Quand la CNIL convoque les meilleurs chercheurs du monde pour parler de nous — de nos données, de nos peurs, de nos droits. Retour sur une journée qui aurait dû faire beaucoup plus de bruit.

Il y a des événements qui passent sous les radars du grand public alors qu’ils méritent une tout autre attention. Le Privacy Research Day, organisé par la CNIL le 24 juin 2026, est de ceux-là. Pas de keynote clinquante, pas de promesse de licorne technologique. Juste des chercheurs, des régulateurs et des questions qui fâchent — posées sans détour, dans un cadre qui n’a pourtant rien d’anodin : celui du G7 des autorités de protection des données, accueilli cette année à Paris.

Cinq ans que la CNIL organise ce rendez-vous. Cinq ans que cet événement grandit, s’internationalise, s’affine. Et pour cette édition 2026, le message est limpide : la protection de la vie privée n’est plus une affaire de juristes en chambre. C’est un chantier collectif, technique, politique, humain — et urgentissime.

Voici le résumé de 2 panels qui m’ont marqué

L’IA dérégulée : un angle mort qui commence à se voir

On commence fort. Le premier panel de la journée ne prend pas de gants : l’intelligence artificielle 

est-elle vraiment régulable ? Et surtout : ceux qui prétendent la rendre « sûre » jouent-ils vraiment le jeu ?

Côté technique d’abord. Des chercheurs de l’Institute of Science de Tokyo ont présenté un état de l’art glaçant sur les attaques par reconstruction de données — ces techniques qui permettent, à partir d’un modèle d’IA entraîné, de reconstituer les données personnelles qui ont servi à le nourrir. Autrement dit : ce que vous avez confié à une plateforme peut, dans certaines conditions, être extrait d’un algorithme. Et les outils pour mesurer ce risque sont encore balbutiants. L’urgence de définir des métriques standardisées n’est pas une posture académique — c’est une nécessité réglementaire.

Mais le coup le plus politique est venu d’ailleurs. Des chercheurs de l’Université de Pennsylvanie et de l’Institut Max Planck ont disséqué le discours de la « sûreté » (safety) tel qu’il est utilisé par les grandes entreprises de l’IA générative. Leur conclusion est cinglante : derrière ce mot valise se cache souvent une stratégie de communication bien rodée, qui permet aux acteurs dominants de se présenter comme responsables tout en échappant à toute contrainte juridique contraig

nante. L’auto-régulation comme bouclier. On connaissait le procédé dans d’autres industries. L’IA n’y échappe pas.

Et pour boucler la boucle, une troisième étude s’est intéressée à ce que les citoyens européens pensent, eux, de l’AI Act. Spoiler : leurs perceptions du risque ne coïncident pas toujours avec les catégories retenues par Bruxelles. Une dissonance qui devrait interpeller le législateur — et qui rappelle qu’une bonne régulation ne peut pas se construire sans consulter ceux qu’elle est censée protéger.

C’est le panel qui aurait dû faire la une des journaux.

Vous remplissez un formulaire en ligne pour obtenir un devis d’assurance, ou vous cliquez sur une publicité un peu trop aguicheuse. Ce que vous ne savez pas, c’est ce qui arrive à vos données ensuite. Le panel 3 a reconstitué cette chaîne invisible — et le tableau est préoccupant.

Des chercheurs de KU Leuven ont d’abord exposé une technique de contournement particulièrement retorse : certai

ns acteurs du web exploitent des connexions locales silencieuses sur mobile pour faire le lien entre votre navigation web et vos applications, contournant ainsi les protections mises en place par Android. Vous pensiez que votre téléphone vous protégeait ? Pas toujours.

Vient ensuite l’enquête sur le lead marketing — cet écosystème opaque qui consiste à collecter des données d’intention sur le web, les agréger, les enrichir, puis les revendre à des annonceurs ou à des centres d’appels. Des chercheurs de l’Université de Californie ont documenté ce cycle de vie complet de la donnée, de sa naissance à sa monétisation. Ce démarchage téléphonique intempestif que vous recevez sur votre assurance vie ou votre crédit immobilier ? Il a une histoire. Une histoire qui commence dans un formulaire que vous avez rempli il y a six mois sur un site que vous avez oublié.

Enfin, une question que beaucoup se posent sans oser y croire : et si on pouvait, d’un seul geste, dire non à tout ça ? C’est l’am

bition du Global Privacy Control, déjà déployé en Californie. Une équipe internationale a étudié sa faisabilité en Europe. Pourrait-il remplacer ces interminables bannières de cookies ? La réponse est nuancée — mais l’espoir est réel.

Photo des représentants des autorités de contrôle du G7

Les plus fragiles, les plus exposés

Le panel sur la protection des publics vulnérables est peut-être le plus humain de la journée. Et le plus difficile à lire.

On a trop longtemps pensé la vie privée comme un enjeu pour des utilisateurs avertis, équipés, conscients. Mais que se passe-t-il pour ceux qui ne le sont pas — ou qui ne peuvent pas l’être ?

Des chercheurs de l’UQAM ont planché sur les jeux mobiles destinés aux enfants de moins de 13 ans au Canada. Leur verdict est sans appel : les plateformes déploient des stratégies de conception délibérément conçues pour maximiser la collecte de données, laissant les parents dans une quasi-impossibilité de protéger leurs enfants. Ce n’est pas un accident de design. C’est un choix.

Une étude menée par Google et plusieurs universités américaines s’est quant à elle penchée sur les arnaques financières en ligne sous un angle rarement exploré : celui des émotions. Les chercheurs montrent que les fraudeurs ne s’attaquent pas à des failles techniques — ils s’attaquent à des personnes fragilisées, en jouant sur la détre

sse, l’urgence, l’espoir. Une manipulation émotionnelle d’autant plus dévastatrice que ses victimes se sentent souvent coupables après coup.

Enfin, une étude venue de Chine a exploré le rôle des proches dans la protection des seniors contre les fraudes numériques. Un rôle crucial, mais ambigu : être protégé par sa famille, c’est aussi parfois perdre une part de son autonomie. La question de la vulnérabilité numérique touche, in fine, à celle de la dignité.

Ce panel était modéré par Philippe Dufresne, Commissaire à la protection de la vie privée du Canada —

 un symbole fort, à l’heure où les questions de vulnérabilité dépassent largement les frontières.

 

Sources :

https://www.cnil.fr/fr/privacy-research-day-2026

https://arxiv.org/abs/2501.10803

https://www.usenix.org/system/files/usenixsecurity25-wen.pdf

https://dl.acm.org/doi/10.1145/3772318.3791632?__cf_chl_f_tk=KRlGSTSmjelTjpKohmNXjtdVpUFkzGKUmPYe2CmyA6o-1782827029-1.0.1.1-l5njK.jyW5WyNSHSVgqKTpvfSs53PdhWeZ4pDWBg.V4

https://arxiv.org/abs/2604.06218

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.