Tesi sul tema "Respect vie privée"

La notion de gouvernance semble recouvrir des thèmes proches du terme «gouverner», de la prise de décision et de l’évaluation.La gouvernance d’entreprise propose une nouvelle conception du processus de décision, accordant toute sa place à la concertation entre les parties prenantes. Le délégué syndical intervient dans ce sens, en effet, il a une mission de revendication (par exemple concernant la hausse des salaires), il est l’interlocuteur du syndicat auprès de l’employeur, il négocie avec ce dernier les normes de l’entreprise (accords et conventions collectives)Encadrée par des lois assurant l'indispensable transparence, la gouvernance d'entreprise serait théoriquement le moyen d'assurer au mieux les intérêts multiples des acteurs concernés (salariés et employeurs).C’est la raison pour laquelle il parait opportun de faire un parallèle entre l’exercice de la gouvernance d’entreprise par les acteurs concernés et le respect de la vie privée des salariés.Ce parallèle entre vie privée et gouvernance de l’entreprise a notamment été mis en exergue avec l’affaire Novartis (6 octobre 2004).L’entreprise Novartis a mis en place en 1999 un code de bonne conduite pour rappeler certains principes éthiques, seulement ce texte a été complété en juillet 2004 par de surprenantes dispositions jugées attentatoires à la vie privée des salariés par le Tribunal de Nanterre. Ce code de conduite demande notamment aux salariés de Novartis " qu'ils consacrent tout leur temps et toute leur attention au travail de Novartis pendant les heures de travail habituelles... Le temps requis pour une occupation extérieure peut générer une baisse de la productivité ". En outre, le groupe estime que "le temps requis pour une occupation extérieure, qu'elle soit de type gouvernemental, politique ou bénévole, peut générer une baisse de la productivité et de l'efficacité d'un collaborateur créant ainsi un conflit d'intérêts" Aussi Novartis exige également " une autorisation préalable " de la direction pour ce type d'activités.Le tribunal des référés de Nanterre va rendre une décision qui va porter en outre sur le fond en jugeant que ces " alinéas sont susceptibles de nuire à la santé mentale des salariés et portent atteinte à la vie privée ".La direction ne fera finalement pas appel et soumettra au Comité de groupe ainsi qu'au comité d’hygiène, de sécurité et des conditions de travail une nouvelle version de son code éthique.La gouvernance d’entreprise peut donc être limitée par le respect de la vie privée des salariés.La vie privée est l'ensemble des activités d'une personne qui relève de son intimité par opposition à la vie publique.Il parait plus juste de mentionner un "droit à l'intimité de la vie privée".En effet, il s’agit d’un droit fondamental, proclamé par la loi, inscrit dans la déclaration des droits de l'homme de 1948 (article 12), la Convention européenne des Droits de l’Homme et des libertés fondamentales (article 8), à l’article 9 du Code civil et à l’article 226-1 du Code Pénal.Les composantes de la vie privée n'ont pas fait l'objet d'une définition ou d'une énumération limitative afin d'éviter de limiter la protection aux seules prévisions légales. Les tribunaux ont appliqué le principe de cette protection, au droit à la vie sentimentale et à la vie familiale, au secret relatif à la santé, au secret de la résidence et du domicile, et au droit à l'image. Par ailleurs, il convient de préciser que c’est le contrat de travail qui détermine les règles, obligations et devoirs de chacune des parties (l’employeur et le salarié), il ne peut concerner que le temps passé au travail.Des circonstances extérieures à la vie professionnelle et tenant à la vie privée du salarié ne peuvent être prises en considération, sauf si elles affectent la relation salariale
The notion of governance seems to cover themes close to the term "to govern", of the grip of decision and the evaluation.It represents all the organs and the rules of decision, information (transparency) and supervision allowing the legal successors and the partners of a company, to see their respected interests and their voices in the functioning of this one.The governance of company proposes a new conception of the process of decision, granting all its place to the dialogue between the stakeholders.The union representative intervenes in this sense, indeed, he has a mission of claiming (for example concerning the increase in salaries), he is the interlocutor of the labor union(syndicate) with the employer, he negotiates with the latter the standards of the company (agreements and collective labor agreements)Framed by laws assuring the essential transparency, the governance of company would be in theory the way to assure at best the multiple interests of the actors concerned (employees and employers).It is the reason why it seemed convenient to draw a parallel between the exercise of the governance of company by the concerned actors and the respect for private life of the employees.The governance of company can be limited by the respect for private life of the employees.It is about a fundamental law, proclaimed by the law, registered in the bill of rights of 1948 (article 12), the European Convention on Human Rights and fundamental liberties (article 8), on the article 9 of the Civil code and on the article 226-1 of the Penal code.The components of the private life were not the object of a definition or a restrictive enumeration to avoid limiting the protection to the only legal forecasts. The courts applied the principle of this protection, in the right to life sentimental and in the family life, in the secret concerning the health, concerning the secret of the residence and the place of residence, and concerning the right(law) for the image

Le respect de la vie privée par construction est de plus en plus mentionné comme une étape essentielle vers une meilleure protection de la vie privée. Les nouvelles technologies de l'information et de la communication donnent naissance à de nouveaux modèles d'affaires et de services. Ces services reposent souvent sur l'exploitation de données personnelles à des fins de personnalisation. Alors que les exigences de respect de la vie privée sont de plus en plus sous tension, il apparaît que les technologies elles-mêmes devraient être utilisées pour proposer des solutions davantage satisfaisantes. Les technologies améliorant le respect de la vie privée ont fait l'objet de recherches approfondies et diverses techniques ont été développées telles que des anonymiseurs ou des mécanismes de chiffrement évolués. Cependant, le respect de la vie privée par construction va plus loin que les technologies améliorant simplement son respect. En effet, les exigences en terme de protection des données à caractère personnel doivent être prises en compte au plus tôt lors du développement d’un système car elles peuvent avoir un impact important sur l'ensemble de l'architecture de la solution. Cette approche peut donc être résumée comme « prévenir plutôt que guérir ». Des principes généraux ont été proposés pour définir des critères réglementaires de respect de la vie privée. Ils impliquent des notions telles que la minimisation des données, le contrôle par le sujet des données personnelles, la transparence des traitements ou encore la redevabilité. Ces principes ne sont cependant pas suffisamment précis pour être directement traduits en fonctionnalités techniques. De plus, aucune méthode n’a été proposée jusqu’ici pour aider à la conception et à la vérification de systèmes respectueux de la vie privée. Cette thèse propose une démarche de spécification, de conception et de vérification au niveau architectural. Cette démarche aide les concepteurs à explorer l'espace de conception d'un système de manière systématique. Elle est complétée par un cadre formel prenant en compte les exigences de confidentialité et d’intégrité des données. Enfin, un outil d’aide à la conception permet aux concepteurs non-experts de vérifier formellement les architectures. Une étude de cas illustre l’ensemble de la démarche et montre comment ces différentes contributions se complètent pour être utilisées en pratique
Privacy by Design (PbD) is increasingly praised as a key approach to improving privacy protection. New information and communication technologies give rise to new business models and services. These services often rely on the exploitation of personal data for the purpose of customization. While privacy is more and more at risk, the growing view is that technologies themselves should be used to propose more privacy-friendly solutions. Privacy Enhancing Technologies (PETs) have been extensively studied, and many techniques have been proposed such as anonymizers or encryption mechanisms. However, PbD goes beyond the use of PETs. Indeed, the privacy requirements of a system should be taken into account from the early stages of the design because they can have a large impact on the overall architecture of the solution. The PbD approach can be summed up as ``prevent rather than cure''. A number of principles related to the protection of personal data and privacy have been enshrined in law and soft regulations. They involve notions such as data minimization, control of personal data by the subject, transparency of the data processing, or accountability. However, it is not clear how to translate these principles into technical features, and no method exists so far to support the design and verification of privacy compliant systems. This thesis proposes a systematic process to specify, design, and verify system architectures. This process helps designers to explore the design space in a systematic way. It is complemented by a formal framework in which confidentiality and integrity requirements can be expressed. Finally, a computer-aided engineering tool enables non-expert designers to perform formal verifications of the architectures. A case study illustrates the whole approach showing how these contributions complement each other and can be used in practice

La vie privée est une notion jurisprudentielle, consacrée récemment par le législateur. Pourtant, elle n’est pas clairement définie. Elle s’inscrit dans un contexte éminemment variable. Par conséquent, son domaine et son régime juridique sont complexes à déterminer. Cependant, des notions telles que l’intimité, l’identité et la personnalité permettent de mieux cerner le concept de vie privée.L’évolution de la société et l’accroissement des nouvelles technologies ont des incidences sur la vie privée. Mise en péril, celle-ci doit être mieux protégée. Les juridictions françaises et la Cour européenne des droits de l’homme tentent de répondre à cette nécessité.Si la vie privée fait l’objet d’un droit au respect, son contentieux ne se cantonne pas seulement à un aspect défensif. Elle participe à l’épanouissement personnel de l’individu.Néanmoins, la protection de la vie privée est relative dans la mesure où elle se heurte à des intérêts antagonistes, tels que l’intérêt général et divers intérêts particuliers.Cette étude apportera des réponses sur la manière dont la vie privée est appréhendée par le droit
Privacy is a jurisprudential notion, recently established by the legislator. Nevertheless, it’s not yet clearly defined. Privacy lies within an utterly variable context. Consequently, its domain and legal system are difficult to determine. However, notions such as intimacy, identity and personality help apprehending the concept of privacy.The evolution of society and the spreading of new technologies have impacts on privacy. Jeopardized, it has to be better protected. French courts and European Court of Human Rights are attempting at this necessity.If privacy is subjected to a right of respect, its dispute isn’t limited to defense. Privacy also contributes to personal development.Yet, right of privacy is relative insofar as it draws antagonist interests, such as general interest and various particular interests.This study contributes to apprehending privacy with regard to the Law

Les croissances constantes de l’Internet et des services associés ont conduit à des problématiques naturellement liées au domaine de la cryptographie, parmi lesquelles l’authentification et le respect de la vie privée des utilisateurs. L’utilisation désormais commune d’appareils connectés (smartphone, tablette, montre, …) comme moyen d’authentification amène à considérer la génération et/ou la gestion de clés cryptographiques par de tels appareils pour répondre à ces besoins. Les résonances cryptographiques identifiées de ces deux cas d’étude sont respectivement le domaine des Fuzzy Extractors (« Extracteurs de Flous » en français) et les schémas de signature de groupe. D’une part, cette thèse présente alors le premier Fuzzy Extractror non basé sur la distance de Hamming à être réutilisable (dans le modèle de l’oracle aléatoire non programmable). Ce faisant, nous avons alors pu concevoir un module de génération de clés cryptographiques permettant d'authentifier un utilisateur à partir des ses appareils. D’autre part, deux schémas de signature de groupe basés sur la théorie des codes, respectivement en métrique de Hamming et en métrique rang sont également proposés. Ces deux schémas constituent des alternatives crédibles aux cryptosystèmes post-quantiques équivalents basés sur les réseaux euclidiens
Internet constant growth has naturally led to cryptographic issues such as authentication and privacy concerns. The common usage of connected devices (smartphones, tablet, watch, …) as authentication means made us consider cryptographic keys generations and/or managements from such devices to address aforementioned needs. For such a purpose, we identified fuzzy extractors and group signature schemes. On the one hand, this thesis then presents the first reusable fuzzy extractor based on set difference metric (in the nonprogrammable random oracle). In so doing, we were able to design a key generation module performing authentication from users’ devices. On the other hand, we came up with two group signature schemes, respectively based on Hamming and rank metrics, that seriously compete with post-quantum concurrent schemes based on lattices

L'augmentation rapide du nombre de transactions en ligne dans le monde moderne numérique exige la manipulation des informations personnelles des utilisateurs, y compris sa collection, stockage, diffusion et utilisation. De telles activités représentent un risque sérieux concernant le respect de la vie privée des informations personnelles. Le travail actuel analyse l'utilisation des architectures d'identité fédérées (AIF) comme une solution appropriée pour simplifier et assurer la gestion des identités numériques dans un environnement de collaboration. Cependant, la contribution principale du projet est la proposition d'un modèle de respect de la vie privée qui complète les mécanismes inhérents de respect de la vie privée de la AIF afin d'être conformes aux principes de respect de la vie privée établis par un cadre législatif. Le modèle de respect de la vie privée définit une architecture modulaire qui fournit les fonctionnalités suivantes : spécifications des conditions de respect de la vie privée, représentation des informations personnelles dans un format de données standard, création et application des politiques en matière de protection de la vie privée et accès aux informations personnelles et registre d'évènement. La praticabilité pour déployer le modèle de respect de la vie privée dans un environnement réel est analysée par un scénario de cas pour le projet mexicain d'e-gouvernement.

Les mécanismes de réputation sont des outils très utiles pour inciter des utilisateurs ne se connaissant pas à se faire confiance, en récompensant les bons comportements et, inversement, en pénalisant les mauvais. Cependant, pour que la réputation des fournisseurs de service soit précise et robuste aux attaques, les mécanismes de réputation existants requièrent de nombreuses informations qui menacent la vie privée des utilisateurs; par exemple, il est parfois possible de traquer les interactions effectuées par les clients. Des mécanismes de réputation préservant aussi bien la vie privée des clients que celle des fournisseurs sont donc apparus pour empêcher de telles attaques. Néanmoins, pour garantir des propriétés fortes de vie privée, ces mécanismes ont dû proposer des scores de réputation imprécis, notamment en ne permettant pas aux clients de témoigner de leurs interactions négatives.Dans cette thèse, nous proposons un nouveau mécanisme de réputation distribué préservant la vie privée, tout en permettant aux clients d'émettre des témoignages négatifs. Une telle construction est possible grâce à des outils issus des systèmes distribués -- des tierces parties distribuées qui permettent de distribuer la confiance et de tolérer des comportements malveillants -- et de la cryptographie -- par exemple des preuves de connaissance à divulgation nulle de connaissance ou des signatures proxy anonymes. Nous prouvons de plus que ce mécanisme garantit les propriétés de vie privée et de sécurité nécessaires, et montrons par des analyses théoriques et pratiques que ce mécanisme est utilisable
Reputation mechanisms are very powerful mechanisms to foster trust between unknown users, by rewarding good behaviors and punishing bad ones. Reputation mechanisms must guarantee that the computed reputation scores are precise and robust against attacks; to guarantee such properties, existing mechanisms require information that jeopardize users' privacy: for instance, clients' interactions might be tracked. Privacy-preserving reputation mechanisms have thus been proposed, protecting both clients' privacy and the providers' one. However, to guarantee strong privacy properties, these mechanisms provide imprecise reputation scores, particularly by preventing clients to testify about their negative interactions. In this thesis, we propose a new distributed privacy-preserving reputation mechanism allowing clients to issue positive as well as negative feedback. Such a construction is made possible thanks to tools from the distributed systems community -- distributed third parties that allow for a distribution of trust and that tolerate malicious behaviors -- as well as from the cryptographic one -- for instance zero-knowledge proofs of knowledge or anonymous proxy signatures. Furthermore, we prove that our mechanism guarantees the required privacy and security properties, and we show with theoretical and practical analysis that this mechanism is usable

L'objectif principal de la thèse est de proposer une méthode de recommandation prenant en compte la vie privée des utilisateurs ainsi que l'évolutivité du système. Pour atteindre cet objectif, une technique hybride basée sur le filtrage par contenu et le filtrage collaboratif est utilisée pour atteindre un modèle précis de recommandation, sous la pression des mécanismes visant à maintenir la vie privée des utilisateurs. Les contributions de la thèse sont trois : Tout d'abord, un modèle de filtrage collaboratif est défini en utilisant agent côté client qui interagit avec l'information sur les éléments, cette information est stockée du côté du système de recommandation. Ce modèle est augmenté d’un modèle hybride qui comprend une stratégie basée sur le filtrage par contenu. En utilisant un modèle de la connaissance basée sur des mots clés qui décrivent le domaine de l'article filtré, l'approche hybride augmente la performance de prédiction des modèles sans élever l’effort de calcul, dans un scenario du réglage de démarrage à froid. Finalement, certaines stratégies pour améliorer la protection de la vie privée du système de recommandation sont introduites : la génération de bruit aléatoire est utilisée pour limiter les conséquences éventuelles d'une attaque lorsque l'on observe en permanence l'interaction entre l'agent côté client et le serveur, et une stratégie basée sur la liste noire est utilisée pour s’abstenir de révéler au serveur des interactions avec des articles que l'utilisateur considère comme pouvant transgresser sa vie privée. L'utilisation du modèle hybride atténue l'impact négatif que ces stratégies provoquent sur la performance prédictive des recommandations
The main objective of this thesis is to propose a recommendation method that keeps in mind the privacy of users as well as the scalability of the system. To achieve this goal, an hybrid technique using content-based and collaborative filtering paradigms is used in order to attain an accurate model for recommendation, under the strain of mechanisms designed to keep user privacy, particularly designed to reduce the user exposure risk. The thesis contributions are threefold : First, a Collaborative Filtering model is defined by using client-side agent that interacts with public information about items kept on the recommender system side. Later, this model is extended into an hybrid approach for recommendation that includes a content-based strategy for content recommendation. Using a knowledge model based on keywords that describe the item domain, the hybrid approach increases the predictive performance of the models without much computational effort on the cold-start setting. Finally, some strategies to improve the recommender system's provided privacy are introduced: Random noise generation is used to limit the possible inferences an attacker can make when continually observing the interaction between the client-side agent and the server, and a blacklisted strategy is used to refrain the server from learning interactions that the user considers violate her privacy. The use of the hybrid model mitigates the negative impact these strategies cause on the predictive performance of the recommendations

Le principe du droit au respect de la vie familiale au sens de l'article 8 de la Convention européenne est bien connue de nos jours, il ne faut pas oublier que l'on peut retrouver ce principe dans d'autres textes internationaux dont le plus emblématique est sans aucun doute la Déclaration Universelle des droits de l'homme dont il convient de rappeler l'absence de force obligatoire. La jurisprudence relative au droit au respect de la vie familiale s'est peu à peu développée, en particulier en matière de droit des étrangers : désormais, le droit au respect de la vie familiale intègre l'ensemble des questions relatives aux mesures d'éloignement des étrangers comme par exemple les questions d'expulsions, de reconduite à la frontière, de refus de visa, etc. Les questions relatives à l'adoption d'enfants par des homosexuels ont été soumises à la Cour européenne des droits de l'homme sur le fondement de l'article 8 de la Convention. A ce jour, le droit à l'adoption par des homosexuels n'est pas reconnaître la juridiction européenne. Le Conseil d'Etat a d'abord consacré le principe du droit de mener une vie familiale normale pour tout étranger sur le territoire national, en lui reconnaissant de droit de faire venir de manière définitive son conjoint et leurs éventuels enfants ; la notion de droit au respect de la vie familiale a été ainsi élevée au rang de Principe Général du Droit par le Conseil d'Etat. Puis, il a refusé pendant de nombreuses années d'appliquer ce principe sous l'angle des dispositions de l'article 8 de la Convention européenne. Ce n'est qu'au début des années 1990 qu'il a accepté de modifier sa jurisprudence tout en faisant une application pour le moins restrictive du principe. Le Conseil d'Etat applique le principe du droit au respect de la vie familiale, au sens de l'article 8 de la Convention européenne, à l'ensemble du contentieux des étrangers ; le fait d'appliquer ce principe ne revient pas forcément à donner raison à chaque fois aux requérants. Le Conseil constitutionnel a accordé, par une célèbre décision de 1993, une valeur constitutionnelle à la protection du principe. Cette notion est reconnue au niveau international et en droit interne. Mais, elle finit par atteindre ses limites : la protection de la vie familiale ne passe t-elle pas par une notion plus vaste : celle du droit au respect de la vie privée ?

Les travaux présentés dans ce mémoire résument l'ensemble de mes activités dans le domaine de la résilience et du respect de la vie privée dans les systèmes ubiquitaires mobiles. Ils s'orientent sur trois axes principaux : l'utilisation de la réfléxivité pour la construction d'architectures sûres, la résilience des systèmes mobiquitaires (architectures, algorithmes et leur évalution), et la geoprivacy. Le premier axe concerne la tolérance aux fautes pour les systèmes distribués, sous un angle architecture et langage. Dans ces travaux, j' ai étudié l'utilisation de la réflexivité à la compilation et à l'exécution afin de faciliter l'implémentation de mécanismes de tolérance aux fautes indépendemment de l'application. L'utilisation de la réflexivité a été étudiée dans le cadre de travaux théoriques, concernant la réflexivité multi-niveaux, ou plus pratiques, comme la mise en oeuvre de la réflexivité sur des composants sur étagères, dans une architecture logicielle embarquée, ou pour permettre l'adaptation de mécanismes de tolérance aux fautes à l'exécution. Le chapitre 1 présente ces différents travaux. Le deuxième axe concerne la tolérance aux fautes dans les systèmes mobiles. Mon approche a été d'aborder la mobilité comme un atout et non pas comme une difficulté. Cette approche m'a mené à étudier la notion de communication de groupes géographiques : comment définir un groupe d'entités communicantes en fonction de leur localisation respective ou en fonction de leur proximité. J'ai ensuite, sous l'angle du pair-à-pair, proposé un système de sauvegarde coopérative de données, où les noeuds mobiles participants offrent un service de stockage sécurisé qu'ils peuvent utiliser afin de sauvegarder leurs données critiques. Cette solution a été également déclinée pour offrir un système de boîte noire virtuelle pour l'automobile. Ces travaux ont été traités sous des angles algorithmique et architecturaux, mais également sous l'angle de l'évaluation de la sûreté de fonctionnement, à la fois analytique et expérimentale. Ces travaux font l'objet du chapitre 2. Dans le cadre de mes recherches sur la résilience des systèmes mobiquitaires, des questions d'ordre déontologique ont été soulevées : comment exploiter des données de mobilité individuelles tout en préservant la vie privée des individus ? C'est à cette occasion que je me suis intéressé à ce que l'on peut nommer la geoprivacy. Ce domaine représente maintenant la majeure partie de mes travaux, tant sous l'angle des attaques que sous celui de la protection. Nous proposons un modèle Markovien de mobilité individuelle, outil à la fois compact, précis, intelligible et facilement adaptable pour représenter la mobilité d'un individu. Sur la base de ce modèle de mobilité, nous proposons plusieurs attaques qui ciblent par exemple la prédiction des déplacements futurs, ou encore la des-anonymisation. En ce qui concerne la protection de la geoprivacy, nous travaillons actuellement sur des abstractions de niveau intergiciel, tel les locanymes ou les localisation vérifiées, afin de proposer une architecture sûre et respectueuse de la vie privée pour les systèmes géolocalisés. Le chapitre 3 aborde ces aspects de ma recherche. Ces différents travaux se sont enchaînés dans un mélange de hasard, de sérendipité et de poursuite d'un objectif commun : fournir des moyens algorithmiques et architecturaux pour la résilience des systèmes informatiques actuels, à savoir distribués, mobiles, ubiquitaires. Les techniques et outils que j'utilise pour aborder cette problématique large auront été divers et variés, cela participe à mon expérience, sans cesse renouvelée. De nombreuses pistes de recherche sont encore ouvertes et sont exposées dans le chapitre 4.

La vie personnelle consiste en une logique d'autodétermination et de monopole informationnel sur les données intimes. La respecter signifie octroyer de l'autonomie et réduire la surveillance et le dépistage d'information sur les salariés. Il existe des zones de flous et d'imprécisions juridiques qui octroient une marge de manœuvre aux dirigeants : Jusqu'où peuvent-ils prôner le respect de la vie personnelle de leurs employés sans compromettre l'objectif de performance ? Selon la théorie standard de l'agence, les incitations réduisent l'opportunisme et stimulent la motivation extrinsèque. En psychologie, la théorie de l'autodétermination et de l'évaluation cognitive explique qu'un environnement de travail qui ne respecte pas la logique d'autodétermination de la personne, sape sa motivation autorégulée. Nous montrons que chaque situation de travail nécessite un certain équilibre entre ces deux types de motivations, dont on peut déduire les formes d'encadrement et de surveillance souhaitables – et par conséquent, le niveau optimal de respect de la vie personnelle à mettre en place. Nos hypothèses se trouvent globalement validées par un modèle d'équations structurelles élaboré sur la base de 568 questionnaires distribués auprès de salariés travaillant en France. Les résultats montrent l'effet d'éviction / de renforcement de la motivation autorégulée par un mode de management perçu comme une source de contrôle / un soutien à l'autonomie. Le management situationnel se présente comme une solution pour concilier le respect de la vie personnelle des salariés et l'objectif de performance de l'entreprise
Privacy consists in a logic of self-determination and informational monopoly on personal data. Respecting it means conceding autonomy and reducing monitoring and information screening on employees. There are legal vaguenesses in which managers find the possibility to choose between different levels of respect of workers' personal life: To what extent can they promote employees privacy without compromising organizational efficiency ? According to standard agency theory, incentives reduce opportunism and foster extrinsic motivation. In psychology, theory of self-determination and cognitive evaluation explains that a work environment which doesn't respect the logic of a person self-determination, crowds out her self-regulated motivation. We find that every work situation requires a particular equilibrium between those two types of motivations which implies appropriate forms of management and monitoring – and therefore, the optimal level of privacy. Our hypotheses are globally validated by a structural equations model based on 568 questionnaires distributed to French workers. Results show the crowding-out / crowding-in effect of self-regulated motivation by a type of management perceived as controlling / informative and autonomy supportive. Situational management appears to be a solution to conciliate the respect of employees' privacy with the firm's performance

Les applications Machine-to-Machine (M2M) fournissent plus de confort aux utilisateurs et permettent une utilisation optimale des ressources. Toutefois, ces applications ne présentent pas que des avantages. Ces dernières peuvent engendrer des problèmes de sécurité, voire porter atteinte à la vie privée de leurs utilisateurs. Dans cette thèse, nous nous intéressons à la sécurité des applications M2M, et plus précisément à l'authentification et la préservation de la vie privée d'utilisateurs d'équipements M2M dotés d'une carte SIM. Dans une première partie, nous proposons cinq nouvelles primitives cryptographiques, à savoir un schéma de signature partiellement aveugle, deux schémas de codes d'authentification de messages, ainsi que deux schémas d'attestations anonymes. Ces nouvelles primitives sont plus efficaces, voire fournissent des fonctionnalités nouvelles par rapport aux schémas de l'état de l'art et sont adaptées aux environnements limités en ressources telles que les cartes SIMs. En nous appuyant sur ces primitives, nous construisons de nouveaux protocoles préservant la vie privée des utilisateurs. Plus précisément, nous introduisons un nouveau système de paiement anonyme efficace. Nous proposons également un protocole d’authentification et d’identification anonyme pour la nouvelle génération de cartes SIMs connue sous le nom d'Embedded SIM. Par ailleurs, nous construisons un système d'accréditations anonymes. Enfin, nous spécifions un système de vote électronique efficace rendant inutile toute forme de coercition à l'encontre d'un électeur. La sécurité de toutes nos contributions est prouvée dans le modèle de l'oracle aléatoire sous des hypothèses classiques
Machine to Machine (M2M) applications enable a better management of resources and provide users With greater cornfort. Unfortunately, they also entail serious security and privacy concerns. ln this thesis, we focus on M2M security, and particularly on the authentication and privacy issues of M2M applications involving a SIM card. ln the first part, we design five new cryptographic primitives and formally prove that they meet the expected security requirements. More precisely, they consist of a partially blind signature scheme, a sequential aggregate Message Authentication Codes (MAC) scheme, an algebraic MAC scheme and two pre-Direct Anonymous Attestation (pre-DAA) schemes. Some of the proposed schemes aim to achieve a particular property that was not provided by previous constructions whereas others intend to improve the efficiency of state-of-the-art schemes. Our five schemes do not require the userls device to compute pairings. Thus, they are suitable for resource constrained environments such as SIM cards. ln a second part, we rely on these primitives to propose new privacy-preserving protocols. More specifically, we design an efficient private eCash system. We also propose a protocol enabling anonymous authentication and identification of embedded SIMs (eSlMs). Furthermore, we rely on our algebraic MAC scheme to build a practical Keyed-Verification Anonymous Credentials (KVAC) system. Finally, based on our sequential aggregate MAC scheme, we introduce a remote electronic voting system that is coercion-resistant and practical for real polls. The security of our protocols is formally proven in the Random Oracle Model (ROM) under classical computational assumptions

L’étude de la prise en compte de la vie privée dans l’innovation technologique est celle du régime juridique applicable aux données à caractère personnel. Cependant, la complexité contextuelle du sujet impose une analyse pragmatique, intégrant les éléments économiques et technologiques pour définir l’utilisation effective du droit dans et par l’innovation numérique. Cela passe nécessairement par une approche phénoménologique, expliquant le cheminement juridique qui a conduit le législateur à choisir une telle forme de protection, passant d’un droit au respect de la vie privée général à un régime spécifique applicable aux données à caractère personnel, puis à une observation de son efficacité à protéger l’essence de la vie privée. Au coeur de ce travail se trouve la volonté d’apporter des éléments de réponse objectifs permettant d’expliquer l’écart existant entre la faible confiancedu public accordée à la technologie en matière de respect de la vie privée, et les déclarations des législateurs sur l’efficacité des textes protecteurs. Alors que le consentement se trouve être la pierre angulaire du nouveau règlement général sur la protection des données, cette divergence mérite d’être analysée sur un plan juridique. Dès lors, on peut résumer cette thèse à une interrogation: quelle est l’efficacité réelle du régime de protection de la vie privée dans l’innovation technologique ?
The study of privacy within technological innovations is the study of the legal system surrounding personal data. However, the complexity and context of the subject imposes a pragmatic analysis, gathering elements of economy and technology, to define the reality of the use of the law by and within numerical innovations. As such, it necessitates a phenomenological approach, reviewing the historical steps that lead to the particular set of protections that the legislator has chosen, from a general protection of privacy towards a special regime applicable to personal data, and then an observation of its effectiveness to protect the essence of privacy. At the center of this work, we can find the will to understandthe gap between the trust given by the public to technology regarding the respect of one’s privacy and the declarations of legislators on the efficiency of the legislative response. Since the consent is the core principle of these regulations, this divergence deserves a legal analysis. Consequently, we can sum this thesis by a simple question: what it the real efficiency of privacy’s protection regime facing technological innovations ?

Le développement d’Internet et des services en ligne ont pour conséquence une multiplication des informations collectées auprès des utilisateurs - explicitement ou à leur insu. Bien plus, ces informations peuvent être divulguées à des tiers, ou croisées avec d’autres données pour constituer des profils d’utilisateurs, ou contribuer à l’identification d’un individu. L’intensité des activités humaines dans les réseaux sociaux constitue donc un terrain fertile pour de potentielles atteintes à la vie privée des utilisateurs. Ce travail de recherche a pour but d’étudier d’abord les déterminants socio-économiques de l’usage et de l’adoption de l’Internet dans une société en voie de développement. Ensuite, nous avons étudié la perception, le contrôle du risque, et la confiance perçue par l’utilisateur de l’Internet dans le contexte des réseaux en ligne (Facebook, LinkedIn, Twitter, Myspace, Viadeo, Hi5 etc.). Nous avons élaboré un questionnaire qui a été administré aux internautes gabonais. Nos résultats ont montré que le statut socio-économique et les conditions de vie des individus influencent fortement l’usage de l’Internet à Libreville et à Port- Gentil. En ce qui concerne la confiance perçue et le comportement de l’utilisateur, trois types de déterminants de la confiance ont été identifiés : des facteurs liés au site web (réseaux sociaux), des facteurs liés aux différentes organisations publiques et privées du Gabon (Armée, police, justice, administrations et entreprises) et des facteurs liés à l’utilisateur (aversion au risque). Ces résultats suffisent à relativiser l'efficacité des politiques gabonaises visant à assurer une large couverture du pays par les TIC censée créer de la valeur ajoutée et améliorer le niveau de vie et le bien-être social des citoyens. A partir de ces résultats, des recommandations managériales pour les gestionnaires des réseaux sociaux et pour les instances réglementaires gabonaises notamment la commission nationale pour la protection des données à caractère personnel (CNPDCP) sont proposées. Nous proposerons des pratiques permettant de mieux protéger la vie privée des utilisateurs des réseaux sociaux en ligne
The development of the Internet and online services have resulted in a proliferation of information collected from users - explicitly or without their knowledge. Furthermore, such information may be disclosed to third parties, or crossed with other data to create user profiles, or contribute to the identification of an individual.-The intensity of human activities in social networks is therefore a breeding ground for potential violations of user privacy. This research aims to study first the socio-economic determinants of the use and adoption of the Internet in a developing society. Then we studied the perception, risk control, and trust perceived by the user of the Internet in the context of online networks (Facebook, LinkedIn, Twitter, Myspace, Viadeo, Hi5 etc.). We developed a questionnaire that was administered to Gabon surfers. Our results showed that socio-economic status and people's living conditions strongly influence the use of the Internet in Libreville and Port-Gentil. Regarding the perceived trust and user behavior, three types of determinants of trust were identified: the website-related factors (social networks), factors related to various public and private organizations of Gabon (Army, police, judiciary, administrations and companies) and factors related to the user (risk aversion). These results are sufficient to relativize the effectiveness of Gabonese policies to ensure broad coverage of countries by ICT supposed to create added value and improve the living standards and social welfare of citizens. From these results, managerial recommendations for managers of social networks and regulatory bodies including the Gabonese National Commission for the Protection of Personal Data (CNPDCP) are proposed. We will propose practices to better protect the privacy of users of online social networks

Existe-t-il un droit au respect du secret de la personne et, dans l’affirmative, ce droit doit-il être qualifié de droit fondamental ? En effet, ne doit-on pas constater que, au-delà même de la protection de la vie privée, apparaissent progressivement les éléments d’un droit fondamental, inhérent à la notion même de personne physique, cette sphère composant le secret de la personne humaine, sans lequel sa conscience d’exister en tant qu’individu unique, ses opinions, ses choix, ne sauraient s’exprimer dans l’action ? Parallèlement à l’exigence de transparence, désignée comme fondement des sociétés démocratiques dans les dernières décennies, s’affirme, désormais, chaque jour de manière plus puissante, l’urgente nécessité de respecter un domaine secret propre à la personne humaine, obligation le plus souvent assortie de sanctions juridiques, se constituant, par étapes, en un droit. Ce secret nécessaire, contrepartie de la liberté d’expression est, en définitive, lui aussi, garant de la démocratie pluraliste. L’explosion des moyens techniques d’investigation impose, en ce sens, de repenser les rapports déjà établis entre le secret et l’information. L’individu doit être protégé contre les intrusions indiscrètes et injustifiées, dans la substance de sa personne, par un droit au respect d’un secret qui lui est indispensable pour s’autodéterminer. Seul le secret lui procure le support juridique lui permettant de déterminer lui-même ses valeurs profondes, de construire sa propre identité. La place que le secret occupe dans la vie de chacun et dans l’ensemble de la société conduit par suite à s’interroger sur le sens de cette notion, sur la nature juridique d’un droit au respect du secret de la personne humaine, ainsi que sur les modalités de sa protection par le droit positif. La première partie de cette thèse s’attache, dès lors, à mettre en lumière le contenu de la protection du secret de la personne humaine par les juges constitutionnels et européens, ainsi que ses caractéristiques de droit fondamental. La seconde partie de cette étude se livre à l’analyse et la synthèse de l’ensemble des textes normatifs qui assurent la sauvegarde des différents aspects du secret de la personne physique. Ces textes, souvent pénalement sanctionnés, sont fréquents en droit français, sans que l’on ait vraiment recherché jusqu’à présent à en percevoir la raison. Leur portée confirme que le droit au respect du secret de la personne, tout en étant un droit fondamental, n’est jamais absolu
Is there a right to secrecy and, if so, should this right be classified as a fundamental right? Indeed, should one not notice, beyond the protection of privacy, the gradually emerging elements of a fundamental right, inseparable from the very notion of natural person, an area representing the secrecy of a human person without which his/her unique individual consciousness, as well as his/her opinions and choices could not express themselves in action? In addition to the transparency requirements, designated in recent decades as the foundation of democratic societies, the urgent need to abide by a secrecy domain proper to the human person becomes more imposing each day, obligation most often accompanied by legal sanctions and gradually developing into a right. This necessary secrecy, a counterpart of the freedom of expression, ultimately acts as another guarantor of a pluralist democracy. The explosion of technical means of investigation requires rethinking the relationship already established between secrecy and information. The individual must be protected against indiscreet and unjustified intrusions in the substance of his person by a right to secrecy, essential to his/her self-determination. Only the right to secrecy provides him/her with the legal background enabling him/her to determine his/her own profound values and build his/her own identity. The place secrecy occupies in each individual’s life and in society as a whole, leads one to wonder about the meaning of this concept, the legal nature of the right to secrecy, and the modalities of his/her protection under the positive law. The first part of this thesis seeks therefore to bring to light the protection of the secrecy by constitutional and European judges, as well as its characteristics as a fundamental right. The second part of this study is devoted to the analysis and synthesis of all normative acts that ensure the preservation of various aspects of the right to secrecy. These texts, often criminally sanctioned, are common in French law, though, with no one actually attempting to fully comprehend them so far. Their scope confirms that, while a fundamental right, the right to secrecy can never be absolute

La constitutionnalisation du droit au respect de la vie privée a trouvé sa place progressivement, mais avec l’avènement du numérique de nouvelles problématiques se sont imposées. La société est en pleine mutation depuis quelques décennies déjà, et même si l’indéniable efficacité des technologies modernes se montre séduisante, les évolutions sont très rapides et le droit ne peut intervenir qu’à retardement. Dans ce contexte et face à l’hégémonie du numérique, nous devons nous interroger sur la réalité des libertés individuelles et des droits fondamentaux. La vie privée est bousculée par les nouvelles pratiques mises en œuvre. Ces problématiques sont incontournables, quels que soient les enjeux mondiaux, aussi bien sécuritaires, économiques que politiques. Il est nécessaire d’analyser comment le Conseil constitutionnel se positionne afin de parvenir à mieux identifier ses limites. Dans notre réalité numérique, comment l’indispensable protection du Conseil constitutionnel peut-elle paraître lacunaire en matière de droit au respect de la vie privée ? Cette thèse a pour objet de démontrer que dans un monde en constante évolution technologique, les trois thèmes de l’étude ne sauraient être dissociés : le droit au respect de la vie privée, à l’instar des libertés individuelles qui priment, le numérique qui se rend indispensable et la cour constitutionnelle pour garantir le bon fonctionnement et la gestion de ces notions qui pourraient facilement devenir antagonistes. Nous identifierons les objectifs constitutionnels opposables au droit au respect de la vie privée ainsi que les garanties qui conditionnent la conciliation de ce droit avec les objectifs législatifs. Nous allons estimer pour notre étude que la vie privée dans le monde virtuel du numérique présente deux facettes dont le Conseil constitutionnel tente de se montrer garant : d’une part celle qui préserve notre relation avec autrui et d’autre part celle qui se rapporte directement à la personne.Il est important de garder l’esprit critique sur l’utilisation qui est faite des données personnelles de chacun d’entre nous. Avec le numérique, la protection de la vie privée doit nécessairement être analysée au-delà des frontières de notre pays. Pour analyser les dangers qui menacent celle-ci, il est intéressant de se pencher sur l’étude des décisions du Conseil constitutionnel afin de pouvoir comparer la jurisprudence et la législation française à celles d’autres pays. Les outils numériques, par leur capacité à impacter de très nombreux aspects de nos vies, réduisent considérablement les limites spatio-temporelles, qui semblent de plus en plus désuètes. Le réseau numérique a la capacité de relier les personnes de manière virtuelle aux quatre coins du monde. Ainsi, la protection constitutionnelle s’inscrit aujourd’hui dans un tout autre contexte dans la mesure où l’exercice de nos libertés et de nos droits, comme la vie privée, a inévitablement une dimension supranationale
The constitutionalisation of the right to privacy has progressively found its place, but with the advent of digital technology, new issues have emerged. Our society has undergone major changes over the last few decades, and even though modern technologies are very attractive due to their undeniable efficiency, they are evolving very fast and the law can thus only intervene too late.In this context and with regard to the supremacy of digital technology, we must question the reality of individual freedoms and fundamental rights. Privacy is shaken up by new practices. These issues are inescapable whatever the global challenges be they security, economic or political ones. It is necessary to analyse how the constitutional Council positions itself in order to better identify its limits. In our digital age, how can the much needed protection of the constitutional Council appear as inadequate as regards the right to privacy ?The purpose of this thesis is to demonstrate that in an ever-evolving technological world, the three themes studied here are inextricably linked: the right to privacy, as with individual freedoms which prevail, digital technology which makes itself indispensable and the constitutional court to guarantee the proper functioning and the management of these notions which could easily become antagonistic. We will identify the constitutional objectives which can be opposed to the right to privacy as well as the guarantees which determine the conciliation of this right with legislative objectives. In our study, we will consider that privacy in the digital virtual world has two sides that the constitutional Council is attempting to guarantee: on the one hand, protecting our relationship with others and on the other hand protecting the individual.It is important to remain critical of the use made of our personal data. With digital technology, the protection of privacy must unquestionably be analysed beyond our national borders. To analyse the dangers which threatens it, it is interesting to look at the study of the constitutional Council decisions in order to be able to compare case law and French legislation to those of other countries. Digital tools, due to their possible impacts on many aspects of our lives, considerably reduce spatial and temporal boundaries, which increasingly appear as obsolete. The digital network can virtually connect people all over the world. Therefore, constitutional protection is today part of a very different context insofar as exercising our freedoms and rights, such as privacy, inevitably has a supranational dimension

Les problématiques de respect de la vie privée sont aujourd'hui indissociables des technologies modernes. Dans ce contexte, cette thèse s'intéresse plus particulièrement aux outils cryptographiques et à la façon de les utiliser pour répondre à ces nouvelles questions.Dans ce mémoire, je m'intéresserai tout d'abord aux preuves de connaissance sans divulgation qui permettent notamment d'obtenir la propriété d'anonymat pour les usagers de services de télécommunications. Je proposerai ainsi une nouvelle solution de preuve de connaissance d'un secret appartenant à un intervalle, ainsi que la première étude comparative des preuves existantes sur ce sujet. Je décrirai ensuite une nouvelle méthode permettant de vérifier efficacement un ensemble de preuves de type "Groth-Sahaï'', accélérant ainsi considérablement le travail du vérifieur pour de telles preuves. Dans un second temps, je m'intéresserai aux signatures caméléons. Celles-ci permettent de modifier, sous certaines conditions, un message signé. Ainsi, pour ces schémas, il est possible d'exhiber, à l'aide d'une trappe, une signature valide du signataire initial sur le message modifié. Je proposerai d'abord un nouveau schéma qui est à ce jour le plus efficace dans le modèle simple. Je m'intéresserai ensuite à certaines extensions de ce modèle qui ont pour vocation de donner au signataire les moyens de garder un certain contrôle sur les modifications faites a posteriori sur le message initial. Je décrirai ainsi à la fois le nouveau modèle de sécurité et les schémas associés prenant en compte ces nouvelles extensions. Enfin, je présenterai un ensemble d'applications se basant sur les briques cryptographiques introduites ci-dessus et qui permettent d'améliorer la protection de la vie privée des utilisateurs. J'aborderai tout particulièrement les problématiques d'abonnement, d'utilisation ou de facturation de services, ainsi que la gestion de contenus protégés dans un groupe hiérarchisé
Privacy is, nowadays, inseparable from modern technology. This is the context in which the present thesis proposes new cryptographic tools to meet current challenges.Firstly, I will consider zero-knowledge proofs of knowledge, which allow in particular to reach the anonymity property. More precisely, I will propose a new range proof system and next give the first comparison between all existing solutions to this problem. Then, I will describe a new method to verify a set of ``Groth-Sahaï'' proofs, which significantly decreases the verification time for such proofs.In a second part, I will consider sanitizable signatures which allow, under some conditions, to manipulate (we say ``sanitize'') a signed message while keeping a valid signature of the initial signer. I will first propose a new scheme in the classical case. Next, I will introduce several extensions which enable the signer to obtain better control of the modifications done by the ``sanitizer''. In particular, I will propose a new security model taking into account these extensions and give different schemes achieving those new properties.Finally, I will present different applications of the above cryptographic tools that enhance customer privacy. In particular, I will consider the questions of subscription, use and billing of services and also address the issue of managing protected content in a hierarchical group

L’Internet des Objets (IdO) est un nouveau paradigme, dont l’idée de base est d’avoir un grand nombre d’objets de façon ubiquitaire. Ces objets sont capables d’interagir les uns avec les autres et de coopérer avec leurs voisins en partageant des données acquises directement en mesurant certains faits. Tout cela, afin d’atteindre des objectifs communs. Cette information ne représente pas seulement l’état des utilisateurs, mais aussi les processus dans lesquels ils sont impliqués, on appelle cela le Contexte. Le Contexte informe à la fois la reconnaissance et le mappage des opérations en fournissant une vue structurée et unifiée du monde dans lequel un système fonctionne.Avec l’IdO, de nombreuses applications récupèrent des informations de contexte concernant les utilisateurs (propriétaires de contexte) tels que, leurs habitudes, leurs comportements et leur «sentiment» (état de santé). Ceci, offre alors beaucoup d’avantages pour les utilisateurs, mais au dépend de leur intimité. La problématique de recherche de cette thèse se situe dans la vision orientée sémantique de l’IdO. Dans ce cadre, les technologies sémantiques jouent un rôle clé dans l’exploitation des solutions de modélisation parfaitement appropriée pour intégrer la notion de sécurité de la vie privée dans l’IdO. Les applications et services (consommateurs de contexte), qui sont sensibles au contexte, attendent des données de contexte correctes et fiables afin d’adapter leurs fonctionnalités. Dans cette thèse, la qualité de Contexte (QoC) est une métadonnée qui est associée aux informations de contexte. Elle décrit une série de critères exprimant la qualité de l’information de contexte. Ces métadonnées peuvent être utilisées pour déterminer la valeur de l’information pour une application particulière dans une situation particulière. Nous explorons des solutions intergicielles et des structures logiciels pour intégrer la gestion de la vie privée et QoC dans l’IdO.Cette thèse se distingue des autres recherches du domaine de la gestion de contexte et tient compte du découplage des participants IdO; à savoir, les propriétaires des informations de contexte et les consommateurs de ces informations de contexte. De plus, nous considérons la QoC comme un facteur affectant la vie privée des individus. Cette thèse fournit les contributions suivantes selon deux axes: Axe 1: Concevoir un contexte contrat méta-modèle pour définir la vie privée et QoC pour exprimer les préoccupations des propriétaires et consommateurs de contexte; basé sur la confiance réciproque, puisque les deux sont découplés. Cette conception est basée sur deux points : Premièrement, nous considérons que la vie privée est la capacité des propriétaires de contexte à contrôler quoi, comment, quand, où et avec qui partager des informations. Par conséquent, nous identifions quatre dimensions de la vie privée (le but, la visibilité, la rétention, la QoC), pour les utiliser au moment de la définition des politiques et des obligations d’accès. Deuxièmement, les consommateurs de contexte attendent un certain niveau de QoC afin d’accomplir leurs tâches. Nous proposons alors de définir deux types de contrat de contexte : le premier, pour la partie producteur et un second pour le côté du consommateur.Axe 2 : Proposer un algorithme pour créer des accords entre les producteurs et les consommateurs de contexte en évaluant et en comparant les exigences par rapport aux garanties indiquées sur leurs contrats de contexte respectives.Comme les deux participants de l’IdO ont des contrats symétriques, quand un participant définit ses besoins, l’autre définit ses garanties. Le processus de correspondance de ces contrats de contexte vérifie si les exigences de l’une des parties sont incluses dans les garanties offertes par l’autre partie.A partir de cette définition, nous avons conçu des algorithmes pour déterminer si l’accès et la consommation sont autorisés ou non, selon la correspondance des contrats de contexte
The Internet of Things (IoT) is a novel paradigm, which basic idea is the pervasive presence around us of a variety of things or objects that are able to interact with each other and cooperate with their neighbors by sharing data, directly acquired by measuring some facts, in order to reach common goals. This information not only represents the state of users but also the processes in which they are involved, this is called the Context. The context informs both recognition and mapping operations by providing a structured, unified view of the world in which a system operates. With the IoT, many applications consume context information concerning users (context owners) such as, daily routines, behaviors and health, offering lots of benefits to users, but compromising their privacy. The re-search problematic of this thesis lies within the “semantic-oriented” IoT vision. In this context, semantic technologies play a key role in exploiting appropriate modelling solutions for integrating privacy security into the IoT. Context-aware applications and services (context consumers) expect correct and reliable context data to adapt their functionalities. In this thesis the Quality of Context (QoC) is meta-data attached to context information describing a range of criteria that express context information quality. These meta-data can be used to determine the worth of the information for a particular application in a particular situation. We explore middleware and framework solutions to integrate the management of privacy and QoC in the IoT. This thesis is distinguished from other context management domain researches by bearing in mind the decoupling of the IoT participants, i.e., the owners of context information and the consumers of this context information. Moreover, we consider the QoC as a factor affecting the privacy of individuals. This thesis provides the following contributions along two axis: 1. Designing a Context Contract Meta-model to define privacy and QoC concerns of decoupled context owners and context consumers based on reciprocal trust. This design is based on two points. Firstly, we consider that privacy is the capacity of context owners to control what, how, when, where and with whom to share information. Therefore, we identify four privacy dimensions (purpose, visibility, retention, QoC), and use them in the definition of access policies and obligations. Secondly, context consumers expect a certain QoC level in order to perform their tasks. We then propose to define two kinds of context contract for the producer and the consumer sides as follows: Context producer contract: A context contract whose clauses are expressions of the production of context data, of privacy requirements, and of QoC guarantees; Context consumer contract: A context contract whose clauses are expressions of the consumption of context data, of QoC requirements, and of privacy guarantees. Each context contract is created without the knowledge of is counter party.2. Proposing an algorithm to create agreements among context producers and context consumers by evaluating and compare requirements against guarantees, stated on their respective context contracts. As both IoT participants have symmetric contracts, when one participant defines its requirements, the other one defines its guarantees. The matching process of these context contracts verifies if the requirements of one party are included within the guarantees offered by the other party. Therefore, taking a decision based on this compatibility match from the producer point of view is to permit or deny the access to context data. Complementarily, from a consumer point of view, the consumption of context data is permitted or denied. From this definition, we designed algorithms to determine whether access and consumption are authorized or not, according to the context contracts matching

Avec l'émergence de nouvelles technologies telles que le NFC (Communication à champ proche) et l'accroissement du nombre de plates-formes mobiles, les téléphones mobiles vont devenir de plus en plus indispensables dans notre vie quotidienne. Ce contexte introduit de nouveaux défis en termes de sécurité et de respect de la vie privée. Dans cette thèse, nous nous focalisons sur les problématiques liées au respect de la vie privée dans les services NFC ainsi qu’à la protection des données privées et secrets des applications mobiles dans les environnements d'exécution de confiance (TEE). Nous fournissons deux solutions pour le transport public: une solution utilisant des cartes d'abonnement (m-pass) et une autre à base de tickets électroniques (m-ticketing). Nos solutions préservent la vie privée des utilisateurs tout en respectant les exigences fonctionnelles établies par les opérateurs de transport. À cette fin, nous proposons de nouvelles variantes de signatures de groupe ainsi que la première preuve pratique d’appartenance à un ensemble, à apport nul de connaissance, et qui ne nécessite pas de calculs de couplages du côté du prouveur. Ces améliorations permettent de réduire considérablement le temps d'exécution de ces schémas lorsqu’ils sont implémentés dans des environnements contraints par exemple sur carte à puce. Nous avons développé les protocoles de m-passe et de m-ticketing dans une carte SIM standard : la validation d'un ticket ou d'un m-pass s'effectue en moins de 300ms et ce tout en utilisant des tailles de clés adéquates. Nos solutions fonctionnent également lorsque le mobile est éteint ou lorsque sa batterie est déchargée. Si les applications s'exécutent dans un TEE, nous introduisons un nouveau protocole de migration de données privées, d'un TEE à un autre, qui assure la confidentialité et l'intégrité de ces données. Notre protocole est fondé sur l’utilisation d’un schéma de proxy de rechiffrement ainsi que sur un nouveau modèle d’architecture du TEE. Enfin, nous prouvons formellement la sécurité de nos protocoles soit dans le modèle calculatoire pour les protocoles de m-pass et de ticketing soit dans le modèle symbolique pour le protocole de migration de données entre TEE
The increasing number of worldwide mobile platforms and the emergence of new technologies such as the NFC (Near Field Communication) lead to a growing tendency to build a user's life depending on mobile phones. This context brings also new security and privacy challenges. In this thesis, we pay further attention to privacy issues in NFC services as well as the security of the mobile applications private data and credentials namely in Trusted Execution Environments (TEE). We first provide two solutions for public transport use case: an m-pass (transport subscription card) and a m-ticketing validation protocols. Our solutions ensure users' privacy while respecting functional requirements of transport operators. To this end, we propose new variants of group signatures and the first practical set-membership proof that do not require pairing computations at the prover's side. These novelties significantly reduce the execution time of such schemes when implemented in resource constrained environments. We implemented the m-pass and m-ticketing protocols in a standard SIM card: the validation phase occurs in less than 300ms whilst using strong security parameters. Our solutions also work even when the mobile is switched off or the battery is flat. When these applications are implemented in TEE, we introduce a new TEE migration protocol that ensures the privacy and integrity of the TEE credentials and user's private data. We construct our protocol based on a proxy re-encryption scheme and a new TEE model. Finally, we formally prove the security of our protocols using either game-based experiments in the random oracle model or automated model checker of security protocols

L’Internet des Objets (IdO) est un nouveau paradigme, dont l’idée de base est d’avoir un grand nombre d’objets de façon ubiquitaire. Ces objets sont capables d’interagir les uns avec les autres et de coopérer avec leurs voisins en partageant des données acquises directement en mesurant certains faits. Tout cela, afin d’atteindre des objectifs communs. Cette information ne représente pas seulement l’état des utilisateurs, mais aussi les processus dans lesquels ils sont impliqués, on appelle cela le Contexte. Le Contexte informe à la fois la reconnaissance et le mappage des opérations en fournissant une vue structurée et unifiée du monde dans lequel un système fonctionne.Avec l’IdO, de nombreuses applications récupèrent des informations de contexte concernant les utilisateurs (propriétaires de contexte) tels que, leurs habitudes, leurs comportements et leur «sentiment» (état de santé). Ceci, offre alors beaucoup d’avantages pour les utilisateurs, mais au dépend de leur intimité. La problématique de recherche de cette thèse se situe dans la vision orientée sémantique de l’IdO. Dans ce cadre, les technologies sémantiques jouent un rôle clé dans l’exploitation des solutions de modélisation parfaitement appropriée pour intégrer la notion de sécurité de la vie privée dans l’IdO. Les applications et services (consommateurs de contexte), qui sont sensibles au contexte, attendent des données de contexte correctes et fiables afin d’adapter leurs fonctionnalités. Dans cette thèse, la qualité de Contexte (QoC) est une métadonnée qui est associée aux informations de contexte. Elle décrit une série de critères exprimant la qualité de l’information de contexte. Ces métadonnées peuvent être utilisées pour déterminer la valeur de l’information pour une application particulière dans une situation particulière. Nous explorons des solutions intergicielles et des structures logiciels pour intégrer la gestion de la vie privée et QoC dans l’IdO.Cette thèse se distingue des autres recherches du domaine de la gestion de contexte et tient compte du découplage des participants IdO; à savoir, les propriétaires des informations de contexte et les consommateurs de ces informations de contexte. De plus, nous considérons la QoC comme un facteur affectant la vie privée des individus. Cette thèse fournit les contributions suivantes selon deux axes: Axe 1: Concevoir un contexte contrat méta-modèle pour définir la vie privée et QoC pour exprimer les préoccupations des propriétaires et consommateurs de contexte; basé sur la confiance réciproque, puisque les deux sont découplés. Cette conception est basée sur deux points : Premièrement, nous considérons que la vie privée est la capacité des propriétaires de contexte à contrôler quoi, comment, quand, où et avec qui partager des informations. Par conséquent, nous identifions quatre dimensions de la vie privée (le but, la visibilité, la rétention, la QoC), pour les utiliser au moment de la définition des politiques et des obligations d’accès. Deuxièmement, les consommateurs de contexte attendent un certain niveau de QoC afin d’accomplir leurs tâches. Nous proposons alors de définir deux types de contrat de contexte : le premier, pour la partie producteur et un second pour le côté du consommateur.Axe 2 : Proposer un algorithme pour créer des accords entre les producteurs et les consommateurs de contexte en évaluant et en comparant les exigences par rapport aux garanties indiquées sur leurs contrats de contexte respectives.Comme les deux participants de l’IdO ont des contrats symétriques, quand un participant définit ses besoins, l’autre définit ses garanties. Le processus de correspondance de ces contrats de contexte vérifie si les exigences de l’une des parties sont incluses dans les garanties offertes par l’autre partie.A partir de cette définition, nous avons conçu des algorithmes pour déterminer si l’accès et la consommation sont autorisés ou non, selon la correspondance des contrats de contexte
The Internet of Things (IoT) is a novel paradigm, which basic idea is the pervasive presence around us of a variety of things or objects that are able to interact with each other and cooperate with their neighbors by sharing data, directly acquired by measuring some facts, in order to reach common goals. This information not only represents the state of users but also the processes in which they are involved, this is called the Context. The context informs both recognition and mapping operations by providing a structured, unified view of the world in which a system operates. With the IoT, many applications consume context information concerning users (context owners) such as, daily routines, behaviors and health, offering lots of benefits to users, but compromising their privacy. The re-search problematic of this thesis lies within the “semantic-oriented” IoT vision. In this context, semantic technologies play a key role in exploiting appropriate modelling solutions for integrating privacy security into the IoT. Context-aware applications and services (context consumers) expect correct and reliable context data to adapt their functionalities. In this thesis the Quality of Context (QoC) is meta-data attached to context information describing a range of criteria that express context information quality. These meta-data can be used to determine the worth of the information for a particular application in a particular situation. We explore middleware and framework solutions to integrate the management of privacy and QoC in the IoT. This thesis is distinguished from other context management domain researches by bearing in mind the decoupling of the IoT participants, i.e., the owners of context information and the consumers of this context information. Moreover, we consider the QoC as a factor affecting the privacy of individuals. This thesis provides the following contributions along two axis: 1. Designing a Context Contract Meta-model to define privacy and QoC concerns of decoupled context owners and context consumers based on reciprocal trust. This design is based on two points. Firstly, we consider that privacy is the capacity of context owners to control what, how, when, where and with whom to share information. Therefore, we identify four privacy dimensions (purpose, visibility, retention, QoC), and use them in the definition of access policies and obligations. Secondly, context consumers expect a certain QoC level in order to perform their tasks. We then propose to define two kinds of context contract for the producer and the consumer sides as follows: Context producer contract: A context contract whose clauses are expressions of the production of context data, of privacy requirements, and of QoC guarantees; Context consumer contract: A context contract whose clauses are expressions of the consumption of context data, of QoC requirements, and of privacy guarantees. Each context contract is created without the knowledge of is counter party.2. Proposing an algorithm to create agreements among context producers and context consumers by evaluating and compare requirements against guarantees, stated on their respective context contracts. As both IoT participants have symmetric contracts, when one participant defines its requirements, the other one defines its guarantees. The matching process of these context contracts verifies if the requirements of one party are included within the guarantees offered by the other party. Therefore, taking a decision based on this compatibility match from the producer point of view is to permit or deny the access to context data. Complementarily, from a consumer point of view, the consumption of context data is permitted or denied. From this definition, we designed algorithms to determine whether access and consumption are authorized or not, according to the context contracts matching

L'aspect le plus fondamental de la liberté individuelle est le droit à la sûreté. La valeur constitutionnelle de la liberté impose que les mesures de rétention ou de détention soient prévues par la loi et mises en oeuvre par l'autorité judiciaire. Si tel est bien le cas quand le juge est saisi dans le cadre d'une procédure pénale, il subsiste de nombreuses exceptions dans lesquelles la décision de placement est prise par l'autorité administrative. Les entraves à la liberté sont nombreuses; elles peuvent intervenir à l'occasion des enquêtes policières ou avant le renvoi devant la juridiction de jug ement, mais également dans le cadre d'une procédure administrative, susceptible de porter atteinte à la liberté. L'impératif sécuritaire, fondé sur la préservation de l'ordre public, est nécessaire à la paix sociale mais, il appartient au législateur d'assurer la conciliation entre cet objectif et l'exercice de la liberté individuelle. .
The most fundamental aspect of freedom is the safety right. The coercive mesure must be forecast by the law and have to be accompanied by a decision of a tribunal. However, in many cases a government official, the Prefect, can decide to detain someone. The preservation of public order can justify this faculty but the legislator have to regulate the conflict of two opposite interests. Many garantees must preserve the dignity of a personn and prevent from the arbitrary detention. Two ways have to be followed : on the one hand, a new and best application of rights, on the other hand, a much improved judicial review

Dans sa version initiale, la Convention européenne des droits de l’homme ne garantit aux étrangers ni un droit d’entrée et de séjour sur le territoire des États parties ni une protection contre une mesure d’éloignement. Toutefois, parce que les décisions adoptées en matière de police des étrangers sont susceptibles de porter atteinte au droit au respect de la vie familiale garanti par l’article 8 de la Convention européenne, il est admis, tant par la jurisprudence européenne que française, que le contentieux de la police des étrangers entre dans le champ d’application de cet article. La mise en jeu de cette protection indirecte suppose que l’étranger démontre que la mesure litigieuse prise par les autorités publiques constitue une ingérence dans sa vie familiale. Les atteintes portées au droit au respect de la vie familiale ne sont admises que si, prévues par la loi et poursuivant l’un des buts légitimes visés au paragraphe 2 de l’article 8, elles sont nécessaires dans une société démocratique. À défaut, les autorités publiques doivent réparer l’atteinte disproportionnée en adoptant la mesure la plus adéquate permettant la réalisation ou le maintien de l’unité familiale sur le territoire français. Indépendamment des dispositions de droit interne, aux termes desquels les étrangers bénéficient d’un droit d’entrée et de séjour en France ou jouissent d’une protection contre une mesure d’éloignement, les intéressés peuvent obtenir la reconnaissance de tels droits sur le fondement de l’article 8 de la Convention européenne. Afin d’assurer le respect de sa vie familiale, l’étranger peut donc indifféremment se prévaloir du droit interne ou du droit européen des droits de l’homme
In its initial version, the Convention for the protection of Human rights and fundamental freedoms doesn’t guarantee foreigners either a right of entry and residence on the territory of a Member State or a protection against an expulsion measure. However, since decisions concerning aliens police may infringe the right to respect for family life that the article 8 of the Convention protects, both european and french case-law admit that litigation on aliens police enters the scope of this article. To benefit from this protection, the foreigner must prove that the measure in question, taken by public authorities, constitutes an interference with his family life. Invasions of family life are accepted only if, in accordance with the law and seeking a rightful purpose aimed at in the second section of the article 8, they are necessary in a democratic society. Otherwise, public authorities have to make up for the disproportionate infringement, adopting the more suitable measure to realise or maintain the family unity on the french territory. Regardless of national law, which enables foreigners to enjoy a right of entry and residence in France or a protection against an epulsion measure, interested parties can obtain recognition of such rights on the basis of the article 8 of the European Convention. Foreigners can therefore equally put forward national law or Europena Huma, rights law

Au cours de ces dernières années, de plus en plus d’utilisateurs choisissent de diffuser leurs photos sur des plateformes de partage d’images. Ces plateformes permettent aux utilisateurs de restreindre l’accès aux images à un groupe de personnes, afin de donner un sentiment de confiance aux utilisateurs vis-à-vis de la confidentialité de ces images. Malheureusement, la confidentialité ne peut être garantie sachant que le fournisseur de la plateforme a accès aux contenus de n’importe quelle image publiée sur sa plateforme. En revanche, si les images sont mises en ligne chiffrées, seules les personnes ayant la possibilité de déchiffrer les images, auront accès aux images. Ainsi, la confidentialité peut être assurée. Trois principales spécificités sont à prendre en compte lors du chiffrement d’une image : le schéma de chiffrement doit être effectué en respectant le format de l’image (e.g. format JPEG), garantir l’indistinguabilité (l’adversaire ne doit obtenir de l’information sur le contenu de l’image à partir de l’image chiffrée), et doit être compatible avec les traitements des images spécifiques à la plateforme de partage d’images. L’objectif principal de cette thèse a été de proposer un tel schéma de chiffrement pour les images JPEG. Nous avons d’abord proposé et implémenté un schéma de chiffrement garantissant la conservation de l’image et l’indistinguabilité. Malheureusement, nous avons montré que sur Facebook, Instagram, Weibo et Wechat, notre solution ne permettait de maintenir une qualité d’images suffisante après déchiffrement. Par conséquent, des codes correcteurs ont été ajoutés à notre schéma de chiffrement, afin de maintenir la qualité des images
In recent years, more and more users prefer to share their photos through image-sharing platforms. Most of platforms allow users to specify who can access to the images, it may result a feeling of safety and privacy. However, the privacy is not guaranteed, since at least the provider of platforms can clearly know the contents of any published images. According to some existing researches, encrypting images before publishing them, and only the authorised users who can decrypt the encrypted image. In this way, user’s privacy can be protected.There are three challenges when proposing an encryption algorithm for the images published on image-sharing platforms: the algorithm has to preserve image format (e.g. JPEG image) after encryption, the algorithm should be secure (i.e. the adversary cannot get any information of plaintext image from the encrypted image), and the algorithm has to be compatible with basic image processing in each platform. In this thesis, our main goal is to propose an encryption algorithm to protect JPEG image privacy on different image-sharing platforms and overcome the three challenges. We first propose an encryption algorithm which can meet the requirements of the first two points. We then implement this algorithm on several widely-used image-sharing platforms. However, the results show that it cannot recover the plaintext image with a high quality after downloading the image from Facebook, Instagram, Weibo and Wechat. Therefore, we add the correcting mechanism to improve this algorithm, which reduces the losses of image information during uploading the encrypted image on each platform and reconstruct the downloaded images with a high quality

WebRTC est une technologie récente de communication qui permet d’établir des échanges multimédia conversationnels directement entre navigateurs. Nous nous intéressons dans cette thèse à des locuteurs dans un Smart Space (SS) défini comme un environnement centré-utilisateur instrumenté par unensemble de capteurs et d’actionneurs connectés. Nous analysons les capacités nécessaires pour permettre à un participant d’une session WebRTC d’impliquer dans cette même session, les flux induits par les objets connectés appartenant au SS d’un utilisateur quelconque de la session. Cette approche recèle un gisement de nombreux nouveaux usages. Nous limitons notre analyse à ceux concernant l’exercice distant d’une expertise et d’un savoir-faire. Techniquement, il s’agit d’articuler de façon contrôlée WebRTC et IoT/WoT. Nous procédons à une extension de WebRTC par WoT pour fournir à tout utilisateur d’une session WebRTC, un accès aux objets connectés du SS de tout autre participant à la session, en mettant l’accent sur la sécurisation de cet accès ainsi que sur sa conformité aux exigences de respect de la vie privée (RGPD) de l’utilisateur concerné. Le positionnement de notre approche dans le contexte des services de communication opérant dans les villes connectées, impose la prise en compte de SSs multiples et variés induisant chacun ses propres politiques de routage et de sécurité. Pour répondre à nos objectifs, il devient nécessaire au cours d’une session WebRTC, d’identifier, sélectionner, déployer et appliquer les règles de routage et de sécurité de façon à garantir un accès rapide et sécurisé aux différents SSs concernés et distribués sur tout le réseau. Nous développons une architecture originale répondant à ces besoins et intégrant un contrôleur SDN du fait de l’étroite imbrication entre les problématiques de routage et de sécurité. Un prototype illustrant notre approche a été mis en oeuvre et testé afin d’évaluer la performance et la sécurité du système. Nous illustrons finalement notre approche dans le domaine de la santé en démontrant son apport pour gérer une infrastructure de grande taille telle qu’un hôpital
The richness and the versatility of WebRTC, a new peer-to-peer, real-time and browser based communication technology, allowed the imagination of new and innovative services. In this thesis, we analyzed the capabilities required to allow a participant in a WebRTC session to access the smart Things belonging to his own environment as well as those of any other participant in the same session. The access to such environment, which we call “SmartSpace (SS)”, can be either passive, for example by monitoring the contextual information provided by the sensors, or active by requesting the execution of commands by the actuators, or a mixture of both. This approach deserves attention because it allows solving in an original way various issues such as allowing experts to remotely exercise and provide their expertise and/or knowing how. From a technical point of view the issue is not trivial because it requires a smooth and mastered articulation between two different technologies: WebRTC and the Internet of Things (IoT) /Web of Things (WoT). Hence, the first part of the problem studied in this thesis, consists in analyzing the possibilities of extending WebRTC capabilities with theWoT. So as to provide a secure and privacy-respectful access to the various smart objects located in the immediate environment of a participant to any otherend-user involved in the same ongoing WebRTC session. This approach is then illustrated in the ehealth domain and tested in a real smart home (a typical example of a smart space). Moreover,positioning our approach in the context of communication services operating in smart cities requires the ability to support a multiplicity of SSs,each with its own network and security policy. Hence,in order to allow a participant to access one of his own SSs or one of another participant (through a delegation of access process), it becomes necessary to dynamically identify, select, deploy, and enforce the SS’s specific routing and security rules, so as to have an effective, fast and secure access. Therefore, the second part of the problem studied in this Ph.D.consists in defining an efficient management of the routing and security issues regarding the possibility of having multiple SSs distributed over the entire network

L'essor de l'utilisation d'assistants vocaux, présents dans les téléphones, automobiles et autres, a augmenté la quantité de données de parole collectées et stockées. Bien que cette collecte de données soit cruciale pour entrainer les modèles qui traitent la parole, cette collecte soulève également des préoccupations de protection de la vie privée. Des technologies de pointe traitant la parole, telles que le clonage vocal et la reconnaissance d'attributs personnels (telles que l'identité, l'émotion, l'âge, le genre, etc.), peuvent être exploitées pour accéder et utiliser des informations personnelles. Par exemple, un malfaiteur pourrait utiliser le clonage vocal pour se faire passer pour une autre personne afin d'obtenir un accès non autorisé à ses informations bancaires par téléphone. Avec l'adoption croissante des assistants vocaux tels qu'Alexa, Google Assistant et Siri, et la facilité avec laquelle les données peuvent être collectées et stockées, le risque d'utilisation abusive de technologies telles que le clonage vocal et la reconnaissance d'attributs personnels augmente. Il est donc important pour les entreprises et les organisations de prendre en compte ces risques et de mettre en place des mesures appropriées pour protéger les données des utilisateurs, en conformité avec les réglementations juridiques telles que le Règlement Général sur la Protection des Données (RGPD). Pour répondre aux enjeux liés à la protection de la vie privée, cette thèse propose des solutions permettant d'anonymiser la parole. L'anonymisation désigne ici le processus consistant à rendre les signaux de parole non associables à une identité spécifique, tout en préservant leur utilité, c'est-à-dire ne pas modifier le contenu linguistique du message. L'objectif est de préserver la vie privée des individus en éliminant ou en rendant floues toutes les informations personnellement identifiables (PPI) contenues dans le signal acoustique, telles que l'accent ou le style de parole d'une personne. Les informations linguistiques personnelles telles que numéros de téléphone ou noms de personnes ne font pas partie du champ d'étude de cette thèse. Notre recherche s'appuie sur les méthodes d'anonymisation existantes basées sur la conversion de la voix et sur des protocoles d'évaluation existants. Nous commençons par identifier et expliquer plusieurs défis auxquels les protocoles d'évaluation doivent faire face afin d'évaluer de manière précise le niveau de protection de la vie privée. Nous clarifions comment les systèmes d'anonymisation doivent être configurés pour être correctement évalués, en soulignant le fait que de nombreuses configurations ne permettent pas une évaluation adéquate de non-asociabilité d'un signal a une identité. Nous étudions et examinons également le système d'anonymisation basé sur la conversion de la voix le plus courant, identifions ses points faibles, et proposons de nouvelles méthodes pour en améliorer les performances. Nous avons isolé tous les composants du système d'anonymisation afin d'évaluer le niveau de PPI encodé par chaque composant. Ensuite, nous proposons plusieurs méthodes de transformation de ces composants dans le but de réduire autant que possible les PPI encodées, tout en maintenant l'utilité. Nous promouvons les algorithmes d'anonymisation basés sur l'utilisation de la quantification en alternative à la méthode la plus utilisée et la plus connue basée sur le bruit. Enfin, nous proposons une nouvelle méthode d'évaluation qui vise à inverser l'anonymisation, créant ainsi une nouvelle manière d'étudier les systèmes d'anonymisation
The growing use of voice user interfaces, from telephones to remote controls, automobiles, and digital assistants, has led to a surge in the collection and storage of speech data. While data collection allows for the development of efficient tools powering most speech services, it also poses serious privacy issues for users as centralized storage makes private personal speech data vulnerable to cyber threats. Advanced speech technologies, such as voice-cloning and personal attribute recognition, can be used to access and exploit sensitive information. Voice-cloning technology allows an attacker to take a recording of a person's voice and use it to generate new speech that sounds like it is coming from that person. For example, an attacker could use voice-cloning to impersonate a person's voice to gain unauthorized access to his/her financial information over the phone. With the increasing use of voice-based digital assistants like Amazon's Alexa, Google's Assistant, and Apple's Siri, and with the increasing ease with which personal speech data can be collected and stored, the risk of malicious use of voice-cloning and speaker/gender/pathological/etc. recognition technologies have increased. Companies and organizations need to consider these risks and implement appropriate measures to protect user data in order to prevent misuse of speech technologies and comply with legal regulations (e.g., General Data Protection Regulation (GDPR)). To address these concerns, this thesis proposes solutions for anonymizing speech and evaluating the degree of the anonymization. In this work, anonymization refers to the process of making personal speech data unlinkable to an identity, while maintaining the usefulness (utility) of the speech signal (e.g., access to the linguistic content). The goal is to protect the privacy of individuals by removing or obscuring any Personally Identifiable Information (PPI) from the acoustic of speech. PPI includes things like a person's voice, accent, and speaking style; other personal information in the speech content like, phone number, person name, etc., is out of the scope of this thesis. Our research is built on top of existing anonymization methods based on voice conversion and existing evaluation protocols. We start by identifying and explaining several challenges that evaluation protocols need to consider to evaluate the degree of privacy protection properly. We clarify how anonymization systems need to be configured for evaluation purposes and highlight the fact that many practical deployment configurations do not permit privacy evaluation. Furthermore, we study and examine the most common voice conversion-based anonymization system and identify its weak points, before suggesting new methods to overcome some limitations. We isolate all components of the anonymization system to evaluate the degree of speaker PPI associated with each of them. Then, we propose several transformation methods for each component to reduce as much as possible speaker PPI while maintaining utility. We promote anonymization algorithms based on quantization-based transformation as an alternative to the most-used and well-known noise-based approach. Finally, we endeavor a new attack method to invert the anonymization, creating a new threat. In this thesis, we openly work on sharing anonymization systems and evaluation protocols to aid organizations in facilitating the preservation of privacy rights for individuals

Dans une analyse dualiste utilisant les categories juridiques, l'information est apprehendee en tant que valeur (droit des biens) et en tant qu'activite (droit des obligations). . Dans cette seconde perspective, l'activite d'information, se decomposant en deux phases (creation intellectuelle et diffusion), est susceptible d'engager la responsabilite des differents intervenants. L'etude de l'action en responsabilite (interet pour agir et fondement de la pretention) puis du droit a reparation (au travers des conditions et effets de la responsabilite) permet de voir comment s'applique une technique de reparation particuliere a une activite particuliere. La responsabilite civile prend ici le relais de la responsabilite penale. A condition que le fait generateur soit distinct d'une infraction, elle permet d'eviter les regles contraignantes de la procedure penale en la matiere et d'elargir le champ d'incrimination. Responsabilite du fait de l'homme (il convient d'exclure la responsabilite du fait des choses au sens de l'article 1384, al. 1er, et la responsabilite du fait des produits defectueux au sens de la directive communautaire du 25 juillet 1985). Elle est contractuelle ou delictuelle. Dans les deux hypotheses, les devoirs sont essentiellement d'origine jurisprudentielle et pratiquement comparables. Le devoir d'objectivite et le devoir de respect des droits d'autrui sont les deux axes de la matiere. Le devoir d'objectivite est un devoir de moyens de type professionnel commun a toutes les informations. Lorsque les informations sont nominatives, le devoir de respect des droits de la personnalite, devoir de resultat, le complete. La faute est ainsi la violation de l'un de ces devoirs. Le dommage reparable, directement cause par le fait doit etre injustificatifs s'expliquent par le donsentement de la victime ou la position du fautif qui agit dans le cadre d'une liberte, la liberte d'information. La reparation du dommage, souvent moral, est delicate, la peine privee devant etre rejetee
In a dualistic analysis using juridical categories, information is apprehended as a value (porperty right) and as an activity (obligations right). In this second prospect, information activity, breaking up in two stages (intellectual creation and diffusion), is capable of instituting the liability of the different intermediates. The study of the action in liability (interest to act and basis of claim( and of the compensation right (through conditions and effects of liability), allows to see how a special condition that the fundamental fact is distinct of an infringement, it allows to avoid the contraining rules of penal procedure and to extend the incriminating field. The product liability directive (july 1985) must be excluded ; on the contrary, contractual and tort liability must be treated. In both cases, duties are mainly jurisprudential based and practically comparable. The duty of objectivity (devoir d'objectivite) and the duty of respect of other people'rights (devoir de respect des droits d'autrui) are the two ways to considering the matter. The duty of objectivity is a professional typed duty of means (devoir de moyens) common to all informations. When the informations ae personal, duty of respect of personality rights (droits de la personnalite), duty with results (devoir de resultat), completes it. The fault is then a violation of one of these duties. The compensable damage must be directly caused by the fact and injustified. The justificating facts are explained themselves by the victim's assent or by the position of the instigator who acts within the framework of a freedom of information. The compensation of the damage, often moral, is not easy; the private penalty must be rejected

Les données numérisées font aujourd’hui partie de notre quotidien. Parmi elles, les données de santé à caractère personnel représentent une frange particulièrement sensible à traiter et à partager car elles recèlent des renseignements relatifs à la vie privée des personnes. Elles font donc l’objet d’une protection spécifique par principe. Mais elles sont, dans le même temps, hautement convoitées du fait du potentiel qu’elles représentent pour l’amélioration de l’ensemble du système de santé. En France, deux grandes bases de données historiques, le SNIIRAM et le PMSI, sont dédiées à la récolte et au traitement des données de santé. Bien que ces bases ne contiennent aucune information directement identifiante, elles ont longtemps été verrouillées et accessibles à des conditions très strictes, parfois peu intelligibles, au nom du respect de la vie privée des individus. L’accès difficile à ces bases représente cependant une perte de connaissance avérée et des moyens juridiques et techniques existent pour assurer la sécurité des données et le droit au respect de la vie privée des individus. C’est notamment pour cette raison que les modalités d’accès aux données de santé à caractère personnel contenues dans ces bases ont été entièrement réformées et continuent de l’être. Pour bien comprendre le cheminement qui a conduit à l’ouverture récente des bases de données médico-administratives, cette étude s’attache à connaître le fonctionnement des accès à ces données depuis leur création jusqu’à nos jours. Au regard des typologies d’accès qui existent, cela demande de se positionner selon trois angles : celui des acteurs publics privilégiés qui bénéficient d’un accès permanent ; celui des acteurs publics ordinaires et des acteurs privés à but non lucratif qui peuvent accéder à certaines données en se pliant à un régime d’autorisation préalable ; celui des acteurs privés à but lucratif qui ont d’abord été mis à l’écart de l’accès aux données de santé avant d’y être finalement admis. L’évolution de l’accès à ces données sensibles est, encore aujourd’hui, au cœur de l’actualité à travers une réforme supplémentaire de la gouvernance des bases de données médico-administratives et de leur contenu. Ce nouveau projet entend faire cohabiter la protection du droit au respect de la vie privée avec l’accès le plus ouvert possible au plus grand nombre de données de santé
Digitized data is an integral part of our daily lives. Among them, personal health data represent a particularly sensitive group which must be processed and shared with care because they contain information relating to the private lives of individuals. They are therefore subject to special protection as a matter of principle. But at the same time, they are highly coveted because of their potential to improve the entire healthcare system. In France, two major historical databases, SNIIRAM and PMSI, are dedicated to the collection and processing of health data. Although these databases do not contain any personally identifying information, they have long been accessible only under very strict conditions, sometimes difficult to understand, in the name of respect for the privacy of individuals. However, difficult access to these databases represents a proven loss of knowledge, and legal and technical means exist to ensure data security and the right to privacy of individuals. It is for this reason in particular that the procedures for accessing the personal health data contained in these databases have been completely reformed and continue to be reformed. To fully understand the process that led to the recent opening of medico-administrative databases, this study focuses on how access to these data has worked from their creation to the present day. With regard to the types of access that exist, this requires positioning oneself from three angles: that of privileged public actors who benefit from permanent access; that of ordinary public actors and private non-profit actors who can access certain data by complying with a prior authorization regime; and that of private for-profit actors who were first excluded from access to health data before finally being admitted. The evolution of access to this sensitive data is still a headlining topic due to a further reform of the governance of medico-administrative databases and their content. This new project aims to ensure that the protection of the right to privacy is combined with the widest possible access to as much health data as possible

Au cours des dernières années, nous avons observé le développement de dispositifs connectéset nomades tels que les téléphones mobiles, tablettes ou même les ordinateurs portablespermettant aux gens d’utiliser dans leur quotidien des services géolocalisés qui sont personnalisésd’après leur position. Néanmoins, les services géolocalisés présentent des risques enterme de vie privée qui ne sont pas forcément perçus par les utilisateurs. Dans cette thèse,nous nous intéressons à comprendre les risques en terme de vie privée liés à la disséminationet collection de données de localisation. Dans ce but, les attaques par inférence que nousavons développé sont l’extraction des points d’intérêts, la prédiction de la prochaine localisationainsi que la désanonymisation de traces de mobilité, grâce à un modèle de mobilité quenous avons appelé les chaînes de Markov de mobilité. Ensuite, nous avons établi un classementdes attaques d’inférence dans le contexte de la géolocalisation se basant sur les objectifsde l’adversaire. De plus, nous avons évalué l’impact de certaines mesures d’assainissement àprémunir l’efficacité de certaines attaques par inférence. En fin nous avons élaboré une plateformeappelé GEoPrivacy Enhanced TOolkit (GEPETO) qui permet de tester les attaques parinférences développées
In recent years, we have observed the development of connected and nomad devices suchas smartphones, tablets or even laptops allowing individuals to use location-based services(LBSs), which personalize the service they offer according to the positions of users, on a dailybasis. Nonetheless, LBSs raise serious privacy issues, which are often not perceived by the endusers. In this thesis, we are interested in the understanding of the privacy risks related to thedissemination and collection of location data. To address this issue, we developed inferenceattacks such as the extraction of points of interest (POI) and their semantics, the predictionof the next location as well as the de-anonymization of mobility traces, based on a mobilitymodel that we have coined as mobility Markov chain. Afterwards, we proposed a classificationof inference attacks in the context of location data based on the objectives of the adversary.In addition, we evaluated the effectiveness of some sanitization measures in limiting the efficiencyof inference attacks. Finally, we have developed a generic platform called GEPETO (forGEoPrivacy Enhancing Toolkit) that can be used to test the developed inference attacks

Au cours des dernières années, nous avons observé le développement de dispositifs connectés et nomades tels que les téléphones mobiles, tablettes ou même les ordinateurs portables permettant aux gens d'utiliser dans leur quotidien des services géolocalisés qui sont personnalisés d'après leur position. Néanmoins, les services géolocalisés présentent des risques en terme de vie privée qui ne sont pas forcément perçus par les utilisateurs. Dans cette thèse, nous nous intéressons à comprendre les risques en terme de vie privée liés à la dissémination et collection de données de localisation. Dans ce but, les attaques par inférence que nous avons développé sont l'extraction des points d'intérêts, la prédiction de la prochaine localisation ainsi que la désanonymisation de traces de mobilité, grâce à un modèle de mobilité que nous avons appelé les chaînes de Markov de mobilité. Ensuite, nous avons établi un classement des attaques d'inférence dans le contexte de la géolocalisation se basant sur les objectifs de l'adversaire. De plus, nous avons évalué l'impact de certaines mesures d'assainissement à prémunir l'efficacité de certaines attaques par inférence. En fin nous avons élaboré une plateforme appelé GEoPrivacy Enhanced TOolkit (GEPETO) qui permet de tester les attaques par inférences développées.

L’objectif de chaque procès est de déterminer une vérité judiciaire. Pour cela, il est nécessaire que soient apportées différentes preuves qui vont conduire à préserver l’ordre social, en droit civil comme en droit pénal. Le corps n’échappe pas à un tel objectif : hier comme aujourd’hui, il fut et est utilisé à des fins probatoires. Seulement, alors que dans l’histoire celui-ci a pu être violenté pour obtenir des informations utiles à une procédure, il fait désormais, théoriquement, l’objet de multiples protections tant nationales que supranationales. Ce dernier reste toutefois un formidable objet d’investigations probatoires, très bavard, qui permet d’obtenir des informations considérées comme de plus en plus fiables et surtout, discriminantes (et ce, peu importe sa forme : corps global ou bien un simple élément détaché de cette réalité matérielle humaine). Pour autant, l’observation visuelle d’une personne ne suffit pas toujours pour que le corps devienne une preuve : la preuve corporelle est majoritairement une preuve scientifique et l’essor grandissant de la science permet un développement aisé de celle-ci. C’est ainsi que nos procédures judiciaires connaissent des recours de plus en plus importants au scientifique : l’homme de science est un allié de taille pour « faire parler » le corps et apporte un réel soutien au magistrat. Dans tous les cas, il est nécessaire qu’un juste équilibre soit trouvé entre la préservation de l’intérêt général et la protection individuelle de la personne et de son corps
The purpose of each trial is to determine a judicial truth. For that, it is necessary to bring different proofs which will lead to preserve the social order, regarding civilian law as well as criminal law. The body does not escape such an objective : yesterday as today, it was and it is used for probative purposes. However, while it has been abused to obtain usefull information for a procedure throwghout history, it is now, theoretically, subject to multiple protections both national and supranational. Thus, the latter, remains a tremendos object of probative investigation, very talkative, which leads to obtain information considered more and more reliable and above all, discriminating (and this, whatever its form: global body or a simple detached element of this material human reality). So far, the visual observation of a person is not always enough for the body to become proof : body proof is mainly a scientific evidence and the growing growth of science allows an easy development of it. This is how our judicial procedures are increasingly appealing to the scientist: the scientist is a strong ally to "make the body speak" and he provides real support to the magistrate. In any case, it is necessary that a fair balance be found between the preservation of the general interest and the individual protection of the person and his body

Les systèmes de recommandation sont devenus une partie indispensable des services et des applications d’internet, en particulier dû à la surcharge de données provenant de nombreuses sources. Quel que soit le type, chaque système de recommandation a des défis fondamentaux à traiter. Dans ce travail, nous identifions trois défis communs, rencontrés par tous les types de systèmes de recommandation: les données, les modèles d'apprentissage et la protection de la vie privée. Nous élaborons différents problèmes qui peuvent être créés par des données inappropriées en mettant l'accent sur sa qualité et sa quantité. De plus, nous mettons en évidence l'importance des réseaux sociaux dans la mise à disposition publique de systèmes de recommandation contenant des données sur ses utilisateurs, afin d'améliorer la qualité des recommandations. Nous fournissons également les capacités d'inférence de données publiques liées à des données relatives aux utilisateurs. Dans notre travail, nous exploitons cette capacité à améliorer la qualité des recommandations, mais nous soutenons également qu'il en résulte des menaces d'atteinte à la vie privée des utilisateurs sur la base de leurs informations. Pour notre second défi, nous proposons une nouvelle version de la méthode des k plus proches voisins (knn, de l'anglais k-nearest neighbors), qui est une des méthodes d'apprentissage parmi les plus populaires pour les systèmes de recommandation. Notre solution, conçue pour exploiter la nature bipartie des ensembles de données utilisateur-élément, est évolutive, rapide et efficace pour la construction d'un graphe knn et tire sa motivation de la grande quantité de ressources utilisées par des calculs de similarité dans les calculs de knn. Notre algorithme KIFF utilise des expériences sur des jeux de données réelles provenant de divers domaines, pour démontrer sa rapidité et son efficacité lorsqu'il est comparé à des approches issues de l'état de l'art. Pour notre dernière contribution, nous fournissons un mécanisme permettant aux utilisateurs de dissimuler leur opinion sur des réseaux sociaux sans pour autant dissimuler leur identité
Recommendation systems have gained tremendous popularity, both in academia and industry. They have evolved into many different varieties depending mostly on the techniques and ideas used in their implementation. This categorization also marks the boundary of their application domain. Regardless of the types of recommendation systems, they are complex and multi-disciplinary in nature, involving subjects like information retrieval, data cleansing and preprocessing, data mining etc. In our work, we identify three different challenges (among many possible) involved in the process of making recommendations and provide their solutions. We elaborate the challenges involved in obtaining user-demographic data, and processing it, to render it useful for making recommendations. The focus here is to make use of Online Social Networks to access publicly available user data, to help the recommendation systems. Using user-demographic data for the purpose of improving the personalized recommendations, has many other advantages, like dealing with the famous cold-start problem. It is also one of the founding pillars of hybrid recommendation systems. With the help of this work, we underline the importance of user’s publicly available information like tweets, posts, votes etc. to infer more private details about her. As the second challenge, we aim at improving the learning process of recommendation systems. Our goal is to provide a k-nearest neighbor method that deals with very large amount of datasets, surpassing billions of users. We propose a generic, fast and scalable k-NN graph construction algorithm that improves significantly the performance as compared to the state-of-the art approaches. Our idea is based on leveraging the bipartite nature of the underlying dataset, and use a preprocessing phase to reduce the number of similarity computations in later iterations. As a result, we gain a speed-up of 14 compared to other significant approaches from literature. Finally, we also consider the issue of privacy. Instead of directly viewing it under trivial recommendation systems, we analyze it on Online Social Networks. First, we reason how OSNs can be seen as a form of recommendation systems and how information dissemination is similar to broadcasting opinion/reviews in trivial recommendation systems. Following this parallelism, we identify privacy threat in information diffusion in OSNs and provide a privacy preserving algorithm for the same. Our algorithm Riposte quantifies the privacy in terms of differential privacy and with the help of experimental datasets, we demonstrate how Riposte maintains the desirable information diffusion properties of a network

1. Opposer un refus de reconnaissance au statut personnel d’un individu revient à renier une partie de son identité. Le fait que des citoyens européens puissent subir les inconvénients liés à la survenance d’un statut ‘boiteux’ lors de l’exercice de leur liberté de circulation est-il compatible avec les droits et libertés garantis par la Convention européenne des droits de l’homme et les Traités européens ?Cette question était à l’origine de notre recherche doctorale.2. Celle-ci nous a menés à nous interroger sur l’étendue des droits et libertés européens, tels qu’ils découlent de la jurisprudence de la Cour européenne des droits de l’homme et de la Cour de justice de l’Union européenne, et à explorer les pistes de solutions que recèle aujourd’hui le droit européen en tant que cadre supranational pour l’ensemble des États membres.Sous l’impulsion motrice de la Cour européenne des droits de l’homme et de la Cour de justice de l’Union européenne, la protection de la portabilité du statut personnel a connu ces dernières années des développements sans précédent. Il s’imposait dès lors de dégager les lignes directrices de cette importante œuvre prétorienne. Celles-ci s’imposent, de lege lata, aux États membres dès lors qu’ils envisagent de refuser de reconnaître le statut personnel d’un citoyen européen cristallisé dans un autre État membre.3. Il peut, à notre sens, être déduit de cette jurisprudence qu’un refus de reconnaissance du statut personnel constitue une ingérence dans le droit à la vie privée et familiale, lorsque la personne concernée nourrissait une confiance légitime en la permanence de son statut. Un tel refus risque également, par ricochet, de priver la personne de certains droits patrimoniaux liés à son statut, tel un droit successoral ou une créance alimentaire. La reconnaissance pourrait alors devenir un préalable nécessaire au respect de ses biens et, par conséquent, son refus constituer une ingérence à ce droit fondamental. Dans certaines circonstances, le refus de reconnaissance peut également porter atteinte au principe d’égalité ainsi qu’au droit à un procès équitable, pour autant que le statut personnel découle d’une décision judiciaire. Enfin, la discontinuité du statut personnel peut constituer une entrave à la liberté de circulation et porter atteinte à la citoyenneté européenne.Dès lors, l’existence d’un droit fondamental du citoyen européen à la permanence de son statut personnel acquis dans un État membre nous paraît s’inscrire dans la droite ligne des principes fixés par les deux Hautes juridictions européennes.4. Ce droit n’est cependant pas absolu. La jurisprudence tant strasbourgeoise que luxembourgeoise admet – dans des mesures comparables au demeurant – que l’État d’accueil puisse refuser de reconnaître le statut personnel acquis à l’étranger, pour autant que cela s’avère nécessaire à la protection de son intérêt légitime.Ces considérations nous ont amenés à conclure que les motifs abstraits de refus de reconnaissance traditionnellement retenus en droit international privé ne devraient plus permettre de justifier, à eux seuls, un refus de reconnaissance dans le contexte intra-européen.Ainsi, nous pensons que l’État d’accueil ne devrait plus pouvoir refuser de reconnaître un statut cristallisé dans un autre État membre pour le seul motif qu’il n’a pas été établi conformément à la loi désignée par sa règle de conflit, ou que l’État membre d’origine ne pré-sente pas de liens jugés suffisants avec la personne concernée. Si le refus de reconnaissance ne s’appuie pas, en outre, sur la volonté de protéger un intérêt légitime du for, il ne répondrait pas aux critères fixés par la jurisprudence européenne. En effet, le respect d’une règle abstraite de conflit de lois ou d’une exigence de liens suffisants ne paraît pas constituer un objectif légitime suffisant aux yeux des deux Cours européennes. La protection de ces règles abstraites ne semble, au demeurant, pas proportionnée à l’atteinte portée au droit à la permanence du statut personnel.De lege lata, nous estimons que seules l’exception de fraude, entendue très étroitement, et l’exception d’ordre public pourraient justifier, à elles seules, un refus de reconnaissance. 5. Le cadre général ainsi posé, nous nous sommes consacrés dans la seconde partie de notre recherche – que nous avons voulue créative – à tenter de tracer, à la lumière de la jurisprudence européenne, les contours d’une méthode européenne de la reconnaissance.Cette méthode est une variante de ce qu’il est communément admis d’appeler la, ou les méthode(s) de la reconnaissance. La variante que nous préconisons est construite sur le principe selon lequel, afin d’assurer la portabilité du statut personnel au sein de l’Union européenne, la reconnaissance du statut cristallisé dans un État membre doit être la règle et les refus de reconnaissance l’exception, qu’il appartient à l’État d’accueil de justifier.En application de la méthode européenne de la reconnaissance, l’autorité d’accueil doit reconnaître le statut personnel d’une personne dès que celui-ci a été cristallisé dans un acte émanant d’une autorité publique d’un État membre, matériellement compétente pour ce faire, sans devoir vérifier au préalable sa validité. Elle peut cependant refuser de reconnaître le statut étranger si, et seulement si, ce refus apparaît nécessaire à la sauvegarde d’un intérêt fondamental de l’État d’accueil.Ce refus de reconnaissance prend alors la forme d’une exception européenne d’ordre public. Celle-ci systématise la mise en balance entre l’atteinte portée au droit à la permanence du statut personnel et l’intérêt légitime de l’État d’accueil poursuivi par le refus de reconnaissance.De surcroît, si l’État d’accueil est internationalement compétent pour ce faire, il peut annuler le statut étranger dans les mêmes conditions que l’État d’origine. Dans le cadre du contentieux de l’annulation, la validité du statut étranger est alors appréciée au regard des règles applicables dans l’ordre juridique d’origine, en tenant tout particulièrement compte des motifs de couverture éventuelle des nullités et de la titularité des personnes autorisées à soulever celle-ci.La méthode proposée pourrait, à notre sens, être traduite dans un Règlement européen, ce qui faciliterait incontestablement sa mise en œuvre.6. Afin de vérifier la faisabilité de la méthode européenne proposée, nous avons testé son application sur les situations potentiellement boiteuses épinglées lors d’un examen de droit comparé portant sur la circulation de quatre éléments du statut personnel au sein de quatre États membres. Les éléments du statut personnel sélectionnés étaient le nom de fa-mille, le mariage, le partenariat enregistré et le lien de filiation biologique. L’examen a porté sur les droits belge, français, allemand et anglais. Il a permis de mettre en évidence quelques-uns des atouts et faiblesses de la méthode proposée, que nous avons exposés dans le dernier chapitre de notre thèse et que nous résumons ci-dessous.La méthode européenne de la reconnaissance présente l’avantage d’offrir une réponse unique à la question de la portabilité du statut personnel. La distinction méthodologique traditionnellement retenue en fonction de la nature judiciaire ou non de l’acte à reconnaître est abandonnée.Elle permet d’éviter une grande partie des situations potentiellement boiteuses épinglées lors de notre examen de droit comparé, notamment en écartant le contrôle conflictuel et les autres motifs abstraits de refus de reconnaissance. La question de la qualification du statut établi à l’étranger se pose par conséquent avec moins d’acuité. Par ailleurs, elle met un terme à plusieurs débats actuels référencés au cours de nos travaux et apporte une réponse à des situations de vide juridique.Le postulat de la reconnaissance simplifie la circulation du statut personnel, puisque ce n’est qu’en cas de doute sur la compatibilité de l’accueil avec l’ordre public du for que l’autorité saisie procèdera à un examen plus approfondi de la situation qui lui est présentée. Dans la grande majorité des situations, le statut personnel circulera sans aucun réel contrôle au fond.L’approche concrète promue par la méthode proposée suscite cependant une difficulté particulière, qui n’existe pas, ou seulement dans une moindre mesure, dans l’application des règles abstraites de droit international privé étudiées. Il s’agit de la résolution des statuts inconciliables. Les approches traditionnelles, consistant à donner priorité au statut cristallisé dans l’ordre juridique d’accueil ou à appliquer un critère temporel, sont en effet écartées en faveur d’une approche concrète mettant en balance tous les intérêts en cause. S’agissant d’une méthode classiquement utilisée pour résoudre les conflits de droits fondamentaux, on connaît les difficultés et critiques auxquelles elle s’expose. 7. De manière plus générale, la méthode européenne de la reconnaissance impose aux autorités nationales d’intégrer la logique européenne dans leur raisonnement, lorsqu’elles sont saisies de la question de la reconnaissance d’un élément du statut personnel cristallisé à l’intervention d’une autorité publique d’un État membre. Ce faisant, elle devrait réduire la survenance de statuts personnels boiteux et contribuer ainsi à faciliter la circulation des citoyens européens.Cette recherche s’inscrit dès lors à la croisée du droit de la famille, du droit international privé, du droit européen et des droits fondamentaux.
Doctorat en Sciences juridiques
info:eu-repo/semantics/nonPublished

Le droit international privé est éprouvé par les droits fondamentaux. Les données à partir desquelles la discipline a été pensée ont d’abord évolué. Les droits de l’homme créent une connexion entre les ordres juridiques étatiques et protègent la mobilité internationale des personnes. Si cette évolution ne remet pas en cause l’existence du problème de droit international privé, force est d’admettre que les droits fondamentaux modifient aujourd’hui son analyse. Tandis que les conflits d’ordres juridiques sont transformés en conflit de valeurs, la hiérarchie des intérêts du droit international privé est remplacée par leur mise en balance. Les solutions de droit international privé sont, ainsi, perturbées par l’application contentieuse des droits fondamentaux. La proportionnalité est plus précisément à l’origine de cette perturbation. Technique de réalisation des droits de l’homme, la proportionnalité a une incidence inégale sur la discipline. Si le contrôle de proportionnalité épargne ses méthodes, il bouleverse en revanche ses solutions. Les Cours européennes ont tendance à privilégier la continuité des situations juridiques sur la défense de la cohésion interne. Aussi pressent-elles le droit international privé à libéraliser ses solutions. L’application contentieuse des droits fondamentaux doit, dès lors, être rationalisée pour préserver l’autorité et la prévisibilité des solutions du conflit de lois et de juridictions. C’est en dissociant l’application des droits de l’homme de l’exception d’ordre public international et en corrigeant la mise en œuvre du contrôle de proportionnalité que l’équilibre du droit international privé pourrait, nous semble-t-il, se reconstruire
Fundamental rights put private international law to the test. First, the context in which private international law operates has evolved. Fundamental rights have created a better, closer, intertwining of the separate state legal orders and have achieved a higher protection for the persons as they experience international mobility. If this evolution does not threaten, as such, the existence of private international law, it must be acknowledged that fundamental rights modify its analysis. Whereas the conflicts between legal orders are transformed into conflicts between values, the hierarchy of interests protected by private international law is replaced by a balancing of these interests. The solutions of private international law are thus disrupted by the enforcement of fundamental rights through litigation. Proportionality is at the source of this disruption. Being a case by case technique of enforcement of fundamental rights, the influence of the proportionality test on private international is uneven. If the proportionality test is found to be overall indifferent to the methods of private international law, its main impact is on the solutions of PIL. The European courts are indeed prone to favour the continuity in the legal situations of the persons, over the defence of the internal cohesion of the state legal orders. As a consequence, private international law is invited to reach liberal solutions. The enforcement of fundamental rights through litigation must hence be clarified so as to maintain a mesure of authority and predictability of the solutions of the rules of conflict of laws, international jurisdiction and recognition of foreign judgements. It is, on the one hand, by methodologically dissociating the enforcement of fundamental rights from the public policy exception and, on the other hand, through an amendment to the proportionality test, that the balance of private international may hopefully be restored

Le droit international privé est éprouvé par les droits fondamentaux. Les données à partir desquelles la discipline a été pensée ont d’abord évolué. Les droits de l’homme créent une connexion entre les ordres juridiques étatiques et protègent la mobilité internationale des personnes. Si cette évolution ne remet pas en cause l’existence du problème de droit international privé, force est d’admettre que les droits fondamentaux modifient aujourd’hui son analyse. Tandis que les conflits d’ordres juridiques sont transformés en conflit de valeurs, la hiérarchie des intérêts du droit international privé est remplacée par leur mise en balance. Les solutions de droit international privé sont, ainsi, perturbées par l’application contentieuse des droits fondamentaux. La proportionnalité est plus précisément à l’origine de cette perturbation. Technique de réalisation des droits de l’homme, la proportionnalité a une incidence inégale sur la discipline. Si le contrôle de proportionnalité épargne ses méthodes, il bouleverse en revanche ses solutions. Les Cours européennes ont tendance à privilégier la continuité des situations juridiques sur la défense de la cohésion interne. Aussi pressent-elles le droit international privé à libéraliser ses solutions. L’application contentieuse des droits fondamentaux doit, dès lors, être rationalisée pour préserver l’autorité et la prévisibilité des solutions du conflit de lois et de juridictions. C’est en dissociant l’application des droits de l’homme de l’exception d’ordre public international et en corrigeant la mise en œuvre du contrôle de proportionnalité que l’équilibre du droit international privé pourrait, nous semble-t-il, se reconstruire
Fundamental rights put private international law to the test. First, the context in which private international law operates has evolved. Fundamental rights have created a better, closer, intertwining of the separate state legal orders and have achieved a higher protection for the persons as they experience international mobility. If this evolution does not threaten, as such, the existence of private international law, it must be acknowledged that fundamental rights modify its analysis. Whereas the conflicts between legal orders are transformed into conflicts between values, the hierarchy of interests protected by private international law is replaced by a balancing of these interests. The solutions of private international law are thus disrupted by the enforcement of fundamental rights through litigation. Proportionality is at the source of this disruption. Being a case by case technique of enforcement of fundamental rights, the influence of the proportionality test on private international is uneven. If the proportionality test is found to be overall indifferent to the methods of private international law, its main impact is on the solutions of PIL. The European courts are indeed prone to favour the continuity in the legal situations of the persons, over the defence of the internal cohesion of the state legal orders. As a consequence, private international law is invited to reach liberal solutions. The enforcement of fundamental rights through litigation must hence be clarified so as to maintain a mesure of authority and predictability of the solutions of the rules of conflict of laws, international jurisdiction and recognition of foreign judgements. It is, on the one hand, by methodologically dissociating the enforcement of fundamental rights from the public policy exception and, on the other hand, through an amendment to the proportionality test, that the balance of private international may hopefully be restored

Le but de cette thèse est de comprendre comment les entreprises peuvent faire augmenter une expérience donnant naissance à l’engagement des consommateurs grâce aux nouveaux médias (comme les vidéos du Web, les dispositifs de téléphonie mobile et la télévision "traditionnelle") afin de stimuler le comportement actif des clients et de redéfinir des stratégies commerciales de marketing. Nous avons structuré notre analyse sur trois études d’approche.Dans la première étude, nous avons décrit comment l'engagement personnel avec le contenu et l'engagement social interactif (résultant du sens perçu de la communauté, du sentiment d'appréciation intrinsèque et de la participation à l'expérience) influencent différemment le comportement actif et passif sur des sites de télévision sociale. Nous avons testé des hypothèses en estimant un modèle d'équation structurale avec les données d'une enquête sur un groupe de 814 utilisateurs de télévision sociale aux Etats-Unis et en Europe. Dans la deuxième étude, nous examinons l'influence de l'intrusion dans la vie privée sur la relation entre l'engagement expérientiel (c'est à dire l'engagement personnel et l'engagement interactif et social) et l'utilisation active et passif et nous avons testé ces hypothèses (379 utilisateurs) en tenant compte de services de géolocalisation sur téléphonie mobile. Dans la troisième étude, nous avons élargi notre cadre conceptuel et étudié les effets de l'engagement social interactif sur l'identité sociale et l'appréciation des marques. Le modèle a été validé expérimentalement en menant une enquête sur des pages de fans de Facebook de 20 grandes marques internationales situées en Europe et aux Etats-Unis (panel de 387 personnes). Les résultats émergeant des trois études prouvent que l'engagement expérientiel a des effets positifs sur le comportement du consommateur (actif et passif) en ligne et qu'il contraste avec l'effet négatif de l'atteinte à la vie privée. Les résultats obtenus confirment les effets positifs de l'engagement social et interactif sur les rapports affectifs des consommateurs pour une marque et le plein effet de l'identité sociale. De manière plus spécifique, les annonceurs publicitaires, qui forcent les expériences pouvant influencer l'engagement social et interactif, peuvent aussi influer sur l'identité sociale et le rapport avec une marque
The thesis aims to understand how companies can leverage on consumer experiential engagement in new-media based social media environments (using video on the web, handheld devices and web 2.0) in order to stimulate active behavior and redefine commercial marketing strategies. We structure our analysis on a three studies approach. The first study describes how Personal Engagement with the content and Social-Interactive Engagement (resulting from the perceived sense of community, intrinsic enjoyment and participation experience) differently influence both active and passive behavior. We test hypotheses with survey data from a sample of 814 US and EU social TV users. In study 2 we examine the influence of privacy intrusiveness on the relation between Experiential Engagement (Personal and Social-interactive Engagement) and active and passive use and we test it (n=379) with reference to mobile location-based social networking applications in EU and US. In study 3 we develop a conceptual model in which social-interactive engagement influences social identity directly and brand love indirectly through the mediating effect of social identity. The model was empirically validated (n=387) on the Facebook fan pages of 20 leading international brands in EU and the US. Findings emerging from the three studies show that Experiential Engagement has positive effects on the consumer behavior online (active and passive) and it may contrast the negative effect of privacy intrusiveness. The results obtained show also a positive effects of social-interactive engagement on consumer-brand affective relationships (brand love) and the full mediating effect of social identity. More specifically advertisers, leveraging on experiences that influence social-interactive engagement can influence the social identity and the relationship with the brand

Bien que non conçue initialement comme une Convention centrée sur l’enfant, laConvention européenne des droits de l’homme a généré, grâce à l’interprétation dynamique de laCour européenne des droits de l’homme, la jurisprudence la plus abondante de tous les instrumentsde ce type concernant les droits de l’enfant. Disposant d’un espace juridique favorable à uneinterprétation dynamique en vue de protéger les droits de l’enfant, la Cour européenne manque detexte sur lequel elle peut fonder une interprétation favorable aux droits de l’enfant. C’est ainsiqu’elle se réfère principalement à la Convention internationale des droits de l’enfant, l’instrumentde protection spécifique des droits de l’enfant le plus précis et le plus adapté. A travers lamobilisation des dispositions de la Convention internationale des droits de l’enfant et l’intégrationde la notion de l’intérêt supérieur de l’enfant contenue dans cet instrument dans son raisonnement laCour européenne utilise cette Convention comme instrument de construction de sa proprejurisprudence relative à la protection spécifique des droits de l’enfant. Mais si l’intégration de cetteConvention dans le raisonnement de la Cour européenne constitue un facteur d’harmonisation dansla mesure où elle incite les Etats membres du Conseil de l’Europe à mettre en oeuvre ce traitéinternational tout en leur fournissant une interprétation commune de ses dispositions, aucuneuniformité absolue ne s’impose. L’étude de la jurisprudence de la Cour européenne souligne savolonté croissante de faire de la Convention européenne des droits de l’homme un instrumentconventionnel subsidiaire de la protection spécifique des droits de l’enfant
Although not originally designed as a child-centered Convention, the EuropeanConvention on Human Rights generated through the dynamic interpretation of the European Courtof Human Rights, the most abundant case law of all the instruments of this type on the rights of thechild. With a favorable legal space to protect child’s rights, the European Court lacks a text onwhich it can base an interpretation on. That is why it mainly refers to the Convention on the Rightsof the Child, which is the most detailed and the most suitable Convention for protecting child’srights specifically. Through the mobilization of the UN Convention on child's rights and theintegration of the concept of the best interest of the child contained in this instrument in itsreasoning, the European Court uses this Convention as a tool to construct its own case law on thespecific protection of child’s rights. But if the integration of this Convention in the reasoning of theEuropean Court is a factor of harmonization to the extent that it encourages the Member States ofthe Council of Europe to implement the international treaty while providing a commoninterpretation its provisions, no absolute uniformity is required. The study of the European Court’scase law underlines its growing will to make the European Convention on Human Rights asubsidiary conventional instrument to child’s rights protection

La démocratie représentative reste un régime essentiellement représentatif qui a été conçu précisément pour exclure la participation directe de l’universalité des citoyens à la prise de décisions politiques. L’introduction d’instruments de la participation directe, en forme de l’e-démocratie, crée un conflit au sein de ce régime, conflit qui ne sera résolu que par un aménagement de la notion de démocratie représentative, voire sa substitution par une autre notion, ayant vocation à concilier les exigences de la participation et de la représentation. Cette thèse se propose de réfléchir à un modèle de régime politique-type susceptible de permettre l'intégration de l'e-démocratie.Une telle intégration met en lumière l’interdépendance entre la démocratie et les droits fondamentaux qui sont menacés de manière inédite à l’ère numérique. La possibilité d’introduire l’e-démocratie est donc conditionnée à la protection renforcée des droits essentiels : la liberté d’expression, le droit au respect de la vie privée, ainsi qu’à la reconnaissance de nouveaux droits fondés sur l’autodétermination personnelle. L’introduction de l’e-démocratie peut également remettre en cause certains concepts bien établis, tels que le principe majoritaire, ou exiger leur reconsidération, comme dans le cas de la bonne gouvernance
Representative democracy remains essentially a representative government that was created precisely to avoid all the citizens to participate directly in political decision-making. Implementation of direct participation’s instruments in form of e-democracy creates a conflict within this government, a conflict which can be solved only by a renewal of representative democracy concept, even its substitution by another idea committed to reconciling representation and participation. This thesis aims a reflection on a concept of government capable of integrating e-democracy.Such an integration highlights the interdependent character of the link between democracy and human rights that are exposed to totally new threats in the digital era. The possibility to introduce e-democracy is conditional upon the reinforced protection of such essential rights and freedoms: as freedom of expression and right to respect for private and family life in the digital environment, as well as recognition of new rights based on personal self-determination. Implementation of e-democracy can also challenge well-established concepts such as majority principle or require their reconsideration, as in the case of good governance

Les registres médicaux sont des banques de données, ayant des caractéristiques spécifiques, rassemblant tous les cas d'une maladie sur un territoire précis. Ces informations permettent la mise en place de politiques de santé publique ainsi que l'étude de maladies afin de faire progresser la recherche médicale. La question se pose donc de savoir comment la réglementation concernant le respect de la vie privée s'applique aux particularités des registres. La législation actuellement en vigueur au Québec prévoit l'obligation d'obtenir le consentement du patient avant d'inclure les données le concernant dans le registre. Ces renseignements personnels de santé recueillis dans le registre doivent être protégés afin de respecter la vie privée des participants. Pour cela, des mesures concernant la confidentialité et la sécurité des données doivent être mises en place en vue de leur conservation et durant celle-ci. Après l'utilisation principale de ces données, il est possible de se servir à nouveau de ces renseignements personnels à d'autres fins, qu'il faille ou non les transférer vers une autre banque de données, nationale ou étrangère. Néanmoins cette utilisation secondaire ne peut se faire qu'à certaines conditions, sans porter atteinte au droit des participants concernant le respect de la vie privée.
Medical registries are databases which record aIl cases of a specifie disease found in a given area. Registries provide vital information for public health research and for the implementation of appropriate public policies. The question is : How does the regulation of privacy apply to registries? Legislation currently in force in the province of Quebec requires the consent of a patient in order to inc1ude personal information in the registry. Personal health data in a registry have to be protected to preserve the privacy of research subjects. To ensure data security and confidentiality sorne measures must be taken during their conservation. Secondary use of data is possible under certain conditions aimed at protecting the right to privacy. It is possible to use such personal information again for other purposes even if the data need to be transferred to another national or foreign database.
"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de Maîtrise en LL.M. Droit - Recherche option Droit, Biotechnologies et Sociétés"