Enhancing transparency and consent in the internet of things

by Victor Morel

Doctoral thesis in Informatique

Under the supervision of Claude Castelluccia and Daniel Le Métayer.

Thesis committee President: Hervé Rivano.

Thesis committee members: Claude Castelluccia, Daniel Le Métayer, Hervé Rivano, Gerardo Schneider, Patricia Serrano alvarado, Félicien Vallet.

Examiners: Gerardo Schneider, Patricia Serrano alvarado.


  • Abstract

    In an increasingly connected world, the Internet permeates every aspect of our lives. The number of devices connected to the global network is rising, with prospects foreseeing 75 billions devices by 2025. The Internet of Things envisioned twenty years ago is now materializing at a fast pace, but this growth is not without consequence. The increasing number of devices raises the possibility of surveillance to a level never seen before. A major step has been taken in 2018 to safeguard privacy, with the introduction of the General Data Protection Regulation (GDPR) in the European Union. It imposes obligations to data controllers on the content of information about personal data collection and processing, and on the means of communication of this information to data subjects. This information is all the more important that it is required for consent, which is one of the legal grounds to process personal data. However, the Internet of Things can pose difficulties to implement lawful information communication and consent management. The tension between the requirements of the GDPR for information and consent and the Internet of Things cannot be easily solved. It is however possible. The goal of this thesis is to provide a solution for information communication and consent management in the Internet of Things from a technological point of view. To do so, we introduce a generic framework for information communication and consent management in the Internet of Things. This framework is composed of a protocol to communicate and negotiate privacy policies, requirements to present information and interact with data subjects, and requirements over the provability of consent. We support the feasibility of this generic framework with different options of implementation. The communication of information and consent through privacy policies can be implemented in two different manners: directly and indirectly. We then propose ways to implement the presentation of information and the provability of consent. A design space is also provided for systems designers, as a guide for choosing between the direct and the indirect implementations. Finally, we present fully functioning prototypes devised to demonstrate the feasibility of the framework’s implementations. We illustrate how the indirect implementation of the framework can be developed as a collaborative website named Map of Things. We then sketch the direct implementation combined with the agent presenting information to data subjects under the mobile application CoIoT.

  • Alternative Title

    Améliorer la transparence et le consentement dans l'Internet des objets


  • Abstract

    Le nombre d’appareils connectés à Internet ne cesse d’augmenter, certaines perspectives prédisant 75 milliards d’appareils d’ici 2025. L’Internet des Objets envisagé il y a 20 ans se matérialise à une vitesse soutenue, mais cette croissance n’est pas sans conséquence. Le nombre croissant d’appareils suscite en effet des possibilités de surveillance jamais vu auparavant. Un cap a été franchi en 2018 pour la protection de l’intimité numérique (privacy), avec la mise en application du Règlement Européen sur la Protection des Données (RGPD) dans l’Union Européenne. Il impose des obligations aux responsables de traitements sur le contenu de l’information à communiquer aux personnes concernées à propos de la collecte et du traitement de leurs données personnelles, ainsi que sur les moyens de communiquer cette information. Cette information est d’autant plus importante qu’elle est une condition préalable à la validité du consentement. Cependant, l’Internet des Objets peut poser des difficultés pour mettre en place la communication de l’information nécessaire à la validité légale d’un traitement, ainsi qu’à la gestion du consentement. La tension entre les exigences du RGPD à propos de l’information et du consentement et l’Internet des Objets n’est pas chose facile à résoudre. Ce n’est cependant pas impossible. Le but de cette thèse est de fournir une solution pour la communication de l’information et la gestion du consentement dans l’Internet des Objets. Pour ce faire, nous proposons un cadre conceptuel générique pour la communication de l’information et la gestion du consentement dans l’Internet des Objets. Ce cadre conceptuel est composé d’un protocole de communication et de négociation des politiques de protection de la vie privée (privacy policies), d’exigences pour la présentation de l’information et l’interaction avec les personnes concernées, ainsi que d’exigences pour la démonstration du consentement. Nous soutenons la faisabilité de ce cadre conceptuel générique avec différentes options de mise en oeuvre. La communication de l’information et du consentement peut être effectuée de deux manières : directement et indirectement. Nous proposons ensuite différentes manières de mettre en oeuvre la présentation de l’information et la démonstration du consentement. Un espace de conception (design space) est aussi proposé à destination des concepteurs de systèmes, afin d’aider à choisir entre différentes options de mise en oeuvre. Enfin, nous proposons des prototypes fonctionnels, conçus pour démontrer la faisabilité des options de mise en oeuvre du cadre conceptuel. Nous illustrons comment la communication indirecte de l’information peut être mise en oeuvre au sein d’un site web collaboratif appelé Map of Things. Nous présentons ensuite la communication directe de l’information et du consentement combinée à un agent présentant l’information aux personnes concernées à travers une application mobile nommée CoIoT.

Other version

This thesis has resulted in a publication by

Enhancing transparency and consent in the internet of things


Consult library

Version is available

Where is this thesis?

  • Library : Institut national des sciences appliquées (Villeurbanne, Rhône). Service Commun de la Documentation Doc’INSA. Bibliothèque numérique.
See the Sudoc catalog libraries of higher education and research.

Consult library

This thesis has resulted in a publication by

Informations

  • Under the title: Enhancing transparency and consent in the internet of things
  • Details : 1 vol. (156 p.)
  • Annexes : Bibliogr. p.141-156
This thesis is also in paper form.

Where is this thesis?

See the Sudoc catalog libraries of higher education and research.