P3P (Platform for Privacy Preferences Project) est un projet à l'initiative du consortium W3C (qui énonce les standards du Web et d'Internet), datant de 2002. Il vise à standardiser le moyen par lequel un site web peut informer l'internaute de sa politique en matière de protection des données personnelles.
Internet Explorer est le seul navigateur web de quelque importance à supporter P3P. La technologie est considérée aujourd’hui comme obsolète[1].
Les sites web peuvent collecter un grand nombre d'informations sur les internautes, et ces informations, soit prises individuellement soit par recoupements, peuvent permettre de les identifier et de suivre à la trace leurs actions sur le Web. Ces informations « personnelles » peuvent être communiquées explicitement (en remplissant des formulaires) mais aussi implicitement (en faisant des recherches, par sa navigation en général). Elles peuvent être soit utilisées à bon escient et gardées confidentielles, soit divulguées à des tiers et par exemple utilisées à des fins de spam ou scam.
C'est pourquoi il est important pour tout internaute de connaître la politique appliquée par tout site web qu'il visite en matière de protection des données personnelles (en anglais privacy).
La politique de confidentialité d'un site web peut être mentionnée dans le site web lui-même, par une déclaration à valeur plus ou moins contractuelle et plus ou moins compréhensible... et que personne ne prend la peine de lire pour chaque site qu'il visite. Par ailleurs, dans un Internet international, le problème de la langue dans laquelle elle est écrite se pose.
En communiquant sa politique de confidentialité automatiquement sous une forme structurée et standardisée, un site web permet le blocage automatique des opérations auxquelles l'internaute s'oppose parce qu'elles peuvent entraîner un abus de données personnelles. Par exemple, le cookie permettant à un site tiers de suivre votre navigation partout sur le Web sera bloqué sans même que vous ayez à répondre à une question « acceptez-vous… ? ».
Au-delà, le standard proposé a plus largement pour vocation d'établir un mécanisme de confiance entre les internautes et les sites web, et entre sites web, évitant de communiquer des données personnelles à quelqu'un qui en ferait un usage que le propriétaire de ces données personnelles désapprouve.
De manière annexe, ce standard encourage les sites web à définir, formuler et publier leur politique en matière de gestion des données personnelles qu'ils sont en mesure de collecter. Il fournit aussi une grille de lecture standardisée de ces politiques sous forme d'un questionnaire commun, répondant ainsi simplement à la question : « pouvez-vous communiquer mon courriel à des tiers oui ou non ? »
Les politiques de confidentialité au format P3P (politiques P3P) sont déclarées par les sites web, sous leur seule responsabilité.
Un site web malveillant collectant et utilisant abusivement des données personnelles peut donc déclarer faussement « ayez confiance, je ne ferai rien qui vous déplaise avec les données que je collecte », ce qui limite l'intérêt du système.
Pour éviter cela, un mécanisme de certification des politiques P3P, c’est-à-dire une signature électronique de ces politiques par des tiers de confiance est prévu. Ces autorités se portent garantes de l'engagement de confidentialité décrit dans la politique P3P, et en cas de manquement, un mécanisme d'indemnisation financière est prévu et précisé dans la politique P3P.
Techniquement, ce mécanisme de certification est analogue à la signature des certificats électroniques (SSL) des sites web sécurisés.
()
Actuellement, cette technologie n'est utilisée que par certains navigateurs et uniquement
Par ailleurs, peu de sites Web envoient une politique P3P. Ceci limite encore la portée de cette technologie.
À l'inverse de la vérification des certificats SSL, les mécanismes de vérification des certifications des politiques P3P ne sont pas encore mis en œuvre.
La politique de confidentialité du site Web est décrite sous forme d'un questionnaire standardisé, structurant à peu près tous les cas possibles de collecte et d'usage de données par le site Web.
La politique P3P peut être communiquée sous deux formes.
Une version abrégée de la politique de confidentialité peut être envoyée sous forme d'énumération de codes sur une ligne. Cette ligne, ajoutée aux en-têtes HTTP lors de l'envoi d'un cookie, permet au navigateur de décider d'accepter ou non le cookie.
Une version longue et complète de la politique de confidentialité peut être donnée au format XML, selon une forme (DTD) spécifiée par le W3C (voir liens externes). Ce document XML, placé à un endroit « bien connu » de l'arborescence du site peut être consulté automatiquement par le navigateur afin de connaître la politique de confidentialité du site Web préalablement à la navigation.
En complément, cette politique de confidentialité sous forme informatique peut renvoyer vers une page lisible par l'internaute (une page Web).
.