Le langage EPAL permet de traduire concrètement des politiques de respect de la vie privée en langage machine. Comment cela fonctionne-t-il ?. (Vendredi 11 juillet
2003)
Dans un contexte réglementaire
de plus en plus contraignant pour les entreprises quant
au respect de la vie privée et des données
confidentielles relatives aux personnes, IBM innove et
dit aller plus loin que les standards existants.
Big Blue vient en effet d'annoncer la création
d'un langage de programmation baptisé EPAL (Enterprise
Privacy Authorization Language) permettant la mise en
application concrète de règles de respect
de la vie privée au sein d'un logiciel. Des applications
peuvent très facilement être exploitées
dans le secteur de la santé, de la finance ou des
administrations.
Une
traduction pour la machine Le langage EPAL
permet en fait de traduire des politiques de respect de
la vie privée - exprimées en langage naturel
- en codes et règles compréhensibles et
exploitables par une application. Il est par exemple possible
d'exprimer grâce à ce langage une politique
régissant le partage des informations dans une
entreprise ou un organisme ou, plus prosaïquement,
le simple accès à ces informations par telle
ou telle catégorie d'utilisateurs.
IBM n'est pas un nouveau venu dans ce domaine. Sa solution
logicielle Tivoli Privacy Manager permet déjà
de systématiser des processus d'application de
règles ou de politiques de ce type. En même
temps qu'EPAL, IBM dévoile le lancement de deux
solutions permettant de faire le lien entre leur système
de gestion des règles de vie privée et toute
application stockant des informations sensibles : Reference
Monitor et Declarative Privacy Monitoring viennent ainsi
compléter une gamme qui s'étoffe progressivement.
Au-delà des standards existants Le langage EPAL
est, selon les dires d'IBM, plus performant que le P3P
(Platform for Privacy Preferences Project). Ce dernier,
basé sur XML, ne permet en effet que l'échange
de règles entre applications, comme cela peut être
le cas entre un navigateur Internet et les sites qu'il
permet à l'internaute de visiter, en fonction de
règles que ce dernier a préalablement définies.
P3P ne permet pas d'intervenir dans le code de ces applications.
Autant de nouveaux outils
et technologies qui devraient permettre aux entreprises
de mieux gérer des
règles trop souvent appliquées manuellement
ou de manière semi-automatisée, avec les
risques que l'on connaît de diffusion ou de vol
d'informations confidentielles.