“The XRSI Privacy Framework” pour établir une confiance forte dans l’utilisation des technologies immersives

Il y a quelques semaines l’association XRSI publiait la première version de son “Privacy Framework”, un document destiné à structurer une approche du développement des applications immersives autours de la sécurité des utilisateurs, de la protection des données et d’une vision d’inclusion du plus grand nombre. Ce n’est pas la première fois que des actions sont entreprises dans ce domaine mais il nous a semblé intéressant de revenir plus en détail sur ce travail qui, pour une fois, veut aller au-delà des déclarations d’intention et modifier concrètement les pratiques de développement.

A quoi ca sert ?

Avant d’entrer dans les recommandations du document, on peut se demander à quoi il peut servir aujourd’hui ?  Après tout, Il existe de lois, des règlements ou des chartes dont l’objectif est également la protection des utilisateurs du numériques. Force est de constater qu’elles ont parfois du mal à s’appliquer aux technologies immersives. Elles se concentrent souvent sur la protection des données personnels et ont du mal à prendre en compte les spécificités de l’immersion. Quand la démarche est plus proche du domaine, comme le “Manifesto for Virtual Reality” de la Virtual World Society, elle décrit de grand principes souvent compliqués à mettre en pratique dans une création concrète.

Le “XRSI Privacy Framework” a un côté beaucoup plus pratique, presque comme une checklist des points à prendre en compte dans la création (et avant). XRSI précise d’ailleurs dans son introduction que le framework n’est pas un label ou un outil de certification mais que sa vocation est plutôt d’aider les entreprises à gérer les risques liés à l’utilisation de leur création dans les technologies immersives. L’association insiste aussi plusieurs fois sur le caractère préventif de l’utilisation du framework en opposition à une vision plus curative voir punitive. C’est un excellent moyen de mesurer sa responsabilité avant la mise sur le marché.

Autre point important à souligner, le document est présenté dans sa version 1 et est amené à évoluer en même temps que le secteur des technologies immersives. Plus que cela, il est construit de manière à s’adapter en permanence aux nouveautés, une caractéristique qui le rend plus crédible aujourd’hui qu’un standard ou une régulation plus forte (par définition moins simple à adapter à une secteur en évolution rapide).

Cette souplesse, cette adaptation aux réalités du terrain nous fait penser, chez RA’pro, que ce travail est une aide précieuses pour tous les professionnels de la réalité augmentée.

Le framework en pratique

Sans entrer trop dans les détails, le framework est bâti autour de 4 grands principes : Évaluer, Informer, Gérer et Prévenir.

“Évaluer” propose aux développeurs de lister l’ensemble des données nécessaires au bon fonctionnement de leur application pour se poser les bonnes questions de gestion des risques. C’est d’autant plus utile que les applications immersives utilisent de multiples données provenants de capteurs différents et que la manière de collecter le consentement de l’utilisateurs peut être assez compliquée. Comme nous l’avons expliqué plus haut, les risques ne concernent pas que les données et il convient de se poser des questions sur les utilisations pratiques d’une application. Dans les applications de réalité augmentée géolocalisés, le terrain de jeux est le monde réel. Comment prévenir les risques d’amener le joueur au mauvais endroit et le comment ne pas le mettre en danger ? Est-ce que l’application est assez inclusive ou comporte-t-elle des contraintes qui n’ont pas été ‘encore) identifiées ? Il ne s’agit pas évidemment de prévoir l’imprévisible mais de se donner les moyens de le faire.

“Informer” revient sur les bonnes pratiques pour donner aux utilisateurs les moyens de comprendre quelles données sont utilisées dans les applications et comment elles sont traités. Plusieurs points sont mis en exergue comme la nécessité d’éclairer les choix en allant en particulier au delà de traditionnels CGU écrits en langage juridique. Peut-on sérieusement demander aux utilisateurs de consentir à tous les partages avant d’utiliser une application et ne plus les mettre au courant ensuite des conséquence de leur choix ? C’est probablement l’ensemble de la méthode d’obtention du consentement qui est à revoir pour les technologies immersives. En particulier, est-il aujourd’hui fair-play de proposer un choix binaire : accepter les CGU et utiliser OU les refuser et ne pas utiliser. Une approche plus souple pourrait être envisagée. Pour cela les équipes de développement internes ou externes doivent êtes des parties prenantes et bien comprendre les choses.

Cette partie revient plus précisément sur la question de l’utilisation des réalités immersives par les enfants, un sujet qui fait encore débat. Les constructeurs s’accordent depuis quelques temps sur l’âge limite de 13 ans pour utiliser les casques de réalité virtuel mais il manque des études sur l’impact de l’utilisation pour valider cette limite. Pour les contenus c’est encore plus compliqué puisque au delà des créations clairement destinées aux adultes il existe de plus en plus d’applications sociales dont les risques sont dépendants du contexte. 

La partie “Manager” est un peut plus classique puisqu’elle reprend les idées de la RGPD sur la gestion “courante” des risques de sécurité. Du management / control à la transparence en cas de faille, elle encourage à avoir des processus appropriés aux différents types de donnée. 

La quatrième partie, “Prévenir”, est certainement celle qui va demander le plus de travail car s’attache à encourager des méthodes pour éviter la survenue d’incidents. On y parle à la fois des données et des comportements. Si la question de la sécurisation et du cryptage des données ne posent pas vraiment de question, la notion d’identification est plus problématique. En effet, il est indispensable d’identifier les utilisateurs pour leur permettre d’accéder à certaines données mais qui garantit et sécurise cette identification ? Jusqu’à où doit-elle aller ? Pour les comportements, il semble indispensable de doter les applications de règles de modération et de chartes de bon comportement. Mais ici aussi, la limite de ces règles, leur précision ou leur gouvernance sont à imaginer. Un point semble toutefois se dégager : il est important que les réflexions ne soient pas mener qu’en interne, les avis extérieurs à l’entreprise sont indispensables.

L’indispensable : la confiance

Comme le rappelle l’XRSI dans le document, l’utilisation des technologies immersives sera très intrusive, de par la nature des données sur l’utilisateur qui seront indispensable à son bon fonctionnement. Pour que le développement de ces outils se fasse de la meilleur manière possible il est indispensable d’établir un lien de confiance entre tous les acteurs de l’écosystème et l’utilisateur. 

Transparency and awareness are essential to establishing accountability and trust in Spatial Computing and XR ecosystems. Privacy risks can be managed by creating awareness. One of the key areas that require transparency in Spatial Computing and XR is content moderation.

XRSI Privacy Framework

Il ne vous a pas échappé que la confiance n’est pas la caractéristique principale des relations entre l’utilisateur et les plateforme numérique aujourd’hui. Pour remettre les choses sur la bonne voie, il pourrait falloir quelques années …

Les deux autres grand principes de l’ “Human Centric Design” évoqués dans le document sont l’accessibilité et l’inclusion. Le domaine numérique porte aujourd’hui son lot de biais, d’exclusion et d’inégalités. Les technologies immersives ont la possibilité de se développer en ayant une conscience aiguë de tout cela et donc un prodigieuse possibilité de ne pas faire la même chose …

Vous l’avez compris, RA’pro est particulièrement attaché aux principes qui sont exposés dans ce domaine. Il est encore embryonnaire et se concentre peut-être un peu trop sur la protection des données. Il porte cependant en lui les germes d’un développement harmonieux des technologies immersives et, nous en sommes convaincus, cette “harmonie” est une des clés de l’utilisation quotidienne de la réalité augmentée. 

Vous pouvez lire l’intégralité du “XRSI Privacy Framework” sur le site XRSI. N’hésitez pas à nos dire ce que vous en pensez !

AR consultant & RA'pro president à GMC | Site Web | Plus de publications

Grégory MAUBON est consultant indépendant en réalité augmentée (animateur et conférencier) depuis 2008, où il a créé www.augmented-reality.fr et fondé en 2010 RA'pro (l'association francophone de promotion de la réalité augmentée). Il a aidé de nombreuses entreprises (dans plusieurs domaines) à définir précisément leurs besoins en réalité augmentée et les a accompagnées dans la mise en œuvre.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *