L'appel de la protection des données : Nataliia Bielova ou le parcours d'une étoile montante

Le plus drôle dans mon histoire, c’est que les questions de vie privée ne m’intéressaient vraiment pas au départ. Mon année de postdoc au Centre Inria de Rennes était consacrée au contrôle des flux d'information et mécanismes de sécurité formels pour les langages de programmation. Jusqu’à ce qu’en 2012, je me rende à San Francisco pour assister à la conférence IEEE Security & Privacy, rendez-vous de référence pour les experts de mon domaine et dans lequel je rêvais d’être publiée un jour. Le deuxième jour, ma route croisa celle d’une jeune doctorante et de son poster qui résumait les conclusions de son dernier article. Franziska Roesner nous expliquait avec passion comment repérer et se protéger des mécanismes de traçage en ligne. Je me rappelle avoir pensé : « wow, quel travail extraordinaire, j’aimerais tellement faire quelque chose comme ça un jour ! ».

De retour à la maison, je me suis mise à creuser ces questions de traçage en ligne et c’est là que je suis tombée sur les travaux d’Ashkan Soltani et de ses collègues. Ces derniers enquêtaient à l’époque sur la réapparition des cookies - processus par lequel les cookies sont recréés après avoir été supprimés par l’utilisateur.

Il y avait eu un avant et un après San Francisco, mais il me faudra encore quelques années avant de faire le grand saut. Dans l’ordre : j’ai commencé par réorienter mes recherches vers les problématiques de traçage en ligne, accouché de ma fille et rejoint le Centre Inria de Sophia Antipolis en tant que chargée de recherche. C’est là que j’ai rencontré Guillene Ribière du STIP (Service transfert pour l'innovation et partenariats). Nos échanges à bâtons rompus m’ont vite convaincue de me rendre au CPDP, grande conférence juridique en Europe, pour y découvrir que l’équipe Privatics d’Inria collaborait déjà étroitement avec juristes et régulateurs dans une dynamique de recherche transdisciplinaire.

Au même moment, mon premier doctorant, Doliere Francis Some, commençait à déployer ses mesures à grande échelle pour détecter les vulnérabilités sur un million de pages web. Si ces mesures automatisées relèvent de l'informatique pure, j’ai vite compris que moi aussi, j’avais besoin de juristes pour poursuivre mes travaux. L'obtention de la bourse Jeunes chercheuses et jeunes chercheurs de l'Agence nationale de la recherche (ANR JCJC) pour le projet PrivaWeb en 2018 m'a donc permis de mettre en place ma première équipe transdisciplinaire. Sa mission : étudier le problème complexe de la conformité des sites web avec les lois censées protéger les utilisateurs.

La chercheuse en droit Cristiana Santos m’a rejointe en 2019 et ensemble, nous avons découvert que des centaines de sites web utilisaient des bandeaux cookies qui ne respectaient en rien les choix des utilisateurs. Nos travaux furent publiés en 2020 lors de la fameuse conférence IEEE Security & Privacy à laquelle j’avais assisté à San Francisco : huit ans plus tard, mon rêve devenait réalité ! L'ONG None Of Your Business (NOYB) embrayera immédiatement sur nos travaux pour déposer trois plaintes RGPD auprès de la Commission nationale de l'informatique et des libertés (CNIL). Au cours des trois années suivantes, notre article sera cité plus de 200 fois et servira de base à NOYB pour déposer pas moins de 500 plaintes auprès des autorités européennes de protection des données. L’autorité belge utilisera même les arguments de notre article scientifique pour justifier sa décision d'infliger une amende à IAB Europe pour violations du RGPD.

Au même moment, Colin M. Gray, expert du design et de l’IHM (Interface Homme-machine), venait de publier sa toute première taxonomie des dark patterns. Omniprésents et difficiles à réguler, ces mécanismes cachés au sein des bandeaux cookies trompent les utilisateurs au point de leur faire faire des choses qu'ils n'auraient pas faites autrement.

Nos réunions matinales virtuelles avec Colin au beau milieu de la pandémie de COVID-19 donnèrent bientôt naissance à un papier unique en son genre : la toute première étude  faisant appel à l’expertise conjointe d’informaticiens, de juristes et de spécialistes du design et de l’interface Homme-machine. Publiés lors de la conférence de référence en matière d’IHM, l’ACM CHI'2021, nos travaux ont atteint un sommet réservé aux 5% des articles jugés les plus prometteurs : l’ "Honorable Mention Best of CHI".

Aujourd’hui, si vous me demandez comment se portent les lois de protection de la vie privée, je dirais que le ciel s’est éclairci sur des pays comme la France grâce aux efforts sans relâche des commissions comme la CNIL. J'ai passé un an dans leur laboratoire d'innovation numérique (LINC) à travailler sur la réglementation du traçage en ligne et des dark patterns tout en renforçant les liens entre la CNIL et le monde de la recherche. Ces liens sont d'autant plus importants que des menaces plus grandes et plus complexes se profilent à l'horizon dans les domaines des applications mobiles, de l’Internet des objets, des nouvelles interfaces vocales ou encore de la réalité augmentée/virtuelle.

Les collaborations avec les experts d’autres disciplines comme l’économie sont capitales aussi pour bien comprendre la complexité des écosystèmes technologiques et les intérêts commerciaux de chacun en leur sein. Sans cette analyse en profondeur, impossible pour le régulateur de bien protéger les citoyens contre les technologies sophistiquées qui font fuiter leurs données et les dark patterns qui les manipulent à grande échelle.

D'où l'importance de dépasser les seules sphères universitaires et réglementaires pour donner aussi aux citoyens les moyens d’agir par eux-mêmes. Lorsque mon collègue Cédric Lauradoux de l’équipe Privatics m’a contactée en 2017 pour contribuer au nouveau MOOC Inria Learning Lab sur la protection de la vie privée, je n’ai pas hésité un seul instant. À ce jour, plus de 43 000 participants francophones du monde entier y ont participé.

Ma jumelle juriste Cristiana Santos déploie à présent ses ailes dans les domaines hautement stratégiques du consentement et de la licéité des dark patterns à l'Université d'Utrecht et nous continuons de collaborer dans le cadre de sa chaire internationale de professeur junior Inria. J'ai par ailleurs eu la joie d’accompagner, aux côtés d’Arnaud Legout de l’équipe DIANA, d’autres chercheuses de talent : Imane Fouad (doctorante) et Vera Wesselkamp pendant son stage de maîtrise. En plus de voir nos recherches sur la détection du traçage en ligne publiées par la PoPETs'21, conférence de référence dans le domaine, Imane fut conviée par la FTC (Federal trade commission) à présenter ce travail. Son article suivant sur la réapparition des cookies a reçu l’honorable mention du "meilleur article 2023 sur la protection de la vie privée publié par un étudiant pour les décideurs", décerné par le Future of Privacy Forum’s "Privacy Papers for Policymakers".

Oui, je suis extrêmement fière de la réussite de mes étudiants et il me tarde qu’ils savourent cette grande liberté scientifique que nous offre Inria. Je les encourage aussi souvent à prendre le temps de bâtir leur réseau professionnel, à assister aux conférences qui comptent et à se parler ouvertement entre eux des hauts et des bas de leur parcours académique. Un projet qui me tient particulièrement à cœur au sein de ma communauté de chercheurs consiste à doter chacune de nos conférences de garderies d’enfants gratuites ; une pratique qui permettrait à beaucoup plus de chercheuses de prendre part à ces conférences qui comptent tant pour leur carrière académique.

En partageant ma propre expérience dès que j’en ai l’occasion, je souhaite aussi encourager davantage de filles à envisager l’informatique ou la recherche transdisciplinaire comme orientation de carrière. Car si j’en crois mon propre parcours, un seul role model féminin peut avoir un impact déterminant sur le choix d’orientation d’une jeune femme.

En plus de continuer à tisser des liens entre recherche et régulateurs au sein et à l’extérieur de l'UE (Union européenne), j’élargis la portée de mes recherches, au-delà des lois de protection des données, aux lois qui régissent la protection du consommateur et la concurrence mais aussi aux nouvelles lois de l'UE (Digital Services Act package - DSA et DMA, Data Governance Act ou encore AI Act). Mes travaux feront également l'objet de collaborations transdisciplinaires de plus en plus nombreuses avec des chercheurs en économie et bientôt, je l'espère, avec des chercheurs en psychologie, en neurosciences et en interaction cerveau-ordinateur.