Towards Viewpoint-centric Artifact-based Regulatory Requirements Engineering for Compliance by Design

Cet article présente la synthèse et sollicite des retours sur le modèle d'artefacts pour l'ingénierie des exigences réglementaires (AM4RRE), conçu pour faciliter une intégration systématique de la conformité dès la conception dans le cycle de développement logiciel en surmontant les défis de coordination entre les différentes perspectives.

L'essentiel

Voici une explication simple et imagée de ce document de recherche, conçue pour être comprise par tout le monde, même sans être expert en informatique ou en droit.

🌍 Le Problème : Construire une maison sans plan de sécurité

Imaginez que vous êtes un architecte (le développeur de logiciels) chargé de construire une maison (un logiciel). Mais il y a un gros problème : les règles de sécurité et de construction (les lois et règlements) changent tout le temps, deviennent de plus en plus complexes et s'appliquent à chaque pièce de la maison.

Actuellement, la plupart des entreprises font comme suit :

1. Elles construisent la maison rapidement (méthode "Agile").
2. À la fin, elles appellent un inspecteur du bâtiment (l'expert juridique) pour vérifier si tout est aux normes.
3. Souvent, l'inspecteur dit : "Oh non, la cuisine n'a pas de fenêtre de secours !" ou "Le garage est trop loin de la rue !"
4. Résultat : Il faut tout casser et reconstruire. C'est cher, lent et stressant.

C'est ce que l'auteur, Oleksandr Kosenkov, appelle le problème de la "Conformité par Design" (Compliance by Design). L'idée est que la sécurité et le respect des lois doivent être intégrés dès la première esquisse du plan, pas à la fin.

🧩 La Difficulté : Deux langues qui ne se comprennent pas

Le vrai défi, c'est que l'architecte (l'ingénieur logiciel) et l'inspecteur (l'expert juridique) parlent deux langues totalement différentes.

• L'ingénieur pense en termes de code, de fonctionnalités et de vitesse.
• L'expert juridique pense en termes de textes de loi, de définitions abstraites et de sanctions.

Dans la réalité, ils travaillent souvent dans des silos séparés. L'ingénieur ne comprend pas le jargon juridique, et l'avocat ne comprend pas comment fonctionne le logiciel. Ils essaient de se coordonner, mais c'est comme essayer de faire un puzzle où les pièces sont de formes différentes et où les bords ne s'assemblent pas.

💡 La Solution Proposée : Le "Modèle d'Artefacts" (AM4RRE)

L'auteur propose une nouvelle méthode appelée AM4RRE. Pour faire simple, imaginez que c'est un carnet de bord intelligent et partagé qui force tout le monde à utiliser le même langage.

Au lieu de dire "Faisons une réunion pour discuter", ce modèle dit : "Voici les pièces précises que nous devons écrire dans notre carnet avant de commencer".

Voici comment cela fonctionne, avec une analogie de cuisine :

1. Le Chef (L'Expert Juridique) : Il ne donne pas juste un ordre vague ("Fais un gâteau"). Il remplit une fiche technique précise : "Il faut 200g de farine, pas de gluten, et le gâteau doit être rouge". C'est la Spécification Juridique.
2. Le Pâtissier (L'Ingénieur Logiciel) : Il prend cette fiche et la traduit en actions concrètes : "Je vais utiliser de la farine sans gluten et du colorant alimentaire rouge". C'est la Spécification du Système.
3. Le Pont (Le Modèle d'Artefacts) : C'est le lien magique entre les deux. Il s'assure que quand le Chef écrit "Pas de gluten", le Pâtissier sait exactement quel ingrédient remplacer. Si le Chef change d'avis sur la couleur, le Pâtissier est alerté immédiatement.

🛠️ Comment ça marche concrètement ?

L'auteur a créé un modèle en 5 parties (comme les 5 ingrédients d'une recette parfaite) :

1. Qui fait quoi ? (Les Rôles) : On définit clairement qui est le juriste, qui est l'architecte, qui est le chef de projet.
2. Quels sont les objectifs ? (Les Buts) : On s'accorde sur ce qu'on veut atteindre (ex: "Ne pas être poursuivi en justice" et "Avoir un logiciel rapide").
3. Le Contexte (Le Pourquoi) : On note les défis spécifiques (ex: "Cette loi s'applique seulement aux enfants de moins de 13 ans").
4. Quand ? (Les Étapes) : On fixe un calendrier pour remplir les informations.
5. Quoi ? (Le Contenu) : C'est le cœur du modèle. On remplit des fiches précises qui relient les mots du droit aux mots de l'informatique.

🔄 L'Adaptation (Le "Tailoring")

Le modèle n'est pas rigide. Il est comme un costume sur mesure.

• Si vous construisez une maison en bois, vous adaptez le plan.
• Si vous construisez un logiciel pour la banque, vous adaptez le modèle aux lois bancaires.
• Si vous le faites pour un hôpital, vous l'adaptez aux lois médicales.

L'auteur explique comment personnaliser ce modèle pour chaque projet spécifique, en s'assurant que les règles de la loi sont bien traduites dans le code du logiciel, sans rien oublier.

🔮 L'Avenir : Tester le modèle

L'auteur est actuellement en train de finir son doctorat. La prochaine étape est de tester ce "carnet de bord intelligent" avec de vrais professionnels.
Il hésite encore sur la meilleure façon de le tester :

• Soit en demandant à des experts de faire une "promenade" dans le modèle (comme une visite guidée).
• Soit en leur donnant un vrai cas pratique à résoudre en utilisant ce modèle pour voir si ça marche vraiment.

🎯 En résumé

Ce papier dit : "Arrêtons de construire des logiciels et de vérifier la conformité à la fin. Créons un langage commun (un modèle d'artefacts) qui permet aux juristes et aux informaticiens de travailler ensemble dès le début, comme un chef et un cuisinier qui préparent un repas ensemble, pour éviter les catastrophes et les retards."

C'est une tentative de rendre le respect des lois aussi naturel et intégré que la construction d'une maison solide, plutôt que d'essayer de coller des autocollants de sécurité sur un bâtiment déjà fini.

Résumé technique

Voici un résumé technique détaillé de l'article « Towards Viewpoint-centric Artifact-based Regulatory Requirements Engineering for Compliance by Design », rédigé en français.

1. Problématique

L'ingénierie des exigences réglementaires (Regulatory Requirements Engineering - RE) dans le génie logiciel (SE) fait face à des défis croissants dus à la complexité, au volume et à la portée toujours plus large des réglementations. Bien que la communauté de recherche propose de nouvelles méthodes, l'industrie peine à intégrer ces exigences de manière systématique dans le cycle de vie du développement logiciel (SDLC) pour assurer une « conformité par conception » (Compliance by Design).

Les principaux obstacles identifiés sont :

• Inadéquation des approches actuelles : Les méthodes agiles et les approches basées sur les processus peinent à garantir la cohérence, l'exhaustivité et la correction nécessaires à la conformité légale.
• Décalage temporel et sémantique : Les exigences réglementaires sont souvent traitées a posteriori (après la spécification initiale du système) et nécessitent une interprétation juridique complexe qui entre en conflit avec les objectifs techniques.
• Fragmentation des points de vue : Il existe une difficulté majeure à coordonner les points de vue juridiques (experts du droit) et les points de vue d'ingénierie (architectes, ingénieurs exigences), entraînant des silos de connaissances et des processus de conformité isolés et ad hoc.
• Manque d'outils intégrés : Les organisations n'ont pas de modèle unifié pour traduire les concepts juridiques abstraits en spécifications techniques concrètes sans créer de redondances ou d'incohérences.

2. Méthodologie

La thèse de doctorat s'appuie sur une approche de recherche mixte et itérative, structurée autour de trois questions de recherche (RQ) et de plusieurs études empiriques :

• Analyse de l'état de l'art (RQ1) : Une étude de cartographie systématique et des revues de littérature systématiques ont été menées pour identifier les défis de la RE réglementaire et les méthodes existantes pour la « vie privée par conception » (Privacy by Design).
• Analyse de la pratique (RQ2) : Cinq études empiriques (entretiens, groupes de discussion, analyses de cas) ont été réalisées auprès d'experts juridiques, d'ingénieurs et de praticiens de la conformité. Ces études ont exploré les processus actuels, les défis de coordination inter-fonctionnelle et les besoins en matière d'outils.
• Synthèse et modélisation (RQ3) : Sur la base des résultats empiriques, l'auteur a conçu un modèle conceptuel. La validation de ce modèle a été effectuée via des ateliers de validation (walkthroughs) avec des experts juridiques et des praticiens, utilisant des cas concrets (notamment le RGPD et le Règlement sur l'accessibilité européenne).

3. Contributions Clés : Le Modèle AM4RRE

La contribution principale de l'article est la proposition du Modèle d'Artéfacts pour l'Ingénierie des Exigences Réglementaires (AM4RRE). Ce modèle est une extension du modèle AMDiRE (Artefact Model for Domain-independent Requirements Engineering), adapté spécifiquement pour la coordination des points de vue juridiques et d'ingénierie.

Le modèle repose sur une approche centrée sur les artéfacts (plutôt que sur les activités) et se compose de cinq composantes principales (C1-C5) :

1. Modèle de Rôle (C1) : Définit les responsabilités des experts juridiques, des experts métier, des ingénieurs exigences et des architectes logiciels.
2. Modèle d'Objectifs (C2) : Spécifie les buts poursuivis par chaque rôle (ex: objectifs juridiques vs objectifs d'architecture).
3. Modèle de Contexte Projet (C3) : Inclut la description et la priorisation des défis réglementaires spécifiques au projet.
4. Modèle de Jalons (C4) : Établit la séquence de spécification des contenus.
5. Modèle de Contenu (C5) : Le cœur du modèle, définissant le contenu des spécifications (Spécification légale, contexte logiciel, exigences, système). Il structure l'information en « concepts » (éléments sémantiques de base) et « items de contenu ».

Mécanisme de Coordination :
Le modèle introduit un processus de personnalisation (Tailoring) pour adapter le modèle générique à une réglementation spécifique et à un projet :

• T1 (Spécifique à la réglementation) : Annotation du texte de loi pour identifier les instances de concepts juridiques et créer un modèle de contenu juridique adapté.
• T2 (Spécifique au contenu) : Établissement de liens sémantiques entre les concepts juridiques et les spécifications d'ingénierie (ex: lier le concept juridique « sujet de données » au concept technique « partie prenante ») pour éviter les duplications et assurer la traçabilité.
• T3 (Axé sur les objectifs) : Sélection des items de contenu nécessaires pour atteindre des objectifs organisationnels spécifiques.

4. Résultats

Les études empiriques et la synthèse du modèle ont permis de valider plusieurs hypothèses :

• Nécessité de l'interprétation juridique : La concrétisation des normes abstraites en exigences spécifiques nécessite un processus d'interprétation juridique structuré, souvent absent des méthodes SE actuelles.
• Validation des concepts : Les concepts juridiques identifiés (via le RGPD) et leur allocation entre les vues exigences et système ont été jugés applicables par les praticiens pour capturer les connaissances du domaine juridique.
• Importance de la traçabilité : Les praticiens ont identifié la capture des connaissances juridiques, la transparence des spécifications et la traçabilité comme les trois caractéristiques les plus critiques d'une méthode de RE réglementaire.
• Faisabilité de l'approche centrée sur les artéfacts : L'approche permet de guider la coordination entre les points de vue sans imposer un processus rigide, favorisant ainsi l'adaptabilité nécessaire aux projets agiles tout en maintenant la rigueur légale.

5. Signification et Perspectives

Ce travail est significatif car il propose un cadre théorique et pratique pour résoudre le problème de l'intégration de la conformité légale dans le SDLC moderne. En passant d'une approche « processus » à une approche « artéfacts », l'AM4RRE permet de :

• Unifier les langages : Créer un pont sémantique entre les experts juridiques et les ingénieurs logiciels.
• Automatiser partiellement la conformité : En structurant les artéfacts et leurs relations, le modèle ouvre la voie à des outils d'assistance à la conformité.
• Faciliter la conformité par conception : En intégrant les exigences légales dès la phase de spécification des artéfacts, plutôt qu'en aval.

Travaux futurs :
L'auteur prévoit de finaliser le modèle AM4RRE et de procéder à sa validation empirique auprès de praticiens. Deux options sont envisagées pour l'opérationnalisation (listes de contrôle et modèles) et la validation (ateliers de walkthrough ou expérimentations avec des rôles simulés), en tenant compte de la sensibilité des données de conformité et de la complexité de la coordination multi-points de vue.