Prix CNIL-Inria 2024 : le vote électronique et le marketing digital des enfants en question

À l’heure du tout numérique, la sécurisation des échanges d’informations revêt une importance capitale, surtout pour le vote électronique. Après avoir identifié des vulnérabilités dans le protocole mis en place pour les élections législatives en France de juin 2022, Alexandre Debant et Lucca Hirschi, chercheurs Inria dans l’équipe Pesto (commune à Inria et au Loria), ont proposé des solutions d’amélioration prises en compte avec succès dès le scrutin suivant. Ils viennent d'être récompensés par la huitième édition du Prix Cnil-Inria.

Lors des élections législatives de 2022, les ressortissants français résidant à l’étranger ont eu recours au vote électronique à distance. Si cette solution offre de nombreux avantages en termes d’organisation et d’accessibilité, elle nécessite toutefois la mise en place d’un protocole offrant les mêmes garanties de sécurité et de confidentialité que celles d’un bureau de vote traditionnel. « Pour les législatives de 2017, il n’y avait pas eu de vote par Internet car l’ANSSI (Agence nationale de sécurité des systèmes d’information) estimait que le système proposé à l'époque n’atteignait pas un degré de sécurité suffisant », rappelle Alexandre Debant.

« L’ANSSI émet un avis consultatif qui est généralement suivi par les autorités en charge de l’organisation des scrutins, complète Lucca Hirschi. En 2022, l’enjeu était d’importance puisque, si l’on tient compte du nombre de bulletins transmis, il s’agit de la plus grosse élection par voie électronique jamais organisée à l’échelle mondiale. Cette année, l'ANSSI avait donné son feu vert après audit. »

Les deux chargés de recherche se sont donc intéressés de près à l’opération. « Nos collègues Véronique Cortier, Pierrick Gaudry et Stéphane Glondu, qui développent la plate-forme de vote Belenios, ont été chargés de mettre en place un outil de vérification "tiers de confiance" lors de ces élections, expliquent-ils. De façon indépendante, nous nous sommes spontanément saisis de la question et avons voulu étudier les limites des mécanismes de défense. Un mois avant le scrutin, un document de présentation du protocole a été publié et, dès la première lecture, nous avons soupçonné des failles de sécurité potentielles. L’examen du code du programme n’a fait que confirmer nos craintes de la vacuité de l'outil de vérification tiers de confiance. »

Le ciblage des enfants difficilement repérable

Quand ils naviguent sur internet, les enfants constituent une cible particulièrement vulnérable vis-à-vis du marketing digital. Le droit européen les protège-t-il suffisamment ? C’est la question posée notamment par cet article interdisciplinaire, rédigé main dans la main par une juriste et une informaticienne. Juliette Sénéchal, professeur de droit privé à l’université de Lille, travaille auprès de l’équipe-projet Spirals du centre Inria de Lille, tandis qu'Oana Goga est chercheuse en informatique au CNRS et dans l’équipe-projet Cedar du centre Inria de Saclay.

« Le règlement européen sur les services numériques, ou Digital Services Act, mis en application le 17 février 2024, interdit le ciblage des mineurs par les publicités à partir de leur profil et de l’utilisation de données personnelles », rappelle Juliette Sénéchal. Le respect de la vie privée des plus jeunes serait-il ainsi garanti ? « Pas si simple, répond Oana Goga. Nous avons découvert que des régies publicitaires pouvaient placer une publicité sur un contenu vidéo précis. Cette pratique n’est pas un ciblage basé sur du "profilage" et reste donc autorisée. Un enfant peut être indirectement ciblé si la vidéo est un dessin animé par exemple. » Ce ciblage "contextuel" s’avère difficilement repérable puisqu’il vise un contenu spécifique. Et c’est justement ce qui est problématique...

Une voie détournée pour viser les plus jeunes

Pour aller plus loin, Oana Goga a mené une expérimentation : elle s’est glissée dans la peau d’un publicitaire pour tester des chaînes YouTube pour enfants. Elle a placé des petits films (neutres) sur des vidéos en ligne, à l’instar des publicités. Les enfants ont bien regardé ces images avant leurs vidéos, sans aucune modération des chaînes. Que cette possibilité existe est une chose, mais les publicitaires en abusent-ils ?

Pour le vérifier, la chercheuse a créé des faux profils pour visionner des vidéos pour enfants et elle a effectivement vu des publicités. Celles-ci sont-elles le fruit du hasard ou le résultat d’un vrai ciblage des mineurs ? « Le moteur de recherche ajoute systématiquement une note aux publicités pour donner les paramètres de ciblage. Nous avons ainsi pu distinguer les publicités qui ont ciblé la vidéo, ou au contraire celles qui ont ciblé le profil ou la localisation des utilisateurs. » Résultat : les chercheuses ont découvert que cette pratique de contournement est connue d’un petit nombre de publicitaires qui ciblent réellement les enfants.

Un éclairage innovant et interdisciplinaire

« Avec cet article, nous voulons alerter l’Union européenne sur cette possibilité détournée de ciblage des plus jeunes et appeler à la vigilance », insiste Juliette Sénéchal. En alliant leurs expertises, la juriste et l’informaticienne ont pu apporter un nouvel éclairage, sur les plans à la fois légal et technique, sur le ciblage des mineurs par des publicités en ligne, malgré le garde-fou du Digital Services Act. C’est cette approche innovante et interdisciplinaire qui a été récompensée en runner-up par le Prix Cnil-Inria.

« Notre article a permis de révéler ce sujet méconnu auprès du régulateur de la protection des données personnelles en France, la Cnil, se réjouissent les deux chercheuses. Notre prochain défi sera de collaborer avec l’Union européenne pour que tous les ciblages auprès des enfants soient empêchés, restreints ou affichés, qu’ils soient basés sur le profilage ou sur le contenu d’une vidéo. »