CE39 - Sécurité Globale et Cybersécurité

Protection de la vie privée et le respect de la réglementation ePrivacy pour les utilisateurs Web – PrivaWEB

PrivaWEB

Privacy Protection and ePrivacy Compliance for Web Users

Large-scale measurement, detection and classification of advanced Web tracking technologies; Analysis of GDPR and ePrivacy ;Evaluating users’ concerns and usability of Web tracking protection

PrivaWEB aims at developing new methods for detection of advanced Web tracking technologies and new tools to integrate in existing Web applications that seamlessly protect privacy of users. In this project, we will integrate three key components into Web applications: privacy, compliance and usability. Our research will address methodological aspects (designing new detection methods and privacy protection mechanisms), practical aspects (large-scale measurement of Web applications, browser extensions implementation), and usability aspects (user surveys to evaluate privacy concerns and usability of existing and new protection tools). PrivaWEB project contains three major tasks: <br />Task 1. Large-scale measurement in order to detect and classify advanced Web tracking technologies. <br />Task 2. Analysis of GDPR and ePrivacy Regulation in order to identify when user consent is needed, and whether it is possible to detect Web tracking behavior for consent exception automatically. <br />Task 3. Evaluating users’ concerns and usability of Web tracking protection mechanisms and in devising new generation protection tools from advanced Web tracking.

Technical:

We have used one existing measurement platform for large-scale data collection (OpenWPM) and developed our own web crawler Cookinspect to detect and analyse cookie banner providers at scale. Using an adopted version of OpenWPM, we have collected traffic and cookie-related data from 85K websites, while with Cookinspect we have gathered data on the usage of consent banners on 23K EU domains.

We developed an open source “Cookie Glasses” browser extension that brings transparency to the banners that rely on IAB Europe TCF.

We have detected the presence of 16.8K Google Chrome extensions on the web browsers of 16.4K users who have visited our testing website and found out that 55% of users with at least one extension are uniquely identifiable by their browser extensions.

Legal:

Since 2019, the W3C has announced that the DNT candidate is obsolete, while the ePrivacy Regulation that was expected to be finalized by the EU in early 2019 is still under discussion. We have adopted the project’s investigation into the curret EU Data Protection framework: GDPR and ePrivacy Directive.

We proposed a fine-grained classification of stateful web tracking behaviours. We identified the behavioral patterns for cookie synching that allows companies to exchange user data even if the user has deleted some of the cookies. Published at the top privacy international journal, PoPETs 2020.

We have identified 4 potential violations of GDPR and ePrivacy directive in cookie banners. The large-scale analysis with Cookinspect, as well as fine-grained analysis with Cookie Glasses revealed suspected violations of GDPR and ePrivacy on 54% of websites that we analysed. Published at one of the top-4 flagship security and privacy international conferences, IEEE S&P 2020.

We have adopted the project’s investigation into the curret EU Data Protection framework: GDPR and ePrivacy Directive. We have analysed both legal and technical requirements from GDPR and ePrivacy Directive and identified 22 fine-grained requirements and means to verify them with manual, computer science tools or user studies. This work, comprised in 45 page journal article, had been published at the international journal Tehcnology and Regulation, 2020.

We concluded that only the purpose of a tracking technology can determine exception from user consent. We have then performed large-scale analysis of 20K third party cookies and concluded that their purpose doesn’t comply with the GPDR and ePrivacy requirements for 95% of the cookies. Published at the international workshop IWPE 2020.

Our collaboration with Cristiana SANTOS on legal and technical requirements of consent in websites have attracted attention of a design scholar, Colin M. GRAY who is internationally known for his work on dark patterns and manipulation in the UX design. Together with Colin M. GRAY we extended our work on legal analysis of cookie banners to design analysis. This work achieved very positive reviews in the top-rang peer- reviewed international conference ACM CHI 2021.

“None Of Your Business« (NOYB) NGO issued a complaint to the French Data Protection Authority (CNIL) based on the results of our work where we detected potential violations of GDPR and ePrivacy directive in cookie banners of hundreds of websites. NOYB used our open source “Cookie Glasses” browser extension that brings transparency to the banners that rely on IAB Europe TCF. The complaint addressed three popular French websites: CDiscount, AlloCine and VanityFair. December 2019.

This outstanding impact on society has been covered in a number of medias (selection below):

www.lemonde.fr/pixels/article/2019/12/10/vie-privee-cdiscount-allocine-et-vanity-fair-vises-par-une-plainte-d-une-ong_6022380_4408996.html

www.businessinsider.fr/cdiscount-et-2-autres-sites-francais-auraient-collecte-des-donnees-dutilisateurs-malgre-leur-refus/

www.nextinpact.com/news/108495-cookies-refuses-mais-installes-cdiscount-allocine-et-vanity-fair-attaques-devant-cnil.htm

Dark Patterns and the Legal Requirements ofConsent Banners: An Interaction Criticism Perspective Colin M. Gray, Cristiana Santos, Nataliia Bielova, Michael Toth, Damian Clifford. ACM CHI Conference on Human Factors in Computing Systems (ACM CHI 2021) Accepted for publication.

Do Cookie Banners Respect my Choice? Measuring Legal Compliance of Banners from IAB Europe’s Transparency and Consent Framework. Ce´lestin Matte, Nataliia Bielova, Cristiana Santos. IEEE Symposium on Security and Privacy (IEEE S&P 2020).

On Compliance of Cookie Purposes with the Purpose Specification Principle. Imane Fouad, Cristiana Santos, Feras Al Kassar, Nataliia Bielova and Stefano Calzavara
International Workshop on Privacy Engineering (IWPE 2020)

Purposes in IAB Europe’s TCF: which legal basis and how are they used by advertisers? Ce´lestin Matte, Cristiana Santos, Nataliia Bielova. Annual Privacy Forum (APF 2020).

Security Analysis of Subject Access Request Procedures.
Coline Boniface, mane Fouad, Nataliia Bielova, Ce´dric Lauradoux, and Cristiana Santos. Annual Privacy Forum (APF 2019).

Le Web est devenu un élément essentiel dans nos vies : des milliards de personnes utilisent quotidiennement des applications Web et, ce faisant, laissent leurs traces digitales sur des millions de sites Web. Ces traces permettent aux entreprises de publicité, ainsi qu’à des courtiers de données de recueillir en permanence une grande quantité d’informations associées aux utilisateurs et d’en tirer profit. Dans le même temps, les utilisateurs n'ont aucun contrôle sur qui collecte leurs données et quand. Même les extensions qui sont connues pour garantir la protection des données personnelles ne permettent pas de protéger complétement la vie privée des utilisateurs, car les entreprises utilisent des techniques sophistiquées pour les tracer sur le Web. Dans le même temps, les propriétaires de sites Web incluent une grande quantité de contenus et de scripts tiers sur leurs sites, souvent pour en mesurer l'audience, ou pour ajouter des fonctionnalités supplémentaires. Cependant, les propriétaires de sites Web ne contrôlent pas si un tel contenu est en capacité de tracer leurs utilisateurs.

Pour donner plus de contrôle aux utilisateurs sur leurs données, et tenir les propriétaires de sites Web responsables des traçages tiers qu'ils induisent, la future réglementation de l'UE ePrivacy apportera une transformation significative dans l'écosystème du suivi Web. La vie privée en ligne sera basée sur la notion de consentement de l'utilisateur, qui permettra aux utilisateurs d’avoir un contrôle croissant sur leurs données. Pour exprimer techniquement le consentement de l'utilisateur dans un navigateur Web, le W3C a proposé une norme Do-Not-Track (DNT). Le défi restant est de savoir comment le consentement peut être techniquement mis en œuvre dans les applications Web existantes sans les « briser », tout en protégeant les utilisateurs du Web.

PrivaWEB vise à développer des nouvelles méthodes pour détecter les technologies Web avancées de traçage, et de nouveaux outils à intégrer dans les applications Web existantes pour protéger avec transparence la vie privée des utilisateurs. Dans ce projet, nous intégrerons trois composants clés dans les applications Web : la protection de la vie privée, le respect de la ePrivacy et la facilité d'utilisation. Notre recherche abordera les aspects méthodologiques (conception de nouvelles méthodes de détection et mécanismes de protection), les aspects pratiques (des mesures à grande échelle d'applications Web, l’implémentation d’extensions pour le navigateur) et les aspects d'utilisation (réalisation d'enquêtes utilisateurs pour évaluer l'utilité des outils de protection existants et nouveaux).

Coordinateur du projet

L'auteur de ce résumé est le coordinateur du projet, qui est responsable du contenu de ce résumé. L'ANR décline par conséquent toute responsabilité quant à son contenu.

Partenaire

Inria - Sophia Antipolis Mediterranee Institut National de Recherche en Informatique et en Automatique

Aide de l'ANR 233 960 euros
Début et durée du projet scientifique : novembre 2018 - 42 Mois

Liens utiles

Explorez notre base de projets financés

 

 

L’ANR met à disposition ses jeux de données sur les projets, cliquez ici pour en savoir plus.

Inscrivez-vous à notre newsletter
pour recevoir nos actualités
S'inscrire à notre newsletter