ANNONCE DE SOUTENANCE DE THESE DE DOCTORAT
Madame Kheira BEKARA
Département RST – Télécom SudParis – Université Pierre et Marie Curie – Ecole doctorale EDITE – Informatique, Télécommunications – Electronique

Bonjour,

J’ai le plaisir de vous inviter à ma soutenance de thèse de doctorat intitulée:
« Protection des données personnelles côté utilisateur dans le E-Commerce ».

Cette thèse a été préparée sous la direction du Professeur Maryline Laurent au sein de l’équipe R3S du laboratoire CNRS SAMOVAR. Elle se tiendra le Mardi 18 Décembre 2012 à 10h30 en salle A001 (sous-sol du bâtiment A) et sera suivie d’un pot en salle E308.

Composition du jury:

— Mr. Frédéric CUPPENS—–Professeur, TELECOM Bretagne—–Rapporteur

— Mr. Anas Abou EL KALAM—–Professeur, ENSA—–Rapporteur

— Mr. Jean-Gabriel GANASCIA—–Professeur, LIP6—–Examinateur

— Mme. Samia BOUZEFRANE—–Professeur, CNAM—–Examinatrice

— Mr. César VIHO—–Professeur, IRISA—–Examinateur

— Mme. Maryline LAURENT—–Professeur, Télécom SudParis—–Directrice de thèse

Résumé:

L’informatique et Internet en particulier favorisent grandement la collecte de données à
l’insu de l’utilisateur, leur divulgation à des tiers et le croisement des données. La densité
des activités humaines dans le monde numérique constitue donc un terrain fertile pour de
potentielles atteintes à la vie privée des utilisateurs.
Les présents travaux examinent d’abord le contexte légal de la protection de la vie
privée, ainsi que les divers moyens informatiques destinés à la protection des données
personnelles. Il en ressort un besoin de solutions centrées utilisateur, lui donnant
davantage de contrôle sur ses données personnelles. Dans cette perspective, nous
analysons le cadre légal français et européen pour en tirer des axes de protection. Nous
spécifions ensuite les contraintes tirées de ces axes, en proposant de les introduire dans les
modèles de politiques de sécurité existants. Ainsi, nous suggérons l’application d’un seul
modèle pour le contrôle d’accès et la protection de la vie privée. Le modèle de contrôle d’accès
doit être étendu par de nouvelles conditions et paramètres d’accès. Pour cela, nous définissons
le langage XPACML (eXtensible Privacy aware Access Control Markup Language) conçu
sur la base d’extensions apportées au modèle de contrôle d’accès XACML.
Placés dans un contexte E-Commerce, nous avons défini un modèle sémantique
permettant de représenter les contextes liés aux différentes transactions électroniques.
Ainsi nous avons pu effectuer une génération dynamique des politiques XPACML en
fonction du contexte en cours.
A la quête d’une protection étendue des données personnelles, nous avons consacré la
dernière partie de nos travaux aux négociations possibles qui peuvent être effectuées entre
un utilisateur et un fournisseur de service. Ainsi nous avons proposé deux protocoles. Le
premier porte sur la négociation des termes et conditions des politiques de protection des
données, alors que le deuxième porte sur la négociation des données à dévoiler elles
mêmes.

Abstract :

Informatics and Internet in particular favor largely the collection of data without user
permission, their disclosure to third parties and their cross-analysis. The density of the
human activities in the digital world thus constitutes a fertile ground for potential
invasions of privacy of the users.
Our works examine first the legal context of privacy protection, as well as the diverse
computing means intended for the protection of personal data. A need for user centered
solutions emerges, giving him/her more control over his/her personal data. In this
perspective, we analyze European and French privacy legislation to extract data protection
axis. Then we specify the constraints related to these axes, and we introduce them in
existing security policy models. Thus we suggest the application of one model for both
access control and privacy protection. The access control model should be extended by
new privacy related conditions and parameters. To do so, we define the language
XPACML (eXtensible Privacy aware Access Control Markup Language) based on
XACML and new privacy extensions.
Placed in an E-commerce context, we define a semantic model allowing to represent
various electronic transactions contexts, and leading to a dynamic generation of contextaware
XPACML policies.
Looking for a vast protection of the personal data, we dedicate the last part of our works
to the possible negotiations which can be made between a user and a service provider.
Two protocols are proposed. The first one permits the negotiation of the terms and the
conditions of data protection policies, while the second permits the negotiation of the
requested data themselves.