Un mode de sélection exigeant

Suite à notre appel à communications clos le 31 mars dernier, nous avons eu le plaisir de recevoir 85 propositions de communication. Cet engouement témoigne de la vitalité des recherches menées sur la protection de la vie privée. La dimension internationale de l'événement se confirme avec des contributions provenant de 18 pays, incluant la France, les États-Unis, l'Allemagne, le Vietnam, la Chine, l'Australie et le Canada.

Considérant la qualité des soumissions, un processus de sélection rigoureux en deux temps a été mis en œuvre pour garantir la qualité scientifique et l'équilibre du programme.

• Dans un premier temps, chaque papier a été évalué à la lumière de deux critères principaux : son "mérite" académique (qualité et reconnaissance scientifique, robustesse méthodologique) et son intérêt pour les différents services et priorités de la CNIL. Cette phase de pré-sélection a mobilisé l'expertise des agents de plusieurs services de la CNIL et a conduit a conduit à près de 200 évaluations menées en seulement trois semaines. Cette première étape s'est appuyé sur l'expertise de plusieurs services (le Service de l'expertise technologique, le Service de l'intelligence artificielle, le Service des affaires européennes et internationales, la Mission d'analyse économique, et le LINC) se sont fortement investis dans cette tâche, assurant une analyse pluridisciplinaire des propositions. À l'issue de cette première étape, 38 propositions ont été.
• La seconde étape de la sélection a consisté à regrouper les propositions retenues autour de thématiques communes, avec l'objectif de créer des panels cohérents et de favoriser la pluridisciplinarité. Ce travail a permis d'identifier 9 thèmes émergents, dont certains ont émergé en plus des axes initialement fléchés dans l'appel à communications - un élargissement qui nous a permis de repérer et de nous approprier de nouveaux sujets de préoccupation et d'innovation dans le domaine de la vie privée. Afin de garantir la cohérence et la profondeur des échanges lors de la journée, nous avons dû faire le choix difficile de nous concentrer sur 5 thèmes principaux. Cette décision nous a contraints à ne conserver que 16 propositions parmi les 38 propositions que nous avions initialement retenues. Les auteurs de certaines des propositions non retenues ont été invités à partager les résultats de leurs recherches lors de séminaires de recherche internes à la CNIL (les Research@LINC).

Un événement réussi et des échanges stimulants

L'édition 2025 du Privacy Research Day a été un franc succès, rassemblant une large communauté de chercheurs et de praticiens du numérique et de la régulation. L'événement a ainsi réuni 164 participants sur place (sans compter les nombreux agents de la CNIL présents) et a été suivi par 750 personnes en ligne tout au long de la journée, avec un pic d'audience à 316 connectés simultanément. Voici un aperçu des discussions qui ont animé cette riche journée.

1) Perceptions des risques et stratégies des utilisateurs

Cette session a exploré la façon dont les individus perçoivent et appréhendent les risques pour leur vie privée. Les discussions ont porté sur l'impact des "privacy scores", les stratégies de protection sur Twitter lors du mouvement "Justice pour Nahel", et la perspective des enseignants américains face aux "deepfakes". La session questions-réponses a notamment interrogé l'impact que pourrait avoir la loi danoise sur la propriété intellectuelle des images sur la protection contre les deepfakes ?

• Christoph LUTZ, professeur à la BI Norwegian Business School (Norvège) - Visual Privacy: The Impact of Privacy Labels on PrivacyBehaviors Online (Confidentialité visuelle : l’impact des étiquettes de confidentialité sur les comportements en ligne en matière de vie privée) -  Design
• Hiba LAABADLI, doctorante à l'Université Duke (États-Unis) - Exploring Security and Privacy Discourse on Twitter During the ‘Justice Pour Nahel’ Movement in France (Explorer le discours sur la sécurité et la vie privée sur Twitter pendant le mouvement « Justice pour Nahel » en France) - Sociologie
• Miranda WEI, doctorante à l'Université de Washington (États-Unis) - We’re utterly ill-prepared to deal with something like this": Teachers’ Perspectives on Student Generation of Synthetic Nonconsensual Explicit Imagery (« Nous ne sommes absolument pas préparés à faire face à ce genre de situation » : le point de vue des enseignants sur la production par les élèves d’images explicites synthétiques non consenties) - Informatique

▶ Revoir la session

2) Protéger les données à l'ère des réseaux sociaux

Cette session a interrogé nos pratiques sur les plateformes, évoquant la question du partage de captures d'écran à l'insu des personnes, ou les méthodes de protection des données collectées sur les réseaux sociaux dans le cadre de recherches académiques. Le débat s'est notamment cristallisé autour d'un dilemme majeur : comment faire la balance entre le respect de la vie privée et l'utilité probatoire des captures d'écran (dans le cas de situations de harcèlement par exemple) ?

• Alexis Shore INGBER, postdoctorante à l'Université du Michigan, école de l'Information (États-Unis) - Understandingscreenshot collection and sharing on messaging platforms: a privacy perspective (Comprendre la collecte et le partage de captures d’écran sur les plateformes de messagerie : une perspective axée sur la vie privée) -  Sociologie
• Kyle BEADLE, doctorant en Informatique à l'Université College de Londres (Royaume-Uni) - A Privacy Framework for Security Research Using Social Media Data (Un cadre de confidentialité pour la recherche en sécurité utilisant les données des réseaux sociaux) – Informatique
• Aleksandra KOROLOVA (vidéo), chargée d'enseignement à l'Université de Princeton (États-Unis) - Having your Privacy Cake and Eating it Too: Platform-supported Auditing of Social Media Algorithms for Public Interest (Un audit des algorithmes des réseaux sociaux soutenu par les plateformes dans l’intérêt public) – Informatique

▶ Revoir la session

3) La mise en conformité transnationale

Les intervenants ont abordé dans cette session les défis de l'application du droit au-delà des frontières, en examinant les opportunités d'amélioration pour des textes comme le RGPD ou le futur règlement sur l'IA. La notion, souvent polysémique, d'"anonymisation des données" a également été au cœur des discussions. Le public a suscité des échanges sur les leçons à tirer de la décision de l'autorité allemande de s'appuyer sur le DSA pour faire retirer l'application DeepSeek des magasins d'applications.

• Helena KASTLOVA, chercheuse à l'Université de Princeton (États-Unis) - Report on extraterritorial enforcement of GDPR (Rapport sur l’application extraterritoriale du RGPD) - Droit
• Michal CZERNIAWSKI, chercheur à la Vrije Universiteit Brussel (Belgique) - From the General Data Protection Regulation to the Artificial Intelligence Act: Improving Extraterritorial Enforcement Through Criminal Law (Du règlement général sur la protection des données à la loi sur l’intelligence artificielle : améliorer l’application extraterritoriale par le droit pénal) -  Droit
• Ludovica ROBUSTELLI, postdoctorante à l'Université de Nantes (France) - Guidance in anonymization: When Ambiguity Meets Privacy-Washing (Orientation en matière d’anonymisation : quand l’ambiguïté rencontre le privacy-washing) – Droit et informatique

▶ Revoir la session

4) La protection des données à l'heure de l'IA

Dédiée aux enjeux de l'intelligence artificielle, cette session a questionné plusieurs phénomènes récents : les nouvelles formes de surveillance par IA, les détecteurs de discours haineux générés par IA, ou les discriminations produites par les systèmes de recrutement automatisés. Une question fondamentale a aussi été posée : quel équilibre trouver dans l'entraînement des modèles entre vie privée et utilité des données, notamment lorsque les modèles reposent sur l'usage de données synthétiques ?

• Clément LE LUDEC, postdoctorant à l'Université Paris Panthéon Assas (France) - Qui rend lisible les images ? L’intelligence artificielle au fondement d’une recomposition du travail de surveillance – Sociologie
• Xinyue SHEN, doctorante au CISPA Helmholtz Center for Information Security (Allemagne) - HateBench: Benchmarking Hate Speech Detectors on LLM-Generated Content and Hate Campaigns (HateBench : évaluation comparative des détecteurs de discours haineux sur du contenu généré par des modèles de langage et des campagnes de haine) – Informatique
• Nina BARANOWSKA, postdoctorante à l'Université de Radboud (Pays-Bas) - Equality Monitoring Protocol: using sensitive data in post-deployment monitoring of AI hiring systems (project FINDHR) (Protocole de suivi de l’égalité : utilisation de données sensibles dans le suivi post-déploiement des systèmes d’embauche basés sur l’IA) - Droit
• Juliette ZACCOUR, doctorante à l'Oxford Internet Institute, Université d'Oxford (Royaume-Uni) - Access Denied: Meaningful Data Access for Quantitative Algorithm Audits (Accès refusé : un accès significatif aux données pour les audits algorithmiques quantitatifs) - Informatique

▶ Revoir la session

5) Protéger les données de santé

Cette dernière table ronde a abordé la complexité de la protection des données de santé. Les discussions ont porté sur le gouvernement européen des données de santé, la place des mineurs dans le recueil du consentement et sur les stratégies des utilisatrices d'applications de suivi menstruel aux États-Unis suite à l'annulation de l'arrêt Roe v. Wade. Le débat a soulevé des questions qui nous concernent tous : comment bien choisir ses applications de santé et sommes-nous, en Europe, protégés d’un revirement jurisprudentiel comme aux États-Unis ?

• Laurène ASSAILLY, attachée d'enseignement et de recherche à Sciences Po Strasbourg (France) - Gouverner par le risque : les données de santé saisies par le droit européen - Sociologie
• Annagrazia ALTAVILLA, chercheuse à l'Espace Ethique PACA-Corse (France) - Childrenrights and data protection: fromprinciples to practices in biomedicalsector (Droit des enfants et protection des données : de la théorie à la pratique dans le secteur biomédical) – Droit et informatique
• Hiba LAABADLI, doctorante à l'Université Duke (États-Unis) - “I Deleted It After the Overturn of Roe v. Wade”: Understanding Women's Privacy Concerns Toward Period-Tracking Apps in the Post Roe v. Wade Era (« Je l’ai supprimée après l’annulation de l’arrêt Roe v. Wade » : comprendre les préoccupations des femmes en matière de vie privée concernant les applications de suivi des règles dans l’ère post-Roe v. Wade) - Droit et informatique

▶ Revoir la session

De nombreux projets présentés et exposés

En marge des conférences, le Privacy Research Day a également été l'occasion de découvrir plusieurs projets impliquant le LINC. Audrey Pety a ainsi présenté  les résultats de  l'Observatoire des parcours de l'exercice des droits (▶ Revoir la session).  Ce projet interne vise à analyser finement les parcours des utilisateurs souhaitant exercer leur droit d'accès sur les principales plateformes numériques. L'objectif est d'identifier les obstacles et les bonnes pratiques pour rendre ce droit fondamental plus effectif.

Cet événement a également été pour nous l'occasion de présenter les travaux de certains de nos collaborateurs :

• Le Data AirBag (▶ Revoir la session) : Porté par Corentin Loubet (doctorant à l'ENSAD), ce projet de "design friction" a beaucoup interpellé. Il se matérialise par un clavier d'ordinateur qui se gonfle progressivement, empêchant la frappe à mesure que l'utilisateur renseigne des données personnelles. Une manière saisissante de rendre tangible le volume de données que nous partageons.

• L'Archive des bandeaux cookies (▶ Revoir la session) : Mené par Yana Dimova (doctorante à l'université KU Leuven), ce projet ambitieux analyse les archives du web pour étudier l'impact de la régulation européenne sur la mise en conformité des bandeaux cookies au fil du temps.
   

Deux prix pour récompenser la recherche sur la vie privée

En parallèle du processus d'évaluation des propositions de communication pour le Privacy Research Day, la sélection de deux prix a eu lieu la sélection par deux jurys indépendants a également été l'occasion de décerner deux prix :

• La 9e édition du Prix CNIL-INRIA (▶ Revoir la session), qui récompense le meilleur article dans le domaine de l'informatique et de la protection de la vie privée. Il a récompensé cette année Nataliia Bielova, Cristiana Santos et Colin Gray pour leur publication "Two worlds apart! Closing the gap between regulating EU consent and User studies“ (Deux mondes à part ! Combler le fossé entre la réglementation du consentement de l'UE et les études sur les utilisateurs).
• La 1e édition du Prix CNIL-EHESS (▶ Revoir la session), qui distingue la meilleure publication en sciences humaines et sociales sur cette même thématique Il a récompensé cette année Laurène Assailly pour sa thèse "La santé des données : enquête sur un travail hospitalier de production, de contrôle et de mise en accès de données de santé face aux stratégies d'action public pour les valoriser".

Ces deux prix marquent le souhait de la CNIL d'encourager et valoriser une recherche pluridisciplinaire indispensable à la compréhension et à la protection des données et de la vie privée.