Programme commenté du 2ème Privacy Research Day (14 juin)

Pour cette deuxième édition, les thèmes abordés ont été resserrés et la pluridisciplinarité renforcée. Ainsi, tous les panels seront composés d’intervenants d’au moins deux disciplines différentes. Nous avons par ailleurs tenu compte des retours des intervenants de l’année dernière en augmentant la durée des discussions et les temps de pause pour permettre un maximum d’échanges informels avec les participants. Enfin, cette journée sera entrecoupée d’animations et de présentations de quelques travaux du LINC.

Pour une petite mise en bouche, nous introduisons très succinctement les papiers qui seront discutés et qui serviront de base aux échanges qui se dérouleront tout au long de la journée.

Le programme officiel est disponible sur le site de la CNIL.

Les effets de la régulation

Après une introduction de la Présidente de la CNIL, nous commencerons avec un premier panel portant sur l’effectivité de la régulation sur la protection des données. Dans un premier temps, René Mahieu évoquera l’histoire de cette régulation et, se focalisant sur l’exercice du droit d’accès, il analysera l’efficacité et les limites des politiques répressives des DPAs (Autorités de protection des données). Yana Dimova présentera une étude longitudinale des évolutions des pratiques de Facebook en matière de cookies. Cette étude met en avant l’effet des actions des DPA (en particulier l’autorité Belge) sur le dépôt de cookies. Enfin, Karel Kubiceck présentera un travail empirique dans lequel il étudie les codes open-source et montre comment les développeurs de logiciels libres anticipent les régulations et réagissent aux décisions.

A lire:

• Tracking the Evolution of Cookie-based Tracking on Facebook

La réidentification et les craintes des utilisateurs 

Anonymiser correctement des données n’est jamais simple, en particulier les données de géolocalisation. Est-il vrai que la localisation de personnes ne crée aucun préjudice sérieux pour les utilisateurs ? Karel Dhondt montrera qu’en pratique les mesures mises en place pour publier des données de courses anonymisées sont loin d’être aussi efficaces qu’on pourrait le penser. Même lorsqu’on utilise des protections très sophistiquées, il reste possible d’obtenir des informations sur les personnes qui sont dans une base de données. C’est ce que démontrera Ana-Maria Cretu, en proposant une métrique pour quantifier les risques de fuite d’informations. Pour autant, est-ce que ces attaques correspondents vraiment aux préoccupations des personnes ? Laurianne Trably présentera les résultats d’une enquête sur ce que les personnes craignent quand elles partagent leurs données.

A lire :

• A Run a Day Won't Keep the Hacker Away: Inference Attacks on Endpoint Privacy Zones in Fitness Tracking Social Networks
• QuerySnout: Automating the Discovery of Attribute Inference Attacks against Query-Based Systems

Le point de vue des utilisateurs

Comment la régulation est elle comprises par les utilisateurs ? Pour répondre à cette question, ce panel commencera par une présentation sur les bandeaux cookies et plus particulièrement sur leur compréhension par les utilisateurs. Lin Kyi mettra en avant les représentations par les utilisateurs des différentes options sur les bandeaux et la façon dont ils perçoivent la notion d’intérêt légitime. Sunny Consolvo montrera qu’il est important de prendre en compte la spécificité et la diversité des utilisateurs à risque pour éviter de prendre des mesures contre productives. Enfin, cette matinée se conclura avec une présentation de Karel Kubicek,  cette fois-ci pour montrer l’intérêt pour les utilisateurs d'automatiser leurs paramètres en fonction des finalités des cookies.

A Lire :

• Automating Cookie Consent and GDPR Violation Detection
• SoK: A Framework for Unifying At-Risk User Research
• Investigating Deceptive Design in GDPR's Legitimate Interest

Peut-on faire confiance aux PETs ?

Les Privacy Enhancing Technologies (PETs) promettent aux utilisateurs de pouvoir garder le contrôle sur leurs données dans tous types de services numériques : messageries instantanées, recommandation et ou création de contenus basés sur l’IA … Shubham Jain nous montrera que cette promesse est difficilement tenable en prenant l’exemple du « client side scanning », technologie qui permet de détecter la transmission de contenus illégaux (e.g. images pédopornographiques) sans toucher à la confidentialité des communications. Ses travaux montrent que cette technologie est facilement contournable par les utilisateurs. Pire, elle peut être détournée pour permettre une surveillance ciblée de certaines personnes… Sur une note moins critique, Marylin Laurent présentera ses travaux sur les wallets qui permettront d’accéder à des services restreints (e.g. réservés au adultes) en divulguant un minimum d’informations. La troisième présentation introduira une série de PETS « tendances » : « Differential Privacy » et Chiffrement Homomorphes. Arnaud Grivet Sebert discutera de leurs avantages, de leurs inconvénients comme de leurs possibles combinaisons. Enfin Ero Balsa expliquera, en s’appuyant sur différents exemples, que même avec les PETs, les utilisateurs en sont « réduits » à faire confiance aux fournisseurs de service.

A lire :

• Adversarial Detection Avoidance Attacks: Evaluating the robustness of perceptual hashing-based client-side scanning
• Cryptography, Trust and Privacy: It’s Complicated

Les données dans l’IA

Le dernier panel abordera le sujet de l’Intelligence Artificielle sous l’angle des données. En introduisant la notion de data altruisme, Evgeniia Volkova détaillera comment les personnes peuvent volontairement partager leurs données pour entrainer des IA d’intérêt public et comment ce partage volontaire s’articule avec le RGPD et l’IA Act. Florent Guépin nous montrera que les modèles d’IA permettent toutefois souvent de reconstituer des informations à propos des personnes dont les données ont servi à l’entrainement. Enfin Marvin van Bekkum nous interrogera sur la nécessité de créer une exception au RGPD pour que les IA ne (re)produisent pas de discrimination.

A lire :

• Using sensitive data to prevent discrimination by artificial intelligence: Does the GDPR need a new exception?
• Correlation Inference Attacks against Machine Learning Models