INRIA – Institut National de Recherche en informatique et automatique

07/02/2026 | News release | Distributed by Public on 07/02/2026 07:13

Protection des données : le combat de Cristiana Santos

Mis à jour le 02/07/2026

Comment mieux protéger les internautes face à la marchandisation de leurs données personnelles ? Tel est l'objectif majeur des recherches de Cristiana Santos, professeure associée en droit à l'Université d'Utrecht et titulaire d'une chaire Internationale Inria. À travers cet entretien, elle nous présente les enjeux de son travail qui a déjà contribué à plusieurs grandes avancées en matière de protection des données.

Image

Verbatim

D'un point de vue technique, les pratiques de traçage ont aussi évolué. Ainsi, il est d'autant plus important de combiner les analyses juridiques et les investigations techniques.

Auteur

Cristiana Santos

Poste

Chaire internationale Inria

Quel a été votre parcours avant d'obtenir cette chaire internationale Inria ?

Tout d'abord, je suis titulaire d'un doctorat international conjoint en droit, sciences et technologies (Université de Bologne) et en informatique (Université du Luxembourg). Ma thèse portait sur la modélisation d'informations juridiques à l'aide de modèles de données informatiques. Ensuite, j'ai fait un postdoctorat à l'Université de droit de Toulouse.

Puis, en 2020, j'ai rejoint Inria : j'ai été recrutée pour un postdoctorat sur la protection des données privées en ligne au Centre Inria d'Université Côte d'Azur. Nataliia Bielova, directrice de recherche, recrutait un profil avec de l'expérience dans la protection des données pour compléter son équipe qui disposait déjà d'une expertise technique. Ce mélange de connaissances juridiques et techniques était essentiel pour surveiller les pratiques en lignes à travers plusieurs perspectives. L'objectif était de comprendre comment la collecte et l'utilisation des données personnelles était régulé en pratique. J'ai exploré la définition d'une donnée personnelle, ainsi que les implications liées au consentement à les partager, et les obligations juridiques et techniques que les sites internet doivent respecter au moment de demander ce consentement. C'était passionnant de veiller à la légalité sur l'interface et au-delà.

Aujourd'hui, je suis professeure associée en droit à l'Université d'Utrecht et parallèlement, j'occupe cette chaire internationale Inria jusqu'en 2028.

Concrètement, en quoi consistent les techniques utilisées pour collecter abusivement les données des internautes ?

Notre recherche s'est concentrée sur les bannières apparues sur les sites pour récolter le consentement des utilisateurs. C'est une étape qui passe souvent inaperçue : un simple clic sur un bouton de couleur suffit pour consentir à partager vos données laissées en visitant un site, à travers les cookies et d'autres éléments qui servent à traquer vos données. Or, les conséquences peuvent mener à une utilisation abusive et illégale de ces données, y compris les plus personnelles, sur les orientations sexuelles, l'état de santé, ou encore les opinions politiques. Cela peut être utilisé par les compagnies d'assurance ou les employeurs, et peut conduire à du harcèlement ou même de la violence.

Quel est le procédé utilisé ?

D'abord, vous cliquez sur un bouton vert qui donne votre accord pour que le site récolte vos données via les technologies de traçage. Puis, celles-ci sont partagées avec des centaines de tierces parties, notamment des courtiers et des entreprises de publicité. Ainsi, des publicitaires, mais aussi des banques ou des compagnies d'assurance, ont accès à des données sur votre comportement en ligne, dans votre vie quotidienne, relatives par exemple à vos loisirs, vos habitudes alimentaires, votre santé… Tout ce dispositif produit un impact réel et implique des entreprises qui ne subissent que peu ou pas du tout de régulations. Cette situation nécessite donc d'agir.

Peut-on alors parler de manipulation ?

Oui, et cela passe par de toutes petites choses parfois difficiles à saisir, car le design est important pour le respect de la vie privée en ligne. Par exemple, le bouton pour donner votre consentement est souvent plus gros et plus visible que celui qui refuse le partage de données, quand celui-ci n'est pas tout simplement absent. Dès l'interface, il est donc possible d'agir pour garantir un respect libre et éclairé du consentement de l'utilisateur.

À travers l'Europe, plusieurs centaines de plaintes ont été déposées face à des bannières jugées illégales. Par exemple, certaines masquaient le bouton pour refuser le consentement, d'autres utilisaient des codes couleurs visant à tromper les utilisateurs... Le problème, c'est que les entreprises qui créent ces bannières constituent des entités extrêmement puissantes dont l'activité doit être davantage régulée. Parfois, même les propriétaires des sites sur lesquels elles apparaissent ne sont pas vraiment conscients des conséquences. Eux aussi sont manipulés car ils sont à la recherche d'un service qu'ils ne maîtrisent finalement pas. Notre objectif est donc de déterminer ce qui se passe à l'écran, mais aussi de comprendre la partie technique qui découle du premier clic.

Que vous apporte Inria dans le développement de vos recherches ?

Avant tout, je bénéficie d'un dialogue transdisciplinaire primordial, car les informaticiens comme les juristes ne peuvent pas gérer seuls ces questions. Au sein d'Inria, notre travail est collaboratif et il implique la coopération de profils différents : des chercheurs en informatique, des spécialistes du droit, mais aussi des régulateurs car nos recherches produisent un impact concret sur les grandes entreprises et plus globalement la société.

Par exemple, nous avons transmis aux décideurs politiques nos travaux sur l'interface et la partie technique induite par les bannières relatives au consentement. Ainsi, nos conclusions sont ensuite utilisées par la Commission européenne, les régulateurs nationaux… Grâce à ces recherches, il est possible d'élaborer des mesures de protection au niveau européen. Un progrès capital car la protection des données fait partie des droits fondamentaux.

Depuis que vous avez commencé à travailler sur ce sujet en 2020, quelles ont été les grandes avancées européennes dans ce domaine ?

Les régulateurs reconnaissent de plus en plus que proposer une bannière de consentement n'est pas suffisant si le design encourage les utilisateurs à accepter le partage de leurs données. Nous avons aussi observé un engagement plus fort à travers le RGPD (Règlement général sur la protection des données), avec des décisions qui définissent un consentement valide et renforcent les droits des utilisateurs sur leur données personnelles.

Dans le même temps, l'adoption de législations numériques plus larges, comme le Digital Services Act et le Digital Markets Act, ont complété les règles de protection en remettant en cause le pouvoir des grandes plateformes, ce qui a amélioré la transparence dans l'écosystème numérique.

D'un point de vue technique, les pratiques de traçage ont aussi évolué. Les cookies récoltés par les tierces parties sont soumis à davantage de régulation, ce qui a eu pour conséquences pour certaines entreprises de se tourner vers d'autres techniques alternatives. Ainsi, il est d'autant plus important de combiner les analyses juridiques et les investigations techniques. Cette évolution a renforcé le besoin d'une approche interdisciplinaire qui examine non seulement l'aspect juridique, mais aussi comment les pratiques de collectes de données évoluent en pratique.

Autrement dit, il vous reste encore beaucoup à faire en tant que chercheuse experte de ces questions...

En effet, ma chaire internationale Inria s'achève en 2028, mais nous avons une liste de sujets à explorer qui devrait s'étendre bien au-delà ! Ainsi, toute une série d'idées, un agenda de recherches bien rempli et de nombreux travaux passionnants nous attendent. Quoi qu'il en soit, ce type de projet transdisciplinaire s'avère essentiel et nous trouverons toujours les moyens de continuer à travailler ensemble.

INRIA – Institut National de Recherche en informatique et automatique published this content on July 02, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on July 02, 2026 at 13:13 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]