[vidéo] Research@LINC : Réactions des personnes concernées à l’exercice de leur droit d’accès, Arthur Borem

30 juin 2026

Les récentes lois sur la protection de la vie privée ont renforcé le droit des personnes concernées à accéder aux données personnelles collectées par les entreprises. Des travaux antérieurs ont montré que les exportations de données fournies par les entreprises aux consommateurs en réponse aux demandes d’accès aux données personnelles (DSAR) peuvent être complexes et difficiles à comprendre. Arthur Borem présente l’étude qu’il a menée afin d’identifier des pistes d’amélioration de l’expérience utilisateur.

 

Les "Research@LINC" sont un séminaire ayant pour but de créer des échanges informels entre des agents de la CNIL et des chercheurs, qui présentent leurs travaux, en lien direct ou indirect avec les missions de la CNIL. Ce séminaire pluridisciplinaire laisse une parole libre aux chercheurs, dont les propos ne représentent pas le point de vue de l'institution. Avec leur accord, nous vous proposons de retrouver ici certaines présentations des intervenants.

Réactions des personnes concernées à l’exercice de leur droit d’accès

 

 

Intervention en anglais, sous-titrée en français

 

Résumé 

Les récentes lois sur la protection de la vie privée ont renforcé le droit des personnes concernées à accéder aux données personnelles collectées par les entreprises. Des travaux antérieurs ont montré que les exportations de données fournies par les entreprises aux consommateurs en réponse aux demandes d’accès aux données personnelles (DSAR) peuvent être complexes et difficiles à comprendre. Afin d’identifier des pistes d’amélioration de l’expérience utilisateur liée à ces exportations de données, nous avons mené une étude en ligne au cours de laquelle 33 participants ont exploré leurs propres données provenant d’Amazon, Facebook, Google, Spotify ou Uber. Les participants ont formulé des questions auxquelles ils espéraient répondre grâce à ces exportations. Ils ont également annoté les parties des données qu’ils trouvaient confuses, inquiétantes, intéressantes ou surprenantes. Si les participants espéraient en apprendre davantage soit sur leur propre utilisation de la plateforme, soit sur la manière dont l’entreprise collecte et utilise leurs données personnelles, ces questions sont souvent restées sans réponse. Leurs annotations ont révélé à la fois leur enthousiasme à découvrir des données suscitant de la nostalgie, mais aussi leur choc face aux implications en matière de vie privée de certaines informations observées. Après avoir examiné leurs données, de nombreux participants ont souhaité demander à l’entreprise d’en supprimer une partie, mais pas la totalité. Nous discutons enfin des opportunités offertes par de futurs outils visant à améliorer la transparence, ainsi que par des évolutions législatives.

Data Subjects’ Reactions to Exercising Their Right of Access, Arthur Borem, Elleen Pan, Olufunmilola Obielodan, Aurelie Roubinowitz, Luca Dovichi, Michelle L Mazurek, Blase Ur

USENIX Security Symposium 2024

 

Abstract

Recent privacy laws have strengthened data subjects’ right to access personal data collected by companies. Prior work has found that data exports companies provide consumers in response to Data Subject Access Requests (DSARs) can be overwhelming and hard to understand. To identify directions for improving the user experience of data exports, we conducted an online study in which 33 participants explored their own data from Amazon, Facebook, Google, Spotify, or Uber. Participants articulated questions they hoped to answer using the exports. They also annotated parts of the data they found confusing, creepy, interesting, or surprising. While participants hoped to learn either about their own usage of the platform or how the company collects and uses their personal data, these questions were often left unanswered. Participants’ annotations documented their excitement at finding data records that triggered nostalgia, but also shock about the privacy implications of other data they saw. Having examined their data, many participants hoped to request the company erase some, but not all, of the data. We discuss opportunities for transparency-enhancing tools and enhanced laws.

Data Subjects’ Reactions to Exercising Their Right of Access, Arthur Borem, Elleen Pan, Olufunmilola Obielodan, Aurelie Roubinowitz, Luca Dovichi, Michelle L Mazurek, Blase Ur

USENIX Security Symposium 2024

 

 

L’intervenant 

Arthur Borem est doctorant en informatique en dernière année à l’Université de Chicago (UChicago), où il mène des recherches sur la vie privée sous la direction de Blase Ur. Il étudie et analyse les fonctionnalités et les produits que les plateformes développent pour se conformer aux droits des personnes concernées sur leurs données. Il est également ingénieur logiciel full-stack et collabore avec la Data Transfer Initiative pour concevoir et publier une bibliothèque permettant d’exécuter des demandes de transfert et de portabilité des données (Pardner).

 

The speaker

Arthur Borem a final-year Computer Science PhD at UChicago researching privacy, advised by Blase Ur. He is investigating and analyzing the features and products platforms build to comply with Data Subject Rights. He is also a full-stack software engineer and works with the Data Transfer Initiative to build and publish a library for executing data transfer/portability requests (Pardner).