Plus les chercheurs développeront des outils de protection efficaces, plus nous aurons la capacité de faire respecter la loi.
François Pellegrini
Coprésident du Prix européen CNIL – Inria
Pensez-vous que la protection de la vie privée soit devenue un sujet à part entière pour les chercheurs en informatique ?
Nataliia Bielova : Oui, ne serait-ce que parce qu’elle se situe au croisement d’enjeux de société très forts, d’aspects légaux et de technologies : cybersécurité, traitement des données, développement logiciel, interfaces, apprentissage automatique… Le champ scientifique est vaste et il mobilise beaucoup d’équipes, surtout en Europe. Au collège et au lycée, il n’existe pas encore de cours de protection de la vie privée. Mais les enseignants s’intéressent au domaine et montent en compétence.
François Pellegrini : Je ne suis pas en mesure d’affirmer que les travaux de recherche se multiplient. En revanche, il est certain que la thématique est soutenue par une couverture médiatique croissante et un cadre juridique fort, en particulier le RGPD*. De plus, il ne s’agit pas de théorie mais d’un enjeu pratique qui mêle science, réglementation et questions éthiques. C’est un contexte mobilisateur. La biométrie, par exemple, nous interroge sur les technologies d’acquisition des données, leur durée de conservation, leurs règles d’accès et d’utilisation, etc.
L’entrée en vigueur du RGPD a-t-elle changé la donne, pour les chercheurs et pour les États ?
Nataliia Bielova : C’est l’étape marquante qui a transformé l’ensemble de l’écosystème. Parce qu’il impose de mettre en conformité les outils existants et de démontrer cette conformité, le RGPD crée un puissant appel d’air dans le monde de la recherche publique et privée, en Europe et bien au-delà. Ce texte place la barre assez haut et les entreprises ont beaucoup à faire pour remplir leurs obligations. À l’inverse, il reste des zones grises, des violations difficiles à prouver ; c’est un terrain fertile pour mener des travaux.
François Pellegrini : Au départ, le RGPD a suscité les protestations des entreprises, qui affirmaient qu’il allait tuer leur business . Le même argument avait été utilisé pour les premières lois sur l’environnement. En réalité, le RGPD a déclenché une forte prise de conscience et libéré les énergies. En deux ans, il est devenu une marque mondiale, un standard de fait ; les États-Unis, par exemple, étudient un texte fédéral similaire. Quant aux chercheurs, ils ont un intérêt objectif à innover dans ce contexte.
En tant que coprésidents du jury, quel sens donnez-vous à ce prix CNIL — Inria ?
Nataliia Bielova : Il montre qu’en matière de sécurité et de protection de la vie privée, on peut mener des recherches pionnières sur des sujets très variés. À titre d’illustration, les trois premières éditions ont distingué des articles sur les preuves d’identité, la protection de la vie privée dès la conception logicielle ("privacy by design") et sur une technique de traçage des internautes, le "browser fingerprinting".
Autre considération : la recherche publique a une légitimité pour décerner ce prix. Elle n’est pas entravée par des intérêts privés et peut dévoiler ce qui est caché.
François Pellegrini : Je ne connais pas dans le monde de prix équivalent, c’est-à-dire coattribué par une autorité de régulation. La CNIL souhaite récompenser ce qui lui paraît pertinent, encourager les vocations et reconnaître l’importance de ce domaine scientifique, afin que les personnes puissent au final disposer de solutions techniques respectueuses de la loi, donc de leurs droits et libertés.
Le règlement du prix précise que les travaux présentés doivent être accessibles à un public non scientifique. Pourquoi ce critère ?
Nataliia Bielova : Les chercheurs restent libres de faire de la vulgarisation ou pas. Mais nous voulons les inciter à accélérer la prise de conscience et le changement de comportement des citoyens. Dans un monde idéal, les systèmes informatiques seraient intrinsèquement protecteurs. L’utilisateur n’aurait même pas à paramétrer ses préférences de vie privée. Dans la vraie vie, il se perd dans des choix qu’il ne maîtrise pas ou subit des techniques de détournement de l’attention ("dark patterns") qui lui font croire qu’il est protégé.
François Pellegrini : Il s’agit d’un sujet de société qui nous concerne tous, mais sur lequel la grande majorité des personnes manque de connaissances. Plus nous mettons en lumière des solutions innovantes et faciles à comprendre, plus nous révélons les problèmes de sécurité sous-jacents.
Les chercheurs peuvent-ils faire évoluer les politiques publiques et les réglementations ?
Nataliia Bielova : Aux États-Unis, il existe depuis dix ans un prix intitulé Privacy Papers for policy makers qui vise expressément cet objectif. Et à titre personnel, j’ai été frappée par une réflexion des parlementaires européens devant lesquels j’avais présenté certaines techniques de traçage des internautes, il y a deux ans : « Nous devrions écouter plus souvent les chercheurs ». Je suis convaincue que nous pouvons faire bouger les lignes.
François Pellegrini : Plus les chercheurs développeront des outils de protection efficaces, plus nous aurons la capacité de faire respecter la loi, en faisant en sorte que les solutions les moins protectrices n’aient plus droit de cité.