Confidentialité plate-forme
Respecter la vie privée des gens signifie répondre aux attentes de confidentialité. Ces attentes de confidentialité sont définies pour atteindre 3 objectifs:
En tant qu’ingénieurs logiciels, chaque produit ou fonctionnalité que nous lançons à une communauté d’utilisateurs (y compris la technologie et les processus sous-jacents), doit répondre aux attentes de confidentialité ci-dessus concernant le respect de la vie privée des personnes. Afin d’aider les équipes à comprendre comment répondre à ces attentes et à documenter comment nous le faisons, nous examinons chaque changement de produit et de technologie avant son lancement. Cet examen est appelé examen de la confidentialité et la documentation qu’il produit est connue sous le nom de décision de confidentialité. Il décrit les risques pour la vie privée – des endroits où nous pourrions manquer des attentes ou de mauvaises expériences pourraient en résulter – ainsi que les pratiques ou le comportement du produit que nous nous engageons à maintenir pour réduire ces risques. Ces pratiques ou comportements de produits auxquels nous nous engageons sont appelés atténuations de la confidentialité et la communication externe sur ces comportements de produits est appelée engagements.
La mise en œuvre d’une décision de confidentialité implique la mise en œuvre des modifications de code et de données nécessaires pour soutenir chaque atténuation et engagement, en vérifiant que la mise en œuvre est correcte et en mettant en place des mécanismes suffisants pour éviter les régressions malgré les futurs changements dans le code du produit, de l’équipe ou d’autres équipes ou processus.
Les structures techniques mises en place pour mettre en œuvre ces atténuations sont appelées garanties techniques. Voyons en détail comment une décision relative à la protection des renseignements personnels est créée, comment elle est mise en œuvre, comment elle est vérifiée quant à l’exactitude de la mise en œuvre et appliquée de manière continue.
Voici les différentes étapes d’une décision de confidentialité et le rôle que chaque étape joue pour assurer une couverture élevée, une qualité et une mise en œuvre robuste de ces décisions.
La genèse la plus courante d’un examen de la confidentialité est: lorsqu’une équipe a l’intention de créer un nouveau produit, de changer le comportement d’un produit existant ou de modifier la façon dont un produit traite les données utilisateur. En d’autres termes, le changement de produit ou de technologie est encore en phase d’idéation. L’équipe souhaite calibrer les attentes en matière de confidentialité pour le nouveau produit / technologie et documenter les atténuations et les engagements. L’équipe contacte l’équipe d’examen de la confidentialité une fois qu’elle a clairement l’intention de savoir pourquoi et ce qu’elle construit. Cela conduit souvent à un examen de la confidentialité, ce qui peut entraîner une décision de confidentialité associée.
Une autre source potentielle de revues de confidentialité est notre communication aux utilisateurs sur: comment nous répondons aux attentes de confidentialité dans nos produits, technologies et processus. Cette communication se fait via des articles d’aide, du texte du produit, des communiqués de presse, des déclarations de cadres supérieurs, du matériel marketing et des campagnes de sensibilisation menées dans nos produits. Une promesse faite à notre communauté d’utilisateurs via l’un de ces canaux de communication, sur la façon dont un certain produit / fonctionnalité gère les données de l’utilisateur est appelée un engagement de confidentialité. Nous devons nous assurer que le comportement de nos produits concernant la gestion des données des utilisateurs correspond aux promesses faites par ces canaux de communication. Pour ce faire, le texte de toutes les communications publiques doit être soigneusement analysé pour détecter l’existence d’engagements de confidentialité.
Chaque fois qu’il y a un écart entre ce que stipule l’engagement et le comportement du produit / processus / technologie, nous devons combler cet écart en modifiant les atténuations existantes ou en en écrivant de nouvelles.
Ainsi, l’objectif de l’étape 1 est d’identifier tout nouveau produit ou composant technologique prévu qui peut nécessiter un examen de la confidentialité (cas majoritaire) ou pour détecter toute communication publique concernant le respect des attentes en matière de confidentialité qui pourrait ne pas correspondre au comportement actuel du produit.
Lorsqu’une équipe effectuant un changement de produit / technologie / processus approche l’équipe de confidentialité, la première étape consiste à collecter suffisamment d’informations sur le changement pour préparer la réunion d’examen.
À travers de multiples discussions, tous les évaluateurs conviennent de ce qui est nécessaire pour répondre aux attentes en matière de confidentialité, des exemples de comportement du produit ne répondant pas à certaines de ces attentes et des changements à mettre en place pour y répondre.
Une fois les atténuations identifiées, nous devons aider les équipes de produits à les mettre en œuvre correctement. Pour qu’une action d’atténuation puisse être mise en œuvre, elle doit être complète (contient toutes les informations pertinentes), sans ambiguïté (l’intention ne doit pas faire l’objet d’une interprétation) et cohérente (avec des termes et des phrases clairement définis).
La première étape pour rendre une mesure d’atténuation applicable, est de l’attribuer à l’une des 12 catégories (qui correspondent à l’une des 8 attentes en matière de confidentialité). Pour chaque catégorie d’atténuation, il existe quelques attributs standard qui définissent la portée de l’atténuation et la rendent plus spécifique. Ces attributs standard sont appelés «concepts de confidentialité».
Ces informations structurées réduisent la possibilité d’une interprétation incorrecte de l’atténuation par l’équipe produit et les aident également à trouver des cadres standard développés pour la mise en œuvre des atténuations. Voici quelques exemples de concepts de confidentialité:
Une fois ces concepts de confidentialité définis, nous pouvons commencer à faire des déclarations structurées.
Afin de garantir que les mesures d’atténuation sont effectivement réalisables, elles doivent être fondées sur la faisabilité technique. Pour y parvenir, une poignée d’ingénieurs principaux fournissent une expertise technique en matière de discussion et de prise de décision en matière de confidentialité.
Lorsque nous aurons suffisamment progressé sur les «garanties techniques standardisées», les équipes de produits mettront en œuvre une atténuation en utilisant une ou plusieurs d’entre elles. Par exemple, une atténuation qui restreint un élément spécifique de données à une fin spécifique serait mise en œuvre à l’aide de Purpose Policy Framework (PPF). Une atténuation qui nécessite le consentement de l’utilisateur (par exemple, opt-in GPS) avant de collecter des données spécifiques (par exemple, les données de localisation) serait mise en œuvre en utilisant Privacy Control Infra (PCI) et Data Collection Framework (DCF). PPF, PCI et DCF sont tous des exemples de «sauvegarde technique standardisée» (STS).
Il y a de nombreux avantages à utiliser les STS, plutôt que de créer des solutions ad hoc. Le plus évident est qu’il est plus durable et qu’il offre une plus grande garantie de confidentialité. Un autre avantage, plus important encore, est que les STS sont conçus pour lier les atténuations (stratégie) et leur implémentation (code) afin de s’assurer qu’elles ne s’écartent pas. Ceci est crucial pour la confidentialité, car la politique et le code évoluent séparément et constamment. Quand ils s’éloignent, nous perdons l’introspectabilité, la détectabilité et l’observabilité.
Un élément clé de la mise en œuvre des mesures d’atténuation de la confidentialité consiste à examiner la mise en œuvre pour l’exactitude et l’exhaustivité.
Lorsque nous avons des systèmes pour appliquer les contrôles des programmes de confidentialité (sauvegarde comme le cadre de suppression) ou lorsque nous avons des systèmes qui peuvent appliquer des mesures d’atténuation (comme PPF, cadre de rétention et PCI), l’équipe d’examen de la mise en œuvre agira comme deuxième ligne de défense pour garantir les systèmes fonctionnent bien, ils sont observables, contrôlables et tous les problèmes sont résolus en temps opportun.
Les équipes de produits mettant en œuvre les atténuations devraient développer des tests unitaires et d’autres tests automatisés pour détecter les régressions dans les atténuations. L’équipe AQ effectuera périodiquement des tests manuels dans le même but.
Nous allons créer un «magasin de preuves» et des outils pour relier les atténuations aux preuves. Un objet de preuve donné peut être dans un état vérifié ou non vérifié selon qu’il peut être vérifié suffisamment par l’équipe avec l’aide de l’équipe IR.
Dans certains cas. Des preuves peuvent également être mises à la disposition des auditeurs (internes et externes) chargés de vérifier à quel point nous sommes diligents pour atténuer les risques de confidentialité identifiés. Pour ce faire, nous pouvons créer des capacités permettant de naviguer dans les liens entre le produit → les décisions / engagements de confidentialité → les risques → les mesures d’atténuation → les preuves → la méthodologie de vérification.
La mise en œuvre d’une atténuation pour répondre à un risque de confidentialité spécifique n’est pas une entreprise ponctuelle. Par exemple: si l’atténuation identifiée est: «Montrez à l’utilisateur un flux de consentement clair, avant d’accéder à son microphone pour le scénario de co-surveillance dans un appel instantané», nous devons nous assurer que ce flux de consentement ne soit pas ignoré lorsque plus de variations sont ajoutées à ce produit / fonctionnalité particulier. Il s’agit d’une promesse continue qui doit être respectée de façon continue.
Responsabilité
Une équipe mettant en œuvre une atténuation de la vie privée est elle-même chargée de s’assurer que nous ne régressons pas dessus. Ainsi, chaque équipe et chaque membre de l’équipe doivent être conscients des atteintes à la vie privée dont ils sont responsables et il devrait y avoir un moyen pour eux de se tenir responsables de veiller à ce que ces atténuations ne régressent pas avec le temps.
Le système de sensibilisation et de responsabilisation pour aider les équipes à maintenir les atténuations appliquées de façon continue, s’appelle l’appropriation. Le système de propriété comprend deux éléments principaux:
Changement de code sensible à la confidentialité
Malgré tous leurs efforts, un membre de l’équipe peut parfois commettre un changement de code qui respecte la confidentialité et a le potentiel de régresser une atténuation existante. Compte tenu de la complexité de nos produits et des attentes en matière de confidentialité, une poignée de ces changements sont tenus d’introduire des bogues liés aux atténuations / engagements passés ou «ont l’intention» de modifier le traitement des données utilisateur sans mettre à jour au préalable l’atténuation associée.
Une fois qu’une modification est signalée comme «sensible à la confidentialité», l’étape suivante consiste à aider la personne qui soumet cette modification à trouver une décision de confidentialité existante à mapper à cette modification. Une grande majorité des modifications sensibles à la confidentialité détectées par le système doivent être mises en correspondance avec les décisions de confidentialité existantes. Une fois qu’un changement de code est lié à une décision de confidentialité, il doit être examiné pour vérifier qu’il ne régresse aucune des atténuations associées.
Au lieu de réimplémenter à partir de zéro les outils et les systèmes nécessaires pour prendre en charge chacune de ces catégories, nous pouvons essayer de réutiliser autant de technologie que possible dans toutes. Pour ce faire, nous pouvons «plate-forme» tous les composants techniques que nous avons construits pour gérer les différentes étapes de la vie d’une décision de confidentialité. Le processus de «mise en plate-forme» consiste à rendre chaque composant extensible afin qu’il puisse être modifié et étendu pour répondre aux besoins uniques de chaque catégorie de risque, tout en réutilisant une couche sous-jacente commune d’infra de produit et d’éléments de conception. Il est également tout à fait possible qu’un certain cas d’utilisation n’utilise qu’un sous-ensemble des étapes du cycle de vie. La plateforme devrait également nous permettre de choisir et de choisir les parties de l’outillage de cycle de vie que nous utilisons pour un certain scénario. Au fur et à mesure que la plateforme devient stable et robuste, le scénario d’origine (décision de confidentialité) sera également mis en œuvre au-dessus de la plateforme.
En résumé, il est très important qu’une plateforme ait la capacité de répondre aux attentes de confidentialité de sa communauté d’utilisateurs dans tout ce qu’elle fait, et l’équipe de confidentialité travaille dur pour développer des processus, une expertise, des outils et des systèmes sous-jacents pour aider chaque équipe dans le entreprise pour tenir cette promesse. Il s’agit d’un processus évolutif, tandis que les équipes devraient en savoir plus sur la meilleure façon de soutenir toutes les équipes de la plateforme pour répondre aux attentes de confidentialité de leur communauté d’utilisateurs.