Thèse Respect du Rgpd par les Stockages du Navigateur H/F - Doctorat.Gouv.Fr

Établissement : Université Grenoble Alpes École doctorale : MSTII - Mathématiques, Sciences et technologies de l'information, Informatique Laboratoire de recherche : Laboratoire d'Informatique de Grenoble Direction de la thèse : Alain TCHANA ORCID 0000000177898400 Début de la thèse : 2026-10-01 Date limite de candidature : 2026-06-22T23:59:59 Les navigateurs Web s'appuient sur des mécanismes de stockage côté client (cookies, Web
Storage, IndexedDB) qui ont été conçus dans un souci de fonctionnalité, sans tenir compte
de la conformité réglementaire. Des études empiriques récentes révèlent des lacunes
systématiques : aucune distinction intégrée entre les données essentielles et non
essentielles, aucune application native des délais de conservation, et un isolement
insuffisant vis-à-vis des scripts tiers partageant la même origine. Cette thèse propose de
repenser l'architecture de stockage directement au niveau du moteur du navigateur, en
intégrant les principes du RGPD dès la conception. L'approche repose sur des API
déclaratives qui garantissent la finalité, la base juridique et la durée de conservation de
chaque opération de stockage, associées à un modèle d'isolation basé sur la finalité qui
étend la politique de même origine. Des mécanismes automatisés de vérification du
consentement, de suppression des données et de protection cryptographique seront mis en
oeuvre au sein de Chromium. Un tableau de bord utilisateur natif permettra aux individus
d'exercer leurs droits au titre du RGPD, tandis que des outils de migration aideront les
développeurs à adopter progressivement la nouvelle architecture. L'évaluation combinera
des tests de performance, des tests de pénétration, une vérification formelle et des études
d'ergonomie, dans le but de démontrer qu'une conformité solide au RGPD est réalisable
sans sacrifier les performances ni la compatibilité avec les applications web existantes L'architecture de stockage actuelle des navigateurs web repose sur la politique de même
origine (Same-Origin Policy), un mécanisme d'isolation grossier qui ne fait pas la distinction
entre les finalités de traitement et n'offre aucune protection contre les scripts tiers
s'exécutant au sein de la même origine. Des recherches antérieures dans ce domaine
(Englehardt & Narayanan 2016 ; Bollinger et al. 2022 ; Bouhoula et al. 2024) documentent
l'ampleur de la non-conformité au RGPD à grande échelle, tandis que des approches
récentes au niveau du système (K9DB, Sesame, RgpdOS) démontrent la faisabilité d'une
conformité imposée par l'infrastructure. Cette thèse comble une lacune : aucune solution ne
fonctionne actuellement directement au niveau du moteur du navigateur, là où les données
sont réellement stockées et consultées. L'objectif principal est de concevoir, de mettre en oeuvre et d'évaluer une architecture de
stockage côté client qui garantisse la conformité au RGPD par défaut, sans imposer de
charge excessive aux développeurs ni compromettre l'expérience utilisateur. Les objectifs
spécifiques portent sur la redéfinition des API de stockage, la conception d'un modèle de
contrôle d'accès axé sur les besoins, l'automatisation de la gestion du cycle de vie des
données, l'isolation des scripts tiers et la mise à disposition d'interfaces natives permettant
aux personnes concernées d'exercer leurs droits. La recherche suit une méthodologie de science de la conception structurée en quatre
phases successives. La première phase (6 mois) consiste en une analyse des exigences du
RGPD et en une étude des solutions existantes, complétées par des études de cas menées
auprès de développeurs web. La deuxième phase (9 mois) est consacrée à la modélisation
formelle de l'architecture, à l'analyse de sécurité et à la spécification de l'API. La troisième
phase (12 mois) couvre la mise en oeuvre du prototype dans Chromium, le développement
d'outils pour les développeurs et l'interface utilisateur. La quatrième phase (9 mois) consiste
en une évaluation complète : tests de performance, tests de pénétration et études d'ergonomie auprès des développeurs et des utilisateurs finaux.

Le candidat doit être titulaire d'un master en informatique. Une compréhension approfondie
et solide de l'architecture des navigateurs Web et des protocoles HTTP est indispensable.
Une bonne connaissance des mécanismes de sécurité Web (politique de même origine,
politique de sécurité du contenu, cookies) est un atout, tout comme un intérêt pour les
questions juridiques liées à la protection des données à caractère personnel. Le candidat
doit faire preuve d'autonomie, de rigueur scientifique et d'une forte aptitude à la recherche
expérimentale ainsi qu'à la contribution à des projets open source de grande envergure.