Enhancing Transparency and Consent in the Internet of Things - Thèses de l'INSA Lyon Accéder directement au contenu
Thèse Année : 2020

Enhancing Transparency and Consent in the Internet of Things

Améliorer la Transparence et le Consentement dans l'Internet des Objets

Résumé

In an increasingly connected world, the Internet permeates every aspect of our lives. The number of devices connected to the global network is rising, with prospects foreseeing 75 billions devices by 2025. The Internet of Things envisioned twenty years ago is now materializing at a fast pace, but this growth is not without consequence. The increasing number of devices raises the possibility of surveillance to a level never seen before. A major step has been taken in 2018 to safeguard privacy, with the introduction of the General Data Protection Regulation (GDPR) in the European Union. It imposes obligations to data controllers on the content of information about personal data collection and processing, and on the means of communication of this information to data subjects. This information is all the more important that it is required for consent, which is one of the legal grounds to process personal data. However, the Internet of Things can pose difficulties to implement lawful information communication and consent management. The tension between the requirements of the GDPR for information and consent and the Internet of Things cannot be easily solved. It is however possible. The goal of this thesis is to provide a solution for information communication and consent management in the Internet of Things from a technological point of view. To do so, we introduce a generic framework for information communication and consent management in the Internet of Things. This framework is composed of a protocol to communicate and negotiate privacy policies, requirements to present information and interact with data subjects, and requirements over the provability of consent. We support the feasibility of this generic framework with different options of implementation. The communication of information and consent through privacy policies can be implemented in two different manners: directly and indirectly. We then propose ways to implement the presentation of information and the provability of consent. A design space is also provided for systems designers, as a guide for choosing between the direct and the indirect implementations. Finally, we present fully functioning prototypes devised to demonstrate the feasibility of the framework’s implementations. We illustrate how the indirect implementation of the framework can be developed as a collaborative website named Map of Things. We then sketch the direct implementation combined with the agent presenting information to data subjects under the mobile application CoIoT.
Dans un monde de plus en plus connecté, Internet s’infiltre dans tous les aspects de nos vies. Le nombre d’appareils connectés au réseau mondial ne cesse d’augmenter, certaines perspectives prédisant 75 milliards d’appareils d’ici 2025. L’Internet des Objets envisagé il y a 20 ans se matérialise à une vitesse soutenue, mais cette croissance n’est pas sans conséquence. Le nombre croissant d’appareils suscite en effet des possibilités de surveillance jamais vu auparavant. Un cap a été franchi en 2018 pour la protection de l’intimité numérique (privacy), avec la mise en application du Réglement Européen sur la Protection des Données (RGPD) dans l’Union Européenne. Il impose des obligations aux responsables de traitements sur le contenu de l’information à communiquer aux personnes concernées à propos de la collecte et du traitement de leurs données personnelles, ainsi que sur les moyens de communiquer cette information. Cette information est d’autant plus importante qu’elle est une condition préalable à la validité du consentement, une base légale de traitement. Cependant, l’Internet des Objets peut poser des difficultés pour mettre en place la communication de l’information nécessaire à la validité légale d’un traitement, ainsi qu’à la gestion du consentement. La tension entre les exigences du RGPD à propos de l’information et du consentement et l’Internet des Objets n’est pas chose facile à résoudre. Ce n’est cependant pas impossible. Le but de cette thèse est de fournir une solution pour la communication de l’information et la gestion du consentement dans l’Internet des Objets. Pour ce faire, nous proposons un cadre conceptuel générique pour la communication de l’information et la gestion du consentement dans l’Internet des Objets. Ce cadre conceptuel est composé d’un protocole de communication et de négociation des politiques de protection de la vie privée (privacy policies), d’exigences pour la présentation de l’information et l’interaction avec les personnes concernées, ainsi que d’exigences pour la démonstration du consentement. Nous soutenons la faisabilité de ce cadre conceptuel générique avec différentes options de mise en oeuvre. La communication de l’information et du consentement peut être effectuée de deux manières : directement et indirectement. Nous proposons ensuite différentes manières de mettre en oeuvre la présentation de l’information et la démonstration du consentement. Un espace de conception (design space) est aussi proposé à destination des concepteurs de systèmes, afin d’aider à choisir entre différentes options de mise en oeuvre. Enfin, nous proposons des prototypes fonctionnels, conçus pour démontrer la faisabilité des options de mise en oeuvre du cadre conceptuel. Nous illustrons comment la communication indirecte de l’information peut être mise en oeuvre au sein d’un site web collaboratif appelé Map of Things. Nous présentons ensuite la communication directe de l’information et du consentement combinée à un agent présentant l’information aux personnes concernées à travers une application mobile nommée CoIoT.
Fichier principal
Vignette du fichier
thesis_morel_final.pdf (7.34 Mo) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)
Loading...

Dates et versions

tel-02973666 , version 1 (21-10-2020)

Identifiants

  • HAL Id : tel-02973666 , version 1

Citer

Victor Morel. Enhancing Transparency and Consent in the Internet of Things. Cryptography and Security [cs.CR]. Université de Lyon, 2020. English. ⟨NNT : ⟩. ⟨tel-02973666⟩
364 Consultations
554 Téléchargements

Partager

Gmail Facebook X LinkedIn More