendance à coûter beaucoup d’argent et de temps, ce qui les rend peu réalisables pour de nombreuses entreprises. Ils impliquent également rarement des commentaires réels des utilisateurs.

Mais une étude récente menée par les chercheurs du CyLab de l’Université Carnegie Mellon propose un nouveau type d’examen de la confidentialité, moins cher et permettant d’entendre facilement les commentaires directs des utilisateurs au début du processus de développement. L’étude, « Lean Privacy Review: Collecting Users’ Privacy Concerns of Data Practices at a Low Cost », a été publiée dans le dernier numéro de Transactions ACM sur l’interaction ordinateur-humain.

« L’examen de la confidentialité Lean peut aider à révéler les problèmes de confidentialité que les personnes réelles peuvent avoir à une infime fraction du coût et du temps d’attente pour un examen formel », déclare Haojian Jin, un doctorat. étudiant au Human-Computer Interaction Institute (HCII) et auteur principal de l’étude.

Les auteurs disent qu’un Lean Privacy Review – ou LPR en abrégé – n’est pas destiné à remplacer l’examen formel de la confidentialité – des experts en confidentialité et des avocats sont toujours nécessaires – mais plutôt à compléter l’examen formel pour rendre l’ensemble du processus plus facile et plus fluide. Ils disent que LPR est particulièrement utile dans les toutes premières étapes de la conception.

« Si vous pouvez trouver ces problèmes beaucoup plus tôt et moins cher, c’est en fait bon pour tout le monde », déclare Jason Hong de CyLab, professeur au HCII et co-auteur de l’étude. « La vitesse et le faible coût de la LPR augmentent sa flexibilité et lui permettent d’être utilisé plus souvent et tout au long du processus de conception plutôt qu’un simple examen formel de la confidentialité. »

LPR commence lorsqu’un praticien souhaite comprendre les préoccupations des utilisateurs en matière de confidentialité concernant l’utilisation d’un certain type de données à des fins spécifiques. Ils créeront un storyboard de confidentialité à l’aide du site Web LPR pour communiquer une ou l’une des quatre principales actions effectuées sur ces données : collecte, partage, traitement et utilisation des données. À l’aide du storyboard, le site Web créera ensuite une enquête pour les utilisateurs, dans laquelle ils décriront l’action de données, puis leur demandera ce qu’ils pensent de l’action et pourquoi en anglais simple. Le praticien peut distribuer l’enquête via n’importe quel nombre de canaux d’enquête, par exemple les travailleurs de foule sur Amazon Mechanical Turk ou Google Marketing Platform.

Une fois l’enquête menée, une interface Web regroupe tous les problèmes de confidentialité identifiés par les utilisateurs dans une série de graphiques.

« Grâce à ces visualisations, les praticiens peuvent avoir une vue à la fois quantitative et qualitative des problèmes potentiels de confidentialité, à savoir la gravité et la nature des problèmes », explique Jin.

Les chercheurs ont évalué la LPR à l’aide de 12 scénarios de pratique des données du monde réel, y compris le scénario Google Buzz, avec 240 utilisateurs de foule et 24 praticiens des données. Ils ont constaté qu’il ne faut qu’environ 14 participants pour trouver la grande majorité des problèmes de confidentialité et coûte moins de quatre heures de travail de foule au total pour un scénario donné. Cela équivaut à environ 80 $.

« Nos résultats montrent que la LPR est peu coûteuse, rapide, cohérente et peut fournir des résultats d’examen de la confidentialité de haute qualité », écrivent les auteurs dans l’étude.

Il est difficile de savoir avec certitude quel type d’examen de la confidentialité, le cas échéant, Google avait effectué avant de lancer Google Buzz (la société a résolu les problèmes assez rapidement après le tollé public), mais il est possible qu’ils aient pu esquiver leur cauchemar en matière de confidentialité s’ils ‘ d avait LPR.

Pour ceux que ça intéresse, LPR a un site internet où l’on peut explorer la méthode et créer des storyboards.


Zoom va régler le procès américain en matière de protection de la vie privée pour 85 millions de dollars


Plus d’information:
Haojian Jin et al, Lean Privacy Review: Collecting Users’ Privacy Concerns of Data Practices at a Low Cost, Transactions ACM sur l’interaction ordinateur-humain (2021). DOI : 10.1145/3463910

Fourni par l’Université Carnegie Mellon

Citation: Évitez un cauchemar en matière de confidentialité avec « Lean Privacy Review » (2021, 21 novembre) récupéré le 21 novembre 2021 à partir de https://techxplore.com/news/2021-11-privacy-nightmare.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.