signes de confiance - imt · 2018. 2. 20. · la confiance dans le numérique. des signes...
TRANSCRIPT
![Page 1: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/1.jpg)
coordonné par Claire Levallois-Barth
Signes de confiancel’impact des labels sur la gestion des données personnelles
Chaire Valeurs et Politiques
des Informations Personnelles
Janvier 2018
![Page 2: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/2.jpg)
![Page 3: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/3.jpg)
iii
Signes de confiancel’impact des labels sur la gestion des données personnelles
![Page 4: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/4.jpg)
iv
ISBN 978-2-9557308-3-6 9782955730836 - version électronique - janvier 2018
![Page 5: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/5.jpg)
v
SommaireIntroduction . .............................................................................. 1
Armen Khatchatourov
Chapitre 1. Laconfiancedanslenumérique.Dessignesextérieursverslarégulationdesoi. ...................... 5
Armen Khatchatourov
Chapitre 2. Laconfiancesaisieparledroit ........................... 21Claire Levallois-Barth
Chapitre 3. Lanotiondeconfianceenéconomie ................. 37Patrick Waelbroeck
Antoine Dubus
Chapitre 4. Laconfianceeninformatique parlagestiondurisque ....................................... 47
Maryline LaurentArmen Khatchatourov
Chapitre 5. Panoramanationaletinternationaldeslabelsrelatifsauxdonnéespersonnelles ...................... 63
Claire Levallois-Barth,Delphine Chauvet
Chapitre 6. Leslabelsvisantàprouverlaconformité:del’implémentationducadreréglementaire etau-delà ............................................................. 91
Claire Levallois-BarthDelphine Chauvet
![Page 6: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/6.jpg)
vi
Chapitre 7. Leslabelsvisantàsusciterlacrédibilité:despratiquesexistantesversl’amélioration dequalité ........................................................... 115
Claire Levallois-Barth
Chapitre 8. LesmécanismesdelabellisationissusduRèglementgénéralsurlaprotectiondesdonnées(RGPD) .............................................................. 135
Claire Levallois-Barth
Chapitre 9. Analyseéconomiquedesmarques deconfiance ...................................................... 153
Patrick WaelbroeckAntoine Dubus
Chapitre 10. Lesimpactséconomiquesdeslabels .............. 167Patrick Waelbroeck
Chapitre 11. Lablockchainest-elleunetechnologiedeconfiance? ........................................................ 179
Maryline Laurent
Conclusion . .......................................................................... 199Armen KhatchatourovClaire Levallois-Barth
Maryline LaurentPatrick Waelbroeck
Annexes . .......................................................................... 205
Table des illustrations ..................................................................... 206
Liste des abréviations ...................................................................... 218
![Page 7: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/7.jpg)
ArmenKhatchatourov
� Introduction
![Page 8: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/8.jpg)
2
Situésaucentredelaconstructiondetoutesociété,lesliensdeconfianceconcernentàlafoislesrelationsentrelescitoyensetlesrelationsentrelesindividusetlesorganisations.Enlamatière,laconfianceconditionnelapossibilitémêmedeséchangesinstitutionnelsetcommerciauxetquestionnelerôlequeceséchangespeuventavoirdanslastructurationdenotrevivre-ensemble.Or,nousassistonsaujourd’huiàunecrisedeconfiance–telleestdumoinsl’affirmationquel’onretrouvedanslesdomaineséconomique,politiqueetsocial.Lenumériqueestsansdouteundesvecteursdecette«crise»,enbousculantaus-sibienlesmodèleséconomiquesquelesmécanismessous-jacentsàlasphèrepublique.
Enparticulier,l’évolutionrécentedelaproblématiquedelacirculationdesdonnéesper-sonnellesmontrebienunedéfiancedel’utilisateuràlafoisàl’égarddesacteursécono-miquesetdesinstancesétatiques.Ceciestcomplexifiéparlaspécificitédesbiensnumé-riques(ditsbiens«deconfiance»entermesdelathéorieéconomique)dontla«qualité»n’estpasconnueparleconsommateur,mêmeaprèsl’acteponctueldeconsommation.
Faceà ce constat, onobserveaujourd’hui l’émergencedenouveauxmodesde ré-gulation, allant de la légifération sur les «marques de confiance» ou «labels» (via leRèglementGénéralsurlaProtectiondesDonnées–RGPD1)dontlagestionseraitconfiéeàdesinstancespubliqueset/ouprivées,àdesdémarchesdetype«crowd-sourced»dontlesutilisateurssontàl’initiative(cf.TOSDR2),enpassantparunerégulationtechniquede facto(parexempleàl’aidedebloqueursdepublicité).Nouspourrionsêtretentésdevoirdanscesnouveauxmodesunmoyendepallierlacrisedeconfiance.Cettesituationde-mandecependantàêtreexaminéeplusprécisément,etdemanièrepluridisciplinaire.Unedesquestionsessentielles,partagéeàsamanièreparplusieursdisciplines,esticicelledela formalisation de la confiance.
Ainsi,lanotionderisqueetcelledesonévaluationformellesontcentralesdansl’écono-mie,laconfianceétantsouventassociéeaurisqueattribuéàlacontrepartiedansunetran-saction.Àcetégard,lebaromètredelaconfiancedel’ACSEL-CDC3définitlaconfiance
1 Règlement(UE)2016/679duParlementeuropéenetduConseildu27avril2016relatifàlaprotectiondespersonnesphysiquesàl’égarddutraitementdesdonnéesàcaractèrepersonneletàlalibrecirculationdecesdonnées,etabrogeantladirective95/46/CE(Règlementgénéralsurlaprotectiondesdonnées),JOUEL119/1du4mai2016,http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
2 «Terms of Service; Didn’t Read»https://tosdr.org/
3 Baromètredelaconfiancedel’ACSEL-CDC,2016http://www.caissedesdepots.fr/sites/default/files/medias/barometre_de_la_confiance_des_francais_dans_le_numerique_0.pdf
![Page 9: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/9.jpg)
3
commel’absencedecetypederisque.Demême,laprimederéputationcorrespondàladifférenceentreleprixoffertparunvendeurquihonorel’ensembledesesobligationsen-versunacheteur,etleprixmoyenobservésurlemarchépourunserviceéquivalent.Cetteréputationpeutêtreattribuéeparunexpertquiévaluelerisque,commeMoody’souS&Ppourlerisquedenon-remboursementd’unemprunt,ouparlesconsommateursquinotentlesvendeursd’uneplacedemarché,commecelled’Amazonoud’eBay.
Laformalisationdelaconfianceauseindessciencesinformatiquesreposeégalementsurdesméthodesd’évaluationderisqueetsurlafournituredepreuvesqualifiéesd’infal-sifiables.Laconfianceestclassiquementqualifiéede«dure»oude«molle».Cettequa-lificationvarieenfonctiondesélémentsdepreuvedeconfiance,quipeuventreposersurdesélémentstechniquesfortscryptographiquesousurlaparticipationdeplusieursentitéspourévaluercollectivement,grâceàdesoutilsdesurveillanceautomatisés,lecomporte-ment«normal»ou«déviant»d’uneentité,àlamanièredessystèmesderéputation.Lespreuves«dures»,quantàelles, reposent toujourssurdesélémentscryptographiquesets’appuientsoitsuruneautoritédeconfiance(ouunechaînehiérarchiqued’autorités),commec’estlecaspourlacertificationélectroniqueoulacertificationanonyme,soitsurunensembled’entitéscollaborativesàl’instardelatechnologieblockchain.
Desoncôté, ledroit définit classiquement la confiancecommeunecroyance en la bonnefoid’autrui.L’appareillégislatifsertalorsd’abordàprotégerlapartiefaible,lorsqueleslienssociauxpréalablesàl’échangemarchandnesontpasassezanciensouassezfortspourquelatransactionsoitmenéeàbien.Ilsemblequ’aujourd’huiledroits’orientedansunedémarcheréglementairedontlebutachangé:ils’agitdésormaisdebâtiruncadreréglementairequipermetd’assurerlebonfonctionnementdumarché,onprotègemoinslapartiefaible«en sa qualité de personne»et«on protège davantage la fonction économique que [la partie] incarne»4.Dèslors,lalégiférationsurlaconfianceserait-elleguidéeparlesprocessusdemêmenature–deformalisationetdecalculderisque–quel’onobserveenéconomieeteninformatique?
Enfin,dupointdevuesocio-philosophique,onpeutsedemandersicemouvementdeformalisationdelaconfiancenecomportepasdesrisquesquiluisontpropres.Eneffet,
4 Rochfeld,Judith.(2009).De la «confiance» du consommateur ou du basculement d’un droit de protection de la partie faible à un droit de régulation du marché. Conférences du CEJEC,Approche critique duvocabulairedudroiteuropéen:laconfiance,Oct2008,France.pp.7-11.<hal-00424954>
![Page 10: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/10.jpg)
4
l’exempledelarégulationdesdonnéespersonnellesneconfirme-t-ilpasunmouvementd’atténuationdu rôlede l’État,encecique l’instancede régulationpassede l’appareillégislatifproprementditàunmodèlenouveau,associantdansdesproportionsvariables,l’État,lemarchéetlesconsommateurs?Oninterpréteracemouvementsoitcommeunecapitulationdel’Étatquantàlapossibilitéderégulercertainsaspectsrelatifsauxtechno-logiesnumériques,soitcommeundialogueconstructifaveclesinstancesnon-étatiques,quecesdernièressoientstrictementprivéesou impliquent leconsommateur.Dans lesdeuxcas,ilnoussemblequedansl’espaceainsiouvert,lesmécanismesdedélibérationetdecorrectionéventuelledesdysfonctionnementsnesontplusrégléssurlemodèledudébatpolitiquemaissurceluidumarché:lesujet«agissant»est-iltoujourslecitoyen?A-t-ilétéremplacéparleconsommateurqui«voteavecledollar»?
Entermesd’usagesquotidiens,cemouvementn’estpassanseffetsurlaconstitutionmêmedel’individuouducitoyen,etdesacapacitéd’agir.L’exempledeslabelsenma-tièredeprotectiondesdonnéespersonnellesnoussembleàcetégardemblématique,endémontrantlestensionsexacerbéesparlatransformationnumériqueetla«datafication»quil’accompagne.Eneffet,d’uncôtélagénéralisationdeslabelspeutêtrevuecommeunedémarchedeprotectionetd’encapacitation,danslesensoùlesconsommateurssontmieuxinformés,etleursdonnéespersonnellesmoinsexposéesàdeslogiquesdecap-ture.Maisd’unautrecôté,enformalisantainsilaconfiance,enlaréduisantàdessignesextérieursetensuggérantdesproduitsetservicesprésélectionnés,etenpassantsoussilencelesmécanismesdelaconstructiondelaconfiance,nerisque-t-onpasdemanquerl’objectifd’encapacitationquel’onsefixe?Làencore,lesformesémergentesderégula-tionouvrentunchampdequestionnementnouveaudevantêtreexaminéattentivement.
Cet ouvrage se propose dans un premier temps de démontrer les transformationsactuelles de la confiance et de ses formes (chapitres 1 à 4). Il étudiera ensuite ceschangementsdans lamiseenœuvredes signesextérieurs de la confianceque sontles labels (chapitres 5 à 8), enévoquant enparticulier le rôle desautorités publiquesenlamatière.Ilaborderaensuiteleseffetspotentielsdelalabellisationsurlesacteurséconomiques et les utilisateurs finaux (chapitres 9 à 10). Enfin, il prendra l’exempledes blockchains pour se demander dans quellemesure les technologies émergentescontribuentàlaconfiance(chapitre11).Demanièreplusgénérale, lefilconducteurdelaréflexionconsisteàsedemandersilathématiquedelaconfiancenesoulèvepasdesenjeuxsociétauxquivontau-delàdelagestiondurisque,delatransparenceabsolue,delacraintedessanctionsoudelarecherchedebénéfices.
![Page 11: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/11.jpg)
ArmenKhatchatourov
Chapitre 1. La confiance dans le numérique. Des signes extérieurs vers la régulation de soi.
![Page 12: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/12.jpg)
6
Nousvivonsdansdessociétésdeplusenpluscomplexes,danslesquelles lamulti-plicationdesindicateursetdesfacteursàprendreencomptepourtouteactionpubliqueouprivéerenddeplusenplusdifficiletouteopérationdechoix.Danscesconditions,desmécanismesquiréduisentcettecomplexité,quiaidentàlaprisededécision,sontamenésàprendreuneplaceprépondérante.NiklasLuhmann,sociologuedeladeuxièmemoitiéduXXesiècleetfondateurdelathéoriedessystèmessociaux,désignela«confiance»commeundesprincipauxmécanismesderéductiond’incertitude.Eneffet, lorsque j’aiconfianceenteloutelacteur,produitouservice,jesuisnaturellementamenéàinteragiraveccetteentitédemanièreplusfréquente,monincertitudequantàl’issuedel’interactionétantmoindre.
Ilconvientnéanmoinsd’êtreplusprécisdansladescriptiondesdifférentsaspectsquisontenjeudanslaconfiance.Dequellemanièrelaconfianceintervient-elledanstelleoutelledécision?S’agit-iltoujoursd’uncalculdesconséquencesdel’action,calculdontlerôleestdediminuerlerisqueencouru?Quelleestl’articulationentrelavolontéindividuelled’unacteuretlesfacteursinstitutionnelsquipeuventl’influencer?
1.1. «Confidence»ou«Trust»?Confianceassuréeouconfiancedécidée? ............................................................ 7
1.2. Petitehistoiredela«confiance» ......................................10
1.3. Confiancedanslenumérique? ........................................12
1.4. LemirageduTrust by design �����������������������������������������16
1.5. Delaconfiance«distribuée» ............................................17
1
![Page 13: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/13.jpg)
7
1.1. « Confidence » ou « Trust » ? Confiance assurée ou confiance décidée ?
Unedesmanièresd’aborder laconfiance,quenousdevonsàLuhmann,consisteàopérerunedistinctionentredeuxaspectsà l’œuvredans la réductionde l’incertitude:«confidence» (termeanglais que l’on traduit en français par «confianceassurée») et«trust»(quel’ontraduitenfrançaispar«confiance décidée»)1.Illustronscettedistinctionparquelquesexemples.
Lorsquejedoisacheterunevoitured’occasionauprèsd’unvendeurquejeneconnaispassuffisammentbien,jemetrouvedansunegrandeincertitudequantàlaqualitéduproduit.Jedoisalorspeserlepouretlecontre,etfaireunchoixrationnelsurlabased’unemultitudedefacteurs:leprixquejetrouveplusoumoinsintéressant,maconnaissancedelamécanique,lesinformationsquej’aisurlevendeur,etc.Jedoismedécidersurlabased’informationsincomplètesetfaireunsautdansl’inconnuenprenantunrisquemesuré.Jesuisalorsdansunesituationdetrust/«confiance décidée»:jedécidefinalementdefaireconfianceàcevendeur.Danscettesituation,desinformationssupplémentairessurlevendeurpeuventfacilitermonchoix.
1 Luhmann, N. (2001). Confiance et familiarité: Problèmes et alternatives. Réseaux, no 108,(4), 15-35.doi:10.3917/res.108.0015.TraductiondeLouisQuéré.
La confiance dans le numérique. Des signes extérieurs vers la
régulation de soi.
![Page 14: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/14.jpg)
8
Lorsquechaquematinjevaisdémarrercettemêmevoiturepourallerautravail,lorsquejevaisarriveràuneintersectionavecunecirculationdense,jevaisaussiavoirbesoinderéduire l’incertitudequantaubondéroulementdeschoses.Cependant, jenevaispasêtredansuneattitudedecomparaisonpermanented’unemultitudedefacteurs,jevaisplutôtcomptersurlefaitqu’unbondéroulementdeschosesestassuré:lemondesuitsoncours,lesmoteursdémarrentetlespontsnes’écroulentpas.Ilyalàunaspect«sys-témique»delaconfiance:l’ensembledusystèmefonctionne2, jenesuispasobligéderepartiràzéropourtouteactionquejedoisentreprendre.
Lamêmelogiquepeutêtrereprisedanslecasdestechnologiesnumériques:jedécided’effectuerunachatsureBayauprèsd’unvendeurplusoumoinsbiennoté(confiancedé-cidée)maismonactionreposeaussisurlaconfianceassuréequantaubondéroulementdel’ensemble,ensemblequicomprendlebonfonctionnementdeeBaylui-même,delabanque,dutransporteuretdufacteur,etc.
Surunplandifférent,ladistinctiontrust/confidencepermetd’aborderdesenjeuxpluscomplexes–etpeut-êtreplus importants–de lasociétécontemporainedanssonen-semble,sociétéquisubitseloncertainsunecrisedeconfiancedans lapolitique,voiredanslesinteractionssocialesdansleurensemble.Jepeuxeneffetavoiruneconfiancedécidéedansteloutelacteurpolitiqueeneffectuantuncalculrationneldebénéficesquejepeuxobteniràtitreindividuel.Maiscetypedeconfiancedansunacteurpolitiquenepréjugeenriendelaconfianceassuréequejepeuxavoirdanslesystèmeglobaldontilfaitpartie,danslebondéroulementdu«vivre-ensemble».
Onl’auracompris, lesdeuxtypesde«confiance»,décidéeetassurée,enréduisantla complexitédelasituationàlaquelleunindividuestconfronté,ontpoureffetdeluiper-mettred’effectueruneactiondansunesituationd’incertitudeetdenon-familiarité.Pourautant,laconfianceassuréeetlaconfiancedécidéefonctionnentdemanièresfondamen-talementdifférentes.Cefonctionnementpeutêtrepréciséselonunedoublearticulation,selondeuxlignesdepartage.
2 Ilyalàselonnousunesourcedeconfusionchezcertainsauteursquilimitentlaconfianceassuréeàlaconfianceen les systèmesou institutions,alorsquechezLuhmanncelle-ci correspondàunemodalitéd’attitude et non à son objet.Une autre confusion consiste à définir la confiance assurée commeuneconfianceaveugle (éventuellementensystèmes)alorsqu’elleobéitàunautre typede rationalitéetdetemporalitéquin’estpasdel’ordredecalculderisque.
![Page 15: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/15.jpg)
9
(a)
(b)
• (a) La première ligne de partage concerne lesmécanismes impliqués dans laconfianceetlerôleattribuéàl’attituderationnelledesacteurs.
- Ducôtédelaconfiancedécidée,c’estladécisionparlapersonneelle-même«enconnaissancedecause»–ouentouscasselonuneévaluationdurisquequalifiéederationnelle–quiprendledevantdelascène.
- Du côté de la confiance assurée, il s’agit demécanismes institutionnalisés,de l’interactiondans laquelle lechoix rationnelestpeut-êtremoins importantqu’unehabitudesocialementacquise.C’estletissulocaldesinteractions que lessociologuesanglophonesqualifientde«grassroots»(debase,deprocheenproche)quicontribuentàcequeleschosescommencentà«allerdesoi»,etque laconfianceassuréesoitétablie.Encesens, laconfianceassuréeatraitàl’histoirelonguedesinteractionssociales,ellenepeutpasêtredécidéed’enhaut,ellenes’imposepas,etlesmécanismesdesafacilitationsontplusdifficilesàformaliser.
• (b) La deuxième ligne de partage concerne lamanière dont l’acteur individuelguidesoncomportementfutur.Onpourraitparlericid’unebouclederétroactionselonlaquelleuneactiondonnéeinformel’actionfuture.
- Dans la confiance assurée, l’échec d’une action particulière est attribuéaux facteurs extérieurs sur lesquels l’acteur n’a que peu de prise: c’est lesystèmedanssonensemblequiyesten jeu.En reprenant l’exemplede lavoitured’occasion,ondiraitalors:pourcomprendreteloutel incident, il fautcomprendreenquoic’estl’ensembledusystème,quicomprendlesvendeurs,lesconstructeursdesroutesetlesrégulateursdelacirculation,prisdansleurhistoire,quiestenjeu.
- Danslaconfiancedécidée,l’échecestattribuéaucomportementdelapersonneelle-même,àun«mauvais»calculqu’elleauraiteffectué.Enreprenantl’exempledelavoitured’occasion,ondiraitalors:jen’auraispasdûachetercettevoiture,c’estenfindecomptemoiquiaifaitunmauvaiscalcul.Encesens,iln’yapasdeconfiancedécidéesansquel’acteuracceptelapossibilitéd’uneperteetunepartdenon-visibilité;àsupposerquelatransparenceabsoluesoitpossible,desmécanismesautresquelaconfianceseraientalorsàl’œuvre.
![Page 16: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/16.jpg)
10
La raison de cette distinction peut paraître extrêmement simple: l’attribution de sonpropreéchecestaufondlerefletduconceptmêmedurisqueetdufaitquelecalculdurisqueestuneopérationinterneàlapersonnequitentedeprendreencomptelesfacteursexternes.Pourautant,saportéenedoitpasêtresous-évaluée.Eneffet,mettrel’accentsurlaconfiancedécidéeneconsistepassimplementàmettrel’accentsuruneattitudequicorrespondàunchoixrationneldel’individuàunmomentdonné.Ilenvaicidelamanièredontlecomportementindividuelseraguidédansl’avenir.End’autresmots,c’estleméca-nismedegouvernancedesoi,decequifaitquel’individudevientcequ’ilest,quiesticienjeu.Commeonleverraplusloin,c’estcemécanismeparticulier,danslequell’individuesttenu pour responsable,quidevientaujourd’huiprépondérant.
Avantd’étudiercettemutationplusendétail,formulonsicidemanièreconciselaques-tionquiguidedésormaisnotreréflexion:si tantestquenousassistonsàunecrisedelaconfiance,notammentvis-à-visdesentreprisesoudesÉtatsquicollectentetutilisentnosdonnéespersonnelles,s’agit-ild’abordd’unecrisedelaconfianceassuréeoudelaconfiancedécidée?Sidespolitiquespubliquesoudesinitiativesprivéesontpourobjec-tifderenforcer«laconfiance»dans lenumérique, lequeldecesdeuxaspectsdoit-onprendresoinenpriorité?
1.2. Petite histoire de la « confiance »
Toutd’abord,ilconvientdesoulignerlefaitqueladistributionentrelesdifférentsaspectsquepeutrevêtir laconfianceasubi,dansl’histoire,desmodificationsenlienavecdeschangementstechnologiquesmajeurs.Sil’onsuitLuhmann,lepassageàl’imprimeriearendulessavoirsplusdisponibleseta
atténuéladistinctionentrelefamilieretlenon-familier.Lesmécanismesd’habitusreligieux,quiguidaientjusqu’alorsl’actionquotidienne,s’ensonttrouvésdéstabilisés.Parconsé-quent,lesenjeuxd’évaluationdesactionsindividuellesetdeparticipationdansletoutso-cialontprisledevantdelascène.Cesenjeuxsesontjustementstructuréshistoriquementcommel’articulationentrelaconfianceassuréeetlaconfiancedécidée.C’estàpartirdecetterupturehistoriquequeLuhmannpeutalorsfairecettedistinctionschématique:dansunmondedeplusenpluscomplexeoùl’individudoitfairedeschoix,laconfiancedécidéeinterviendraitpourréduirelacomplexitéetainsipouvoirprendredesdécisionsponctuelles(relationsinterpersonnelles,prisederisquecalculée),laconfianceassuréeinterviendraitdanslecadredelaparticipationdesindividusdanslesystèmeéconomiqueetpolitique
![Page 17: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/17.jpg)
11
danssonensemble.Ilconvienticid’ailleursdepréciserquelesdeuxn’obéissentpasàlamêmetemporalité,l’unerelevantdel’événementetl’autredelacontinuité3.Cetableauschématiqueestdoncenréalitélui-mêmelerésultatd’unprocessushistoriquelong.Iln’yadoncpasderéalitépsychologiqueouorganisationnelledelaconfianceendehorsdesoninscriptiondanslesmutationssociétales.Plusprèsdenous,l’avènementdulibéralismeetdunéolibéralismeperpétuecemou-
vementenmettantl’accentsurlaconfiancedécidée.Eneffet,dansl’exactemesureoùlasociétéestentenduecommeunensembled’acteursautonomes,libresetresponsablesdeleurschoixetdontlecomportementcorrespondàuncalculderisqueetdebénéficepotentiel,onaccentuel’importanceaccordéeàlaconfiancedécidéedanslesmécanismesà l’œuvredans lasociété,et ceaudétrimentpeut-êtrede laconfianceassuréeetdesacompréhension.Pourtant,commelenoteLuhmann,siladiminutiondelaconfiancedécidéeconduitaublocagedesactionsetdeprisesderisquesindividuelles(mesinves-tissements,mesachats,monconsentementàlacollecteetàl’utilisationdemesdonnéespersonnelles…),l’appauvrissementdelaconfianceassuréeconduitpeut-êtreau«senti-ment diffus de non-satisfaction, de désaffection4 ou même d’anomie5».
« Le défaut de confiance assurée provoque un sentiment de désaffection ; il conduit éventuellement à se retirer dans un univers restreint, aux dimensions purement locales, ou encore à aspirer à une vie indépendante, fut-elle modeste ; il engendre aussi de nouvelles formes d’« autogenèse », des attitudes fondamentalistes ou d’autres formes de milieux et de « mondes vécus » retotalisants. »6
Cesentimentd’aliénationadoncpoureffetnonseulementuneinfluencenégativesurlaconfiancedécidéequejepeuxavoir lorsdemesactionsponctuellesmaisaussisur
3 Lesdeuxtypesdeconfiancerépondentainsiàdeuxtypesd’incertitude,l’uneàl’échelledel’évènement,l’autreàl’échelledelacontinuité(«uncertainty within the event temporality and uncertainty […] within the continuity temporality »,cf.Morten,Frederiksen.(2016).Divideduncertainty:Aphenomenologyoftrust,riskandconfidence,in Søren Jagd and Lars Fuglsang (ed.) Trust, Organizations and Social Interaction.Elgar.)
4 L.Quérétraduitainsienfrançaisleterme«alienation»présentdansletexteoriginal.
5 Lasociologieentendclassiquementparanomieuneabsencedesnormesetunecertainedésintégrationdel’ordresocial.
6 Luhmann, N. (2001). Confiance et familiarité: Problèmes et alternatives. Réseaux, no 108,(4), 15-35.doi:10.3917/res.108.0015.
![Page 18: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/18.jpg)
12
(lesentimentde)l’appartenanceàlasociété7.End’autrestermesencore,mettrel’accentsurlaconfiancedécidée,c’estpassersoussilencelefaitquecettedernièrereposesurlaconfianceassuréeetqu’ils’agitlàd’unedesesconditionsessentielles.Eneffet,commeonpeut lesoutenirenallantplus loinàpartirdeLuhmann, le trust
lui-mêmenecomportepasensoicesconditionsdepossibilité,etprésupposetoujoursunebasequis’enracinedanslesocial.Lamonnaieenestunexemple:jefaisconfiance(surlemodeaussi«décidée»quel’onvoudra)danslamonnaieparcequed’autresfontconfiance,parcequ’unehistoire institutionnelle longuedeséchangesest icià l’œuvre.Pourreprendrel’interrogationquifaitletitredel’articlebienconnudeGambettaparuen2000(«Can we trust trust ?»),nouspouvonseneffetfaireconfianceàlaconfiance,maisilfautalorscomplétercetteformule:nouslepouvonsàconditionquelesprocessusdeconfianceassuréesoientégalementenprésence.
On leperçoit ici, laconfianceestunproblèmeà la foiséconomique, technologique,derégulationetfondamentalementsocialdanssesconséquences.Onremarqueaussiqu’ilestinexactdeparlerdela«crisedeconfiance»,commes’ils’agissaitd’unsimplechangementquantitatif(moinsdeconfianceaujourd’huiqu’hier)etcommes’ilsuffisaitdemettreenœuvredesmesuresbienchoisiespourretrouverunniveauperdu.Ils’agitplutôt,commenousessayonsdelemontrer,d’unchangementdemodedegouvernancedesacteursetdemodeselonlequell’individuseconstruitàtraversseschoix8.
1.3. Confiance dans le numérique ?
Latransformationnumériqueapporteàsontourunecouchedecomplexité.Àlalumièredecequiaétédit,onpeutsupposerqueleproblèmeneserésumepasàlasimpleréduc-tionde«confiance»danslasituationactuelleoùlesinteractionsnumériquesprennentdeplusenpluslepassurlesmodalitésclassiquesd’interaction.Onassisteplutôtàunenou-velleredistributionentredesmécanismesdeconfianceassuréeetdeconfiancedistribuée.
7 Ou,selon l’expressiondeL.Quéré,«une attitude générale d’adhésion».Quéré,L. (2001).Lastructurecognitiveetnormativedelaconfiance,p.141.
8 Encela,laproblématiquedelaconfianceestintimementliéeàcelledel’identité,etdesmodalitésselonlesquellesquelquechosecommeune«autonomie»dusujetdansleschoixqu’ilopèresemetenplace.Cf. à ce sujet KhatchatourovA., et Chardel, P.-A. (2016). La construction de l’identité dans la sociétécontemporaine: enjeux théoriques. in « Identités numériques », Cahier n°1 de la Chaire Valeurs et Politiques des Informations Personnelles,coordonnéparClaireLevallois-Barth.
![Page 19: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/19.jpg)
13
(a)
(b)
Reprenonsicilesdeuxlignesdepartagequenousavonsévoquéesetquesontd’unepart(a)lerôledesinteractionslocales,etd’autrepart(b)lesmécanismesd’attributiondel’échec.Ilnoussemblealorsquedans lasituationactuelle,dans laquelle laprévalencedes
formesnéolibéralesderégulationdesactivitéséconomiquesettechniquesseconjugueàl’essordunumérique,sansquel’onpuissedépartagerclairementleurseffetsrespectifs,lemouvementdécritparLuhmannsetrouveaccentué.
• (a)Lecalculderisqueprend lepassur les interactions locales,etceàdoubletitre.D’abord,cecalcul,etlaprisededécisionquis’ensuit,estdeplusenpluséloignédesinteractionslocales.Ilestsouventguidéparlesinstancesderégulationcentraliséesdontlapréoccupationestdelégitimerdesacteurséconomiquesouinstitutionnelsetquidecefaitassurentlapromotiondecertainsacteursaudétri-mentdesautres.Parexemple,ensciencesinformatiques,etpourautantquelaconfiancesoitabordéeuniquementsousl’angledelasécurité,onmetdefaitl’ac-centsurdesrisquesbienspécifiquescommel’usurpationdel’identitéaudétrimentd’autrestypesdeconsidérationssociétales,notammentlesconséquencesdelasurveillancegénéralisée.Cefaisant,onmetaudevantdelascènetelouteltypederisqueetlesacteurséconomiquesetinstitutionnelsquiluisontassociés,commeentémoigneencorelaprévalencedelasécurité sur le respectdelavieprivée.Ensuite,lecalculderisqueestdeplusenplusformalisécarilfaitdésormaisappelnonpasaudébatpublicouàladélibérationlégislative(fut-ilsurlemodedetrust)maisauxprocéduresalgorithmiquesformelles,dontundeseffetspotentielsestjustementd’atténuerleconsensusetlacohésionsociale9.
• (b)Onfaitreposerdeplusenpluslesrésultatsdesactionssurl’individu-utilisa-teur,labouclederétroactiondevientpourainsideplusenplusserrée,ycomprisdanslesactionsquotidiennes.Parexemple, jedoisaujourd’hui fairedujoggingavecmoncapteurFitBitetanalyser,voirerendrepubliquesmesdonnées,carmesprimesd’assuranceoumesremboursementsdesécuritésocialeendépendent,etdanslemêmetempsjesuisinvitéàparticiperainsiàlaréductionglobaledesdépensesdesanté,ainsiqu’àlaprospéritééconomiquedelasociété.Ici,dans
9 Cf.Rouvroy,A.&Berns,T. (2013).Gouvernementalitéalgorithmiqueetperspectivesd’émancipation: ledisparatecommeconditiond’individuationparlarelation.Réseaux31.
![Page 20: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/20.jpg)
14
l’exactemesureoùl’action individuelleapparaîtcommeunerecherchedebien-être dans une palette des options dans lesquelles l’individu est amené à faireconfiance(surlemodesupposé«décidé»),lesconséquencesdesesactionsluisontdoncimputables,etleconduisentàseconformeràlabouclederétroaction«préétablie»pourlui.Maisdanslamesureoùlapaletteelle-mêmeestdéfinieparlesinstancesextérieures,l’individuest«éduqué»àassumersaresponsabilitésanss’interrogersurlefaitquelerépertoiremêmedesesactionsneluiestpasimputableàproprementparler.C’esticicequenouspouvonsappeler,àpartirdestravauxdeMichelFoucault,la«responsabilisation»desindividusparlessanctionsetlesrécompenses10.
C’estpeut-êtrelàunedeslimitesdel’approchedited’auto-déterminationinformation-nelle11dans lesconditionscontemporaines,où l’utilisateurestamenéà faireconfianceauxacteursquisontprésélectionnésetlégitimésselonlesprocessusdontlanatureluiéchappeleplussouvent12.Enconsidérantquel’individuestresponsabledeseschoix,ontendàla«contractualisation de la vie commune»13sanspourautants’interrogersurleseffetsdeschoixponctuelssurlaconstitutiondelasubjectivité.Carpourl’utilisateur,choisirunserviceparmitantd’autresc’esteneffet«s’autogérer»danssesactionsponctuelles,toutenassumantdanslesfaitslescoûtsduchoixetle«risque»associé.
Leparadoxeactuelestquecemouvementderesponsabilisationdel’individus’ac-compagneaussid’unecertainedéresponsabilisationdecedernier.Danslamesureoùilestappeléàseconformersansréserveauxprescriptionsetsignesprovenantdesins-tancesextérieures,l’individurisquedeperdrelacapacitécritiquenécessaire,enmettantainsiàmalleprojetinitialdesLumièresetdel’individuautonome.Parexemple,lagéné-ralisationdelalabellisationdesservicesnumériquesnerisque-t-ellepasdeconduireà
10 Comme le notePhilippeFournier en prenant l’exemple despolitiques sociales, «La gestion du risque, l’éducation des enfants, le fait d’habiter un certain quartier, etc. sont autant de facteurs liés à la responsabilité individuelle. Au bout du compte, les individus qui paraissent refuser d’assumer leurs responsabilités, en d’autres termes qui ne participent pas à l’optimisation du bien-être de la population […], se voient punis, disciplinés ou simplement laissés à eux-mêmes».(Fournier,P.(2015).Laresponsabilitécommemodedegouvernementnéolibéral: l’exempledesprogrammesd’aideaux famillesauxÉtats-Unisde1980ànosjours. in Les ateliers de l’éthique,Volume10,Numéro1,Hiver2015,p.129–154)
11 On pourrait s’intéresser ici à l’histoire de cette approche, née enAllemagne dans les années 80, etdésormaistraduitedansleRèglementgénéralsurlaprotectiondesdonnées.
12 Cepoint seradéveloppé, sur l’exemple concret de la labellisationdesacteursdunumérique, dans leschapitresquivontsuivre.
13 Foucault,M.(2004).Naissancedelabiopolitique,Paris,Gallimard/LeSeuil,coll.«HautesÉtudes»,p.251.
![Page 21: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/21.jpg)
15
termeàlagénéralisationdesconduitesquinefontquesuivrecequiestprescrit,toutensedonnantbonneconsciencedesoutenirlesacteursquiseconformenteux-mêmesauxprescriptionslégalesenmatièrededonnéespersonnelles?Pour résumercettesituation relativementnouvelle,onpourraitalors tentercette for-
mule:làoù«l’extérieur»danslaconfianceassuréeétaitimputableàl’habitusfondédansle tissudes interactionssociales,«l’extérieur»devientune instancedeprescriptiondecomportements«rationnels»etenmêmetemps«confiants»,enbasculantsurleterritoiredelaconfiancedécidée.Cependant,pour«rationnelle»qu’ellesoit,laconstitutionetlesmécanismesdelégitimationdecetteinstancesontsouventpasséssoussilence.
La sociologie, aumoins depuisMaxWeber, se confronte à ceproblème: commentrendrecomptedesprocessusde légitimation,desmécanismesqui instituent telou telacteurcommedignedeconfiance?Commentlescomportements(deconfiance,dechoixéconomiques,depolitiquespubliques,desociété…)sontà leur tourprescrits?Àquoinousajoutons:commentlaconfiancedevientainsiunmodederégulationparticulier?Etplusprécisémentencore:commentlaconfiancedécidée–oumême«suggérée»–rem-placelesmécanismesdeconfianceassurée?Notonssimplementque,àcetégard,Luhmannintroduit lanotionde légitimationpar
laprocédure14.Lanouveautéàlaquellenoussommesaujourd’huiconfrontésestquelesprocéduresreposentdeplusenplussurlestechnologiesnumériques,etquelesrouagesdecettelégitimation,enraisonmêmedelagénéralisationdelacirculationdesdonnées,sontdeplusenobscurs15.Danslasuite,nousdistingueronsdeuxfigurespossibles–etproblématiques–pourcettenouvelleconfiance:laconfianceby design et la confiancedistribuée.
14 Leconceptde la légitimation par la procédure correspond,pour le résumerdemanièreexcessivementrapide,àl’idéequ’àpartirdumomentoùledroitn’apasdefondementautrequelui-même(pasdefondementdivinousouverain),iltiresalégitimitédelaprocéduredesapropreeffectuation.Laprocéduren’estdoncpasàprendredanslesensnégatif,maiscommelemécanismemêmeparlequelledroits’auto-légitimeetacquiertsavalidité.Luhmannconcentresonouvrageéponymesurtroisprocédures(électorale,législative/parlementaireetjudiciaire).Ilparaîtévidentquecesprocéduresmêmessontaujourd’huisubstantiellementaffectéesparlestechnologiesnumériques,etquelaconfianceenelles-mêmesoudanslesacteursquiysontimpliquéssubitdeschangementsmajeurs.
15 Pour une approche plus philosophique de certains enjeux qu’une telle circulation pose aujourd’hui,cf. Khatchatourov A., (2016) Big Data entre archive et diagramme. Études Digitales n°2, ClassiquesGarnier,Paris.
![Page 22: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/22.jpg)
16
1.4. Le mirage du Trust by design
Cedoublemouvementdefondselonlequell’accentestmissurlaconfiancedécidée,quenousavonsexplicitédanslespoints(a)et(b)ci-dessus,s’accompagneaujourd’huid’une idéologie particulière. Cette idéologie de «tout technologique» suppose que lasolutiontechniqueouaumieuxtechnico-managérialesoitencapacitédesupplanter laconstructionsociale.Parexemple,onprônelatransparencedesalgorithmesenlapré-sentantcommeunesolutionsuffisantepourlarepriseéconomique,voirepourl’équilibresocial,enlaissantdansl’ombrelesprocessuspluslargesdanslesquelsleurconceptionetleurutilisationeffectives’inscrivent16.Onlaisseaussidansl’ombrelefaitquel’examend’unalgorithmeesthorsdeportéed’unutilisateurlambda,etildevraitfaireconfianceàd’autresinstances–telsles«tiersdeconfiance»–quienaurontlacharge,etcecidansunespiraleinfiniedelégitimationdesacteurs,légitimationdontlesrouagesrestenteux-mêmesàexaminer.Demême,onesttentédecroirequelamiseenplaced’uneapprochedetypeblockchainconduitàl’établissementdelaconfianceentrelesacteursgrâceàlatransparenceabsoluedeséchanges,sansanalyser lesrapportsdeconflit,deprisedepositionoligopolistique,lesenjeuxpolitiquessous-jacents,etc.17
Appelonscetteidéologiele«trust by design».
Latransparence,l’ouvertureducodeet/oudesdonnées,leurdécentralisationsont-ellespourautantunegarantiederegaindeconfiance?Dois-je faireplus«confiance»àunacteurquim’estbienconnu,dontjepeuxraisonnablementsupposerqu’ilrespectemavieprivéesansquej’aieàconsacrerdeseffortscroissantsàlaprotectiondemesdonnées,oubienàceluidont lasolutiontechniquesembleseconformeràunmomentdonnéàl’exigencedésormaisformelledetrust by design?
Notreintuitioniciestquecemouvementdetrust by designcomporteenluiuneambiguï-téfondamentale,etqu’ilplacel’accentencoreplussurlaconfiancedécidée.Ilcantonneainsi l’individu-utilisateurdans toujoursplusdechoixprésélectionnéspar les instancesextérieures, toujoursplusdecirculationetpeut-êtremêmedeprotectiondesdonnées,
16 Cf.KhatchatourovA.(2016).Peut-onmettrelamainsurlesalgorithmes?Notesurla«culturealgorithmique»deDourish.ÉtudesDigitales,n°2,ClassiquesGarnier,Paris
17 Cepointseradéveloppédanslechapitre11,consacréàlaquestiondeconfiancedanslesblockchains.
![Page 23: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/23.jpg)
17
maistoujoursmoinsdesentimentoud’assurancedeparticiperàquelquechosecommeune société.Eneffet,etpourneprendrequelesdeuxexemplesci-dessus,sitantestquelerisque
dedivulgationdesdonnéesquecomportel’actionindividuelledesouscriptionàunservicesoitdiminué,etsitantestquelaconfiancedécidéesoit«rétablie»,celanenousditrienencoredelaconfianceassuréeetdesaconstructionsociale.Mais ilyaplus.Cettetendanceau trust by designposefondamentalement laques-
tiondel’automatisationdelaconfiance,etdelaproductionautomatiséedesessignesextérieursauxquelslecomportementdesindividusestcenséseconformer.Or,commelesingénieursconcepteursdessystèmesinformatiqueslesaventtrèsbien18,commelaphilosophienecessedelerépéteràsamanière19,laquestioncrucialeestcelledeladé-sautomatisation,dudébrayage,delasuspensiondusenscommunetdecequivadesoi,brefd’attitudecritiquefaceauxsignes.C’estlàlaconditionessentielledeladémocratie,dumoinssil’onentendparlàleprojetdesLumières.Encesens,etcommeLuhmannaussin’acessédelerépéter20,unecertainedosededéfianceestessentielleaufonctionnementdelasociétépourquelaconfiancenetourneàuneconfianceaveugle,pourquel’habitusnetournepasensimpleautomatisme.
1.5. De la confiance « distribuée »
Sil’onsouhaitemettreenplacedespolitiquespubliquesouindustriellesquiatténuentcequeLuhmannappelle«l’aliénation»ilfautbienpréserver–ourepenserànouveauxfrais–cetéquilibre fragileentre lesdeux typesdeconfiance, fautedequoi l’action in-dividuelleguidéeparlaconfiancedécidéepeutàsontourêtrebloquée.Carsi laprisederisqueeststructurellementnécessaire(pourl’économieoul’actionpolitique),elledoitnéanmoins s’articuler avec la confianceassuréedont les rouagesne relèvent pas decalculoudeprescription.Or,enconfondantlesdeux,endéplaçantlecentredegravité
18 Parexemple,dansledomainedel’automatisationdelaconduitedessystèmescritiques(avion,centralenucléaire,etc.),laquestioncentraleestdenepas«trop»automatiser,etd’élaborerunjeudynamiquedeva-et-viententrel’automatisationetlecontrôleparl’humain.Parasuraman,R.,Mouloua,M.,&Molloy,R.(1996).Effectsofadaptive taskallocationonmonitoringofautomatedsystems. in Human Factors: The Journal of the Human Factors and Ergonomics Society,38(4),665-679.
19 LegestemêmedelafondationdelaphilosophieoccidentalechezPlatonestceluidelasuspensiondujugement.
20 Luhmann,N.(2010).LePouvoir[«Macht»],Pressesdel’UniversitéLaval,1975/2010.
![Page 24: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/24.jpg)
18
verslaconfiancedécidée,letournantactueldetrust by designpeuttrèsbienconduireàunedislocationencoreplusgrandedelaconfianceassurée.
Dès lors, laquestion sembleêtre la suivante: comment imaginerdespolitiques (deconfiance,desaconstruction,deson«affichage»parleslabels)quia minimanedété-riorentpascetéquilibre,nerabattentpaslaconstructiondelaconfianceassuréesurlesmécanismesdecalculderisqueetquisecontententde«fonctionner» localementparexemplepourrelancerlaconcurrence?Àcetitre,lechapitrequisuitévoqueraledoublerôlefonctionneldudroit,pourlequelils’agitdésormaisnonseulementd’assurerlaprotec-tiondelapartiefaible(fonctionquihistoriquementneserésumepasauchampdesméca-nismeséconomiques)maisaussid’êtrepartieintégrantedumarché,enencadrantetenrelançantlaconcurrence.Undesexemplesparlantsesticilalégislationrécentesurlapor-tabilitédesdonnées,dontl’aspirationestdesatisfaireladoubleinjonctiondeprotéger(ou«encapaciter»)leconsommateurenluidonnantunecertainemaîtrisesursesdonnéesetdanslemêmetempsrelancerlaconcurrenceentrefournisseurs,enfacilitantlepassagedel’uneàl’autre,etlacirculationdesdonnées.Laquestionquiseposeiciestdesavoirquellessontlesconditionssouslesquelleslesprocessusinstitutionnelsdelégitimationdesacteursnedécrochentpasdesprocessussociauxàl’œuvredanslaconfianceassurée.
Remarquonsiciquemêmelesscienceséconomiques,dontlespostulatsépistémolo-giquesdebasesontbienpluscompatiblesavectrust qu’avec confidence(i.e.bienplusaveclafiguredel’acteurindividuelqu’aveclesprocessussociaux),pointentcommemal-gréellesverscettecouchesocialequ’ellesnethématisentpasencoresuffisamment.Ainsi,onévoqueradansleschapitresquisuiventl’intérêtrelativementrécentdel’économiepourdesnotionscommecellesd’«équité»etde«réciprocité»,ouencorecelledesinteractions répétées.
Ilfautdèslorsréfléchirauxconditionsd’implicationdescitoyensdanscesprocessus.Maisl’enseignementquenouspouvonstirerdecequiprécèdeestquecetteimplicationnedoitpasrevêtirn’importequelleforme.Certes,l’essordessystèmesparticipatifs,collabo-ratifs,distribués,mobilisantlesmultitudes,etc.,nousindiquequelquechosedecetordre.Onpourraitévoquericitoutunéventaildemécanismesdontlesindividus-utilisateurssontàl’initiative:lesdémarches«approvisionnéesparlafoule»oucrowd-sourced 21 ou l’utilisa-
21 cf.parexempleTOSDR:«Terms of Service; Didn’t Read»https://tosdr.org/
![Page 25: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/25.jpg)
19
tionparlegrandpublicdebloqueursdepublicité(adblocker)quiopèredefaituneformederégulationtechniquevialessanctionsqu’elleimposeéventuellementauxacteursduWeb.
Cependant,laconfusionterminologiquedanslaquellebaignentcesinitiativesnousin-diqueaussiquelespectrecouvertestbientroplargepourquetouteslesformespuissentrépondreàl’exigencequenousévoquons.Careneffet,qu’ya-t-ildecommunentrelanotationdevendeurssureBayparunsous-ensembled’acheteursetlesprocessusse-lonlesquelslesparticipantsàlacommunautédulogiciellibreacquièrentdelalégitimitéauprèsdeleurspairs?Certes,lesdeuxprocéduresdelégitimationpeuventêtredécritescommecontribuantàuneréductiondel’incertitudeàl’égardd’unacteurdonné.Maissilesprocéduresàl’œuvreauseindulogiciellibresemblentfaireplaceauxprocessusquis’apparentent,aumoinsenpartie,àlaconfianceassurée22,laprocéduredeeBay nous semblereposermajoritairementsurlaconfiancedécidée.Latâcheestdoncdésormaisd’imaginerlesvoiesnonseulementpourdonnerlapa-
role aux consommateursdontlerôlefonctionneldanslesystèmesocialrestelimitéauchampdelaconfiancedécidéemaiségalementd’organiserlesprocessuspermettantauxcitoyensd’êtreimpliquésdanslaconfianceassurée.
Tels nous semblent être les enjeux soulevés aujourd’hui par la thématique de laconfiance dans le numérique: une nouvelle articulation entre confiance décidée etassurée, entre responsabilisation et déresponsabilisation, entre confiance et défianceraisonnées.Ladifficultédecettetâchenesauraitêtresurestimée.Ilnes’agitévidemmentpasd’abandonnertoutedémarchederégulation,delaisserlesindividus-utilisateursseulsfaceàlamultitudedesaspirateursdedonnéespersonnelles.Maisils’agitbiend’essayerdeparveniràuneapprochecritiquedelarégulationelle-même,l’objectifétantquecettedernièreneserveniàréguleroutremesurelescomportementsdescitoyens,niàdevenirunecomposantede«privacywashing».
22 Comme lemontreO’Neil (2014)dansHackingWeber:Legitimacy,critique,and trust inpeerproduction«Legitimate domination in collaborative online projects was defined as overlapping regimes of hacker-charismatic, index-charismatic and procedural authority which coexist in hybrid formations». Ici,nousassistonsàune formequi jouesansdoutesur le trust (lechoixde l’open sourcepeutse justifierrationnellement par la «confiance» dans la qualité du produit, par des aspirations personnelles deréputation,etc.)maisaussisurconfidence (dumoinspour lesmembresparticipantde lacommunauté).Notonsquedanscettecitationl’expression« index-charismatic authority»correspondàunecomposantealgorithmique, à un calcul automatisé d’«autorité» dans un réseau dontBarabàsi fût un des pionniers(cf.Barabàsi,AL. (2002). Linked:TheNewScience ofNetworks,Perseus,Cambridge,MA), alors que«procedural authority »serapproche,sansqueLuhmannsoitcité,delalégitimationparlaprocédure.Onvoitdoncbienquelesdeuxpeuventcoexisteretêtredistribuéesdansdesproportionsvariables.
![Page 26: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/26.jpg)
20
Illustration de couverture : « La Confiance », pastel de Thierry Citron (www.thierrycitron.fr)
![Page 27: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/27.jpg)
ClaireLevallois-Barth
Chapitre 2. La confiance saisie par le droit
![Page 28: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/28.jpg)
22
Projetdeloipourlaconfiancedanslaviepolitique,loipourlaconfiancedansl’économienumérique1,règlementsur l’identificationélectroniqueet lesservicesdeconfiancepourlestransactionsélectroniquesauseindumarchéintérieur2,onnecomptepluslestextesjuridiquesquisedonnentpourobjectifderenforcerlaconfiance.Cesdernierssemblentconstitueruneréponseàunecrisedelaconfiance,criseàl’égarddesinstitutionsdémo-cratiquesetdeleurcapacitéàrésoudrelesproblèmescomplexesauxquelslescitoyenssontconfrontésmaisaussiàl’égarddestechnologiesetdel’industriequifontcourirdesrisques,perçuscommedeplusenplusmenaçants.
Pourautant,etdemanièresurprenante,lanotiondeconfiancen’estpasexplicitementdéfiniepar ledroit.Aucuntextenes’attacheàcaractériserceconceptquirestevaguedanssadéfinition(2.1.)etquipoursuitenmatièrededonnéespersonnellesunedoublefonctionquenousallonsexpliciter(2.2.).Parmilessignesdeconfianceextérieursfigurentleslabels,queledroitencadredansuncontinuumallantdudroitduraudroitsouple(2.3.),labelsqu’ilconvientdedistinguerdelacertificationetdesmarques(2.4.).
1 Loin°2004-575du21juin2004pourlaconfiancedansl’économienumérique(LCEN),JORF,22juin2004.
2 Règlement(UE)n°910/2014duParlementeuropéenetduConseildu23 juillet2014sur l’identificationélectroniqueetlesservicesdeconfiancepourlestransactionsélectroniquesauseindumarchéintérieuretabrogeantladirective1999/93/CE(RèglementeIDAS),JOUEL257,28août2014,p.73–114.
2.1. Lanotiondeconfiance ......................................................23
2.2. Lesfonctionsdelaconfiance ...........................................27
2.3. Lamiseenœuvredelaconfianceoul’imbricationdudroitduretdudroitsouple .................................................30
2.4. Lelabel,signeextérieurdeconfiance ..............................32
2
![Page 29: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/29.jpg)
23
2.1. La notion de confiance
Enabsencededéfinitionlégislativedelanotiondeconfiance,ilestpossibledesetour-nerversladoctrine.Notamment,leDoyenGérardCornudonneladéfinitionsuivantedansson Vocabulaire juridique3:
Confiance
1.Croyanceenlabonnefoi,loyauté,sincéritéetfidélitéd’autrui(tiers,contractant)ouensescapacités,compétencesetqualificationsprofessionnelles(ex.:confianceenversunmédecin),2.Actiondesefieràautrui,ouplusprécisémentdeluiconfierunemission.
Seloncettedéfinition,quirelèveplusdusenscommunquedusensjuridique,laconfiancesedétermineraitparréférenceàunepersonne.Ils’agiraitdel’actiondeluiconfierunemission,parexempleendroitdescontratsspéciauxvialemandat4etledépôt5ou,plusrécemmentendroitdelasantépublique,aveclapossibilitépourtoutpatientmajeurde
3 Cornu,G.,(2016).Vocabulairejuridique,Paris,PUF,11eédition,2016,V°Confiance.
4 Lemandatestuncontratparlequelunepersonne,lemandant,donneàuneautrepersonne,lemandataire,lepouvoirdefaireunoudesactesjuridiquesensonnometpoursoncompte.
5 Ledépôtestuneconventionpar laquelleunepersonne, ledépositaire, sechargegracieusementde laconservationd’unobjetmobilieroud’unesommed’argentqueluiremetledéposant.
La confiance saisie par le droit
![Page 30: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/30.jpg)
24
désignerunepersonnedeconfiancequipeutêtreconsultéeaucasoùcemêmepatientseraithorsd’étatd’exprimersavolontéetderecevoirl’informationnécessaireàcettefin6. S’illesouhaite,lepatientpeutsefaireaccompagnerparlapersonnedeconfiancedanssesdémarchesetsesentretiensmédicauxafindel’aiderdanssesdécisions.
Laconfiancepersonnelles’entendégalementcommeune«croyance»quipermettraitd’avoirfoienoud’accorderuncréditàunproche,unexpertouunprofessionnel.Cetteconfiancese traduirait par référenceàd’autresnotions: la fidélitédans lemariage, laloyautédusalarié,cedernierdevants’abstenirdeporteratteinteauxintérêtsdel’entre-prise(commeseservirdesmoyensmisàsadispositionpoursonusageprivéouvendrelessecretsdefabricationàunconcurrent)oulabonnefoilorsdel’exécutiond’uncontrat.Dansl’hypothèseoùl’undescontractantsn’apas–ouamal–remplisonobligation,onrecourtàlanotiondemauvaisefoipoursanctionnersoncomportement.Laconfiancesedéfinitdoncaussidefaçonnégativecommel’indiquentlesconcepts
depertedeconfianceendroitdutravailoud’abusdeconfianceendroitpénal.Cedernierdésigneune infractioncontre lesbiens,dont l’objetestdedisposerdubiend’autrui,ycomprisd’unbienimmatériel,dansuncadrequin’apasétéconvenuaveclepropriétaire.
► Dansunarrêtrendule22octobre2014,lachambrecriminelledelaCourdecassationaqualifiéd’abusdeconfiancelefaitpourunsalariéd’avoir« en connaissance de cause détourné en les dupliquant, pour son usage personnel, au préjudice de son employeur, des fichiers informatiques contenant des informations confidentielles et mis à sa disposition pour un usage professionnel»7.
Àcôtédelaconfiance accordéeàunepersonne,ledroitparticipeàl’instaurationdelaconfianceàl’égarddesinstitutions.Laconfiancelégitimenotammentrenvoie,endroitdel’Unioneuropéenne,àl’attentedelapartdujusticiabled’uneprévisibilitéetd’unestabilitédesnormesémanantdesautoritéstanteuropéennesqu’étatiques,tandisquelasincérité endroitbudgétaire imposeque«les lois de finances présentent de façon sincère l’en-semble des ressources et des charges de l’État»8.
6 Loin°2002-303du4mars2002relativeauxdroitsdesmaladesetàlaqualitédusystèmedesanté,JORF,5mars2002.
7 Cass.crim.,22oct.2014,n°13-82.630.
8 Art.32delaloiorganiquen°2001-692du1eraoût2001relativeauxloisdefinances,JORF,2août2001.
![Page 31: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/31.jpg)
25
Enfin,lelégislateurchercheàétablirlesconditionsdelaconfianceàl’égarddesentre-prises,notammentdanslecontextedunumériquequinepeutseréclamerd’unepratiquesocialeancienneetsuffisammentassise.
Ilestenparticulierintéressantdenoterquelestextesnationauxoucommunautairesquiutilisentdansleurintituléletermedeconfiancenedéfinissentpascettenotion,qu’ils’agissedurèglementadoptéparl’UnioneuropéenneeIDASsurl’identificationélectro-niqueetlesservicesdeconfiancepourlestransactionsélectroniquesauseindumarchéintérieur9 oude la loi françaisepour la confiancedans l’économienumérique (LCEN),adoptéele21juin2004.Concernantcettedernière,letermedeconfiance,ajoutéauder-nierinstantdansletitremêmedelaloi,sembleàtoutlemoinsfaireréférenceauproces-suspsychologiquedelaconfiance,telquedécrétéparlelégislateur10.Bienqueloi«pour»laconfiancedansl’économienumériqueourèglement«sur»lesservicesdeconfiance(trust servicesdanslaversionanglaise),lesdeuxtextesontpourprincipalobjectifderégu-ler le marchéducommerceélectronique.Àcettefin,ilsmettentenplacedesmécanismespropreàcontrerlesrisquesressentisparl’utilisateuràl’égarddelatechnologieetdesadimensionmondiale,afind’assureruneexpérience«rassurante»pourpallierl’insuffisanteconstructionduliensocial(cf.Chapitre1).
Ici,laconfianceseconstruitàlafoisautourdelanotiondesécurité,qu’ellesoitjuridique,techniqueouorganisationnelle(parexemplevialacertificationdesproduitsetservicescommenousleverronsdanslechapitre4)etdecellederesponsabilitédesacteursdel’économie numérique11, en particulier des prestataires techniques. «Être responsable n’est-ce pas « répondre de » ? Et « installer » quelqu’un comme devant répondre d’une situation donnée n’est-ce pas le moyen de créer de la confiance ?»12.Ainsi,toutunjeude
9 Règlement eIDAS, précité. Nous encourageons les lecteurs à se référer à Levallois, C. (2016). Laréglementation mise en place par l’Union européenne en matière d’identification électronique et desservicesdeconfiance(règlementeIDAS).in « Identités numériques »,Cahiern°1delaChaire Valeurs et Politiques des Informations Personnelles,coordonnéparClaireLevallois-Barth.
10 Encesens,Castets-Renard,C.,(2006).Leformalismeducontratélectroniqueoulaconfiancedécrétée,Defrénois,30/10/2006,n°20,p.1529.
11 Agosti, P., Caprioli, E.A., (2005). La confiance dans l’économie numérique (Commentaires de certainsaspects de la loi pour la confiance dans l’économie numérique) (LCEN), Petites affiches, 03/06/2005,n°110,p.3.
12 Vivant, M., (2004). Entre ancien et nouveau, une quête désordonnée de confiance pour l’économienumérique,CahierLamyDroitdel’informatiqueetdesréseaux,n°171,juillet2004,p.2ets.
![Page 32: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/32.jpg)
26
laresponsabilitésedessineàtraverslarégulationjuridique,quipeutêtreappréhendéecommeuninstrumentauservicedelaconfiance.Dèslors,danslenumériqueaussi,laconfiancesetraduitparréférenceàd’autresno-
tions,notionsquel’onretrouvedansledomainedesdonnéespersonnelles.Lasécuri-tédesréseauxetdesinformations,laresponsabilitédesresponsablesdetraitementsetdessous-traitantsmaisaussi la loyauté.Cettedernièreestd’ailleurs reconnuepardenombreuxtextes13mêmes’iln’existepasdedéfinitionlégaleduprincipe de loyauté. LibrementappréciéeparlejugeetlaCNIL,elles’entendaustadedelacollecteessen-tiellementcommeuneobligationdetransparencevis-à-visdespersonnesdontlesdon-néessontcollectéesettraitées.Ainsi,cesdernièresdoiventêtreinforméesdel’identitéduresponsabledetraitement,desfinalitésdutraitement,deleursdroits,etc.Àdéfaut,l’article226-18duCodepénalprévoitque«le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonne-ment et de 300 000 euros d’amende»(1,5millionssil’auteurestunepersonnemorale).Enl’absencedetransparence,lacollectededonnéesestjugéedéloyale:parexemple,lacollected’adressesélectroniquespersonnellesdepersonnesphysiquesàleurinsusurl’espacepublicd’internet,ceprocédéfaisantobstacleàleurdroitd’opposition14,lanotationd’unprofesseursansquecettepossibilitésoitlimitéeauxseulsélèvesayantceprofesseurcommeenseignant15oulacollecteparFacebookdedonnéespersonnellesrelativesàlanavigationsurdessitestiersdepersonnesnon-inscritesàsonservice16.
Depuispeu,laloyautédesplateformesenligneestaussicompriseentermesdetrans-parence.Ainsi,laloidu7octobre2016pouruneRépubliquenumériqueobligelesplate-formes(Facebook,Twitter,Airbnb,Uber…)à«délivrer au consommateur une information loyale, claire et transparente»,notammentsur lesmodalitésde référencement17.Cettemêmeloiintroduitégalementlanotiondetiers de confiance numérique,letiersétantici
13 Notamment,art.8§2delaChartedesdroitsfondamentauxdel’UEouart.5§1duRGPD.
14 Cass.crim.,14mars2006,pourvoin°05-83.423.
15 CAParis,25juin2008,n°08/04727,affaire«note2be».
16 CNIL,déc.n°2016-007,26janvier.2016:«À l’occasion de la navigation sur la page d’un site tiers sur lequel figure un module social FACEBOOK (bouton J’aime par exemple), … la société collecte des données relatives à la navigation des internautes qui ne sont pas inscrits sur le site FACEBOOK.COM […]. Si la finalité avancée par la société peut apparaître légitime (assurer la sécurité de ses services), la collecte des données relatives à la navigation sur des sites tiers des non-inscrits au site FACEBOOK.COM est réalisée sans qu’ils en soient informés. »
17 Art.49delaloin°2016-1321du7octobre2016pouruneRépubliquenumérique,JORF,8octobre2016.
![Page 33: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/33.jpg)
27
désignécommeunorganismecertifiéparlaCNILchargéd’enregistreràlademanded’unepersonneses«directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès»18.
Parsonancragedanslesprocessussociaux,ledroitjoueàlafoissurlaconfianceas-surée et la confiancedécidée:cefaisant,illaisseentrevoirdeuxtendancesdefondquisecroisentetserecroisent,commenousallonslevoir,etqu’ilchercheàencadrer.
2.2. Les fonctions de la confiance
Laconfiancenaîtessentiellementdel’existenced’unliensocialquis’estconstruitdansladurée.Commenousvenonsdelevoir,elletiendraitdansl’actiondesefieràautrui,cettecroyanceamenantlapersonneàinteragirdemanièreplusfréquenteetcontribuantàréduire l’incertitudequantà l’issuede l’interaction(cf.Chapitre1).Siautruin’estpasdignedeconfiance,s’iln’estpassincère,ledroitintervientpourprotégerlapartiefaibleetsanctionner.Cetteprotectionestlerefletdelapriseenchargeparlasociétéd’uneformed’assurancedu«vivre-ensemble»dansdesconditionssupportables.Àcettefin,ledroitédictecertainesobligationsetréprimecertainscomportementspourapporterunegarantieàtouteslespartiesquantaubonfonctionnementminimaldelasociété.Ilparticipeainsiàlaconfianceassurée.
Surunplandifférent,ledroitchercheégalementàassurerlebonfonctionnementdel’économie.Lorsquel’onpasseàundroitdontl’objectifdevientlarégulationdumarchécaractériséparlalibrecirculation,enparticulierdesdonnéesauseindel’environnementnumérique,lelégislateurchercheàinstaurerlaconfiancenonplusdelapartiefaiblemaisduconsommateur.Laprotectiondecedernierest,eneffet,uneconditionpréalablepourqu’il«accepte»lasociétédel’information,cettedernièreayantprislaformede«l’écono-mie numérique, une vision présentée comme sociale cédant le pas aux impératifs écono-miques, mais qui intègre également les mêmes aspects sociaux»19.
18 Art.40-Idelaloin°78-17du6janvier1978relativeàl’informatique,auxfichiersetauxlibertés,telquemodifiéparl’article63delaloipouruneRépubliquenumérique,précitée.
19 Agosti, P., Caprioli, E.A., (2005). La confiance dans l’économie numérique (Commentaires de certainsaspects de la loi pour la confiance dans l’économie numérique) (LCEN), Petites affiches, 03/06/2005,n°110,p.4.
![Page 34: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/34.jpg)
28
CettetensionvisantàassurerlefonctionnementefficacedumarchéeninstaurantdesrèglesauxbénéficesduconsommateurestclairementperceptibledansletitremêmeduRGPD,lequelest«relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données».ElleestmiseenexergueparlaCommissioneuropéennedanssacommunicationde2012«Protectiondelavieprivéedansunmondeenréseau»:
« L’instauration d’un climat de confiance dans l’environnement en ligne est essentielle au développement économique. S’ils n’ont pas confiance, les consommateurs hésiteront à effectuer des achats en ligne et à recourir à de nouveaux services. Dès lors, il est également impératif de garantir un niveau élevé de protection des données pour accroître la confiance des consommateurs dans les services en ligne et réaliser le potentiel de l’économie numérique, ce qui stimulera la croissance économique et la compétitivité des entreprises de l’Union. » 20
Ils’agitdoncbienicidesusciterlaconfiancedanslemarchéausensdelaconfiancedécidée, le terme trustfigurantnotammentauconsidérant7de laversionanglaiseduRGPD21.
Unautresignedecestendancesquisecroisentetserecroisentestperceptibleàtra-versl’évolutiondesbasesjuridiquesdestexteslégislatifs.Ladirective95/46/CEDonnéespersonnellesadoptéeen199522 apourbase juridique l’article100Adu traité instituantlaCommunautéeuropéennerelatifaurapprochementdesdispositionslégislativesayantpourobjetl’établissementetlefonctionnementdumarchéintérieur.Poursapart,leRGPD,adoptéen2016,sebasesurl’article8§1delaChartedesdroitsfondamentauxdel’Unioneuropéenneet l’article16§1du traitésur le fonctionnementde l’Unioneuropéennequi
20 CommunicationdelaCommissionauParlementeuropéen,auConseil,auComitééconomiqueetsocialeuropéenetauComitédes régions,Protectionde lavieprivéedansunmondeen réseau–Uncadreeuropéenrelatifàlaprotectiondesdonnées,adaptéauxdéfisdu21esiècle,COM(2012)9final,Bruxelles,25janvier2012,p.2.
21 Selon lequel “Those developments require a strong and more coherent data protection framework in the Union, backed by strong enforcement, given the importance of creating the trust that will allow the digital economy to develop across the internal market”.
22 Directiven°95/46/CEduParlementeuropéenetduConseildu24octobre1995,relativeàlaprotectiondespersonnesphysiquesàl’égarddutraitementdesdonnéesàcaractèrepersonneletàlalibrecirculationdecesdonnées,JOCE,L.281du23novembre1995,p.31.
![Page 35: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/35.jpg)
29
disposentque«toute personne a droit à la protection des données à caractère personnel la concernant ».Oninterpréteracetétatdefaitsoitcommeunemainmisedesmécanismesdumarché
surledomaineinitialementduressortdudroit,soitaucontrairecommeuneréconciliationentrelaprotectiondelapartiefaible(lapersonnedontlesdonnéespersonnellessontcol-lectées)etlalibrecirculationdesinformationsafindestimulerlacroissanceéconomiqueetlacompétitivitéindustrielle.
Onnoteratoutefois lessignesdel’inversiondurapportentre liensocialetéchangesmarchandsenconstatantlerôlecroissantdudroitdelaconsommation.LaloipouruneRépubliquenumériquedu7octobre2016,parexemple,inscritledroitàlarécupérationdel’ensembledesesdonnéesdanslecodedelaconsommation,àl’articleL.224-42-2.Onnotealorsquecemêmearticlepréciseque«cette récupération s’exerce conformément aux conditions prévues à l’article 20 du [RGPD] pour les données ayant un caractère per-sonnel».Dèslors,pourquoinepasavoirchoisid’insérerledroitàlaportabilitédirectementdanslaloiInformatiqueetLibertés?L’objectifprincipalesticide«réduire la viscosité du marché»23.Clairement,nousnoussituonsdans ledomainede lagestiondes risques,via l’instaurationde règles censées réduire l’incertitudeet permettreà lapersonnededéciderelle-mêmeenconnaissancedecause.Lanouvellerédactiondel’article1erdelaloiInformatiqueetLibertés,tellequ’introduiteparl’article54delaloipouruneRépubliquenumérique,enconstitueuneparfaiteillustration:désormais,«toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère person-nel la concernant ».
Cedroitdedéciderentendtraduirel’idéed’encapacitation(empowerment)ducitoyenenluidonnantdavantagedecapacitéd’agiretdecontrôle,notammentenrenforçantlesobli-gationsd’informationetdetransparencequantauxactionsdesautresparties.Ceseraitdonclapersonnequidécideraitdel’usagequidoitêtrefaitdesesdonnéespersonnellesetnonpluslelégislateuroulaCNIL.Onpeuts’interrogersurlesconséquencesdecetteévolution,surl’accentmisdavantagesurlaconfiancedécidée,danssaformelaplusindi-vidualisée,quelaconfianceassurée.Ainsi,selonNicolasOchoa,«donner plus de pouvoir à la personne fichée revient à la laisser de plus en plus démunie face à des auteurs de
23 Projet de loi pour une République numérique enregistré à la Présidence de l’Assemblée nationale le9décembre2015,14elégislature,n°3318.
![Page 36: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/36.jpg)
30
traitements de données toujours plus puissants […] Ce principe revient donc sciemment à instrumentaliser la faiblesse du libre arbitre de tout un chacun sur des questions émi-nemment techniques, sujets sur lesquels, au regard de ce degré de technicité, l’individu non spécialiste doit être considéré comme un majeur incapable pour son propre bien.»24
Danslemêmesens,onpeutsedemandercequisous-tendlepassaged’unsystèmed’autorisationsdestraitementsdedonnéespersonnellesparl’autoritédecontrôle(telquemisenplaceparlaloiInformatiqueetLibertésen1978)àunrenforcementdelaplaceduconsentementdelapersonneconcernéepar leRGPD.L’individuexerce-t-il réellementson librearbitre lorsqu’ilconsentàn’importequelleutilisationdesesdonnéesperson-nelles?Lorsqu’ilaccepteenuncliclesconditionsgénéralesd’utilisationd’unsite,surtoutquandsonrefusbloquetoutaccèsausite?CommelefaitremarquerNicolasOchoa,«au regard de la vigueur de l’économie numérique et de la nécessité de son usage massif et croissant des données personnelles, cela se tient»etfaitpartiedelalogiquequisedonnepourobjectifpremierd’augmenterlacirculationdesdonnées.
2.3. La mise en œuvre de la confiance ou l’imbrication du droit dur et du droit souple
Cettenouvelletendance,quiappelleàlalibrecirculationdesdonnées,prendplacedansunpaysagejuridiquelui-mêmeenprofondereconfiguration.
Onconstateeneffetquelesrèglesdedroitnesontdésormaispluscaractériséesparlaseulecontraintemaisqu’ellescherchentégalementàorienterlescomportements.Danscecontexte,lelabeloccupeuneplaceparticulière,entantquesigneextérieuretvisibledelaconfiance.
Classiquement, ledroitsedéfinitparunensembledenormesdeconduite,édictéesparl’autoritépubliqueetassortiesdesanctionsencasdenon-respect.Cetteconceptiontraditionnelletellequel’enseigneHansKelsen,cedroit«dur»symboliséparlacontrainte,lespouvoirspublicsetlasanction,estrelayéaujourd’huiparuneformededroitqualifiéde«souple».
24 NicolasOchoa,«Lalibredispositiondesdonnéespersonnelles:retoursurunbraquagediscretdesdroitset libertés», 27/01/2016, https://www.lesechos.fr/idees-debats/cercle/cercle-147345-la-libre-disposition-des-donnees-personnelles-retour-sur-un-braquage-discret-des-droits-et-libertes-1195601.php
![Page 37: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/37.jpg)
31
Ledroitsouplesedéfinitcommeunensemblederèglesnoncontraignantesémanantd’uneentitépubliqueouprivéeetexemptéesdesanctionssiellesnesontpassuivies.Invitantàuneredéfinitiondelanorme,ledroitsoupleestcritiquéauregarddelaconcep-tionrousseauistedelarèglededroit,laquellesecaractériseprincipalementparsaforceobligatoire.Àl’inversedudroitdur,ils’agitd’undroit«qui invite plus qu’il ne contraint, qui propose plus qu’il n’impose, qui dirige plus qu’il ne force»25.En2013,leConseild’Étatadéfinicettenotiondanssonétudeannuellecomme«l’ensemble des instruments répon-dant à trois conditions cumulatives :
• Ils ont pour objet de modifier ou d’orienter les comportements de leurs destina-taires en suscitant, dans la mesure du possible, leur adhésion ;
• Ils ne créent pas par eux-mêmes de droits ou d’obligations pour leurs destinataires ; • Ils présentent, par leur contenu et leur mode d’élaboration, un degré de formalisa-
tion et de structuration qui les apparente aux règles de droit. »26
Àtitred’exemple,lesavisetleslignesdirectrices,notammentceuxduG29,lesrecom-mandationset lespacksdeconformitéde laCNIL, lescodesdeconduite, leschartesdéontologiques,lesrèglesinternesd’entreprises(quipermettentauxsociétésmèresdesmultinationalesdeproduireundroitapplicableàl’ensembledeleursfiliales),lesstandardstechniquessontautantd’instrumentshétérogènespourvusd’unecertaineautoriténorma-tive.Cetteautoritécertesn’estpascelledelacontrainte,maiselleinciteàl’adoptiondecertainscomportements.Sansforcecontraignante,lesinstrumentsdedroitsouples’inscriventdansunechaîne
denormativitégraduéeallantdu«strict»droitcontraignantau«véritable»droitsouple.Ilestainsifréquentquelestextesdedroitdurprévoientl’existencedecetyped’instruments,voireleurconfèrentunrôledansladéfinitiondeleursrèglesd’application.
► La certification,leslabelsetlesmarquesenmatièrededonnéespersonnellesensontuneillustration:cesinstrumentssontreconnusparleRGPDcommeayantunevaleurderéférenceàlafoisdanslecadredel’obligationderesponsabilitéetdestransfertsinternationauxdedonnées(cf.Chapitre8).Une
25 Mekki,M., (2009). Propos introductifs sur le droit souple, in Le droit souple, Dalloz, Coll. «Thèmes etcommentaires»,2009,p.11.
26 Conseild’État,Ledroitsouple,LesrapportsduConseild’État,Ladocumentationfrançaise,2013,p.61,http://www.ladocumentationfrancaise.fr/rapports-publics/144000280/index.shtml.
![Page 38: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/38.jpg)
32
formed’avantageestaccordéeauxentitésquiyrecourent,puisqu’ellessontdispenséesdefournird’autresjustificatifs.
Danscecontexte,lespromoteursdudroitsouplesoulignentsaflexibilité.D’unepart,ilseraitutilepouragirauniveauinternational;d’autrepart,ilpermettraitd’appréhenderdesphénomènesémergentsenrapideévolution(notammentlesmutationstechnologiques27 enexplorantdesdomainesprospectifscommel’intelligenceartificielle,lesdrones),etdepréparerl’adoptionultérieuredetextescontraignants.Enrevanche,sescritiquespointentlecontournementdesinstitutionsdémocratiquesetladégradationdesqualitésattenduesdudroit,tellesquelaclartéetlastabilitédelanorme.Ainsi,dansunrapportde1991,leConseild’États’inquiétaitpourlasécuritéjuridiquemenacéeparuneinflationnormativesansprécédent,affirmantdansuneformulecélèbre:«Qui dit inflation dit dévalorisation : quand le droit bavarde, le citoyen ne lui prête plus qu’une oreille distraite»28.Aucœurdecebavardage,lahautejuridictiondénonçaiten1991ledroit«mou»,ledroità«l’étatgazeux»qui,àvraidire,présenteuncontenuidentiqueaudroitsoupledontellepréféraitpourtantsoulignerlesqualitésen2013.
Aujourd’hui,ledroitsoupleestpartieintégrantedelarégulationdesdonnéesperson-nellescar,selonIsabelleFalque-Pierrotin,présidentede laCNIL,«à la réglementation prescriptive s’ajoute la nécessité d’une régulation plus partenariale, fondée sur des instru-ments juridiques personnalisés»29.Danscecadre,laCNILentendprivilégierledialogueetl’appropriationparlesacteurs.Lelabelapparaîtalorscommeunoutildemiseenœuvre,unrelaisdesprincipesdeprotectiondesdonnéespersonnellesédictésparledroitdur,censédéfinirdesbonnespratiquesetcontribueràlarésolutiondeproblèmesopération-nels.Onconstatelerecourscroissantàcetinstrumentsituéenavaldudroit«source»etquiseprésentecommeunsigneextérieurdeconfiance.
2.4. Le label, signe extérieur de confiance
Endroitfrançais,lelabelnefaitl’objetd’aucunedéfinitionofficielle.Demême,laCNILnedonneaucunedéfinition technique,maisenvisage le labelcommeun indicateurde
27 Danscesens,Ledroitsouple,RapportduConseild’État,précité,p.91.
28 Conseild’État,Delasécuritéjuridique,Rapportpublicannuel1991,Ladocumentationfrançaise.
29 IsabelleFalque-Pierrotin,«LedroitsouplevudelaCNIL:undroitrelaisnécessaireàlacrédibilitédelarégulationdesdonnéespersonnelles»,inLedroitsouple,RapportduConseild’État,précité,p.241.
![Page 39: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/39.jpg)
33
confiancepourlesconsommateurs.Abstraitement,lelabelseraitenvisagéparladoctrinecomme«un mode de reconnaissance d’un niveau de qualité, délivré par une entité privée ou une autorité publique, adossé à un cahier des charges (référentiel)»30.
In concreto,lelabelsemanifestedifféremmentdansplusieursdomaines,parexempleenmatièreenvironnementaleouagroalimentaire.Eneffet,l’articleL.115-21duCodedelaconsommationdisposeque«les labels agricoles sont des marques collectives attestant qu’une denrée alimentaire ou qu’un produit agricole non alimentaire et non transformé possède un ensemble distinct de qualités et caractéristiques spécifiques préalablement fixées et établissent un niveau de qualité. Ce produit doit se distinguer des produits si-milaires de l’espèce habituellement commercialisés par ses conditions particulières de production, de fabrication et, le cas échéant, par son origine. »Lelabelsupposeunedémarchevolontairedesentreprises.Ilestadoptéparcesder-
nièresetn’estpasimposé.Encesens,ilfaitpartiedudroitsouple.Néanmoins,silavolon-tés’exprimedansl’adhésion,l’aspectcontraignantsurgitaustadedessanctionsbienquecelles-cinesoientpaspécuniaires.Leretraitdulabelpeutêtreperçucommeunesanctionmoralepréjudiciableàl’imagedel’entreprise.
Lelabeldoitêtredistinguédelacertificationdéfinieparl’articleL.115-27duCodedelaconsommationquidisposeque«constitue une certification de produit ou de service soumise aux dispositions de la présente section l’activité par laquelle un organisme, dis-tinct du fabricant, de l’importateur, du vendeur ou du prestataire, atteste, à la demande de celui-ci effectuée à des fins commerciales, qu’un produit ou un service est conforme à des caractéristiques décrites dans un référentiel et faisant l’objet de contrôles. Le référentiel est un document technique définissant les caractéristiques que doit présenter un produit ou un service et les modalités du contrôle de la conformité du produit ou du service à ces caractéristiques.»31Onremarquequelespouvoirspublicsdétiennenttoujoursunrôle,mêmesicertainsauteursfontallusionàune«privatisation»delacertification32.Àl’écheloninternational,lacertificationestdéfiniedefaçonquasi-similaireparl’Organisationinterna-tionaledenormalisation(ISO–International Organization for Standardization)commeune
30 Naftaski,F.,Desgens-Pasanau,G.,(2010).EnjeuxetperspectivesdupouvoirdelabellisationdelaCNIL,RevueLamyDroitdel’Immatériel2010,n°63.
31 Loin°94-442du3juin1994modifiantleCodedelaconsommationencequiconcernelacertificationdesproduitsindustrielsetdesservicesetlacommercialisationdecertainsproduits,JORF,4juin1994.
32 Pontier,J.-M.,(1996).Lacertification,outildelamoderniténormative,D.1996,p.355.
![Page 40: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/40.jpg)
34
«assurance écrite (sous la forme d’un certificat) donnée par une tierce partie qu’un produit, service ou système est conforme à des exigences spécifiques»33. Lacertificationestunprocessusvolontaireouobligatoiremenésurlabased’exigences
élaboréesparunorganismereconnuetréaliséesparunauditeuraccréditéetexterneaucandidat.Ilestimpératiftoutefoisdenepasoublieràcestadequecesexigencesn’in-tègrentpasnécessairementetuniquementdesobligationslégales.Leprocessusd’éva-luationaboutit, s’il réussit,à ladélivranced’uneattestationofficielledeconformitéauxexigences.Lerésultatfinalpeutprendreplusieursformesquiindiquentquelacertificationaétéobtenue:unlabel,unemarqueouuncertificat.Soulignonsqu’uneentreprisepeutaussiêtrecertifiéesanspourautantdisposerd’unla-
beloud’unemarque:soitlacertificationestobligatoire,soitellepermetàl’organismed’ob-tenirundiagnosticdecequisepasseeninterneafind’améliorersespropresprocessus.
LecaractèreobligatoiredelacertificationestbienillustréenFranceparlesexemplesdesdonnéesdesantéetdesjeuxd’argentenligne:
• àl’heureactuelle,leshébergeursdedonnéesdesantédoiventêtreagréésparleministrechargédelaSantéaprèsavisdelaCNILetduComitéd’AgrémentdesHébergeurspouruneduréedetroisans34.Ilssontaunombrede96.Àpartirde2018,unhébergeurdedonnéesdesantésursupportnumériquedevraobligatoi-rementêtretitulaired’uncertificatdeconformité35.Celui-ciseradélivréparunorga-nismedecertificationaccréditéchoisiparl’hébergeur.Ilpourras’agirdel’instancefrançaised’accréditation,leCOFRAC,oudesonéquivalentauniveaueuropéen36.
33 https://www.iso.org/fr/certification.html.
34 Art.L.1111-8ducodedelasantépubliquecrééparlaloin°2002-303du4mars2002relativeauxdroitsdesmaladesetàlaqualitédusystèmedesanté,JORF,5mars2002,texten°1etart.R.1111-10crééparledécretn°2006-6du4janvier2006relatifàl’hébergementdedonnéesdesantéàcaractèrepersonneletmodifiantlecodedelasantépublique(dispositionsréglementaires),JORF,5janvier2006.
35 ASIPSanté,Évolutionde laprocédured’agrémentdeshébergeursdedonnéesdesanté,http://esante.gouv.fr/services/referentiels/securite/le-referentiel-de-constitution-des-dossiers-de-demande-d-agrement-des
36 Ordonnance n°2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractèrepersonnelmodifiantl’articleL.1111-8ducodedelasantépublique,JORF,13janvier2017.
![Page 41: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/41.jpg)
35
• demême,l’agrémentdesopérateursdejeuxparl’AutoritédeRégulationdesjeuxenligne(ARJEL)estobligatoire;celle-cis’appuienotammentsurunecertificationobligatoirepardesorganismesdecertification37.
Enmatièredeprotectiondesdonnéespersonnelles,onretrouvel’emploidestermesde«label»,«certification»et«marque».EnFrance,laloiInformatiqueetLibertésdis-poseque laCNIL«délivre un label à des produits ou à des procédures»38.On trouveégalement l’emploi du terme «label» (Seal en anglais) par des entités privées, parexempleenAllemagneleePrivacySealdélivréparlaePrivacyconsultGmbH,auniveaueuropéen leesafety label,ouauxÉtats-Unis leAccredited Business Seal for the Web duBetterBusinessBureau(BBB).AuRoyaume-Uni,l’autoritédecontrôle,l’Information Commissioner Office(ICO)envisagededélivrerdesPrivacy Sealsqu’elledéfinitcommeunsceaud’approbationquidémontreunebonnepratiqueenmatièredeprotectiondelavieprivéeetdesnormesélevéesdeconformitéàlaprotectiondesdonnées39.Onpeutégalementseréférer,auniveaueuropéen,aulabelEuroPriSe (European Privacy Seal)qui,selonsespromoteurs,offreunecertificationdeconformité40. Ainsi,l’élaborationdelabelsenmatièrededonnéespersonnelless’inspirefortementdes
procéduresdéveloppéesdansledomainedelacertification.EnAllemagneparexemple,lesprocéduresd’auditsdéveloppéesdanslesannées1990dansledomainedel’environ-nementontservidemodèlepourdévelopperleslabelsenmatièrededonnéesperson-nellesprincipalementproposéspardesacteursprivés.Parailleurs,onconstatequedanscedomainespécifique,ilestaussifaitréférenceàlacertification.
EnFrance,silaCNILdélivredes«labels»,laloidu7octobre2016pouruneRépubliquenumériquel’autoriseaussiàpublier«des référentiels aux fins de certification de la confor-mité de processus d’anonymisation»desdonnéespersonnelles.Desoncôté,laSuisse a
37 VoirenparticulierlapartieV«Informationsrelativesauxcomptesjoueurs»del’annexeIIduRèglementrelatifàlacertificationprévueàl’article23delaloin°2010-476du12mai2010relativeàl’ouvertureàlaconcurrenceetàlarégulationdusecteurdesjeuxd’argentetdehasardenligne,adoptéparladécisionn°2014-018ducollègedel’Autoritéderégulationdesjeuxenligneendatedu17mars2014,modifiéeparladécisionn°2016-006ducollègedel’Autoritéderégulationdesjeuxenligneendatedu18février2016,http://www.arjel.fr/IMG/rc/certification2.pdf.
38 Art.11-3)c)delaloiInformatiqueetLibertés,précitée.
39 Stamp of approval which demonstrates good privacy practice and high data protection compliance standards,voirhttps://ico.org.uk/for-organisations/resources-and-support/privacy-seals/.
40 Offers certification to compliant […] products, […] services and […] processings,voirhttps://www.european-privacy-seal.eu/EPS-en/Home.
![Page 42: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/42.jpg)
36
adoptéuneordonnancesurlescertificationsenmatièredeprotectiondesdonnéesle28septembre2007.
Lesacteursprivésutilisent,euxaussi,letermedecertification:
• en Espagne, l’association professionnelle de protection de la vie privée(Asociación Profesional Española de Privacidad–APEP)délivre lacertificationAPEP-CertifiedPrivacy,
• l’Allemagne dispose de nombreuses possibilités avec notamment la Data Privacy Certification for Companies de TÜV Rheinland et la Zertifizierung der DatenschutzqualifikationdelaGesellschaft für Datenschutz und Datensicherheit (GDD),
• enItalie,laCertificazione di privacy officer e consulente della privacyestfournieparTÜVItalia/TÜVSUDGROUP,
• au niveau européen, l’OBA Certification est délivrée par l’European Interactive Digital Advertising Alliance(EDAA).
Ducôtédesmarquesdeconfiance,onnotequ’ellesopèrentdanslesecteurducom-merceetqu’ellessontdélivréespardesassociations,avecnotamment:
• enFrance,lamarquedeconfianceFEVADdelaFédérationdue-commerceetdelaventeàdistance,
• enAutriche,TrustMarkAustriadel’associationhandelsverband,• etenEuropel’Ecommerce Europe Trustmarkdel’associationEcommerce.
Lelabelenmatièrededonnéespersonnellesseprésentedonccommelerésultatfinald’uneassuranceécrite.Signeextérieurd’unprocessusvolontaire,ilsebasesurunréfé-rentieldéclinantcertainesobligationslégales.Laconfianceainsirecherchéeestdéfinieparrapportàd’autresnotions,notammentlaloyauté,lasécuritéetlaresponsabilité.Ellesesitueàlacroiséed’uneambiguïtéessentielleentrel’exigencedelaprotectiondel’utili-sateuretcelledelacirculationdesdonnéespersonnellesquel’onsupposeindispensableaudéveloppementdel’économienumérique.
![Page 43: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/43.jpg)
PatrickWaelbroeck AntoineDubus
Chapitre 3. La notion de confiance en économie
![Page 44: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/44.jpg)
38
Lanotiondeconfianceenéconomiepeuts’aborderdansunpremier tempscommeune réduction du risque lié à une transaction.Ainsi le baromètre de la confiance del’ACSEL-CDCn’utilisejamaislemotconfiancedirectement,maisposedesquestionssurles risques liésaupartaged’informationen ligneetdesécuritédes transactions.Unemanièred’appréhenderlanotionderisqueestd’analyserlesfacteursquileréduisent.Laconnaissancepermettantdemieuxdistinguerlesétatsdelanature1etdeconstruiredemeilleursmodèleséconomiquesagitcommeunréducteurd’incertitudesetderisque.
Deuxmécanismeséconomiquesfondamentauxapportentdelaconfiance.Lepremierest la connaissance; le second porte sur les notions d’équité et de réciprocité. Nousexaminonstoutd’abordlesdifférentesnotionsderisquesassociéesàunetransaction(3.1).Nousmontronsensuitecommentlesstratégiesdecourttermepeuventdevenircontre-productives lorsque l’onessaiedeconstruiredeséquilibresdecoopérationsur le longtermeoù les interactionssont répétées (3.2).C’est l’occasiondemettreégalementenavantlerôledemécanismespunitifsdanslaconstructiondelaconfiance.Cetargumentse retrouve dans le cas où ce sont les consommateurs qui réduisent les incertitudeset punissent les mauvaises entreprises en participant à un système de réputationcollaboratif(3.3).
1 Lesétatsdelanaturesontdéfinisenéconomiecommelasituationdanslaquellesetrouventunensembledefacteurséconomiques,parexemplelecoûtdeproductiond’unbien,ouencoreleniveaudesécuritéinformatique d’un fournisseur de services en ligne. Les agents économiques ne connaissent pasnécessairementcesétats.
3.1. Laconfiancecommeunenotionsubjectivederéductiondurisque ............................................................39
3.2. Interactionsrépétéesetmécanismespunitifs .................41
3.3. Systèmesderéputationpourcréerdelaconfiance .........42
3.4. Confianceparl’équitéetlaréciprocité ..............................42
3.5. L’impactdunumérique:réductiondesexternalitésdeconnaissances,delacohésionsocialeetaugmentationdesasymétriesd’informations ...........................................43
3.6. Lerôledeslabelsenéconomie ........................................44
3
![Page 45: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/45.jpg)
39
Nousprésentonsparlasuiteledeuxièmepilierdelaconfianceenéconomieàtraverslesnombreusesétudesexpérimentalesautourdelanotiond’équité(3.4).Nousdévelopponsl’argumentquel’économienumériqueestentraind’affaiblirlesdeuxpiliersdelaconfianceàtraverslabaissedelaconnaissanceetlesentimentd’impuissancefaceauxasymétriesdepouvoiretd’informationsdansl’économienumérique(3.5).Uneprésentationdurôleéconomiquedulabelcommesignedeconfianceterminecechapitre(3.6).
3.1. La confiance comme une notion subjective de réduction du risque
Lesincertitudesimpliquentdesrisqueslargementétudiésenéconomie,associésàetpréciséspardesnotionstellesque:lerisquesystémique,lerisqueidiosyncratique(propreàunesituationparticulière),lerisquestratégique…Onpeutregrouperlesrisquesentroisgrandescatégories.Lapremièrecatégoriecorrespondaurisque probabiliste,quipermetdefairedescalculsd’utilitéespérée,selonlesdifférentesprobabilitésquel’onaccordeauxétatsdelanature.Ladeuxièmecatégoriederisqueestnon probabiliste.Cetypederisquesestliéàlanotiond’incertitude(correspondantàdessituationsoùl’onnepeutformulerdeprobabilitésquelorsquecertainsévénementsseproduisent,oulorsquecesprobabilitéssontsubjectives).La troisièmecatégorie,elle,portesur lanotiond’incom-plétude,quicorrespondàunesituationoùunagentéconomiqueneconnaîtpasouneparvientpasàdistinguertouslesétatsdelanature.
La notion de confiance en économie
![Page 46: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/46.jpg)
40
Lerisqueprobabilistepermetdecomprendrelanotiondeconfianceàtraversl’appren-tissageliéàdessignauxouàdesinteractionsrépétées.L’apprentissagebayésien2,parexemple,combineunedistributionapriorietunefonctiondevraisemblance,pourformerunedistributionaposteriori.Cetapprentissageàtraversl’observationdesignauxpermetderéduirelesrisquesetd’augmenterlaconfiancedanslatransaction.Cetteapprocheestnécessairementsubjectivepuisquelesdistributionsaprioripeuventdépendredefacteursvariantfortementd’unepersonneàl’autre.Parailleurs,lamanièredontlerisqueestprisencomptevarieégalementparmilesagentséconomiques.Onparlealorsdedifférentesformesd’aversionaurisque,oud’aversionàlaperte,carlesindividusneréagissentpasdemanièresymétriqueauxrisquesliésàdesgainsetàceuxliésàdespertes.
Ladeuxièmecatégoriepermetd’affinercescomportementsasymétriquesdanslaper-ceptiondurisqueàtraverslathéoried’utiliténon-espérée,quiprendencomptedesrai-sonnementsquivontau-delàdelamoyenne(lamoyennenesuffitpasentantquecritèred’appréciationdurisque)toutenacceptantl’idéequecertainsrisquessontsubjectifs3.
Latroisièmeformederisque,celleliéeàl’incomplétudesurlesétatsdelanature,estétroitementliéeàlanotiondeconnaissance,carcetypederisquedépenddecequ’unagentsaitsur l’ensembledesévénementspossibles.Prenonsunexemple:unpatientvavoirsonmédecin.Ildécritdessymptômesquiluifontpenserqu’ilestmalade,maisneconnaîtpascettemaladie.Ilconnaîtdoncàcetinstantdeuxétatsdelanature:être en bonne santé ou être malade.Lemédecinl’examineetl’informequesessymptômespeuventcorrespondreàdeuxmaladies.Aprèsavoirconsultélemédecin,lepatientconnaîtmaintenanttroisétatsdelanature:être en bonne santé,souffrir de la maladie_1,souffrir de la maladie_2.
2 Il s’agit d’apprentissage sur les paramètre d’un réseau bayésien, réseau dans lequel les probabilitésmodélisentdesdegrésdecroyancesubjectifsdesagentsétudiés.
3 VoirMachina,M., (2007). Non-expected Utility, in Darity (Ed), International Encyclopedia of the Social Sciences,MacmilanReferenceUSA,2ndEdition.
![Page 47: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/47.jpg)
41
3.2. Interactions répétées et mécanismes punitifs
Laréductiondurisquepeutprovenird’unmécanismepunitifcommedanslecasdesententestacites.Onaaussiconfiancecaronsaitquelesystèmepermetdecorrigeroudepunirdesagentsquisecomporteraientmal.Sil’onconnaîtmieuxlestermesdelatran-saction,onpeutcréerdelaconfianceentrelespartiesimpliquéesdanslatransaction.Lameilleuremanièred’illustrerceproposestdeconsidérerlatransformationdeséquilibreséconomiquesàtraverslesinteractionsrépétées.Ledilemme du prisonnierconsidèreunesituationoùdeuxcomplicesd’unméfaitsontinterrogésséparémentparlapolice.Silesdeuxcomplicesnesedénoncentpas,ilssontcondamnésàunepeineminime.Silesdeuxcoopèrentaveclapolice,ilspurgenttouslesdeuxunepeinemaximale.Sil’uncoo-pèreetl’autrenecoopèrepas,lepremierbénéficied’untraitementfavorableetlesecondpurgeunepeinelourde.Lameilleuresituationpourlesdeuxcomplicesconsisteànepascoopéreraveclapoliceetàsefairemutuellementconfiance.Cependant,l’undesdeuxcomplicesatoujoursintérêtàdévierdecettesituationpourdénoncersoncomplicepourallégersapeine,sibienqueleseuléquilibrequitienneestceluioùlesdeuxcomplicessedénoncentmutuellement.
Lefaitquecettesituationneseproduitqu’uneseulefoisestcrucialpourcomprendrecetéquilibrededéfiance.Carsil’onrépètecettesituationunnombreinfinidefois,ils’avèrequedeséquilibrescoopératifsémergent,oùlesagentséconomiquessefontconfiance.
Dans lesmodèlesdecollusion tacite,plusieursentreprisesse rencontrentsurplu-sieurspériodes.Contrairementaudilemmeduprisonnier,tantquelefacteurd’escomptedutemps(quipermetdeconvertirleseurosdedemaineneurosd’aujourd’hui)estrelative-mentfaible,unéquilibred’ententetacite,oùlesentreprisesnecommuniquentpasdirec-temententreellesetnéanmoinscoopèrent,émerge.Laraisonenestquelorsqu’unagentdécidededévierunilatéralement,lesautresagentspeuventlepunirdetellesortequelegaindeladéviationunilatéraledecourttermenesoitpasprofitableparrapportauxgainsd’unecollaborationdurable.Lacompréhensiondumécanismedepunition est cruciale pourappréhenderl’émergencedecetéquilibredeconfiance.
![Page 48: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/48.jpg)
42
3.3. Systèmes de réputation pour créer de la confiance
Uneautremanièredecréerlaconfiancedanslatransactionpassepardessystèmesderéputation.Laréputationestdéfiniecommeun«goodwill»4,c’est-à-direunstockquiaug-menteaveclesexpériencespositives.Ainsi,denombreuxarticlesdelalittératureécono-miqueétudientspécifiquementlaplateformeeBaycomptetenudesonsystèmedenota-tion.Cesétudesétablissentclairementl’existenced’uneprimeàlaréputation:unvendeurayantunebonneréputationpeutfixerunprixau-dessusdelamoyenne.Demanièresimi-laire,Bounieetal.(2012)calculentquelaprimeàlaréputationsurAmazonMarketplacepeutatteindre10%.Laréputationaégalementuneffetsurlaprobabilitéd’effectuerunetransaction(pourunvendeur).Parexemple,CabraletHortacsu(2010)5expliquentqu’uneaugmentationd’unpourcentdunombred’évaluationsnégativesconduitàunebaissede7,5%duprixdevente.Ilsmontrentégalementquelorsqu’unvendeurreçoitsapremièreévaluationnégative,sonvolumedeventebaissede13%.Unvendeurquireçoitplusieursévaluationsnégativesaplusdechancedequitterlaplateformedevente.Ainsi,lagestionactivedesonprofildevendeuraunevaleuréconomiqueetexpliquepourquoilesgenscherchentàseprésentersousleurmeilleurjour.
3.4. Confiance par l’équité et la réciprocité
Lesinteractionsrépétéespermettentégalementdecréerdeséquilibresfondéssurlaréciprocitéet l’équité.Cesconceptssont illustréspar la littératureenéconomieexpéri-mentaleportantsurdesvariantesdujeududictateur.Danslejeududictateur(quin’estenfaitpasunjeucariln’yaqu’uneseulepersonnequichoisitsastratégie),ledictateurestunpersonnagequichoisitcommentdiviserunmontant,disons10€,entreluietunbénéficiaire anonyme. Les résultats des études expérimentalesmontrent qu’un grandnombrededictateurschoisissentunerépartitionéquitable,oùchaqueparticipantreçoitunesommecomparable, làoùlarationalitéindividuellesanspréoccupationpro-socialeauraitdûconduireledictateuràtoutgarderpourlui.Laconnaissancedel’identitéetdu
4 Le goodwill(survaleur,ouécartd’acqusition)figureàl’actifdesbilansetchiffreladifférenceentreleprixd’uneacquisitionetlavaleurdesactifsréels.Lesavoir-faire,lesprojetsdeR&D,leclimatsocial,lavaleurd’unemarqueetsaréputationsontparmilesélémentsprisencomptepourl’établir.
5 Cabral,L,Hortascu,A.(2010).DynamicsofSellerReputation:TheoryandEvidencefromeBay,JournalofIndustrialEconomics,v.58,no.1,March2010,pp.54-78.
![Page 49: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/49.jpg)
43
profilsocio-économiquedesjoueursestimportante:pluslaproximitésocialeestproche,pluslemontantdonnéestéquitable.
Lejeudelaconfianceestunevariantedujeududictateuroùlemontantdonnéparledictateuraubénéficiaireestmultipliéparunmontantarbitraire,parexempledoublé,etoùlebénéficiairepeutredonnertoutoupartiedumontantreçu.Denouveau,lesexpériencesmontrentquelebénéficiaireretourneunmontantnonnulcorrespondantàuncomporte-mentderéciprocité.Oncomprendqu’ilfautàlafoisfaireconfiance(ausensdetrust)etêtredignedeconfiance(trustworthiness).
3.5. L’impact du numérique : réduction des externalités de connaissances, de la cohésion sociale et augmentation des asymétries d’informations
Enplusdecréerdelaconfiance,l’échangedeconnaissancespermetledéveloppementéconomiqueetl’innovation.Lesmodèlesdecroissance(endogène)montrentcommentlacroissanceéconomiquedelongtermedépenddelamanièredontlesconnaissancess’ac-cumulentdansl’économie.Cesmodèlessupposentquelesentrepreneursetinnovateurscontribuentaustockdeconnaissancedel’économiedanslequeld’autresinnovateurspré-sentsetàvenirpourronttrouverlestechniquesnécessairesàlaconceptiondenouveauxproduitsetservices.Cetteexternalitédeconnaissanceintertemporelleestlemoteurdelacroissancedelongterme,carlesentrepreneursfuturspuisentleursinspirationsdanslesconnaissancesd’aujourd’hui.Ilestintéressantdenoterqu’unbrevetestaccordéàunin-venteurencontrepartiedeladivulgationduprocédétechniquesous-jacentàl’invention,lapropriétéintellectuellen’étantalorsplusprotégéeparlesecretmaislebrevetd’invention.Demanièregénérale,leséchangeshumainsdeconnaissancesengendrentdesexterna-litésàtraversleséchangessociaux(parexemplele«boucheàoreille»oulesystèmederéputation).
Paradoxalement,alorsquenousvivonsprécisémentdansunesociétédelaconnais-sance,ceséchangesdeconnaissancessontmenacésparl’automatisation,lesecretdefabricationdesalgorithmeset lesalgorithmesprédictifs.Premièrement, l’automatisationliéeàl’utilisationdesrobotsetdesalgorithmesréduitl’interventionhumainedanslespro-cessusproductifsetdiminuelesconnaissancesdestravailleursetdesartisans(voirles
![Page 50: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/50.jpg)
44
travauxdeBernardStiegler6parexemple).Parailleurs,certainescompétencesacquisesnesontpasenl’étatfacilementencodables,c’est-à-direqu’ellessontdifficilesàdécrireparuneséquencedeprocéduresoùparunalgorithme(parexemple,lesgestessophistiquésd’unartisantelqu’unébénisteouunluthier).Onparledeconnaissancestacitesquisontégalementperduesparl’automatisation.Deuxièmement,beaucoupd’innovationsliéesauBig Dataetauxalgorithmessontpour l’instantgardéessecrètespar lesentreprises,sibienquelemécanismedécritdansleparagrapheprécédentn’estniopérationnelnivéri-fiable.Troisièmement,lesalgorithmesprédictifspeuventconduire,àtraversleurciblageencodé et déterministe, à enfermer les internautes dans des bulles informationnelles.Indépendammentdesavoirsic’estl’algorithmequienfermeousic’estl’individuquis’en-fermeparsescomportementsouchoix,lerésultatestidentique:l’individurisqued’êtreprivédelarichessedeséchangesd’informationquiengendrentlaconfiance.Ainsidanslesecteurdesmédias,onrisqueunepolarisationdesopinionsparlebiaisalgorithmiquequipeutmanifestementébranlerlesfondementsdelasociétédémocratiquetellequenouslaconnaissons.
3.6. Le rôle des labels en économie
Lenumériquebouleverselesconditionsdel’échangeàtraversl’asymétried’informa-tionsqu’ilengendre,cequeF.Pasqualeappellelablack box society 7:lesutilisateursd’ou-tilsnumériquesneconnaissentpasl’utilisationquiestfaitedeleursdonnéespersonnelles,nilevolumedesdonnéeséchangéesparlesentreprisesquilescollectent.Pireencore,cesentreprisespeuventmanipulerlecontexteinformationneldelatransactionpourmettrelesindividusdansunenvironnementqu’ilspensentêtredeconfiance(voirlestravauxdeAcquisti8)afindelesinciteràdivulguerplusd’informationspersonnelles.
Cesasymétriesd’informationsaffaiblissentl’équitéetlaréciprocitédanslatransaction,etcréentunsentimentd’impuissancedesinternautesisolésfaceauxgrandsgroupesdunumérique(cequelessociologuesappellentlecapitalismeinformationnel).
6 Stiegler,B.(2015).LaSociétéautomatique.L’avenirdutravail,Fayard
7 Pasquale,F.(2015).TheBlackBoxSociety:TheSecretAlgorithmsThatControlMoneyandInformation,HarvardUniversityPress
8 Acquisti,A.(2012).NudgingPrivacy:TheBehavioralEconomicsofPersonalInformation.in Jacques Bus, Malcolm Crompton, Mireille Hildebrandt, George Metakides (eds), Digital Enlightenment Yearbook 2012,IOSPress
![Page 51: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/51.jpg)
45
Pourrésoudrelesproblèmesinformationnels,leslabelsetmarquesdeconfiancesontdes signaux qui permettent aux internautes de mieux appréhender les risques de latransaction.
Ceslabelsetautressignesdeconfiancesontappréhendésenéconomieparlathéo-riedusignal.Celle-cichercheàrésoudredesproblèmesd’asymétriesd’informationsenémettantunsignalcoûteuxquelesconsommateurspourrontinterprétercommeungagedebonnepratique.Ainsi,plus lesignalest coûteuxplusson impactsera important,àconditionquelesconsommateurssoientévidemmentaucourantdesoncoût.Silelabelestessentieldansunenvironnementincertaindansunerelationdecourtterme,lamarqueaucontraires’inscritdansladurée.Lamarqueopèreplutôtcommeuneffetderéputationrésultantd’interactionsrépétéesdonnantlieuàungoodwilldelapartdesconsommateurs.Ainsi,labelsetmarquesapparaissent,enéconomiedumoins,commesubstituablesoudumoinsémergentsdansdesduréestemporellesdifférentes.
![Page 52: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/52.jpg)
46
« Le Conciliabule » –Thierry Citron
![Page 53: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/53.jpg)
MarylineLaurent ArmenKhatchatourov
Chapitre 4. La confiance en informatique par la gestion du risque
![Page 54: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/54.jpg)
48
Laconfianceeninformatiquereposesurl’évaluationdesrisquesengendrésparl’usaged’unoutil(logicieloumatériel)ou,pluslargement,touteformedeprestationinformatique(service,siteweb).Cetteévaluationetleniveaudefiabilitéassociésontd’autantpluscri-tiquesquelesenjeuxsontélevés.Elleprendtoutsonsensquandlasécuritédusystèmed’information(SSI)d’uneorganisationestenjeu.
Pourl’essentiel,ondistinguedeuxmanièresd’appréhenderlaqualificationdurisque.
L’approchelaplusancienneconcernelesproduitsdeSSI(logiciels,matériels)mettantenœuvredes fonctionsdesécurité,et lesprestatairesdeservicesdeconfiance (ser-vicesd’horodatage,designature,decertificationélectronique…).Souvent,elleimpliquel’interventiondesautoritéspubliquesdansleprocessusd’émissiond’unequalificationduniveauderisque.Onsupposealorsquelaconfianceesttransitive:sil’utilisateuraccordesaconfianceàl’acteurquiémetlaqualificationouàuncertificatélectronique,ilferaégale-mentconfianceàl’objetqualifié.Laqualificationdesproduitsoudesprestatairesn’estpastoujoursobligatoire.Maiselleestnéanmoinsincontournablelorsqu’ils’agitnotammentdeconcevoirdessolutionsSSIcritiquesouderemporterunmarchépublic.Elleseprésentedonc,avecleniveauquiluiestassocié,commeunsigneextérieurvolontairevisantàren-forcerlaconfiancedécidéedesindividusetdesentreprises(4.1.).
Lasecondeapproche,plusrécente,s’appuiesurlenombremassifettoujourscroissantd’informationsdisponiblesdans lessystèmesd’information:elleconsisteàattribuerun
4.1. L’évaluationdurisqueassociéàl’utilisationdesproduitsetservicesSSI ....................................................49
4.2. Versdenouvellesformesd’analysedurisqueassociéaux services et utilisateurs ................................................55
4.3. Versdessystèmesdeconfiancehybrides,distribuésetplusrespectueuxdelavieprivée ......................................59
4
![Page 55: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/55.jpg)
49
scoreàdesindividusouàdesservicesnumériques.Cescore,quijouelerôled’unindica-teurderisque,estcalculésurlabased’uneanalysecomportementalequimesurel’écartentredeuxcomportements,lecomportementévaluéetuncomportementréférence.Lanoteobtenueestsusceptibled’influencerdirectementlaconfiancedécidée(4.2.).
Notonsquelesdeuxapproches–qualificationd’unproduitoud’unprestataire/analysecomportementale–peuventêtreemployéesconjointement,parexemplepourauthentifierunutilisateuràlafoissurlabased’uncertificatélectroniqueetdesoncomportement.
4.1. L’évaluation du risque associé à l’utilisation des produits et services SSI
La sécurité, un enjeu fondamental pour les États et les entreprisesLanécessitéd’évaluerlerisqueassociéàl’utilisationdesproduitsetservicesSSIré-
pondhistoriquementauxbesoinsfortsdesentreprisesetdesÉtatsd’assurerlafiabilitéetladisponibilitédeleursinfrastructuresetservicesetdeluttercontredesmenacesdecybersécurité.Clairementdetypetop-down,elleprendplacedansuncadrestrictédictéparlesinstancesnationaleset/oueuropéennes.Cecadreréglementeleniveaudefiabilitéattendudesservices,matériels,etlogicielsparticipantàlamiseenœuvredelasécuritédessystèmesd’information,chaqueniveaudefiabilitéétantreflétéparunniveaudequa-lification.L’objectifconsisteiciàmaintenirunhautniveaudevigilance,lesenjeuxétantàlafoiséconomiques,politiquesetstratégiques.Ainsi,afind’assurernotammentleursou-
La confiance en informatique par la gestion du risque
![Page 56: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/56.jpg)
50
veraineténationale,lesÉtatsprocèdentàlaqualificationdesproduitsSSIetservicesdeconfiancequisontsusceptiblesd’êtreintégrésparleursadministrations,desopérateursd’importancevitaleetdesentreprisesditessensibles.Laqualificationlaplusélevéecor-respondàuneprisederisquefaible;elleestdoncadaptéeauxinfrastructurescritiques.
Notonstoutefoisqu’aucunequalificationn’estobligatoire.Enpratiquecependant,elleestdifficilementcontournable.Enparticulier,ellefacilite,àlamanièredespoupéesrusses,l’obtentiondelabelsrelatifsàlaprotectiondesdonnéespersonnelles,carellegarantitlabonnepriseencomptedesobligationsdeconfidentialitéetdesécurité.Parailleurs,ilnefautpasperdredevuequecertainesréglementationssontobligatoires,enparticulierencequiconcernelafourniture,l’importation,l’exportationetletransfertintracommunautaired’unmoyendecryptologieassociéàunproduitouuneprestationdeservices.
Danscecontexte,lesautoritéspubliques–enFrance,l’AgenceNationaledelaSécuritédesSystèmesd’Information (ANSSI)–publientuncataloguedesproduitsqualifiés, leniveaudequalificationquileurestattribuéainsiquelalistedesprestatairesdeservicesdeconfiancequalifiés.Lagarantieainsiobtenuen’estcependantpasabsolue.Eneffet,l’his-toirerécenteamontréquecertainsproduitsSSIpouvaientcomporteruneportedérobée(backdoor)ouintégrerdesfonctionsdesécuritévolontairementdégradéespourpermettreledéchiffrementdefluxdedonnéessansconnaissancepréalabledesecrets.L’agenceReuters a ainsi révélé1fin2013quelaNationalSecurityAgencyaméricaineavaitverséunpotdevinde10millionsdedollarsàlasociétéRSApourquecettedernièreimplémentepardéfautdanssasolutiondesécuritéBSAFEl’algorithmedegénérationdenombresaléatoiresfaibleDualECDRBG(Dual Elliptic Curve Deterministic Random Bit Generator),etce,pourpermettre ledéchiffrementrapidededonnéesdemillionsd’utilisateurs.Parailleurs,laNSAseraitàl’origined’unemodificationdel’algorithmeDualECDRBGquiestcensée,dumoinsofficiellement,renforcerlasécuritédesinformationschiffrées,alorsquedeschercheursontprouvéquelesditesmodificationsavaientaucontrairerenforcélesvulnérabilités.
Les qualifications délivrées par l’ANSSI pour les produitsEnFrance, l’ANSSI, rattachéeauSecrétairegénéralde ladéfenseetde lasécurité
nationale(SGDSN),adéveloppésonpropreschémadecertificationpourlesproduitsSSI
1 http://www.numerama.com/magazine/28926-nsa-rsa-extended-random-chiffrement-mozilla.html
![Page 57: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/57.jpg)
51
Objet Désignation RéférentielNombre de
qualificationsDurée
d’attribution
Produits
Qualificationélémentaire ANSSI Plusde70
Sans limitationpourune version précise
Qualificationstandard
Critèrescommuns
EAL3+Plusde30
6mois
Qualificationrenforcée
Critèrescommuns
EAL4+Plusde70
Pres
tata
ires
de s
evic
es d
e co
nfian
ce
SecNum Cloud
Qualificationsimple,avancée,
ouqualifiée,selonletypedeservices
cf. cahier n°1 de la Chaire Valeurs et
Politiques des Informations Personnelles,
sur les Identités
numériques
ANSSI
0
3 ans maximum
PSCE Plusde240
PRIS 0
PDIS 0
PASSI 26
PSHE Plusde240
Tableau 1. Qualifications de sécurité délivrées par l’ANSSI pour les produits et presta-taires de services de confiance
SecNumCloud: prestataire de service d’informatique en nuage; PSCE: prestataire de service de certificationélectronique;PRIS:prestatairederéponseauxincidentsdesécurité;PDIS:prestatairededétectiond’incidentsdesécurité;PASSI:prestataired’auditdelasécuritédessystèmesd’information;PSHE:prestatairedeserviced’horodatageélectronique
![Page 58: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/58.jpg)
52
surlabased’unschémadecorégulation(cf.auChapitre5,lasection«Deslabelsnom-breuxethétérogènes»,page64):ainsi, laqualificationestdélivréepar l’ANSSI tandisquel’évaluationesteffectuéepardescentresd’évaluationsprivésaccréditésparl’Agence.Selonlesproduitsetlesniveaux,lesqualificationssontattribuéessurlabasedesrésultatsd’unauditoudeteststechniques.
Troisniveauxdequalificationsontoctroyés2(cf.tableaupageprécédente):
• La qualification élémentairepermetd’attribuerunlabeldepremierniveauàunproduitSSI,enuntempscontraintetavecdesressourcesréduites.Aprèsexamendudossierparl’ANSSI,uncentred’évaluationsagrééparl’Agencepourlacertifi-cationCSPN(CertificatdeSécuritédePremierNiveau)appliqueleschémadecer-tificationCSPN.Lesvérificationsportententreautressurlaconformitéduproduitvis-à-visdesesspécificationsdesécurité,etsurlesmenacesprisesencompte.
• La qualification standardnécessiteplusdetempsetdemoyens,cequiconfèreunegarantieàunproduitpourtraiterdesinformationssensiblesnonclassifiées.Leproduitestévaluéparuncentred’évaluationappeléCESTI(Centred’ÉvaluationdelaSécuritédesTechnologiesdel’Information),luiaussiaccréditéparl’ANSSI.L’évaluationestréaliséesurlabaseduréférentieldescritèrescommuns(cf.sec-tionsuivante)etsous lecontrôlede l’ANSSI.LaqualificationstandardobtenuepoursixmoisimposequeleproduitobtienneaumoinsleniveauEAL3+telquedéterminépar lescritèrescommuns.Àcette fin, le constructeurdoit fournir denombreuxéléments,enparticulierlesmécanismescryptographiques(protectiondesclésprivées,gestiondesnombresaléatoires…).
• La qualification renforcée,égalementaccordéepoursixmois,sefondesurl’ob-tentiond’unniveauEAL4+selonleréférentieldescritèrescommuns.Lesproduitsfrançais ayant obtenu cette qualification renforcée reçoivent l’agrément «confi-dentiel»et/ou«secretdéfense»rendantleproduitapteàtraiterdesinformationsclassifiées.
2 Chochois,M.,Magnin,N.,(2015).QualitédesproduitsdeSSI,leslabelsfrançais,Techniquesdel’ingénieur,H5825v2,octobre2015.
![Page 59: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/59.jpg)
53
La reconnaissance mutuelle internationaleOndistinguedeuxtypesd’accordsinternationauxdereconnaissancemutuellequiper-
mettentàunÉtatAd’accepterunequalificationémiseparunÉtatB.
Lespremiersaccordsdécoulentde l’arrangementdereconnaissancemutuelleselonlescritèrescommuns(Common Criteria Recognition Arrangement–CCRA),dontleplusrécentaétésignéen2014.Ainsi,vingt-huitpaysreconnaissentactuellementlavaliditéd’unequalificationdélivréeàunproduitSSIparunede leurautoritédecertificationetévaluéeselonleréférentieldescritèrescommuns.Ils’agitdel’Allemagne,del’Australie,del’Autriche,duCanada,duDanemark,del’Espagne,desÉtats-Unis,del’Éthiopie,delaFinlande,de laFrance,de laGrèce,de laHongrie,de l’Inde,d’Israël,de l’Italie,duJapon,delaMalaisie,delaNorvège,delaNouvelleZélande,duPakistan,desPays-Bas,duQatar,de laRépubliquedeCorée,de laRépubliquetchèque,duRoyaume-Uni,deSingapour,delaSuède,etdelaTurquie.
Les critèrescommunspermettentdecertifierunproduitSSIviaunniveaudecertifica-tionappeléEAL (Evaluation Assurance Level),lanoteEAL1étantlaplusfaibleetlanoteEAL7laplusélevée.Ceréférentielesttrèsutilisépourimposerdesniveauxdecertificationenfonctiondesusages.Parexemple,unecarteàpucepourunusageinterbancairedoitêtrecertifiéeaumoinsEAL4+.
Lesaccords internationauxde reconnaissancemutuelle comportent néanmoins cer-taineslimitesétabliesenfonctiondutypededémarched’évaluationmiseenœuvre.Pouruneévaluationréaliséeselonlescritèrescommunsgénériques,lareconnaissancemu-tuelles’appliquaituniquement jusqu’auniveauEAL2.L’accordCCRAsignéen2014aassouplicetterègleendéfinissantdesprofilsappelés«collaborative protection profile»(cPP)quidisposentd’uneméthoded’évaluationdédiéeraffinant lescritèrescommuns.Désormais,pouruneévaluationconformeàuncPP,lareconnaissancemutuellepeutêtreétenduejusqu’auniveauEAL43.
Unsecond typed’accord, l’accord européende reconnaissancemutuelle duSenior Officials Group Information Systems Security(SOG-IS)signéen1999etmisà jouren2010,amisenplacelareconnaissancedevaliditédescertificatspourdifférentsdomaines
3 https://www.ssi.gouv.fr/entreprise/produits-certifies/cc/les-accords-de-reconnaissance-mutuelle/#sogis-v3.
![Page 60: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/60.jpg)
54
techniques.Pardéfaut,cette reconnaissances’applique jusqu’auniveauEAL4commepour l’accorddescritèrescommuns,certainsdomaines telsque les«microcontrôleurssécurisésetproduitssimilaires»etles«équipementsmatérielsavecboîtierssécurisés»pouvantbénéficierd’unereconnaissanceétendueauniveauEAL7.Onzepayssontactuel-lementconcernésparcetaccord,àsavoirl’Allemagne,l’Autriche,l’Espagne,laFinlande,laFrance,l’Italie,laNorvège,lesPays-Bas,laPologne,leRoyaume-UnietlaSuède.Pourchaquedomaine technique, l’accordprécise lespaysdésignéscommeorganismesdecertificationpourémettreunequalificationdehautniveau.
La qualification des prestataires de services de confianceSi l’interventionde l’ANSSIpeutparfois sembleréloignéedespréoccupationsquoti-
diennesdel’utilisateurfinal,lasituationévolueaveclamiseenœuvredepuisle1er juillet 2016du règlement (UE)n°910/2014 sur l’identificationélectroniqueet les servicesdeconfiance pour les transactions électroniques au sein du marché intérieur (Electronic IDentification And trust Services–eIDAS)4.
Le texte instaure un cadre juridique commun à l’ensemble des États membres del’Unioneuropéenne,encequiconcernelesservicesd’identificationélectroniqueetcinqservicesdeconfiance–àsavoirlessignaturesélectroniques,lescachetsélectroniques,leshorodatagesélectroniques,lesservicesd’envoirecommandéélectroniqueetdecer-tificatsrelatifsàcesservices,lescertificatspourl’authentificationdesitesinternet.Ilné-cessited’êtredéclinédanschaqueÉtatmembre,sadéclinaisonnationaleétantconfiéeenFranceà l’ANSSI.L’Agenceétablitactuellement les référentielseIDASetaccréditelesorganismesd’évaluationdelaconformité5.Commel’yautoriselerèglementeIDAS,elleaparailleursdéfiniquatretypesdeservicesqu’elleestimeutiles:lesprestatairesdeserviceinformatiqueennuage,lesprestatairesderéponseauxincidentsdesécurité,lesprestatairesdedétectiond’incidentsdesécuritéetlesprestatairesd’auditdelasécuritédessystèmesd’information.
4 Règlement (UE)no910/2014duParlementeuropéenetduConseil du23 juill. 2014sur l’identificationélectroniqueetlesservicesdeconfiancepourlestransactionsélectroniquesauseindumarchéintérieuretabrogeantladirective1999/93/CE:JOUEL257/73du28août2014.NousencourageonsleslecteursàseréféreràLevallois,C.(2016).Laréglementationmiseenplacepar l’Unioneuropéenneenmatièred’identificationélectroniqueetdesservicesdeconfiance(règlementeIDAS).in « Identités numériques »,Cahier n°1 de la Chaire Valeurs et Politiques des Informations Personnelles, coordonné parClaireLevallois-Barth.
5 https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-reglement-eidas/documents-publies-par-lanssi/
![Page 61: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/61.jpg)
55
Cependant,si le règlementaétabliuncertainniveaud’harmonisationetnotammentunlexiquecommunrelatifauxservicesdeconfiancedécidée(trust services),ilcomportenéanmoinsdeslacunesetdesambiguïtésnotablesquantàlaprotectiondesdonnéesper-sonnellesetdelavieprivéedesutilisateurs,enparticulierencequiconcernelapossibilitédeleurtraçageetdeleursurveillance.Àcesujet,onsereporteraauxchapitres7,8,9ducahiern°1delaChaire Valeurs et Politiques des Informations Personnelles.
4.2. Vers de nouvelles formes d’analyse du risque associé aux services et utilisateurs
L’analyse comportementale
Eninformatique, l’analysecomportementaleapourbutpremierdedétecterdesintrusionsinformatiquesetdescomportementsàrisque.Àl’origine,elles’appuyaitsur l’établissementd’unmodèledecomportement«normal»d’unsystèmed’in-formationnécessitantunelonguephased’apprentissagedusystème.Depuis,latechniqueetsonusageontévoluépoursecentrersurlecomportementdesutili-sateurs(UBA–User Behavior Analytics)etintégrerlesdernièresavancéesenlienavec le Big Dataetl’apprentissagestatistique(Machine Learning).
Le tableau page suivante offre un aperçu des tendances actuelles selon lesquelless’opèreaujourd’huil’évaluationdesrisques:ondistinguelesindividus,servicesetplate-formesfaisantl’objetd’uneanalysecomportementalemenéesoitcollectivementpardesindividus(II.),soitpardesalgorithmesdefaçonautomatisée(III.).Afind’identifierlavéri-tablefinalitédel’usagedel’approchecomportementale,ilestfondamentaldeconnaîtreàlafoisl’organisationquidéfinitlanormeetletypedecritèresquicaractérisentcettenorme.Cesinformationspermettentdemieuxidentifierlanaturedurisqueinformatique,letypedeconfiancemiseenjeu,etdediscuterdesdérivespossibles.
Uneanalysemenéecollectivementpardesindividus(II.)permet,parexemple,deno-terunservice renduparun individuouuneentreprise,qu’il s’agissedeventecommeAmazon,Ebay,ouderestaurationoud’hôtellerieautraversdusiteTripadvisor.Lacrédi-bilitéassociéeàlaréputationrésultanteestd’autantplusgrandequelenombredenotesetavisémisestimportant,carl’effortnécessairepourcorromprelesystème,soitpardes
![Page 62: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/62.jpg)
56
Analyse du risque associée
aux services numériques
Établissement d’un score associé aux services / utilisateurs : analyse
comportementale
Signe extérieur
Certificatélectronique,
servicesqualifiésScoring
Qui évalue ?Organismesdecertification
(I)
Humain (II)
Algorithme (III)
Qui est évalué ?
Matériel/Logiciel/Servicesnumériques
Servicerendu Individus(III.1)Individus/sitesweb(III.2)
Qui fait la norme ?
Commissioneuropéenne,institutions
Ensemblesd’individus
Gouvernement/services
Institutions/plateformes
Volume de données
Massededonnées
Massededonnéesd’unindividu
Massed’invidus/sitesweb
Formes de confiance
CertificationEAL ou eIDAS Scoring Profiling/scoring Profiling/
ranking
Confiance en…
Organismedecertification/Prestatairede
services
Opérateur/plateforme/gouvernement
Gages de confiance
Listedeprestatairesetproduitsqualifiés
publiéeparl’ANSSI
Nombred’évaluations
Algorithmeetnombredetraces Algorithme
Finalités Confiance++ Évaluationd’unservice
Authentification++/Surveillance
Cyber-surveillance /Rankingdesitesweb
Tableau 2. Deux approches de la gestion du risque en informatique
![Page 63: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/63.jpg)
57
campagnesd’autopromotion,soitparledénigrementdeconcurrents,devraêtred’autantplusimportant.Notonsquecessystèmesdenotationinfluencentd’oresetdéjàdefaçonimportantelechoixdesconsommateurs.SelonuneétudedePhoCusWright6,83%despersonnesinterrogéesaffirmentquelesavispostéssurTripadvisorlesaidentàchoisirle«bon»hôtel.Mêmesilesystèmetechniquemisenplaceestpauvre,cesconcepteursen-tendentinstaurerunerelationdeconfianceentreoffreursdeservicesetconsommateursenfournissantunindicateurderisque;pourautant, ilnegarantitqu’uneconfiancequecertainspourraientêtretentésdequalifierde«faible».
L’analysecomportementalepeutégalementêtreautomatiséeparunalgorithmepouroffrirunemeilleureefficacitéetprécision(III.).Ilpeuts’agirdeciblerunindividuparticu-lier(III.1).Danscecas,l’analysepeutserviràrenforcerleniveaud’authentificationd’unepersonnevis-à-visd’unsystèmed’information.Enplusd’uneauthentificationparmotdepasse,cléUSB,lefaitquelecomportementdel’individusoitprochedesoncomportementhabituelvaapporteruncritèresupplémentaireauprocessusd’authentificationet limiterlesrisques.C’estdonclecomportementhabitueldelapersonnequisertderéférence,lanatureetlagrandeurdesécartsautorisésétantdéfiniesparl’instancequimetenplacelesystème.Lafiabilitéassociéeàcetteévaluationcomportementalereposesurlarichesseetlaqualitédestraceslaisséesparl’individudanslesystèmeetdonclaprécisionaveclaquelleilestpossibledecaractérisersoncomportement(sagéolocalisation,l’utilisationd’applicationsàcertainesheuresdelajournée,lesterminauxqu’ilutilise…).Ellereposeaussisurlacapacitédel’algorithmeàdétecteruncomportementinhabituel.Pourcefaire,ilestnécessairederéglerplusoumoinsfinementl’outilenfonctiondel’individuciblé,lebutétantd’éviteruntropgrandnombredefaussesalertes(fauxpositifs)etd’empêcherlesusurpationsd’identité(fauxnégatifs).
Lafinalitépremièrede l’analyseautomatisée individualiséepeut cependantêtredé-tournée,notammentpourcontrôlerdefaçongénéraliséelecomportementd’unepopula-tion(III.1).Ainsi,chaqueindividupourraitsevoirattribuerunenoteenfonctiondesoncom-portementetsevoirallouerdesavantagesoudespénalités.Parexemple,l’Étatchinoistravaillesurunnouveauservicede«créditsocial»,dontlamiseenœuvreestannoncéepour2020.Lescitoyenschinoisseraientalors«classés»selonleursagissementsetleniveaudecomportementà«risques»dechaquecitoyenseraitmesuré.
6 https://www.tripadvisor.fr/TripAdvisorInsights/w733
![Page 64: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/64.jpg)
58
Enfin,l’analyseautomatiséepeutportersurunemassed’individus,deplateformes,desitesweb(III.2),lesfinalitésétanticiaussid’ordrecommercialoupolitique.
Les systèmesdenotationdeGooglenotammentclassentlessitesweblespluspopu-lairesseloncertainsmotsclés;ceuxd’Appleconcernentlapopularitédesesapplicationsdansl’AppStore.Cependant,lefonctionnementdesalgorithmesquisontcensésclasserdesproduits,desapplicationsoudessiteswebselonuncritèredepopularitérestetrèsopaqueetnepermetpastoujoursd’évitercertainesdérives.Parexemple,moyennantlasommede11000dollarsUS,lasociétéTaobaoapupositionnersonapplicationdansletop10desapplicationsmobilesdel’AppStore7.
L’analyseautomatiséesertégalementdesupportàlamiseenœuvred’unelégislation,parexemple la loiHADOPI2ou la loi relativeaurenseignement.Cettedernière,votéeen2015enFrancesuiteauxattaquesterroristesdejanvier2015,autoriselesautoritésàcollecteretanalyserdesdonnéesdeconnexionditesméta-donnéesetdéfinitlescasoùcesmesuressontautorisées.Cettedétection,quivisenotammentàassurerladéfensenationale,àprévenirleterrorismeouàdéfendrelesintérêtséconomiquesdelaFrance,estréaliséedefaçonautomatiséeparunalgorithmesurlabased’uncomportementnor-matifprédéfini.
Defaçonclassique,onconstatedoncquelestechniquesd’analysecomportementalesontàdoubletranchant.Ellesserventàlafoisunobjectiflouableconsistantàaméliorerlasécuritédel’environnementnumériqueetdesambitionscommercialesouinstitutionnellesplusinquiétantes.
7 https://recombu.com/mobile/article/manipulate-apple-app-store-rankings-for-money-in-china
![Page 65: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/65.jpg)
59
4.3. Vers des systèmes de confiance hybrides, distribués et plus respectueux de la vie privée
Eninformatique,troisdirectionssontactuellementexploréespourlimiterlesrisquesdesécuritéetdefuitededonnéesetaccroîtreleniveaudeconfiancedanslesproduitsetservicesnumériques.
• Desapproches hybridespourrenforcerleniveaudesécuritédessolutionsSSIclassiquesà l’aidedesméthodesd’analysecomportementale.Avec lesprogrèsopérésdansledomaineduMachine LearningetduBig Data,couplésàlacollectemassivededonnées,deplusenplusdeservicesdesécurités’appuientsurdesméthodesd’analysecomportementalepourcaractériser lecomportementd’unepersonne,d’unsystèmed’information,defaçonàmesurerlesécarts.Onconstateparexemplequelesbanquesmettentenplaceuneauthentificationfortedeleursclientssur labased’élémentscryptographiques fortsusuelscouplésàuneau-thentificationcomportementaleoùsontprisesenconsidérationdesinformationscontextuelles(géolocalisation,horairedeconnexion,adresseIPduterminal,fin-gerprint duterminal8),etdesinformationsissuesdel’interactionentrel’utilisateuretsonterminal(habitudedenavigationsurunsiteweb,manièredebougerlasouris,defrapperauclavier).Latendancedanslefuturserad’obteniruneplusgrandefinessedanslacaractérisationd’uncomportementetuneplusgrandeprécisionquantauniveauderisqueencouru.
• Plusde transparence et une gouvernance décentralisée.Cettedirectionestpriseparlestravauxsurlablockchain.L’objectifpremierdelablockchainestd’offrirunservicequi,aulieud’êtrecentralisédanslesmainsd’unemêmeautorité,setrouveadministréparplusieursautorités.L’algorithmedemiseenœuvreduserviceestpubliquementaccessible,lisibleetdoncinterprétablepartous;ainsilemoindrechangementdans le fonctionnementet lagouvernanceduservicedoitêtreap-prouvéparconsensusparl’ensembledesautoritésparticipantesavantsamiseenapplication.Enrésultentuneplusgrandetransparence,une(apriori)plusgrande
8 Lasignaturenumériqued’unterminal(fingerprint)estcomposéed’unemultituded’informations(versiondusystèmed’exploitation,résolutiondel’écran…)qui,prisesindividuellementsontsansimportance,maisdontlacombinaisonpermetd’identifiertrèsprécisémentunterminalparmidesmillions.
![Page 66: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/66.jpg)
60
stabilité,lesentimentdesutilisateursdemieuxcontrôlerlesservicesetacteursetdoncunniveaudeconfianceplusélevé(ceciestdéveloppéauchapitre11).
• Unmeilleurrespect de la vie privéedesindividus.Desbriquestechnologiquessedéveloppentpourgarantiràlafoisdespropriétésdesécuritéetlaprotectiondesdonnéespersonnelles.Parmicesbriques,onpeutnommerlacertification anonyme 9 qui viseàminimiser la collectedesdonnéesparun fournisseurdeservicestoutengarantissantàcemêmefournisseurquel’internauterépondbienauxcritèresderestrictiond’accès(êtremajeur,delarégionÎle-de-France…).Onpeutégalementciter lechiffrement homomorphiquequiviseàdélégueràuntiersuncertaintypedetraitementsurdesdonnéessansquelesdonnéesenclairnesoientrévélées,oubienencorelecalcul multipartite sécuriséquipermetàunensembledeparticipantsderéaliseruncalculcollectivementtoutencachantletyped’opérationseffectuéesoubienlesvaleursbrutessurlesquellesportelecalcul.Cesapprochespeinentcependantàs’imposerenpratique.Lesobstaclessontàlafoisd’ordretechnique,avecdescoûtsénergétiquesencoretropimpor-tants,etd’ordreéconomique,avecladifficultédes’orienterversunmodèleautrequeceluidelamarchandisationdesdonnéespersonnelles.
Silatechnologieblockchain,lessystèmesàgouvernancedécentraliséeetlestravauxenfaveurd’unmeilleurrespectdelavieprivéesontmoteursdansl’établissementdelaconfiancedécidée,ilserait intéressantd’identifierplusprécisémentl’ensembledesélé-mentstechniquesquipourraientfaireémergerunenvironnementfavorableàl’expressionde laconfianceassurée.Ces travauxenconstituent,àn’enpasdouter,uneconditionnécessaire,maisilsposentànouveaulaquestiondel’interventionetdurôledesautoritéspubliquesdanscechamp.
9 Laurent,M.,etKaâniche,N. (2016).Lespreuvesd’identitésoud’attributspréservant lepseudonymat ;in « Identités numériques »,Cahiern°1delaChaire Valeurs et Politiques des Informations Personnelles,coordonnéparClaireLevallois-Barth.
![Page 67: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/67.jpg)
Lesquatrechapitresquiviennentprésententlesenseignementsmajeursqu’ilestpossiblededéduireàpartirdurecensementd’unecentainedelabels,àlafoisauniveaunational,européenetaméricain(listésauchapitre5).Cessignesdeconfianceextérieursontpourprincipalobjetlacollecteetl’utilisationdesdonnéespersonnellesdefaçongénéraleoudansuncadresectoriel,commel’informatiqueennuageoulecommerceenligne.
► Notamment,lelabelbelgeBeCommerce,consacréaucommerceélectronique,portesurlasécuritéetlaqualitédelatransaction,laprocédurederéclamation,lesinformationstransmisesauxclients,laprotectiondesmineurstoutengarantissantlaprotectiondesdonnéespersonnellesdesclients.
Par exemple, il nous est apparu important de retenir des labels qui participent à lalabellisation de certains principes de protection des données personnelles, comme lessignesdeconfianceportantsurlasécurité(voirlechapitre4pourunaperçupluscomplet).Silaconfusionestsouventfaiteentre«sécurité des données»et«protection des données personnelles»,ilconvientcependantdebiendistinguerlesdeuxnotions.
Protection des données personnelles et sécurité des données
Enmatièrededonnéespersonnelles,lasécuritéestunecomposanteparmid’autres,unprincipe-clécertesmaisunprincipeparmid’autresprincipestelsqueleprincipedefinalitésdutraitement,deduréedeconservationdesdonnées,delégitimation,de protection des données sensibles, etc1. Principalement, la sécurité se traduitentermed’obligationpour leresponsabledetraitementdedonnéespersonnelleset lesous-traitant,àsavoir lamiseenplacedemesurestechniquesetphysiquespropres (chiffrement des données, gestion des autorisations d’accès, etc.) pourprotégerlesdonnéesdespersonnesetempêchertouttraitementnonautorisé.Ledroità laprotectiondesdonnéespersonnellesseconçoitdansunpérimètrepluslargecommeundroitfondamentaletundroitdel’Hommegarantipardenombreuxtextesnationauxetinternationaux,notammentlaChartedesdroitsfondamentauxdel’Unioneuropéenne.
1 Levallois,C.(2016).Identitésnumériquesetgestiondesdonnéespersonnelles.in « Identités numériques »,Cahier n°1 de la Chaire Valeurs et Politiques des Informations Personnelles, coordonné parClaireLevallois-Barth.
![Page 68: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/68.jpg)
Afindefaciliterlescomparaisons,l’étudesefocalisesurlessignesdeconfianceproposésdans les Étatsmembres de l’Union européenne et traite le cas des labels suisses quiprésentent un exemple intéressant, dans lamesure où ils s’appuient sur des principesprochesdeceuxcontenusdansleRGPD.
► Enoutre,l’études’appuiesurplusd’unevingtained’entretiensqualitatifseffectuésentreoctobre2015etseptembre2017auprèsdereprésentantsd’entitéslabelliséesoulabellisatrices,decabinetsdeconseilsetd’avocatsfrançais.LalistedecesentretiensestdétailléeenAnnexes,page218.
De façon générale, on constate que la labellisation se trouve à la croisée de deuxconceptions:lapremièrechercheàencouragerlesacteurséconomiquesàrendrecomptedeleurconformité juridiqueàtraversdesmécanismesderégulationetderesponsabilitédanslesquelsinterviennentfortementlesautoritéspubliques.Àl’instardeslabelsdélivrésparlaCNILetEuroPriSe,cessignesdeconfianceadressentl’ensembledesprincipesdeprotectiondesdonnéespersonnelles,danslecadred’uneconformitéglobale(cf.Chapitre6).Lasecondeconceptionentendimpliquerlesacteurséconomiquesdansleurproprerégulationà travers une démarche d’auto-régulation. Dans un contexte sociétal et numérique enperpétuelleévolution,l’objectificiestd’agircommeuncomplémentauxstructuresjuridiquestraditionnellesdanslecadred’unerecherchedecrédibilitéetdecompétitivitéquimetenavantcertainscritèresditde«qualité»(cf.Chapitre7).
![Page 69: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/69.jpg)
ClaireLevallois-Barth,DelphineChauvet
Chapitre 5. Panorama national et international des labels relatifs aux données personnelles
![Page 70: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/70.jpg)
64
Parmilacentainedesignesdeconfiancequenousavonsretenus,certainsemploientletermede«label»,d’autresceluide«certification»oude«marque»1. Si on constate une hétérogénéitéentre lesdifférentssignesdeconfianceextérieursdélivréspardifférentstypes d’entités (5.1.), il n’en reste pasmoins vrai que les procédures présentent dessimilitudes(5.2.).
5.1. Des labels nombreux et hétérogènes
Nousavonsrépertoriéunecentainedelabels,nationaux,européensetaméricains.Cetaperçucomprend75labelsdélivrésenEuropeet22enAmériqueduNord(États-UnisetCanada)etJapon.Onconstatequedes entités labellisatrices multiplient la création de labelsdifférents.Certains labelsdisparaissentàpeinecréés,d’autressemblentré-pondreàunsimpleeffetd’annonce.D’oùladifficultéàrendrecomptedefaçonexhaustived’unpanoramadeslabelsenmatièredeprotectiondesdonnéespersonnelles.
1 VoirChapitre2,section2.4,page32.
5.1. Deslabelsnombreuxethétérogènes ...............................64
5.2. Desschémasdelabellisationprésentantdefortessimilarités ...........................................................................825
![Page 71: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/71.jpg)
65
L’unedesexplicationsàcettemultiplicationdeslabelsestsansdouteàrechercherducôtédesdifférentsmétiersdisposantdecompétencespourcréerunréférentielsur lesdonnéespersonnellesetapprécier laconcordanceentre lescritèresdéfiniset lespra-tiquesdel’entitéquisouhaiteêtrelabellisée.Oncomptenotammentdesconsultants,desjuristesetavocatsspécialisés,desauditeurstravaillantentreautredanslecadredescer-tificationsISO,desinformaticiensencequiconcernelasécuritédesdonnéesoul’infor-matiqueennuage,despersonnesissuesdumarketingetdelacommunication,etdeséconomistes.Chaquespécialitévaainsiorientersontypedesignedeconfianceàlafoisselonledomainecouvertetselonlesobjectifspoursuivis.
Pourautant,ilestpossibledeconstituerunpanoramaenretenantcertainescaractéris-tiquesconcernantlepérimètregéographique,lechampd’applicationetletyped’entitésquidélivrentunlabelenmatièrededonnéespersonnelles.
Panorama national et international des labels relatifs aux données
personnelles
![Page 72: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/72.jpg)
66
Des labels essentiellement délivrés par des organismes allemandsEnpremierlieu,onnoteunerépartitiongéographiqueinégale.Ainsi,l’Allemagneetles
États-Unissontlesplusimportantscréateursdelabels.Sur75labelsrecensésenEurope,oncompte,sansprétendreàl’exhaustivité:
1. 41labelsenAllemagne2. 9enFrancedont4labelsdélivrésparlaCNIL3. 4enEspagneetenSuisse4. 3 en Italie et aux Pays-Bas5. 2auRoyaume-Uni6. 1enAutriche,enBelgique,auDanemarketauLuxembourg7. 5labelsdedimensioneuropéenne
Oncompteparailleurs22labelsendehorsdel’Europe(États-Unis,CanadaetJapon).
EnEurope,c’estl’Allemagnequiadéveloppéleplusdelabels(voirlalistedeslabelsdansleTableau4,page68etsuivantes),àlafoispourdesraisonsjuridiquesetcultu-relles.Sicepaysencadrestrictementlaprotectiondelavieprivéeetdesdonnéesper-sonnelles,notammentpourdesraisonshistoriques, l’explicationestaussiàrechercherducôtédelastructurejuridiquedecetÉtatfédéral.Eneffet,chaqueLandalapossibilitéd’édictersapropreloienmatièredeprotectiondesdonnéespersonnelles.Parexemple,laloidu9février2000duLandSchleswig-Holsteinaintroduitunepossibilitédecertificationparl’autoritédeprotectiondesdonnéesdeceLand,l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein(ULD).
Àl’échelonfédéral,unedispositionjuridiqueadoptéeen2001,laSection9adelaloifédéralesurlaprotectiondesdonnées,prévoitqu’«afin d’améliorer la protection des don-nées et la sécurité des données, les fournisseurs de systèmes de traitement de données et de programmes et les organismes chargés du traitement des données peuvent faire examiner et évaluer leurs stratégies de protection des données et leurs installations tech-niques par des évaluateurs indépendants et approuvés, et peuvent publier le résultat de la vérification. Les exigences détaillées relatives à l’examen et à l’évaluation, la procédure,
(suite page 78)
![Page 73: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/73.jpg)
67
Organisme Nom du label ObjetType
d’organisme Site web
Adel ADEL(Algorithm Data Ethic Label)
Services/Algorithmes Privé www.adel-label.
com
CloudConfidence
CertificationCloudConfidence Services/Cloud Association
www.cloudconfidence.
eu
CNIL
LabelCNILFormations
Services/Formations
Public AutoritédecontrôleDonnées
personnelles
www.cnil.fr
LabelCNILAuditdetraitements Services/Audit
LabelCNILCoffre-fortnumérique
Produits/Coffre-fortnumérique
LabelCNILGouvernance Informatiqueet
Libertés
Procédures
FEVAD(Fédérationdue-commerceetdelaventeàdistance)
MarquedeconfianceFEVAD
Services/Commerceélectronique
Association www.fevad.com
FNTC(FédérationdesTiersdeConfiancedunumérique)
LabelE-Vote Services/Voteélectronique Association www.fntc-
numerique.com
FranceIT LabelCloud Services/Cloud Association www.label-cloud.com
Tableau 3. Labels délivrés par des organismes français
![Page 74: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/74.jpg)
68
Organisme Nom du label ObjetType
d’organisme Site web
ADCERTPrivacyAuditGmbH ADCERT-geprüfterDatenschutz Procédures,produitsetservices Privé www.adcert.eu
Althammer&KillGmbH&CoGeprüfterDatenschutz
Procédures,produitsetservices Privé www.althammer-kill.deZertifizierterDatenschutz
a.s.k.Datenschutza.s.k.compagnysecure Procédures,produitsetservices
Privé www.bdsg-externer-datenschutzbeauftragter.dea.s.k.websecure Services/Sitesweb
BNTGmbH GeprüfterDatenschutz Procédures,produitsetservices Privé www.bntgmbh.de
Check11-GDD-FachgruppeExterneDaten-schutzbeauftragte DatenschutzzertifikatCheck11 Personnes/
ExpertsDonnéespersonnelles Association externer-datenschutz.de
ConformityTrustGmbH TrustinPrivacy Procédures,produitsetservices Privé www.conformitytrust.de
DatenschutzcertGmbH
ZertifikatfürAuftragsdatenverarbeitung Procédures,produitsetservices
Privé www.datenschutz-cert.deZertifikatfürdasDatenschutz-Management-Priventum Procédures
GütesiegelIPS(internetprivacystandards) Services/Servicesenligne
DeutscherDialogmarketingVerbande.V.
QuLS-SiegelListbroker QuLS-SiegelDatenverarbeitung
QuLS-SiegelLettershop, QuLS-SiegelAdressverlag QuLS-SiegelFulfillment
Procédures,produitsetservices Privé www.ddv.de
DQSDeutscheGesellschaftzurZertifizierungvonManagement-systemen
GmbH
DQS-GütesiegelDatenschutzPlus
Procédures Privé www.dqs.deDQS-GütesiegelDatenschutz
DSZDatenschutzZertifizierungs-gesellschaftmbH Datenschutzsiegel Procédures,produitsetservices Privé www.dsz-audit.de
Tableau 4. Labels délivrés par des organismes allemands(source:https://stiftungdatenschutz.org/aufgaben/zertifizierung,février2017)
page1/3
![Page 75: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/75.jpg)
69
Organisme Nom du label ObjetType
d’organisme Site web
ADCERTPrivacyAuditGmbH ADCERT-geprüfterDatenschutz Procédures,produitsetservices Privé www.adcert.eu
Althammer&KillGmbH&CoGeprüfterDatenschutz
Procédures,produitsetservices Privé www.althammer-kill.deZertifizierterDatenschutz
a.s.k.Datenschutza.s.k.compagnysecure Procédures,produitsetservices
Privé www.bdsg-externer-datenschutzbeauftragter.dea.s.k.websecure Services/Sitesweb
BNTGmbH GeprüfterDatenschutz Procédures,produitsetservices Privé www.bntgmbh.de
Check11-GDD-FachgruppeExterneDaten-schutzbeauftragte DatenschutzzertifikatCheck11 Personnes/
ExpertsDonnéespersonnelles Association externer-datenschutz.de
ConformityTrustGmbH TrustinPrivacy Procédures,produitsetservices Privé www.conformitytrust.de
DatenschutzcertGmbH
ZertifikatfürAuftragsdatenverarbeitung Procédures,produitsetservices
Privé www.datenschutz-cert.deZertifikatfürdasDatenschutz-Management-Priventum Procédures
GütesiegelIPS(internetprivacystandards) Services/Servicesenligne
DeutscherDialogmarketingVerbande.V.
QuLS-SiegelListbroker QuLS-SiegelDatenverarbeitung
QuLS-SiegelLettershop, QuLS-SiegelAdressverlag QuLS-SiegelFulfillment
Procédures,produitsetservices Privé www.ddv.de
DQSDeutscheGesellschaftzurZertifizierungvonManagement-systemen
GmbH
DQS-GütesiegelDatenschutzPlus
Procédures Privé www.dqs.deDQS-GütesiegelDatenschutz
DSZDatenschutzZertifizierungs-gesellschaftmbH Datenschutzsiegel Procédures,produitsetservices Privé www.dsz-audit.de
Tableau 4. Labels délivrés par des organismes allemands(source:https://stiftungdatenschutz.org/aufgaben/zertifizierung,février2017)
page1/3
![Page 76: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/76.jpg)
70
Organisme Nom du label Objet Type d’organisme Site web
ePrivacyGmbHePrivacySeal Procédures,produitsetservices
Privé www.eprivacy.euePrivacyApp Services/Applicationsmobiles
editcoGbR IT-Security-undDatenschutz-Audit Procédures,produitsetservices
EuroPriSeGmbH EuroPriSe(EuropeanPrivacySeal) Produits,services/sitesweb
PublicaveclesautoritésdecontrôleDonnéespersonnellespuisprivé
depuis2014
www.european-privacy-seal.eu
DatenschutzMecklenburg-Vorpommern
PrivacySealGütesiegelDatenschutzMecklenburg-Vorpommern Procéduresetproduits
Public Autoritédecontrôle
Donnéespersonnellesen lien avec EuroPriSe
GDD(GesellschaftfürDatenschutzundDatensicherheit)
ZertifizierungderDatenschutzqualifikation Personnes/ ExpertDonnéespersonnelles Association www.gdd.de
GDIGesellschaftfürDatenschutzund
InformationssicherheitmbHGDI-zertifizierterDatenschutz Procédures,produitsetservices Privé www.gdi-mbh.eu
GenoTecGmbH Datenschutz-CheckUpmitZertifikat Procédures, produits,servicesetpersonnes Privé www.geno-tec.de
GreeneaglecertificationGmBH
DatenschutzkonformProcédures,produitsetservices Privé www.greeneagle-certification.de
GeprüfteAuftragsdaten-verarbeitung
IITR(InstitutfürIT-Recht)GmbH Datenschutz-StatusQualifizierterDatenschutz Procédures,
produitsetservices Privé www.iitr.de/zertifizierung.html
INOIS(Institutfürorganisatorische
Informationssysteme)
ZertifizierterDatenschutz
Procédures, produitsetservices Privé www.inois.de/leistungsspektrum/
zertifizierung
InterevGmbH GeprüfterDatenschutzdurchInterev Procédures, produitsetservices Privé www.interev.de
page2/3
![Page 77: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/77.jpg)
71
Organisme Nom du label Objet Type d’organisme Site web
ePrivacyGmbHePrivacySeal Procédures,produitsetservices
Privé www.eprivacy.euePrivacyApp Services/Applicationsmobiles
editcoGbR IT-Security-undDatenschutz-Audit Procédures,produitsetservices
EuroPriSeGmbH EuroPriSe(EuropeanPrivacySeal) Produits,services/sitesweb
PublicaveclesautoritésdecontrôleDonnéespersonnellespuisprivé
depuis2014
www.european-privacy-seal.eu
DatenschutzMecklenburg-Vorpommern
PrivacySealGütesiegelDatenschutzMecklenburg-Vorpommern Procéduresetproduits
Public Autoritédecontrôle
Donnéespersonnellesen lien avec EuroPriSe
GDD(GesellschaftfürDatenschutzundDatensicherheit)
ZertifizierungderDatenschutzqualifikation Personnes/ ExpertDonnéespersonnelles Association www.gdd.de
GDIGesellschaftfürDatenschutzund
InformationssicherheitmbHGDI-zertifizierterDatenschutz Procédures,produitsetservices Privé www.gdi-mbh.eu
GenoTecGmbH Datenschutz-CheckUpmitZertifikat Procédures, produits,servicesetpersonnes Privé www.geno-tec.de
GreeneaglecertificationGmBH
DatenschutzkonformProcédures,produitsetservices Privé www.greeneagle-certification.de
GeprüfteAuftragsdaten-verarbeitung
IITR(InstitutfürIT-Recht)GmbH Datenschutz-StatusQualifizierterDatenschutz Procédures,
produitsetservices Privé www.iitr.de/zertifizierung.html
INOIS(Institutfürorganisatorische
Informationssysteme)
ZertifizierterDatenschutz
Procédures, produitsetservices Privé www.inois.de/leistungsspektrum/
zertifizierung
InterevGmbH GeprüfterDatenschutzdurchInterev Procédures, produitsetservices Privé www.interev.de
page2/3
![Page 78: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/78.jpg)
72
Organisme Nom du label Objet Type d’organisme Site web
LegitimisGmbH StatementofCompliance Procédures Privé www.legitimis.de
MediaTestdigitalGmbH TrustedApp Services/ Applicationsmobiles Privé www.mediatest-digital.com
PrivacyStiftung ADVComplianceChecked Procédures, produitsetservices Privé www.privacy-stiftung.de
SCHUFAHoldingAG SCHUFA-DatenschutzSiegel Procédures,produits, servicesetpersonnes Privé www.schufa.de
TacticxGmbH GeprüfterDatenschutz Procédures, produitsetservices Privé www.tacticx.de
TekitConsultBonnGmbH (TÜVSaarlandGruppe) TÜVGeprüfterDatenschutz Procédures,
produitsetservices Privé www.tekit.de/zertifizierung/
TrustedShopsGmbH TrustedShops Procédures/ Commerceélectronique Privé www.trustedshops.com
TÜVInformationstechnikGmbH TÜVIT-ZertifikatTrustedSitePrivacy Procédures,produitset services/sitesinternet Privé www.tuvit.de
TUVRheinland DataPrivacyCertificationforCompanies Procédures Privé www.tuv.com
TÜVSÜDsec-ITGmbH S@fer-shopping Procédures/ Commerceélectronique Privé www.safer-shopping.de
www.tuev-sued.de/sec-it
TÜVSÜDsec-ITGmbH ZertifizierteAuftrags-datenverarbeitung Procédures Privé www.tuev-sued.de www.tuev-sued.de/sec-it
VerbandfürBerater,SachverständigeundGutachterimGesundheits-und
Sozialwesene.V.VBSG-Datenschutzsiegel Procédures Association www.vbsg.org
ULD(UnabhängigesLandeszentrumfürDatenschutzSchleswig-Holstein) Datenschutz-Gütesiegel Procédures,
produitsetservices
Public Autoritéde
contrôleDonnéespersonnelles
www.datenschutzzentrum.de
page3/3
![Page 79: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/79.jpg)
73
Organisme Nom du label Objet Type d’organisme Site web
LegitimisGmbH StatementofCompliance Procédures Privé www.legitimis.de
MediaTestdigitalGmbH TrustedApp Services/ Applicationsmobiles Privé www.mediatest-digital.com
PrivacyStiftung ADVComplianceChecked Procédures, produitsetservices Privé www.privacy-stiftung.de
SCHUFAHoldingAG SCHUFA-DatenschutzSiegel Procédures,produits, servicesetpersonnes Privé www.schufa.de
TacticxGmbH GeprüfterDatenschutz Procédures, produitsetservices Privé www.tacticx.de
TekitConsultBonnGmbH (TÜVSaarlandGruppe) TÜVGeprüfterDatenschutz Procédures,
produitsetservices Privé www.tekit.de/zertifizierung/
TrustedShopsGmbH TrustedShops Procédures/ Commerceélectronique Privé www.trustedshops.com
TÜVInformationstechnikGmbH TÜVIT-ZertifikatTrustedSitePrivacy Procédures,produitset services/sitesinternet Privé www.tuvit.de
TUVRheinland DataPrivacyCertificationforCompanies Procédures Privé www.tuv.com
TÜVSÜDsec-ITGmbH S@fer-shopping Procédures/ Commerceélectronique Privé www.safer-shopping.de
www.tuev-sued.de/sec-it
TÜVSÜDsec-ITGmbH ZertifizierteAuftrags-datenverarbeitung Procédures Privé www.tuev-sued.de www.tuev-sued.de/sec-it
VerbandfürBerater,SachverständigeundGutachterimGesundheits-und
Sozialwesene.V.VBSG-Datenschutzsiegel Procédures Association www.vbsg.org
ULD(UnabhängigesLandeszentrumfürDatenschutzSchleswig-Holstein) Datenschutz-Gütesiegel Procédures,
produitsetservices
Public Autoritéde
contrôleDonnéespersonnelles
www.datenschutzzentrum.de
page3/3
![Page 80: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/80.jpg)
74
Origine Organisme Nom du label Objet Type d’organisme Site web
Autriche Handelsverband TrustMarkAustria Services/Commerceélectronique Association www.handelsverband.at
Belgique BeCommerce LabelBecommerce Services/Commerceélectronique Association www.becommerce.be
Danemark E-handelsfonden E-maerket Services/Commerceélectronique Association www.emaerket.dk www.emaerket.dk/english
EspagneAPEP
(AsociaciónProfesional EspañoladePrivacidad)
APEP-CertifiedPrivacy Personnes/ExpertsDonnéespersonnelles Association www.apep.es
Espagne ConfianzaOnline ConfianzaOnline Services/Commerceélectronique Association www.confianzaonline.es
Espagne ISMSForumSpain CDPP (CertifiedDataPrivacyProfessional)
Personnes/ExpertsDonnéespersonnelles Association www.ismsforum.es
Espagne SeriedadOnline SeriedadOnline Services/Sitesweb Privé www.seriedadonline.es
Italie BureauVeritas(Italie) CertificazionedelPersonale DataProtectionOfficer Personnes Privé www.bureauveritas.it
Italie KHC (KnowHowCertification)
Certificazionedataprotection officereprivacyconsultant
Personnes/ExpertsDonnéespersonnelles Privé www.khc.it
Italie TÜVItalia/TÜVSUDGROUP Certificazionediprivacy officereconsulentedellaprivacy
Personnes/ExpertsDonnéespersonnelles Privé www.tuv.it
Luxembourg EuroCloudEuropea.s.b.l. EuroCloudSelfAssessment EuroCloudStarAudit Services/Cloud Association www.eurocloud-staraudit.eu
Pays-Bas AllianderNV DataPrivacyand Securitycertification Produits/Compteursintelligents Privé www.alliander.com
Pays-Bas Thuiswinkel ThuiswinkelWaarborg Services/Commerceélectronique Association www.thuiswinkel.org
Pays-Bas Veiligheidsbranche KeurmerkParticulier Onderzoekbureau
Procédures/Investigationdesagencesdedétectivesprivés Association www.veiligheidsbranche.nl
Royaume-Uni ComodoCALimited ComodoSecure Services/Sitesweb Privé www.comodo.com
Royaume-Uni TheMarketResearchSociety FairData Procédures/Étudesdemarché Association www.fairdata.org.uk
Suisse APPD (AssociationdesProfessionnelsdela
ProtectiondesDonnées)
CAPD(Certificatd’Aptitude àlaProtectiondesDonnées)
Personnes/ExpertsDonnéespersonnelles Association www.appd.ch
Suisse CIPD(Certificatd’Implémentation delaProtectiondesDonnées)
Personnes/ExpertsDonnéespersonnelles Association www.appd.ch
Suisse SQS (AssociationSuissepourSystèmesdeQualitéetdeManagement)
GoodPriv@cy Procéduresetproduits Association www.sqs.ch
Suisse SQS-OCPD(OCPD:2014;avantOCPD:2008) Procéduresetproduits Association www.sqs.ch
Tableau 5. Labels délivrés par des organismes établis dans d’autres pays européens
![Page 81: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/81.jpg)
75
Origine Organisme Nom du label Objet Type d’organisme Site web
Autriche Handelsverband TrustMarkAustria Services/Commerceélectronique Association www.handelsverband.at
Belgique BeCommerce LabelBecommerce Services/Commerceélectronique Association www.becommerce.be
Danemark E-handelsfonden E-maerket Services/Commerceélectronique Association www.emaerket.dk www.emaerket.dk/english
EspagneAPEP
(AsociaciónProfesional EspañoladePrivacidad)
APEP-CertifiedPrivacy Personnes/ExpertsDonnéespersonnelles Association www.apep.es
Espagne ConfianzaOnline ConfianzaOnline Services/Commerceélectronique Association www.confianzaonline.es
Espagne ISMSForumSpain CDPP (CertifiedDataPrivacyProfessional)
Personnes/ExpertsDonnéespersonnelles Association www.ismsforum.es
Espagne SeriedadOnline SeriedadOnline Services/Sitesweb Privé www.seriedadonline.es
Italie BureauVeritas(Italie) CertificazionedelPersonale DataProtectionOfficer Personnes Privé www.bureauveritas.it
Italie KHC (KnowHowCertification)
Certificazionedataprotection officereprivacyconsultant
Personnes/ExpertsDonnéespersonnelles Privé www.khc.it
Italie TÜVItalia/TÜVSUDGROUP Certificazionediprivacy officereconsulentedellaprivacy
Personnes/ExpertsDonnéespersonnelles Privé www.tuv.it
Luxembourg EuroCloudEuropea.s.b.l. EuroCloudSelfAssessment EuroCloudStarAudit Services/Cloud Association www.eurocloud-staraudit.eu
Pays-Bas AllianderNV DataPrivacyand Securitycertification Produits/Compteursintelligents Privé www.alliander.com
Pays-Bas Thuiswinkel ThuiswinkelWaarborg Services/Commerceélectronique Association www.thuiswinkel.org
Pays-Bas Veiligheidsbranche KeurmerkParticulier Onderzoekbureau
Procédures/Investigationdesagencesdedétectivesprivés Association www.veiligheidsbranche.nl
Royaume-Uni ComodoCALimited ComodoSecure Services/Sitesweb Privé www.comodo.com
Royaume-Uni TheMarketResearchSociety FairData Procédures/Étudesdemarché Association www.fairdata.org.uk
Suisse APPD (AssociationdesProfessionnelsdela
ProtectiondesDonnées)
CAPD(Certificatd’Aptitude àlaProtectiondesDonnées)
Personnes/ExpertsDonnéespersonnelles Association www.appd.ch
Suisse CIPD(Certificatd’Implémentation delaProtectiondesDonnées)
Personnes/ExpertsDonnéespersonnelles Association www.appd.ch
Suisse SQS (AssociationSuissepourSystèmesdeQualitéetdeManagement)
GoodPriv@cy Procéduresetproduits Association www.sqs.ch
Suisse SQS-OCPD(OCPD:2014;avantOCPD:2008) Procéduresetproduits Association www.sqs.ch
Tableau 5. Labels délivrés par des organismes établis dans d’autres pays européens
![Page 82: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/82.jpg)
76
Origine Organisme Nom du label Objet Site web
États-Unis/ Canada
AICPA(AmericanInstituteofCertifiedPublicAccountants)etCICA(CanadianInstituteof
CharteredAccountants)WebTrust Services/Audits www.webtrust.org
Canada DeloitteetRyersonUniversity PrivacybydesignCertification Procéduresetproduits www2.deloitte.com/ca/en/pages/risk/articles/Privacybydesign.html
États-Unis Better Business Bureau BBBAccreditedBusinessSeal ortheWeb Services/Sitesweb www.bbb.org
États-Unis BuySAFE Inc. BuysafeGuaranteedShopping Services/E-commerce www.buysafe.com
États-Unis CSA (CloudSecurityAlliance)
CSASTAR(Security,TrustandAssuranceRegistry) Services/Cloud www.cloudsecurityalliance.org
cloudsecurityalliance.org/star/
États-Unis ESRB (EntertainmentSoftwareRatingBoard)
ESRBPrivacyCertified Services/Sitesweb www.esrb.orgetwww.esrb.org/privacy.asp
ESRBPrivacyCertifiedforKidsServices/Applicationsmobiles,
siteswebetjeuxvidéo enlignepourlesenfants www.esrb.org
ESRBPrivacyCertifiedforMobile Services/Applicationsmobiles
États-Unis Gigya,Inc. Gigya’sSocialPrivacyCertification Services/Sitesinternet etapplicationsmobiles www.gigya.com
États-Unis Google TrustedStore Services/E-commerce www.google.com/trustedstores/
États-UnisIAPP
(InternationalAssociationofPrivacyProfessionnals)
CertifiedInformationPrivacyProfessional(CIPP)
Personnes/Experts Donnéespersonnelles
www.iapp.org/certify/cipp
CertifiedInformationPrivacyManager(CIPM) www.iapp.org/certify/cipm
CertifiedInformationPrivacyTechnologist(CIPT) www.iapp.org/certify/cipt/
États-Unis McaFeeSecure McaFeeSecure Services/Sitesinternet www.mcafeesecure.com/
États-Unis PRIVO (PrivacyVaultsOnline,Inc.)
PrivoPrivacyCertified Services/Sitesweb,jeux, applicationspourlesenfants
www.privo.comPRIVO’sSafeHarborPrivacyAssuranceProgramSeal Procéduresetproduits
États-Unis TRUSTArc
TRUSTeCertificationAPEC Procédures
www.trustarc.com/privacy-certification-standards/
TRUSTeCertificationEnterprisePrivacycertification Procédures
TRUSTeCertificationTRUSTedData Services/publicitéenligne
TRUSTeCertificationTRUSTedDownloads Services/Logiciel
TRUSTeCertificationChildren’sPrivacy Services/Enfants demoinsde13ans
Japon JIPDEC(JapanInstituteforPromotionOfDigitalEconomyandCommunity) PrivacyMarkSystem Procédures www.privacymark.org
Tableau 6. Labels délivrés par des organismes situés en dehors de l’Europe
![Page 83: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/83.jpg)
77
Origine Organisme Nom du label Objet Site web
États-Unis/ Canada
AICPA(AmericanInstituteofCertifiedPublicAccountants)etCICA(CanadianInstituteof
CharteredAccountants)WebTrust Services/Audits www.webtrust.org
Canada DeloitteetRyersonUniversity PrivacybydesignCertification Procéduresetproduits www2.deloitte.com/ca/en/pages/risk/articles/Privacybydesign.html
États-Unis Better Business Bureau BBBAccreditedBusinessSeal ortheWeb Services/Sitesweb www.bbb.org
États-Unis BuySAFE Inc. BuysafeGuaranteedShopping Services/E-commerce www.buysafe.com
États-Unis CSA (CloudSecurityAlliance)
CSASTAR(Security,TrustandAssuranceRegistry) Services/Cloud www.cloudsecurityalliance.org
cloudsecurityalliance.org/star/
États-Unis ESRB (EntertainmentSoftwareRatingBoard)
ESRBPrivacyCertified Services/Sitesweb www.esrb.orgetwww.esrb.org/privacy.asp
ESRBPrivacyCertifiedforKidsServices/Applicationsmobiles,
siteswebetjeuxvidéo enlignepourlesenfants www.esrb.org
ESRBPrivacyCertifiedforMobile Services/Applicationsmobiles
États-Unis Gigya,Inc. Gigya’sSocialPrivacyCertification Services/Sitesinternet etapplicationsmobiles www.gigya.com
États-Unis Google TrustedStore Services/E-commerce www.google.com/trustedstores/
États-UnisIAPP
(InternationalAssociationofPrivacyProfessionnals)
CertifiedInformationPrivacyProfessional(CIPP)
Personnes/Experts Donnéespersonnelles
www.iapp.org/certify/cipp
CertifiedInformationPrivacyManager(CIPM) www.iapp.org/certify/cipm
CertifiedInformationPrivacyTechnologist(CIPT) www.iapp.org/certify/cipt/
États-Unis McaFeeSecure McaFeeSecure Services/Sitesinternet www.mcafeesecure.com/
États-Unis PRIVO (PrivacyVaultsOnline,Inc.)
PrivoPrivacyCertified Services/Sitesweb,jeux, applicationspourlesenfants
www.privo.comPRIVO’sSafeHarborPrivacyAssuranceProgramSeal Procéduresetproduits
États-Unis TRUSTArc
TRUSTeCertificationAPEC Procédures
www.trustarc.com/privacy-certification-standards/
TRUSTeCertificationEnterprisePrivacycertification Procédures
TRUSTeCertificationTRUSTedData Services/publicitéenligne
TRUSTeCertificationTRUSTedDownloads Services/Logiciel
TRUSTeCertificationChildren’sPrivacy Services/Enfants demoinsde13ans
Japon JIPDEC(JapanInstituteforPromotionOfDigitalEconomyandCommunity) PrivacyMarkSystem Procédures www.privacymark.org
Tableau 6. Labels délivrés par des organismes situés en dehors de l’Europe (cas les plus connus – liste non exhaustive)
![Page 84: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/84.jpg)
78
la sélection et l’approbation des évaluateurs sont stipulées dans une loi distincte.»2 En pratique,cetteloispécifiquen’apasétéadoptée.Aujourd’hui,41schémasdecertificationsontproposésenAllemagne.Seulsdeuxlabelssontdélivrésparlesautoritésdecontrôle,lesautresétantdélivréspardesentitésprivéesetvisantà implémenter lecadre légalau-delà(cf.Chapitre6).
2 Traduit librement de l’anglais: “In order to improve data protection and data security, suppliers of data processing systems and programs and bodies conducting data processing may have their data protection strategies and their technical facilities examined and evaluated by independent and approved appraisers, and may publish the result of the audit. The detailed requirements pertaining to examination and evaluation, the procedure and selection and approval of the appraisers shall be stipulated in a separate act“,FederalDataProtectionActintheversionpromulgatedon14January2003(FederalLawGazetteIp.66),asmostrecentlyamendedbyArticle1oftheActof14August2009(FederalLawGazetteIp.2814),https://www.gesetze-im-internet.de/englisch_bdsg/englisch_bdsg.html.Sourceenanglais:https://databeskyttelsesdag.files.wordpress.com/2017/01/dk_privacy-seals-and-certifications_2017-2.pdf.
Organisme Nom du label ObjetType
d’organisation Site web
EMOTA(EuropeanMultichanelandOnlineTrade
Association)
Labeldeconfiancedel’EMOTA
Services/Commerceélectronique
Association europeantrustmark.eu/fr
EcommerceEurope
EcommerceEurope
Trustmark
Services/Commerceélectronique
Association www.ecommerce-europe.eu
EDAA (EuropeanInteractive Digital
AdvertisingAlliance)
TrustSeal Services/Publicitéenligne
Association www.edaa.euOBACertification (Online
BehaviouralAdvertising)
Service/Publicitécomportementale
EuropeanSchoolnet
eSafety Label.eu Services/Écoles Association www.esafetylabel.eu
Tableau 7. Labels de dimension européenne
![Page 85: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/85.jpg)
79
Endehorsdel’Unioneuropéenne(voirTableau6,page76),l’offredelabels,marqueset sceaux s’est fortement développéeauxÉtats-Unis. Les plus connus sontTRUSTe,avecsesdifférentsprogrammesfournisdésormaisparTrustArcetportantnotammentsurlesprincipesdéfinispar laCoopérationéconomiquepour l’Asie-Pacifique (Asia-Pacific Economic Cooperation –APEC), la publicité en ligne ou la protection des enfants demoinsde13ans,leBetter Business Bureau(BBB)quis’adresseauxsiteswebdesentre-prisesétabliesauxÉtats-UnisetauCanadaetseconformantauBBB Code of Business Practices,l’Entertainment Software Rating Board(ESRB)etsonPrivacy Online Seal,etenfinWebTrust.
CertainsproposentàleursclientsdesprogrammesvisantàintégrerlesdispositionsduRGPD,commeTrustArcetPRIVO.
Des labels délivrés dans des domaines et secteurs variésDemanièregénérale,lemarchédeslabelsnecomptepasoupeudelabelsgénéraux
applicablesàl’ensembledessecteurs.Eneffet,ilsefocalisesur:
• les produits,avecnotammentlelabel«Coffre-fortnumérique»délivréenFranceparlaCNIL
• les services,commelesapplicationsmobiles(ePrivacyAppdel’entitéallemandeePrivacyGmbH) et l’informatique en nuage (CSA STAR de l’entité américaineCloud Security Alliance)
• les processus,commeGood Priv@cydel’associationsuissepourlessystèmesdeQualitéetdeManagement (SQS)etDatenschutz-CheckUp mit Zertifikat del’entrepriseallemandeGenoTecGmbh
• la formation,quipeutêtredispenséesurdestextesnationauxeteuropéens(labelCNIL«Formation»)
- àdesexpertsspécialisésenmatièrededonnéespersonnelles:enEspagneavec Certified Data Privacy Professional(CDPP)del’organismeISMSForumSpain,enItalieavecCertificazione del personale-Privacydel’organismeKnow How Certification(KHC),etauxÉtats-UnisavecCertified Information Privacy
![Page 86: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/86.jpg)
80
Professional (CIPP) de l’International Association of Privacy Professionnals (IAPP)
- maisaussi,defaçonplusspécifique,àuneprofessioncommelesdétectivesprivés(auxPays-BasaveclelabelKeurmerk Particulier Onderzoekbureaudel’organismeVeiligheidsbranche)
• Les audits, avec un label CNIL spécifique (cf.Chapitre6)
Defait,leslabelsconcernentdes secteurs multiples et variés,ainsiqu’entémoignentlesdomainessuivants:
• le commerce électronique:lamarquedanoiseE-maerket,lelabelBeCommerce enBelgique,Trusted ShopsenAllemagneouleEuropean Trustmark labeldélivréparEcommerceEurope
• la publicité en ligne:OBA Certificationdel’entrepriseallemandePrivacyGmbH
• le cloud computing :CSA STAR délivré par laCloud Security Alliance aux États-Unis,lelabel«Cloud»deFranceIT
• les sondages:Fair DatadélivréparThe Market Research SocietyauRoyaume-Uni
• les sites webetlesjeuxenligneaccessiblesauxmineurs:Privo Privacy Certified délivréparPrivoauxÉtats-Unis
• les réseaux sociaux:Gigya’s SocialPrivacy CertificationdeGigyaauxÉtats-Unis
• les écoles:eSafety Labeldel’European Schoolnetdélivréauniveaueuropéen
![Page 87: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/87.jpg)
81
Des labels délivrés par des entités de natures diversesLeslabelssontdélivréspardesentitésdedifférentesnatures.EnEurope,ils’agitd’or-
ganismes privés(56%).Onobserveaussideslabelscrééspardesassociations spé-cialisées(34,66%)dansundomainedéterminé.
► Parexemple,l’associationfrançaiseCloudconfidencedélivreunlabelsurl’informatiqueennuage.Àcetitre,sesmembressontcomposésdefournisseursdecloud,deprestatairesdeservices,d’expertsmaisaussid’utilisateurs.
Laparticularitéd’unlabeldélivréparuneassociationestquelecandidatdoitenrèglegénéraleadhéreràl’associationpourêtrelabellisé.Parailleurs,onobservequeleslabelsliésausecteurducommerceélectroniquesontgénéralementdélivréspardesassocia-tionsdeprofessionnelsregroupantdese-commerçantsetdesprestataires.
► TelestlecasdulabelespagnolConfianza OnlineoudulabelbelgeBeCommerce.
Ilexistedeslabelsdélivréspardesorganismes publics(9,33%).Plusprécisément,ceuxquenousavonsretenussontdélivréspardesautoritésnationalesdeprotectiondesdonnées.IlenvaainsidelaFrance(CNIL),etdedeuxLänderallemands:leSchleswig-HolsteinetleMecklembourg-Poméranie.
Sileslabelssontdélivréssoitpardesentitéspubliques,soitpardesentitésprivées,leschémadonnantlieuàleurdélivrancepeutrevêtirune nature mixte,fonctiondelanatureetdudegréd’interventiondesautoritéspubliques.Ainsi,ondistinguelesschémas:
• directementgérésparlesautoritéspubliques,typiquementleslabelsdélivrésparlaCNIL,ouquirevêtentunevaleurlégale
• ditd’auto-régulationauxquelslesautoritésapportentleursoutiensansintervenirdirectement (par exemple les labels privés TÜV IT et TÜV Rheinland, SQS,DEKRA,MRS/FairData,Trusted shopsouOBA)
![Page 88: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/88.jpg)
82
• ditdecorégulationoùlesautoritéspubliquessontpartiesprenantespourélaborerlesexigenceset/ouparticiperàlagestionopérationnelleoufinancière,notammentEuroPriSe
Lecasde laSuissequiprésenteunschémadecertificationsemi-publicestemblé-matique:l’autoritédeprotection,lePréposéFédéralàlaProtectiondesDonnéesetàlaTransparence(PFPDT),participeauxprocéduresd’accréditation,decontrôleetderévo-cationdesorganismesdecertification.Précisément,ils’agitdesorganismesquidélivrentdescertificationspourlesproduitsetprocéduresdetraitementsdesdonnéesenapplica-tiondel’OrdonnanceSuissesurlesCertificationsenmatièredeProtectiondesDonnées(OCPD)adoptéeparleConseilfédéralSuisse3.Parexemple,l’associationSuissepourlesSystèmesdeQualitéetdeManagement(SQS)estaccréditéepourdélivrerlacertificationOCPD:2014.Elledélivreparailleurslelabel«GoodPriv@cy».
5.2. Des schémas de labellisation présentant de fortes similarités
Lesschémasdonnant lieuà ladélivranced’un labelprésentent tousun référentiel,une procédure d’évaluation,un logo,une procédure de vérification a posteriori,ainsiqu’une procédure de résolution des conflits.Leurbutestdedélivreruneattestation deconformité.CommelefaitremarquerEricLachaud,celan’estpastypiqueàlaprotec-tiondesdonnées4.Cetauteurdémontreque« la certification des données personnelles est une forme de certification comme une autre»présentantdessimilaritésencequiconcerneàlafoislescomposantesetlaprocédure.
Un référentielLetermederéférentielétantemployéparlaCNIL,nousutilisonsicicettenotion,qui
estdéfinieparl’articleL433-3ducodedelaconsommationcommeétant«un document technique définissant les caractéristiques que doit présenter un produit, un service ou une combinaison de produits et de services, et les modalités de contrôle de la conformité
3 Conformémentàl’article11,alinéa2delaloifédéralesuissesurlaprotectiondesdonnéesdu19juin1992(modifiéeendernierlieule1erjanvier2014)(CH301).
4 Lachaud,E.(2017).TheGeneralDataProtectionRegulationandtheriseofcertificationasaregulatoryinstrument.ComputerLaw&SecurityReview.
![Page 89: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/89.jpg)
83
à ces caractéristiques. L’élaboration du référentiel de certification incombe à l’organisme certificateur qui recueille le point de vue des parties intéressées.»Demanièregénérale,unréférentielfixedoncdescaractéristiques,autrementappeléescritères,exigences,spé-cificationsounormes.Cescaractéristiques,quidoiventêtreimpérativementrespectées,déterminentlepérimètredesactivitésviséesparlelabel,définissentlescritèresàrespec-teretfixentlesvaleurspourchaquecritère.Parfois,ellesprécisentledegréd’écartqu’unévaluateurpeutaccepterpourcesvaleurs.
Dans ledomainedesdonnéespersonnelles, le référentiel s’appuiesurdessourcesdiverses,juridiquesounon.Soncontenus’inscritdansuncontinuumallantd’unréférentieltrèscompletàdesexigencespourlemoinssuccinctes.
Tout d’abord, les spécifications se basent sur desobligations légales, la directive95/46/CEProtectiondesdonnéesetleRGPD,ainsiqueleslégislationsnationales.Tousleslabelsnereprennentpasforcémentl’ensembledesprincipesdeprotectiondesdon-néespersonnellesdéfinisdansces textesmais ils se référent toujoursauxprincipaux(licéité,proportionnalité,finalité,transparence).
LesdifférentslabelsdélivrésparDatenschutzcertGmbHsontfondéssurlaloifédéraleallemandedeprotectiondesdonnées,ceuxdélivrésparlaCNILsurlaloiInformatiqueetLibertésetdésormaisleRGPD.
► Afficherunlabelquigarantitlaconformitéàuneréglementationposequestioncar,pardéfinition,laréglementationestobligatoire.Sonnon-respectexposelecontrevenantàdessanctions.Àcetégard,«présenter les droits conférés au consommateur par la loi comme constituant une caractéristique propre à la proposition faite par le professionnel»peutêtreconsidérécommeunepratiquecommercialeréputéedéloyale5.
5 Annexe1point10deladirective2005/29/CEduParlementeuropéenetduConseildu11mai2005relativeaux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marchéintérieuretmodifiantladirective84/450/CEEduConseiletlesdirectives97/7/CE,98/27/CEet2002/65/CEduParlementeuropéenetduConseiletlerèglement(CE)n°2006/2004duParlementeuropéenetduConseil,JOUE,n°L149,11juin2005,p.22.
![Page 90: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/90.jpg)
84
Lesexigencespeuventégalements’appuyersurlesrecommandations de l’autorité de contrôle 6.
► La conformitédulabelfrançais«E-vote»délivréauxprestatairesdevoteparInternetparlaFNTCàlaloiInformatiqueetlibertésaétéattestéeparlaCNILdansunedélibérationdu17mars20167.
► En Suisse,lescertificationsGoodPriv@cyetOCPD:2014délivréesparl’AssociationSuissepourlesSystèmesdeQualitéetdeManagement(SQS)ontnotammentpourréférentiellesdirectivesduPréposésurlesexigencesminimalesqu’unsystèmedegestiondelaprotectiondesdonnéesdoitremplir8.
Leréférentielpeutaussiseréféreràdesnormesinternationales,enparticuliercellesétabliesparl’Organisationinternationaledenormalisation(International Organization for Standardization– ISO).Unenormeest icientenduecommeun«document, établi par consensus et approuvé par un organisme reconnu, qui fournit, pour des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques pour des activités ou leurs résultats, garantissant un niveau d’ordre optimal dans un contexte donné»9. Son respectestvolontaire.
Enmatièredeprotectiondesdonnéespersonnelles,on trouverades labelsdont lescritèressontcréésenpartieàpartird’uneinterprétationdesnormes10:
6 Délibérationn°2010-371du21oct.2010portantadoptiond’unerecommandationrelativeàlasécuritédessystèmesdevoteélectronique,JORF,24novembre2010.
7 Délibérationn°2016-071du17mars2016portantavissurunprojetdelabel«E-vote»présentéparlaFédérationdestiersdeconfiance,JORF,28avril2016.
8 Préposéfédéralàlaprotectiondesdonnéesetàlatransparence(PFPDT):directivessurlesexigencesminimalesqu’unsystèmedegestiondelaprotectiondesdonnées(SGPD)doitremplirdu19mars2014,https://www.admin.ch/opc/fr/federal-gazette/2014/3015.pdf
9 DirectivesISO/IEC,Partie2—PrincipesetrèglesdestructureetderédactiondesdocumentsISOetIEC,2016-04-30.
10 Pour appréhender l’éventail des normes en matière de protection de la vie privée, voir AFNORNormalisation,GuideProtectiondesdonnéespersonnelles:l’apportdesnormesvolontaires,janvier2017,http://normalisation.afnor.org/wp-content/uploads/2017/02/AFNOR_Guide_Protection_des_donnees_perso_HD.pdf
![Page 91: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/91.jpg)
85
• ISO27001portantsurlesystèmedemanagementdelasécuritédel’information11:parexemplelelabelsuisseSQS-OCPDprécité,lelabel«Cloud»del’associationFranceITpour lesaspectssécuritéou le labelDatenschutzsiegelde lasociétéallemanded’auditDSZDatenschutzZertifizierungsGmbH
• ISO17024relativeaufonctionnementhomogèneetfiabledesorganismesdecer-tificationquimettentenœuvredesdispositifsparticuliersdecertificationdeper-sonnes12 avec l’APEP-CertifiedPrivacyenEspagneouenItalieleCertificazione del Personale Data ProtectiondélivréparBureauVeritasItalie
• ISO19011relativeà l’auditdessystèmesdemanagement13avec le labelCNIL«Audit de traitements» et les labels allemands Trust in Privacy de la sociétéConformityTrustGmbHetSCHUFA Datenschutz SiegeldelaSCHUFAHoldingAG
• ISO29190quiproposeuneméthodologiequipermetàuneorganisationd’évaluersesprogrèsdansledomainedelaprotectiondelavieprivée14aveclelabelCNIL«GouvernanceInformatiqueetLibertés»
• ISO29990relativeauxservicesdeformation15aveclelabelCNIL«Formation»
• ISO27018relativeauxbonnespratiquespourlaprotectiondesinformationsper-sonnellesidentifiablesdansl’informatiqueennuagepublic16avec«EuroCloudStarAudit»
11 ISO/IEC27001:2013:Technologiesdel’information–Techniquesdesécurité–Systèmesdemanagementdelasécuritédel’information–Exigences.
12 ISO/IEC17024:2012:Évaluationdelaconformité.Exigencesgénéralespourlesorganismesdecertificationprocédantàlacertificationdepersonnespubliée.
13 ISO/IEC19011:2011:Lignesdirectricespourl’auditdessystèmesdemanagement.
14 ISO/IEC29190:2015:Méthodologiepourlamaturitédansledomainedelaprotectiondelavieprivée.
15 ISO/IEC29990:2010:Servicesdeformationdanslecadredel’éducationetdelaformationnonformelles–exigencesdebasepourprestatairesdeservices,2010.
16 ISO/IEC27018:2014:Technologiesdel’information–Techniquesdesécurité–Codedebonnespratiquespour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage publicagissantcommeprocesseurdePII.
![Page 92: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/92.jpg)
86
Enfin, le référentiel peut se fonder sur des instruments d’auto-régulation. Cesinstruments, au processus d’élaboration très variable, sont généralement limités auxmembresd’ungroupe.Dans lecasdesdonnéespersonnelles, il s’agitprincipalementd’associationsprofessionnellesrassemblantlesacteursdusecteurducommerceetdelapublicitéenligne.
► OntrouveicilecodeéthiquedelamarquedeconfianceespagnoleConfianza Online17,lecodedeconduitedulabelBeCommercepourlaventeàdistanceenBelgique18,etlecodedéontologiquedelaFEVAD19.
Le code déontologique de la FEVAD
Cecodepréciseque«les entreprises adhérentes s’engagent à respecter les dis-positions légales et réglementaires relatives à l’Informatique, aux Fichiers et aux Libertés, à la vie privée et à la protection des données»ainsique«la déontologie mise en place par les professionnels du marketing direct et digital»20.Àcettefin,ilrappellecertainesobligationslégalesetimposeàtoutadhérantFEVADlerespectduSystèmeListeRobinson–StopPublicité.
Ce typed’instrumentn’est cependantpasélaboréuniquementpardesassociationsprofessionnelles,maisaussipardessociétés.
► La Market Research Society (MRS)proposeàtraverssamarque«éthique»Fair DatadecertifierdixprincipesfondamentauxquiviennentcompléterlalégislationbritanniquesurlaprotectiondesdonnéesetdesnormesISO21.
17 https://www.confianzaonline.es/documentos/Ethical_Code.pdf
18 https://www.becommerce.be/files/Code_de_conduite_du_Label_de_Qualite_BeCommerce.pdf
19 http://www.fevad.com/wp-content/uploads/2016/09/FEVAD_Codepro_Vsept2015.pdf
20 https://www.fevad.com/le-code-professionnel-de-la-fevad-se-met-de-nouveau-a-jour/
21 http://www.fairdata.org.uk/10-principles/
![Page 93: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/93.jpg)
87
Une procédure d’évaluation La procédured’évaluationpermetd’apprécierlaconcordanceentrelescritèresdéfinis
dansleréférentieletlespratiquesdel’entitéquisouhaiteêtrelabellisée.Lorsqu’elleesteffectuéeparuneentitéprivée,elledonnegénéralementlieuàlaconclusiond’uncontratdeserviceentrelelabellisateuretlecandidatàlalabellisation.Laparticularitéjuridiquedececontratestquesaréalisationdemeureincertaine.
Demanièregénérale,l’appréciationd’unepolitiquedeprotectiondesdonnéesperson-nellesprendlaformesoitd’uneauto-évaluation,soitd’unaudit.
L’auto-évaluation,consistesimplementpourl’entreprisecandidateàfairepartdesesdémarchesenmatièredeprotectiondesdonnéespersonnelles,parexempleenrépon-dantàdesquestions:l’organisme dit ce qu’il fait.Lelabelestattribuésiladéclarationcorrespondauxexigencesduréférentiel,cequin’estpassansposerquestionlorsqu’iln’existepasdevérification(cf.«L’effetpotentiellementtrompeur»,page126).
► Cetteforme«souple»designedeconfianceesttrèsprésentedansleslabelsaméricainsàl’instardulabelTRUSTe Privacy Seal(désormaisdélivréparTrustArc)oudeBBBOnline.L’European Interactive Digital Advertising Alliance (EDAA)proposeégalementuneauto-certificationauxentreprisesparticipantauprogrammed’auto-régulationdel’Online Behavioural Advertising(OBA)22.
► Lesaccordsconclusentrel’UnioneuropéenneetlesÉtats-Unis,qu’ils’agisseduSafe HarborinvalidéparlaCourdel’UnioneuropéenneouduPrivacy Shield,reposentégalementsuruneauto-évaluation,cequinemanquepasdefairel’objetdedébatsetd’interrogationsauseindesÉtatsMembresdel’Unioneuropéenne23.
22 Le formulaire est accessible à: https://www.dropbox.com/s/lqkvhl31vcab2si/Self-certification%20form.pdf?dl=0. Sur lePrivacy Shield, voir Lettre n°5 de laChaire Valeurs et Politiques des Informations Personnelles,décembre2016:Privacy Shield : un bouclier à peine brandi déjà ébréché ?,https://cvpip.wp.imt.fr/2016/12/05/privacy-shield-un-bouclier-a-peine-brandi-deja-ebreche/
23 Voirhttps://www.privacyshield.gov/article?id=Self-Certification-Information
![Page 94: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/94.jpg)
88
Desoncôté,l’auditviseàobtenirdespreuves:l’organisme prouve ce qu’il fait en fournissantlesditespreuvesviadesdocumentsouenpermettantl’accèsàsonsystèmed’information24.Sanaturediffèredoncdecelled’uncontrôle.
L’audit sur piècesconsistepourlecandidatàfournirdesdocumentsattestantlavé-racité de sesdéclarations.À l’instar de laCNILoud’EuroPriSe, unauditeur vérifie laconcordanceenexaminantlesdocumentsauregardduréférentiel.Àcettefin,ilseréfèreauguided’auditquidéclinechaquecritèreduréférentieletindiquecommentl’exigencepeutêtreacceptéedefaçonobjective.L’appréciationpeutêtreeffectuéedefaçonstricte.Parfois,desécartssonttolérés:ilsdoiventêtreprévusetspécifiés.
Enfin,unaudit sur sitepeutêtremenéparunévaluateurencequiconcernelaconfor-mitédesorganismesetdessystèmesdemanagement.Cetaudit s’ajouteà l’examendespiècesparcemêmeexpertauregardduréférentiel.TelestlecasdeslabelssuissesGoodPriv@cyetDPCOdélivrésparl’AssociationSuissepourSystèmesdeQualitéetdeManagement(SQS).
Demanièregénérale,enmatièredeprotectiondesdonnéespersonnelles,laprocédured’évaluationesthabituellementmenéeeninterneparlelabellisateur,àl’instardelaCNIL25. Cedernierpeutcependantrecouriràdesexpertsexternes,commeEuroPriSeoulelabelBeCommercequiachoisilecertificateurBureauVeritas.L’évaluateurexternepeutêtreunorganismeprivédontl’activitéestlacertificationouunexpert.Leplussouvent,ildoitêtreaccrédité,cequirenforcesacrédibilité.NotonsquelaFédérationdesTiersdeConfianceduNumérique(FNTC)accréditedesévaluateursexternesquinesontpaschoisisparlefuturlabellisémaisdésignésviaunsystèmedetirageausortafindegarantirunecertaineindépendance.EnSuisse,lesorganismessuissesouétrangersquieffectuentdescertifi-cationsausensdel’article11delaloisurlaprotectiondesdonnéessontaccréditésparleServiced’accréditationsuisse,quiestassociéauPréposéfédéralàlaprotectiondesdonnéesetàlatransparence.
24 L’audit est défini par la norme NF ISO19011 comme un «processus systématique, indépendant et documenté en vue d’obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure des critères prédéterminés sont satisfaits».
25 FairData,TrustedShops,confianzaOnline,TÜVRheinland,DEKRACertification,TÜVIT,SQS,etc.
![Page 95: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/95.jpg)
89
Une attestation de conformitéAprèsavoirréalisél’évaluationenmatièredeprotectiondesdonnées,lecertificateur
conclutàlaconformitédel’entitédansl’hypothèseoùellesatisfaitlesexigencesduré-férentiel.Celuiquicertifiepeutêtrel’évaluateurcommelaCNIL.Siteln’estpaslecas,lamissionducertificateurrevientàvérifier lesrésultatsde l’évaluation,àconclureà laconformitédesprocéduresde traitement,duproduit,duserviceanalysésetàdélivrerl’attestationdeconformité.
L’approbationsetraduitparunepreuvematérielle,l’attestationdeconformité,quipeutêtredélivréepouruneduréetrèsvariable(entreunanetcinqans)soitparl’évaluateurlui-même,soitparlecertificateur.Lesattestationsdélivréesparlesorganismesprivéssontengénéralpayantes.
Surleplanjuridique,l’attestationdeconformitéestsouventunemarquedeconformité,c’est-à-direunemarquelégalementdéposée.Ilenexistedeuxtypes:lamarquecollectiveet la marquedecertification,huitÉtatsmembres(l’Allemagne,laBelgique,l’Espagne,laFrance,leLuxembourg,lesPays-Bas,lePortugaletleRoyaume-Uni)ayantmisenplaceuncadrejuridiquespécifiquedédiéàlamarquedecertification.
Une transparencePourinstaurerlaconfianceàl’égardduclient,unlabelimpliquelatransparenceetdonc
sapublicité.Concrètement,l’entrepriselabelliséepeutsevoirattribuerunlogoàl’effigiedulabel,quipeutêtrepersonnaliséavecmentionsdunumérodulabeletdesadated’ex-piration.Lelabellisépeutfaireapparaîtrelelogosursonsitewebousesdocumentsdecommunicationafindesedifférencierdesesconcurrents.Pourprévenirlesfraudes(caronobservedestentativesd’usurpationdelogos26),lelogopeutaussiêtrenumériquementdistribuéparunesourcesituéesurlesitedulabellisateur:lelabelliséinsèrealorsunlienhypertextesursonsitequirenvoieverssitedulabellisateur27. Le logopeutaussiêtrehé-bergésurunserveurcontrôléparl’organismequidélivrelelabel28.
26 AuxÉtats-Unis,TRUSTeafaitcondamnerpourcontrefaçondemarquelessitesAmerican-Politics.cometandSurfAssured.-comquin’avaientpasétélabellisés.Standards in Electronic Transactions v Underwriters Digital Research Inc.,USDC(Columbia),CivilActionNo.00–02574(CK).
27 NotammentPrivacyMark(online),DanishE-maerket,MRSFairData.
28 Parexemple,lamarquedeconfianceEcommerceEuropeestliéeàuncertificat,toutcommelesmarquesdeconfiancenationalesdesesassociationsnationalesmembres.Pourutiliserlecertificat,lelogodoitêtreliéàl’adresse:https://ecommercetrustmark.eu/name-of-your-national-association.
![Page 96: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/96.jpg)
90
Lelogoest lesignephysiqueàdestinationdupublicetdesclientsdel’entité labelli-sée,parcequ’iltraduitlaconformitédel’entrepriseauréférentiel,pourluiaccorderleurconfiance.Encorefaut-ilquecettemarquedeconfiancesoitconnue,reconnueetfacileàrepérer,cequisupposeenamontlamiseenœuvred’unepolitiquedecommunication.Danslesfaits,celle-ciestquasi-inexistante.Pourtant,lamédiatisationestunoutilimpor-tantpourlesuccèsdulabel.Preuveenestaveclelabelrouge.
Lelogoneconstituepasleseulindicevisibledel’octroid’unlabel.Danscertainscas,lepublicet lesclientsontaccèsauxélémentsquimotivent la labellisationcommeparexemplelerapportdel’évaluateuretlesconclusionsdeconformitéducertificateur.Maisilestrare,sil’onexcepteEuroPriSeetEuroCloudStarAuditquipublientlesrapportsdecertification,d’entrouverunequelconquepublication.Toutefois,certainesorganisationsmettentenligneàdispositiondupublicunregistredesentreprises29 auxquelles elles ont délivréunlabel,ainsiquelesattestationsdeconformité30.
Des contrôles, recours et sanctionsL’informationdupublicimpliqueaussidemettreenplacedansl’intérêtdetouteslespar-
tiesdesmécanismesderésolutiondesconflitsdanslecasoùunlitigesurviendraitentrel’entrepriselabelliséeetlapersonnedontlesdonnéespersonnellessontutilisées.Or,ils’avèrequelaplupartdeslabelsexistantstaisentleurexistence(cf.Chapitre7).
29 Parexemple,Confianzaonline,Seriedadonline,GoodPriv@cy.
30 Parexemple,DanishE-maerket,ePrivacySeal.
![Page 97: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/97.jpg)
ClaireLevallois-BarthDelphineChauvet
Chapitre 6. Les labels visant à prouver la conformité : de l’implémentation du cadre réglementaire et au-delà
![Page 98: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/98.jpg)
92
Parmileslabelsconçuscommeleprolongementdelalégislationrelativeauxdonnéespersonnelles,nousavons retenudeuxexpériences richesd’enseignements: les labelsdélivrésenFranceparlaCNIL(6.1)etenAllemagneparEuroPriSe(6.2).
► Cedernier,développésousl’égided’unprojetderecherchefinancéparlaCommissioneuropéenneen2007etpilotéparl’autoritédeprotectiondesdonnéesduLandallemandduSchleswig-Holstein(Unabhängiges Landeszentrum fuer Datenschutz–ULD),estdésormaisdélivréparunesociétéprivéeenpartenariataveclesautoritésdecontrôle.
Pourl’essentiel,onretiendraqueceslabelsdeconformitésontaussiexigeantsl’unquel’autre.Cependant,leurschampsd’application,àlafoismatérieletterritorial,serecoupentpeu.Alorsmêmeque l’onpourraitpenserque l’implicationdesautoritésdeprotectiondesdonnéesestperçuepar legrandpublicet lesentreprisescommeunsignefortdeconfianceetdepérennité,ceslabels«niches»sontpeuconnusetsontattribuésàunnombrerelativementfaibled’entités.Cettesituations’expliqueprincipalementparlefaitqueleurobtentionengendreuncoûtélevé,voiretrèsélevédanscertainscas,etqueleursréférentielssonttropstrictsseloncertainsacteurs.Leretoursurinvestissementestloind’êtreincitatif(6.3.).
6.1. LeslabelsdélivrésparlaCNIL .........................................93
6.2. LelabeleuropéenEuroPriSe ..........................................101
6.3. Deslabelspeuconnusauretoursurinvestissementencorelimité .....................................................................1056
![Page 99: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/99.jpg)
93
6.1. Les labels délivrés par la CNIL
Enpratique,lalabellisationconstitueunenjeucomplexe,àlafoispourlelégislateuretpourl’autoritédeprotectiondesdonnées.Àcetégard,onconstatequelespouvoirsdelabellisationdelaCNILontétédéfinisparétapes.L’expérienceacommencéen2004,etestloind’êtreterminéepuisqu’ils’agitàprésentpourl’autoritéd’adapterlesréférentielsauxexigencesduRGPD(cf.Chapitre8).
Les quatre types de labels progressivement proposés Àladatedu31juillet2017,ilexistequatretypesdelabelsdélivrésparlaCNIL.
C’est une loi de 2004 qui permet à laCommission «à la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traite-ments»dedélivrer«un label à des produits ou à des procédures»1.Ilfaudracependantattendre2011pourquelaCNILdélivresonpremierlabel.
1 Art.11,3-c)delaloin°2004-801du6août2004relativeàlaprotectiondespersonnesphysiquesàl’égarddestraitementsdedonnéesàcaractèrepersonneletmodifiantlaloin°78-17du6janvier1978relativeàl’informatique,auxfichiersetauxlibertés,JORF,7août2004..
Les labels visant à prouver la conformité : de l’implémentation
du cadre réglementaire et au-delà
![Page 100: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/100.jpg)
94
Eneffet,l’exercicedupouvoirdelabellisationimpliquaitquesoitadoptéundécretd’ap-plication.Or,cedécretn’ajamaisétépublié,sonrédacteur,laDirectiondesAffairesCivilesetduSceau(DACS),ayantrencontrédesdifficultésquantàlafaçondetraiter«la pro-blématique concurrentielle de différenciation par la qualité»2.Lasituationestdébloquéeen2009parlaloilorsquelaCNILpeutelle-mêmepréciserdanssonrèglementintérieur«les modalités de mise en œuvre de la procédure de labellisation»3,cequirendinutilelerecoursaudécret.
Àlamêmeépoque,laCommissionestautoriséeàrecouriràdestiersévaluateursquali-fiésetindépendants«lorsque la complexité du produit ou de la procédure le justifie»,étantpréciséque«le coût de cette évaluation est pris en charge par l’entreprise qui demande le label»4.Illuifautcependantdeuxanspourmodifiersonrèglementintérieur5.
Puisen2014,laloiHamonaccordeàlaCNILlepouvoirde«déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d’un label»6 (voir ci-contre lecdu3°del’article11delaloiInformatiqueetLibertés).
Enfin,depuisle7octobre2016,laCommissionpeutcertifierdesprocédésd’anonymi-sationdedonnéespersonnellesethomologuerlesréférentielsliésetdesméthodologiesgénérales7.CettepossibilitéofferteparlaloiLemaires’inscritnotammentdanslecadredel’open dataoùlerecoursàdesprocédésd’anonymisationdoitpermettredeconcilier,d’unepart,l’intérêtgénéralàdisposerdesdonnéesetàinformerlescitoyenset,d’autrepart, l’intérêt individuelde lapersonneconcernéeenprotégeant sesdonnéesperson-nelles.En l’état, il resteàsavoirquand laCNILexerceracenouveaupouvoiretdansquellesconditions(voirci-contrelegdu2°del’article11delaloiInformatiqueetLibertés).
2 InterviewdeYannPadova,secrétairegénéraldelaCNILde2006à2011.
3 Art.105deloin°2009-526du12mai2009desimplificationetdeclarificationdudroitetd’allègementdesprocédures,JORF,13mai2009.
4 Art.105deloin°2009-526,précitée.
5 Délibérationn°2011-249du8sept.2011portantmodificationdel’article69durèglementintérieurdelaCommissionnationalede l’informatiqueetdes libertéset insérantunchapitreIVbis intitulé«Procédurede labellisation»,JORF,22septembre2011.Voir ladernièreversiondurèglement intérieurde laCNIL,Délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commissionnationaledel’informatiqueetdeslibertés.
6 Art.17delaloin°2014-344du17mars2014relativeàlaconsommation,JORF,18mars2014.
7 Loin°2016-1321du7octobre2016pouruneRépubliquenumérique,JORF,8octobre2016.
![Page 101: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/101.jpg)
95
Art. 11-3 c) de la loi Informatique et Libertés
« Elle [la CNIL] délivre un label à des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère per-sonnel, après qu’elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l’instruction préalable à la délivrance du label par la commis-sion ; la commission peut également déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d’un label. Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indé-pendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l’entreprise qui demande le label ; elle retire le label lorsqu’elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites. »
Art. 11-2 g) de la loi Informatique et Libertés
«g) Elle [la CNIL] peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne.»
Enpratique,commeonpeutleconstater,lalabellisations’avèreconstituerunsujetcom-plexepourl’autoritédeprotection.En2009,ils’agissaitd’unnouveaumétierquiimpliquaitquelaCommissiondisposedesmoyenstechniquespourlabelliserdesproduitsetdesressourcesjuridiques,particulièrementendroitdelaconcurrence.Parexempleseposaitlaquestiondela«discriminationpositive»decertainsproduitsetservices8.
L’undesméritesdelaCNILadoncétéd’oserselancerdansl’aventure,fautedesolu-tionsproposéesàl’époqueparlesecteurprivé.Eneffet,etcontrairementàl’Allemagne(cf.Chapitre7),laFrancen’estpasunpayscréateurdelabels.
8 NaftalskiF.etDesgens-PasanauG.,(2010).EnjeuxetperspectivesdupouvoirdelabellisationdelaCNIL,RevueLamyDroitdel’Immatériel,N°63,août-septembre2010,12pages.
![Page 102: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/102.jpg)
96
Pourdesraisonsexpriméesdeneutralité,etsansdouted’impactprobablesurlemar-ché,laCNILadécidédecommencerparcequiluisemblaitlemoinscomplexeentermed’interactionetconséquences.Ainsiadopte-t-elledesapropreinitiativeenoctobre2011deux référentiels: l’un consacré à la formation, l’autre portant sur les audits. Le label « Formation »estdélivréàdesentitésproposant,eninterneouenexterne,desforma-tions relativesà laprotectiondesdonnéespersonnelles, y comprisdes formationsene-learning. Le label « Audit de traitement » peutêtredemandépardesprestataires(cabinetsdeconseils,avocats,etc.)quicommercialisentdesprocéduresd’auditsdetraite-mentsdesdonnéespersonnellesoupardesorganismesquimettentenœuvreeninternedetellesprocédures.Cesprocéduresdécriventlesdifférentesétapesetprocessusselonlesquelsunauditdoitêtrepréparé,réaliséetfinalisé.Cesdeuxpremierslabelsnes’ap-pliquentdoncpasdirectementauxtraitementsdedonnéespersonnellesmisenœuvreparunorganisme.
Suiventenjanvier2014l’adoptionduréférentielsurlecoffre-fortnumériqueetendé-cembre2014celuisur lagouvernance InformatiqueetLibertés.Le label « Coffre-fort numérique »portesurlesservicesdecoffre-fortnumériquestockantdesdonnéesper-sonnelles(documents,certainesmétadonnées).Cesdonnéesnesontaccessiblesqu’auseul titulaireducoffre,ainsiqu’auxéventuellespersonnesqu’ilamandatées.Le label « Gouvernance Informatique et Libertés »concernepoursapartlesprocéduresmisesen place par un organisme pour la protection des données personnelles, notammentunauditinterneouexternerégulier.L’ambitiondecelabelestdoncplusélevéeparsonpérimètre.
Lesdeuxtypesde labelsontétéélaborésà lademanded’organisationsprofession-nelles ou d’institutions regroupant des responsables de traitements. Concrètement, lelabel«Gouvernance InformatiqueetLibertés»émaned’unedemandede l’AssociationFrançaisedesCorrespondantsauxDonnéesPersonnelles(AFCDP),etlelabel«coffre-fortnumérique»delaFédérationdesTiersdeconfiancedunumérique(FNTC).Danscesquatrecas,laCNILaestiméquelelabelcorrespondaitàunbesoindumarché.
Lesquatreréférentielsd’évaluationsefondentsurlesnormeslégaleset,selonlescas,lesrecommandationsdelaCNILoulesnormesISO.Ilsontétéélaborésparlecomité
![Page 103: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/103.jpg)
97
delabellisationdelaCNIL9,composédetroiscommissaireschoisisparleprésidentdelaCNIL,puisadoptésparvoiededélibérationparsonassembléeplénière.Ainsi,leréféren-tieldulabelGouvernanceaétéenpartieélaboréàpartirduprojetderèglementRGPDetdesnormesISO/IEC27001:2013surlessystèmesdemanagementdelasécuritédel’informationetISO/IEC29190:2014surlamaturitédansledomainedelaprotectiondelavieprivéequiontétéadaptéesauxpratiquesdescorrespondantsInformatiqueetlibertés.Lelabel«Gouvernance»sedistingueégalementparsonmoded’élaboration,lesvingt-cinqexigencesdesonréférentielayantétéélaboréesavecleconcoursdel’AssociationFrançaisedesCorrespondantsàlaprotectiondesDonnéesPersonnelles(AFCDP).
Nom du label Objet Référentiel Créé en… Durée d’attribution
Nombre de labellisés
LabelCNIL«Formations»
Services/Formations
Normeslégales+ ISO29990
2011
3 ans
54
LabelCNIL«Auditde
traitements»
Services/Audit
Normeslégales+ISO19011
2011 25
LabelCNIL«Coffre-fortnumérique»
Services/Coffre-fortnumérique
Recomman-dationsCNIL 2014 1
LabelCNIL«GouvernanceInformatiqueetLibertés»
Procédures
Normeslégales+ISO/IEC
27001:2013+ISO/IEC29190:2014+projetRGPD
2014 13
Tableau 8. Labels délivrés par la CNIL au 17 octobre 2017 10
9 Lecomitédelabellisationapourmissiondeproposerdesorientationsrelativesàlapolitiquedelabellisation.Ilélaborenotammentlesprojetsderéférentielsetévaluelaconformitédesdemandesdedélivrances.Ilseréunitenpratiquetouslestroismoisenviron.
10 NormeNFISO29990:servicesdeformationdanslecadredel’éducationetdelaformationnonformelles–exigencesdebasepourprestatairesdeservices,2010.
NormeNFISO19011:lignesdirectricespourl’auditdessystèmesdemanagementdelaqualitéet/oudemanagementenvironnemental,2002.
NormesISO/IEC27001:2013surlessystèmesdemanagementdelasécuritédel’informationetISO/IEC29190:2014surlamaturitédansledomainedelaprotectiondelavieprivéeenlesadaptantauxpratiquesdescorrespondantsInformatiqueetlibertés.
![Page 104: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/104.jpg)
98
Parailleurs,laCNILn’apasdonnésuiteàplusieursdemandes,notammentcellesrela-tivesàdeslabels«Cloud»,«Cookie»ou«Paiementenligne».Sil’onprendlecasdesapplicationsmobilese-santéportépar leConseilNationalde l’OrdredesMédecins, lerefusdelaCNILétaitmotivéparlacomplexitédelabelliseruneapplicationmobiledontlefonctionnementdépenddusystèmed’exploitationetdudesigndecedernier,notammentenmatièredeparamétrage.
SidonclepérimètredesquatrelabelspouvantêtredélivrésparlaCNILestinégal,leurdélivrancesuitenrevancheuneprocédureidentique.
La procédure de délivrance par la CNIL elle-mêmeBienquelaloiautoriselaCNILàrecouriràdestiersindépendants,c’estellequiendosse
laresponsabilitédel’évaluationetdeladélivranceselonuneprocédureenquatreétapes11:
1. Demande :un labelpeutêtresollicitépar toutepersonnemoraleet,pour le la-bel«Formation»,parunepersonnephysique.Deuxouplusieursentitéspeuventdéposerunedemandeconjointe.Celle-cis’effectueen téléchargeant ledossierdecandidaturevialesitedelaCNIL12,puisenl’envoyantdûmentrempliparvoiepostaleouenligne.
2. Recevabilité :àcompterdudépôtdelademandeformaliséeparunnumérod’en-registrement,leprésidentdelaCNILdisposed’undélaidedeuxmoispoursepro-noncersurlarecevabilitédudossier.Àdéfautderéponsedanscedélai,lesilencedel’autoritévautrejet.Lademandepeutainsiêtrerefuséesiellen’entrepasdansledomaineduréférentielousiledossierestincomplet.
3. Analyse par la CNIL :unefoislademandedéclaréerecevable,lepôle«Labels»de laCNILcomposédedeuxpersonnesrattachéesà ladirectionde laconfor-mité,examine ledossier.Lesitewww.cnil.fr indiqueque«la durée d’instruction varie en fonction du taux de conformité initiale et du nombre d’échanges avec la Commission». En pratique, les agents instructeurs établissent des évaluations
11 Pourunschémadétaillévoir:NaftalskiF.,(2011). LabelCNILetconformité« informatiqueet libertés»:publicationdespremiersréférentiels,RevueLamyDroitdel’Immatériel,8pages.
12 Pourunaperçu, ledossierdecandidaturepour le labelCNIL«Gouvernance InformatiqueetLibertés»,https://www.cnil.fr/sites/default/files/atoms/files/labelsCNIL-gouvernance-demande_0.docx.
![Page 105: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/105.jpg)
99
successives,jusqu’àcequ’uneconformitétotalesoitatteinte.Laduréedel’ana-lysevarieenfonctiondelacomplexitédudossierprésenté,desdemandesd’infor-mationscomplémentairesetdesauditionséventuellementpratiquéesparlepôleLabeloulecomitédelabellisation.Elleestd’environseptmois.Lecomitédelabel-lisationprendensuitelerelaispourjugerdelaconformitédudossier.
4. Délivrance :lelabelestdélivrépouruneduréedetroisansrenouvelableparlaCNILréunieenformationplénière.Encasderefusdedélivrance,cederniern’estpas rendu public et les dossiers de demandes de délivrance, qui peuvent parexemplecomprendrelesquestionnairesd’audit,nesontpascommunicablesautitredelaloisurlalibertéd’accèsauxdocumentsadministratifs13;ledemandeurpeutsaisirleConseild’Étatdansundélaidedeuxmois.Jusqu’àprésent,cecasdefigurenes’estjamaisprésenté.Ledemandeur,informéparvoiepostale,reçoitleslogospersonnalisésetlerèglementd’usagedecesderniers.LadélibérationdelaCNILestpubliéeaujournalofficielvialesiteLégifrance,etégalementsurlesitewww.cnil.fr.Ainsi,lepublicpeutaccéderàlalistedesproduitsetprocédureslabelli-sésaccompagnésdunomdel’entitébénéficiaireetdeladated’expirationdulabel.
13 LaCommissiond’AccèsauxDocumentsAdministratifs(CADA)aainsiconfirméàlaCNILquecesdossiersrelevaientdel’exceptiondel’article66-IIdelaloidu17juillet1978auregarddelaprotectiondusecretenmatièreindustrielleetcommerciale.
Exemple de logo attribué, avec sa date
d’expiration.
![Page 106: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/106.jpg)
100
Àl’issuedelapremièreannéededélivrance,letitulairedulabelal’obligation de trans-mettre à la CNIL un rapport d’activitésquipermetàlaCommissiondevérifierlerespectduréférentieletdel’utilisationdulogo«LabelCNIL»conformémentaurèglementd’usagedelamarquecollectivelabelCNIL.Ainsi,cerèglementprévoitque«le logo doit être utilisé en lien direct avec le produit ou la procédure labellisé. L’apposition du logo de manière générale et indéterminée est strictement interdite»14.Cecipermetd’éviterquel’entreprisedontunserviceaétélabellisésoittentéedel’étendreàl’ensembledesesservices,faitspouvantnotammentêtre répriméssous laqualificationdepublicitémensongèreoudeconcurrencedéloyale.
LaCommissionpeutégalementvérifieràtoutmomentqueleréférentielestbienres-pecté.Danslesfaits,letitulairedulabelestprévenu;ilnes’agitdoncpasd’uncontrôle«surprise»carlebutdelaCNILest«d’accompagner, de guider, d’encourager les compor-tements des organismes qui veulent faire la différence»15.Jusqu’àmaintenant,quelquesvérificationsontétéopéréesuniquementsurlelabel«Formation».
Lorsqu’une plainteestdéposéeparuntiersousilaCNILestimequ’ilexisteundoutesurunéventuelmanquement,l’entitélabelliséedoitprésentersesobservationsdansundélaid’unmois.Sisesréponsessontjugéesinsatisfaisantes,unrapporteurestdésignéparmilesmembresducomitédelabellisation.Laformationplénièredécide(ounon)deretirerlelabel,chosequipourl’instantn’estpasarrivée.
Lorsdurenouvellementdulabel, laprocédureestallégée:sixmoisavantexpiration,lelabellisédoitinformerlaCNILdesonsouhaitetindiqueréventuellementl’existencedechangements,lesquelssontvérifiéssurdossier.
LeslabelsainsidélivrésparlaCNILsontsusceptiblesd’intéresseressentiellementlesorganismesfrançais.Sicesdernierssouhaitentobtenirunlabeleuropéen,ilsontlapossi-bilitédesetournerversEuroPriSe,quicomptelaCNILparmisespartenaires.
14 Voirrèglementd’usagedelamarquecollectivelabelCNIL,https://www.cnil.fr/sites/default/files/atoms/files/label_CNIL-charte_dutilisation_du_logo.pdf
15 Carvais,J. (2015).Le labelCNILcommeoutildeconformité, in AFCDP, Correspondant Informatique et Libertés, Bien plus qu’un métier,pp.504..
![Page 107: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/107.jpg)
101
6.2. Le label européen EuroPriSe
LelabeltranseuropéenEuroPriSe,pourEuropean Privacy Seal,permetàunorganismededémontrersaconformitéaux loiset réglementationseuropéennes.Ce labelsedis-tinguedeslabelsattribuésparlaCNILparlerecoursàdesexpertsindépendants.
Un label « d’excellence » créé et soutenu par les autorités de protection des données européennesCrééen2007,EuroPriSeestissuduprojetpiloteeTEN,financéàhauteurde1,2millions
d’eurosparlaCommissioneuropéenne.Leconsortium,pilotéparl’autoritédeprotectiondesdonnéesduLandallemandduSchleswig-Holstein (Unabhängiges Landeszentrum fuer Datenschutz–ULD),réunissaitunedizainedepartenaires(autoritésdeprotectiondesdonnées,universitésetcabinetsdeconseils16)provenantdehuitpayseuropéens.
Aprèsdeuxansdedéveloppement,EuroPriSeapublié son référentiel «Produitsetservicesdestechnologiesdel’information».Leslabelsdélivréssurcettebaseconcernentdesentitésdetoutetaille,qu’ils’agissedePMEoudemultinationalestellesqueMicrosoften 2008 ou SAP en 2012.
Le 1erjanvier2014,l’initiativeaététransféréeàunesociétéprivée,l’EuroPriSeGmbH,laquellesecomposedésormaisd’uneautoritédecertificationchargéededélivrerlesla-belsetd’uncomitéconsultatifayantpourprincipalemissiond’assurerlaqualitédulabel.
Àcettefin,lecomitéestcomposéd’expertsindépendantsissusdesautoritésdeprotec-tion,notammentunreprésentantdel’ULDetunreprésentantdelaCNIL.
Notonsqu’EuroPriSeagitdepuis2014entantqu’organismedecertificationpourlela-beldélivréparl’ÉtatfédéralallemanddeMecklembourg-Poméranie,enconsultationavecleCommissaireà laprotectiondesdonnéesetà la libertéd’informationdeceLand17. CelabelappeléGütesiegel Datenschutz Mecklenburg-Vorpommern(sceaudeconfiden-
16 Notamment les autorités de protection de données de Madrid (Agencia de Protección de Datos de la Communidad de Madrid, APDCM), de France (CNIL), le Austrian Academy of Science, la London Metropolitan UniversityduRoyaume-Uni,leBorking ConsultancydesPays-Bas,Ernst and Young ABdeSuède,leTÜV Informationstechnik GmbHd’AllemagneetleVaFs.r.o.deSlovaquie.
17 https://www.european-privacy-seal.eu/EPS-en/News/n/7972/europrise-starts-work-as-certification-authority-for-the-new-privacy-seal-of-the-german-federal-state-of-mecklenburg-vorpommern
![Page 108: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/108.jpg)
102
tialitéd’approbation)est fondésur l’article5de la loisur laprotectiondesdonnéesdeMecklembourg-Poméranieoccidentaleetcertifielerespectdecetteloi.CemêmetexteobligelesorganismespublicsduLandàaccorderlaprioritéaudéploiementdesproduitsetdesprocéduresainsilabellisésetdoitdonnerunavantageconcurrentielauxentreprisescertifiées.
Enavril2016,l’EuroPriSeGmbHaélargisonoffreenproposantunelabellisationdessiteswebdontlepérimètreportesurlespartiesd’unsiteaccessiblesaupublicetsurl’in-teractionentreleserveurwebetlenavigateurdel’utilisateur.
ContrairementàlaCNIL,EuroPriSedispose,nonpasd’unréférentielpartypedelabels,maisd’unréférentieluniquequiprécise,danslescaspertinents,siuncritères’appliqueàunproduit,unserviceouunsiteweb18.Rédigésousformedequestions,ilestréguliè-rementmisàjour,ainsiqu’enattestentles109pagesdeladernièreversionendatedejanvier2017.Celle-ciintègrenotammentleRGPD,ladirective«Vie privée et communica-tions électroniques»etlalégislationenvigueurdanslesÉtatsmembres.Ainsifondésurunniveauélevédeprotectiondesdonnéespersonnelles,onseraittentéd’yvoirl’influencedesautoritésdeprotectiondesdonnées,enparticulierdel’ULDconsidéréparcertainscommel’unedesautoritéseuropéenneslesplusdraconiennes.Oncomprenddoncpour-quoiEuroPriSeseprésentecommeune«marque de confiance d’excellence»(trust mark of excellence)ayantouvertementvocationàprocurerunavantageconcurrentielauxen-trepriseslabellisées.
Etsileréférentielentendrefléterunecertaineexcellenceàlafoissurleplanjuridiqueettechnologique,ilenvademêmepoursaprocédurededélivrance.
La procédure de délivrance faisant appel à des experts EuroPriSeLaprocédurededélivranced’un labelEuroPriSecomprend, toutcommecellede la
CNIL,quatreétapes.Demanièregénérale,leprocessuscompletdelabellisationallantdelasaisinedesexpertsàladélivrancedulabeldureenmoyenneentrehuitmoisàunan.
18 EuroPriSe Criteria for the certification of IT products and IT-based services (“GDPR ready” version – January 2017): https://www.european-privacy-seal.eu/EPS-en/Criteria
![Page 109: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/109.jpg)
103
1. Phase préparatoire :lefuturlabelliséchoisitparmilalistedesexpertsaccrédités,dontlesnomsfigurentsurleregistrepublicd’EuroPriSe,unexpertjuridiqueetunexperttechnique.Illeurprésentesonproduit,serviceousitewebetdiscuteaveceuxdesmodalitésdel’évaluation,enparticulierdeladéfinitiondupérimètredela-bellisation(Target of Evaluation–ToE).Ilcontacteensuitel’autoritédecertificationEuroPriSequi,lorsd’uneréunionpréparatoire,validel’objetdel’évaluation.Aprèsavoirnégociélarémunérationdesdeuxexperts,lefuturlabelliséconclutunaccordavecl’autoritédecertification.
2. Évaluation par les experts :lesdeuxexpertsévaluentleproduit,serviceousiteweb.Enparticulier,ilsidentifienttouslesfluxdedonnéespersonnellesrelatifsaupérimètredelabellisationets’assurentdeleurconformitéjuridiqueàtouslestexteseuropéens.Puis,lesdeuxexpertsrédigentconjointementdeuxrapports:unrap-portd’évaluationconfidentieletunrapportpluscourt,quiserarendupublic.Ilssontégalementtenus,àcestade,dedéclarerparécrit,etlorsdechaqueévaluation,agirentouteindépendance.
Parole d’expert EuroPriSe
«On doit cerner la cible, le périmètre de ce qu’on veut labelliser… c’est un travail compliqué, fastidieux. On appréhende tous les flux, on les identifie et on assure leur conformité à tous les textes européens… non seulement la directive, la juris-prudence, mais aussi les décisions du Groupe 29… »
3. Validation par l’autorité de certification : l’entitécandidateapprouve lesdeuxrapports.Ellelestransmetensuiteàl’autoritédecertificationquieffectueunecontre-évaluationconsistantàvérifier rigoureusementsi lescritèrespertinentsontétéappliquésetsiledemandeurarépondudemanièreplausibleauxquestions. DanslecasdulabeldélivréparleLanddeMecklembourg-Poméranie,l’avisdel’autoritédecertificationEuroPriSeest transmisauCommissaireà laprotectiondesdonnées,quidonnesonaccord.
4. Délivrance :Lelabelestdélivrépouruneduréededeuxansrenouvelable,laprocé-durederenouvellementétantmoinscontraignante.Ilestrendupublicvial’adressehttps://www.european-privacy-seal.eu/EPS-en/awarded-sealsqui précisenotam-
![Page 110: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/110.jpg)
104
mentsaduréedevaliditéetpermetdetéléchargerlerapportpublicd’évaluation.L’organismelabellisédisposeégalementd’uneattestationdeconformité. Outreceregistredesentreprisescertifiées,latransparences’illustreégalementsurleterraindesrèglementsdeslitiges.Àcetégard,leplaignantdoitseconformeràuneprocédureendeuxétapes:ildoitd’abords’adresserautitulairedulabel.Sisaplainten’estpasrésolue,ildoitensuiteremplirunformulaireenligneafinqu’Eu-roPriSeGmbHmènel’enquête19.Ànotreconnaissance,EuroPriSen’ajamaiseurecoursàuneprocédurederetraitdulabel.
Le niveau «d’excellence» s’illustre également à travers les conditions strictes d’ac-créditationdesexperts qui s’articulent autour de trois critères: compétence, fiabilité etindépendance20.
Les trois critères d’accrédition d’un expert EuroPriSe
Compétences : l’expert suit obligatoirement une formation spécifique de troisjoursenanglais,notammentenmatièred’évaluationetd’audit, à l’issuede la-quelle il rédigeavec sonhomologue, expert juridiqueou technique, un rapportconjointbasésuruncaspratique.Letempspassépourêtreaccréditéestestiméà15jours/hommeparunexpertdéjàtrèspointudanssondomaine.
Fiabilité : l’expertesttenud’effectuerunedéclarationécriteportantsursasituationfinancière(ilnedoitpas,entreautres,avoirétésoumisàuneprocédured’insol-vabilité),pénale(ilnedoitpasavoirétécondamnépourfraudeoufalsificationdedocumentsdanslescinqdernièresannées),etsursonassuranceresponsabilitéquidoitcouvrirleséventuelsdommagesquirésulteraientdesesévaluations.
Indépendance :l’expertnepeutpasêtrelecorrespondantInformatiqueetLibertésdufuturlabelliséousonconsultant.
19 https://www.european-privacy-seal.eu/EPS-en/Dispute-Resolution-Complaint-Form
20 https://www.european-privacy-seal.eu/EPS-en/Expert-Admission
![Page 111: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/111.jpg)
105
Unefoisadmis,l’expertdisposed’unlogospécifiqueprécisantsonchampd’expertise(voirci-dessus).Sacotisationannuelles’élèvealorsà390€HT.S’ilsouhaiteétendresonaccréditationauxsitesweb,ildoitpasseruncaspratiquespécifiqueetrédigerunsecondrapportd’expertise.Il luiencoûtera150€HTet,s’iln’estpasdéjàaccrédité,600€HT.Afindeprolongersonaccréditationvalabletroisans,ildoitnotammentavoireffectuéuneévaluationEuroPriSe.Danslecascontraire,ildoitmettreàjoursesconnaissancesenparticipantàunatelier.
Pourautant,lelabelEuroPriSen’estpasplusconnuqueleslabelsdélivrésparlaCNIL.Iln’aidedoncpasl’utilisateur-consommateuràserepérerdansla«jungle»desproduitsetservicesliésauxdonnéespersonnelles.Pourquoi?
6.3. Des labels peu connus au retour sur investissement encore limité
Qu’il s’agissed’EuroPriSeoudes labelsCNIL, on constateunnombre relativementfaibled’entitéslabellisées.Ilsemblequ’uneexplicationsoitàrechercherducôtédescoûtsrelativementélevésengendréspourobtenircesignedeconfiance,alorsqueleretoursurinvestissementresteencoreinsuffisant.
Le nombre relativement faibles d’entités labelliséesEnjuin2017,dix-neufentitéssontlabelliséesEuroPriSe,dontunemajoritéd’entreprises
allemandes.Surcesdixdernièresannées,oncompte,enincluantlesrenouvellements21:• 6labelsattribuésen2008• 6labelsattribuésen2009(et1labelrenouvelé)• 3 en 2010
21 Tousleschiffresdonnésicisontactualisésdedécembre2017.
![Page 112: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/112.jpg)
106
• 5en2011(et2labelsrenouvelés)• 3en2012(et2labelsrenouvelés)• 2en2013(et3labelsrenouvelés)• 8en2014(et3labelsrenouvelés)• 5en2015(et6labelsrenouvelés)• 3en2016(et3labelsrenouvelés)• 2en2017(et8labelsrenouvelés)22
Comme lesouligneunexpertaccréditéEuroPriSe,« j’ai été très déçu du retour sur investissement».Alors même que cette personne a investi temporellement (un moisminimum), intellectuellement(hauteconnaissancedetoutes lesdécisionsprisesauni-veaueuropéen)etfinancièrementpourobtenirsonaccréditation,ellen’aobtenuaucuneprestation.Ellen’estd’ailleurspaslaseule.Eneffet,finjuin2017leregistredesexpertsEuroPriSecomprenaitunecentainedepersonnes,présentesdansdix-neufpays23.
Du côté de la CNIL, le nombre de labels délivrés est plus conséquent. On en dé-nombre93dont:
• 54labels«Formation»(et21demandesderenouvellement)• 25labels«Audit»(et9demandesderenouvellement)• 1label«Coffre-fort»numérique• 13labels«Gouvernance»
Pourcomparer,avecleslimitesquecelacomporte,enFrance,• danslesecteurdel’agriculturebiologique,lelabelAB
concernait32236producteursfin2016• dansl’agro-alimentaire,lelabelrougeestattribuéà
plusde5000éleveurs(soit97093792poulets)• enmatièreenvironnementale,lanormeNF
environnementconcernait142entreprisesen2005
Les États-Uniscomptenteuxaussiunnombreconséquentd’entrepriseslabelliséesenmatièredeprotectiondesdonnéespersonnelles:lelabelTRUSTe certified Privacy,dé-
22 https://www.european-privacy-seal.eu/EPS-en/awarded-seals
23 https://www.european-privacy-seal.eu/EPS-en/register-of-experts
![Page 113: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/113.jpg)
107
sormaisdélivréparTrustArc,estdécernéàplusde1000clients24,tandisque145700sitesInternetsont labellisésBBBonline.Ceschiffressontcependantàconsidéreravecpré-cautiondanslamesureoùledegréd’exigencesaméricainestbienéloignédelarigueureuropéennecommeenattestenotammentlerecoursàlaprocédured’auto-déclaration(cf.Chapitre7).
Onpeutégalementse référeraunombrede labelsattribuéspar l’ULD, l’autoritédecontrôleduLandallemandSchleswig-Holstein.Danscecas,àl’instard’EuroPriSe,l’éva-luationesteffectuéepardesexpertsaccrédités,ayantjustifiédeleurscompétencesju-ridiqueset/ou techniques.Elledonne lieuàun rapportquiestvalidépar l’ULD.Cettedernièredélivrealorslelabel.
Surcettebase,depuis2002:• 96labelsconcernantdesproduitsetservicesontétéattribuésauniveauduLand
(47renouvellements)• 84expertsontétéaccréditésdepuis2002,dont38expertsjuridiqueset24experts
techniques,22expertsayantàlafoislescompétencestechniquesetjuridiques25
• aucunlabeln’aétédélivréparleLanddeMecklembourg-Poméranie26
Dèslors,commentinterpréterlefaiblenombred’entitéslabelliséesEuroPriSeouCNIL?
Selonuninterviewé,nousneserionsqu’audébutd’unlongprocessusetleurnombreiraenaugmentantaveclamiseenœuvredurèglementsurlaprotectiondesdonnées(cf.Chapitre8).Unexpertd’unorganismedecertificationsoulignequ’ilnes’agitpastantd’arriveràuncertainnombred’organismesmaisd’attirer«quelques marques connues et reconnues»pourcréeruneffetd’entraînementàl’égarddesdemandesdelabellisation.
Encorefaut-ilqueplusieursconditionssoientremplies,notammentqueleslabelsrelatifsàlaprotectiondesdonnéespersonnellessoientconnus.Or,onobservequeleseuilcri-tiquepourquelegrandpublicetlesorganisationsaientconnaissancedecesindicateurs
24 TrustArc by Numbers:https://www.trustarc.com/resources/privacy-research/trustarc-by-the-numbers/
25 Privacy Seals and Certifications, Databeskyttelsesdagen 2017, Babara Körffer, Unabhaengiges Landeszentrum fuer Date,schutz, Schleswig-Holstein Tyskland, https://databeskyttelsesdag.files.wordpress.com/2017/01/dk_privacy-seals-and-certifications_2017-2.pdf
26 https://stiftungdatenschutz.org/aufgaben/zertifizierung,février2017.
![Page 114: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/114.jpg)
108
deconfianceestloind’êtreatteint.QuienFranceconnaîtleslabelsdélivrésparlaCNILcomparéauxlabelsagro-alimentairesouénergétiques?Lepublicsembleplussensibleàlaqualitédesonenvironnement,quilerenvoieàsasanté,qu’àlaproblématiquedelaprotectiondesesdonnéespersonnellesquireprésentecertesunrisque,maisunrisquemoins concret, plus lointain.On remarque d’ailleurs que les associations de consom-mateurs s’intéressent peu à la question, qui leur paraît technique, à la différence desÉtats-Unis(cf.Chapitre7).Pourautant,l’attitudedesutilisateurs-consommateurschangeàlafoisenfonctiondesusagesetdestechniquescommelerelèvelerécentsondageef-fectuéparlaChaireValeursetPolitiquesdesInformationsPersonnellesavecMédiamétrie(cequenousverronsauchapitre10).
Parailleurs, laCNILcommuniquepeusur les labelsqu’elledélivre,préférantmédia-tiserd’autresaxesdetravail;poursapart,EuroPriSemanquedemoyens.Pourtant,denombreuxexpertsaccréditésEuroPriSeexercentauseind’importantscabinetsdeconseiloud’avocatsd’affaires,notammentenEspagne,auRoyaume-Uni,enSuède.Plusieursd’entreeuxontreconnu,lorsdesinterviews,qu’ilsnecommuniquaientpasassez,fautedetempsetparmanqued’habitude.
Du côté des entreprises, les logosdesdeuxtypesde labelsnesemblentpasplusconnus,etlorsquecelaestlecas,ilsneprésententpasunvéritableavantage.Conçuscommeleprolongementdelalégislation,leurcoûtd’obtentions’avèreélevédanslaplu-partdescas.
Le coût d’obtention élevé sans véritable avantage concurrentielSil’impartialitéd’EuroPriSeestdemise,elleatoutefoisunprix.Àtitred’illustration:• danslecadredelalabellisationd’unpérimètre«étroit»commeunesolutionbio-
métrique,ilfautcomptertrentejoursdetravail(15jourspourl’experttechniqueet15joursl’expertjuridique)etuncoûtde40000€grandminimum
• pour un périmètre plus large, certains experts avancent le chiffre de 80000€,d’autresunefourchetteallantde100000à200000€
• lasimple labellisationd’unsiteInternetdemandeaumoinsvingt jours(10 jourspourl’experttechniqueet10jourspourl’expertjuridique)
![Page 115: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/115.jpg)
109
Ceprixdépenddirectementdupérimètredelabellisationretenu,périmètrequicondi-tionneletempsfacturéparlesdeuxtypesd’experts.Or,celui-ciestdifficileàdéterminer.Ilsemblecependantposermoinsdeproblèmepourlapartiejuridiquequepourlapartietechniqueoù« tout dépend là du nombre de sous-traitants, du nombre de prestataires impliqués dans l’hébergement, dans la sécurité».
Parole d’expert EuroPriSe
« Déjà identifier les flux … Ça, c’est le plus gros. Personne n’est au courant de rien, en plus ! … Le pire problème c’est que le contrôle d’informations n’est jamais bien fait, les consentements, n’en parlons pas ! Et après, dès que ça sort de la boîte… ça part à droite à gauche ! Si on veut vérifier les contrats, les trucs, les machins… on y passe un temps fou ! »
Pourdiminuerleprix,unesolutionconsisteraitàréduirelepérimètredelabellisation.Maisalors,selonlesquatreexpertsinterrogés,lelabelperdsouventsasignificationetledossierestrejetéparl’autoritédecertificationEuroPriSe.Desentreprisesontainsiaban-donnéleurprojetlorsdelaphasepréparatoire.C’estd’ailleurspourcetteraisonqu’Euro-PriSes’estdiversifiéenlabellisantlessitesinternet«pour que ce soit vendable car moins cher en termes d’expertise et ça parle plus aux clients ».
Unesecondesolution,avancéeparunexpert,pourraitconsisteràpratiquerenamontune analysed’impactquipermettraitàpérimètreconstantdedéfinirlesrisques,puisdesélectionnerlescritèresàappliquer.
Parole d’expert EuroPriSe
«Il y a une marge de risques qu’il faut accepter… avec comme principe directeur la proportionnalité. C’est-à-dire que, par rapport au traitement que l’on est en train d’auditer, on doit aller dans un degré de détails aussi important que celui qu’on ferait dans le domaine de la santé, ou s’il y a des données sensibles qui sont collectées…»
![Page 116: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/116.jpg)
110
LaCNIL,desoncôté,metenavantl’avantagedelagratuité.Cetargumentdoitcepen-dantêtrerelativisé,sil’onconsidèreletempspasséqui,luiaussi,constitueuncoût.Laplupartdesinterviewésestimequel’obtentiond’unlabelCNILest«chronophage»,leurdémarches’étanttransforméedanscertainscasen«véritable parcours du combattant».Iciaussi,lecoûtvarieessentiellementenfonctiondupérimètreretenuetdelatailledel’entreprise.Pourl’obtentiondulabel«Formation»,leschiffresavancésvontde«quelques semaines»,à«15 jours / homme».Lelabel«Audit»s’avèreplus«chronophage»:uneentrepriseaestiméle tempspasséà143,5 jours(pouruneéquipecomposéedecinqpersonnes),uneautreamisunanetdemi« à construire le label»,unetroisièmeentrequatreetcinqmois.
Làoùcertainsvoientunsignefortdequalitéetdeconfiance,d’autressoulignentunelourdeuradministrativeexcessive. Ilyaurait,selonun interviewé,«une faute originelle qui consiste à vouloir faire plus, plutôt que de faire au moins à droit constant».Le la-bel «Gouvernance», par exemple, impose que l’entité dispose d’un CorrespondantInformatique et Libertés (CIL). Or, le CIL est une simple option évoquée par la loiInformatiqueetLibertésetleRGPDn’imposepasunDéléguéàlaProtectiondesDonnéesdanstouslescas.Selonunepersonneinterrogée,«c’est confondre la finalité (le respect des données personnelles) et les moyens (avoir un CIL)… la question est : est-il possible d’arriver au même résultat sans CIL ? ».Selonunautreinterviewé,laCNILchercheraità«insuffler sa doctrine»,àajouterdes«détails que la loi n’impose pas»mais«que le régu-lateur voudrait voir se généraliser et qui dissuade tout le monde d’en faire plus que ce que la loi exige en demandant un label public».
Ici,«l’autorité de contrôle va exprimer ce qui fait sa spécificité c’est-à-dire prolonger une réglementation et donc réglementer dans les détails plus fort que ce que les entreprises sont prêtes à accepter ».Cettetendanceàréglementer«dans les détails»s’exprimeno-tammentàtraverslestrente-troisexigencesobligatoires(etlesquarante-quatreexigencesfacultativesrelativesauxmodulescomplémentaires)dulabel«Formation»etlessoixante-treizeexigencesdulabel«Audit».
![Page 117: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/117.jpg)
111
Parole d’expert à propos du label Formation de la CNIL
«Cela rentre dans un degré de détails et de bureaucratie qui est dingue. Par exemple, on m’a dit : « Il manque la définition du consentement art. 2h de la di-rective. » Vu que c’est une justification sur pièces, le travers est que dans l’idée d’instruire vraiment le dossier toutes les pièces sont examinées et qu’il faudra tout faire. »
Iciencoreonretrouvelereprochedumanquedeflexibilité,demargedemanœuvrelaisséeaudemandeur:uninterviewéexplique:«ce n’est pas assez souple. Ensuite, il y a certaines exigences qui sont à côté de la plaque du besoin terrain».Unsecondsouligne«On est sur du théorique et théoriquement, on peut faire une belle procédure et remplir toutes les exigences sans même connaître ce qui se passe sur le terrain».Enparticulier,lelabel«Audit»netientpascomptedelatailledel’organismeetdesanature(cabinetsdeconseils,entreprises,etc.).Enoutre,àl’inversed’EuroPriSe,ilimposederéunirenamontdescompétencesjuridiquesettechniques,cequisuppose«de trouver son âme sœur»avantdedéposerledossier.Cepointestbloquantpourcertainespersonnes.
L’unique label décernéenmatièrede coffre-fort en juillet 2016 s’expliquepar le faitqu’unepartiedel’unedesesvingt-deuxexigencesposeproblème:eneffet,lesproduitsproposésparlemarchénechiffrentpaslesnomsdesfichiersdéposésdanslescoffres-forts.LaCNILjustifiesadoctrineparlefaitquecesmétadonnéesprésententlemêmedegrédesensibilitéqueledocumentlui-même.
Cette«hyper-bureaucratisation»soulignéeparunexpert«découle du fait que les la-bels CNIL ont été conçus comme des cahiers des charges dans un processus qualité, comme pour une entreprise fabriquant des produits alimentaires ou de grande distribution. C’est une logique qui segmente, décompose et met davantage l’accent sur les processus que sur le fond et la substance. En matière de formation, c’est particulièrement discutable, voire stérilisant».
Poursapart,JohannaCarvais,ResponsabledupôleLabelsdelaCNILen2015ex-plique:«plutôt que de les [les labels] fonder sur le strict respect de la loi, la CNIL a pris pour habitude d’aller au-delà de la loi et de veiller à ce que les exigences qui vont servir de référence à l’analyse de conformité reflètent a minima les recommandations usuelles de
![Page 118: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/118.jpg)
112
la CNIL et les bonnes pratiques en règle générale. En effet, tout le monde est censé res-pecter la loi. Un label qui attesterait de la conformité à la loi devrait en théorie être délivré à tous. Or, ce qui fait la force et l’intérêt d’un label est justement qu’il va servir à distinguer les bons acteurs des moins bons. En ce sens, il ne pourra être délivré à tous les acteurs d’un même marché, sauf à perdre en crédibilité. Il doit permettre de discerner les acteurs et de mettre en avant ceux qui l’ont obtenu afin de leur donner un véritable avantage concurren-tiel. Le label sera perçu à ce tire comme un atout économique. »27
Une fois le label obtenu,laquestionduretoursurinvestissementpourleslabelsCNILsuscitedesavisdivergents:pourcertains,lelabel«n’a pas permis de vendre plus».Pourd’autres,notammentdescabinetsd’avocatsetdescabinetsdeconseil,lefaitd’êtrelabelli-séattireraitplusdeclients.Lelabelestperçupositivement,commeunatoutconcurrentiel,notammentenB2Bàl’égarddesorganismespublicsdanslecadredelapassationdemarchéspublics.Àcetégard,onnotequelaloideprotectiondesdonnéesduLanddeSchleswig-Holsteindisposequelapréférencedoitêtreaccordéeauxproduitscertifiés28. Poursapart,laloifédéralesuisseprévoitquelemaîtredufichiern’estpastenudedécla-rersonfichiers’ilaobtenuunlabeldequalité29.
Paroles d’experts à propos du label Formations
«Je n’ai jamais vu un client dire : je suis venu chez vous parce que vous êtes la-bellisé. Je n’ai pas l’impression que ça m’a apporté plus de monde. C’est ça qui est curieux ! »
27 CarvaisJ., (2015).Le labelCNILcommeoutildeconformité, in AFCDP, Correspondant Informatique et Libertés, Bien plus qu’un métier,pp.500.
28 Art.4§2delaloideprotectiondesdonnéesduLanddeSchleswig-Holstein.
29 Art.11a,al.5,fdelaloifédéralesuissesurlaprotectiondesdonnéesdu19juin1992(modifiéeendernierlieule1erjanvier2014)(CH301).
![Page 119: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/119.jpg)
113
Pourautant, demanièreparadoxale, denombreux labellisésCNIL renouvellent leurdemande:«je vais redemander le label Formation pour des questions d’image»30. Les expertsaccréditésEuroPriSeréitèrentleuraccréditationpourlamêmeraison.
EnFrance,certainsorganismeslabellisésCNILquiontinvestientempspourobtenirunpremiertypedelabel,envisagentd’endemanderunsecond.Ayantdéjàeffectuéletravailde«défrichage»etayantappréhendélaméthodedetravaildelaCNIL,lademanded’unautrelabelleurparaîtbeaucoupmoins«chronophage».
Parole d’expert
«J’ai mis 15 jours/homme à obtenir le label CNIL Formation. Je pense mettre 10 jours pour obtenir le label Audit.»
Ilestimportantdenepasoublierquecesdémarchesetprocessdelabellisationsontrelativementrécents,encequiconcernedumoinslesdonnéespersonnelles.Lagéné-ralisationdeleuradaptation,àlafoissurleplanéconomiqueetsociétaldanslesusages,s’inscritnécessairementdansunetemporalitépluslongue.Commelesouligneunavocat,«nous ne sommes qu’au début d’une longue histoire».
Qu’en est-il pour les organismes non-labellisés CNIL ?Àcetégard,lecoûtfinancierettemporeldoitêtremisenrelationaveclesbénéficesat-
tendusparl’entreprise.D’unemanièregénérale,cesbénéficesnesemblentpaspourl’ins-tantsuffisammentélevés,lesrisquesliésàunenon-conformitéétantrelativementfaibles.Lessanctionscivilesetpénalessontactuellementquasi-inexistantes.Lestreizesanctionsprononcéespar laCNILen2016(4sanctionspécuniaireset9avertissements,dont4renduspublics)n’ontriend’incitatif.LaCNIL,eneffet,n’estpasculturellementuneautoritérépressive.Lesera-t-ellelorsqueleRGPDentreraenvigueuretqu’ellepourraprononcerunesanctionfinancièrepouvantallerjusqu’à20millionsd’eurosou4%duchiffred’affairesannuelmondial?
30 Plusprécisément,lestauxderenouvellementsontquasimentde100%pourlelabel«Formation»etde50%pourlelabel«Audit».
![Page 120: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/120.jpg)
114
Paroles d’experts à propos du label Gouvernance de la CNIL
« Personne n’a voulu y aller. … les entreprises sont très attentistes par rapport au nouveau règlement en France. C’est lié au fait qu’il n’y a pas de sanctions. C’est une gestion des risques en entreprise.»«… la violation des données n’est pas assez sanctionnée, à défaut les entreprises iraient plus vers ce genre d’outil. Vu que ce n’est pas le cas, quel intérêt ?»
Quand bien même les sanctions financières seraient élevées, les entreprises neconçoiventpaslelabeluniquementcommeuninstrumentdeprolongationdelalégislation.Eneffet,lepointdeconsensusestdifficileàtrouver« entre le plus que souhaite la CNIL dans un label et le plus que l’entreprise souhaite mettre en avant ».Ceplusvaau-delàdelavolontédemettreenavantsaconformité.
Parole d’expert
«Il y a une espèce de blocage sur la communication que l’entreprise souhaite dé-velopper car la seule chose qu’elle espère et qui est une monnaie forte est que ça soit conforme à la communication qu’elle développe.»
![Page 121: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/121.jpg)
ClaireLevallois-Barth
Chapitre 7. Les labels visant à susciter la crédibilité : des pratiques existantes vers l’amélioration de qualité
![Page 122: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/122.jpg)
116
Alorsque les labelsde typeCNILetEuroPriSepoursuiventunobjectifdeconformi-téallantau-delàdesobligations légales (cf.Chapitre6), d’autressignesextérieursdeconfiances’inscriventdansunetouteautredémarche:celledelarecherchedeconfiancepar la crédibilitéde lamarque (7.1.).Cessignes,délivréspardesprestatairesprivés,prennentplacedansunmarchéfortementconcurrentielauseinduquellesorganismessouhaitantêtrelabelliséssontconfrontésàuneoffremorcelée,peuconnuedugrandpu-blic(7.2.).Enoutre,unepartiedel’offresecaractériseparunelabellisationdepratiquessusceptibled’induirel’utilisateurenerreuret,contrairementàl’objectifrecherché,desus-citerdesréactionsmitigées,sicen’estdeladéfiance(7.3.).
7.1. La recherche de confiance par la crédibilité
Comme lesouligneunepersonne interrogéedans lecadredesentretienseffectuéspourcetouvrageentreoctobre2015etseptembre2017,«donner de la confiance à l’utili-sateur, ce n’est pas forcément par rapport à un texte de loi ou un cadre légal référencé, qui ne sont d’ailleurs pas connus de l’utilisateur final».
Le signe d’un engagement proactif à l’égard des données personnellesCetterecherchedecrédibilitépeutaussiviseràréduirel’asymétried’informations1 en
communiquantauprèsdupublicsurlapolitiquedeprotectiondesdonnéespersonnellesmiseenplaceparl’organisationetlesmesuresadoptéespouryparvenir.Danslecontexte
1 Lanotiond’asymétried’informationsestdéveloppéeaudébutduChapitre9.
7.1. Larecherchedeconfianceparlacrédibilité ...................116
7.2. Unmarchéfortementconcurrentiel................................121
7.3. L’effetpotentiellementtrompeur ......................................1267
![Page 123: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/123.jpg)
117
delalabellisation,ellesesitueau-delàd’unesimpledéclarationmarketing,quipeuts’avé-rerpeuconvaincanteetparfoiscontre-productive,enapportantdesgaranties.
Parole d’un tiers de confiance
«Le label, c’est un process qualité et commercial. Ce n’est pas une démarche de conformité. Ce n’est pas une assurance d’être conforme, et on peut atteindre la conformité autrement. »
La démarchevolontairesignifiequecertainesmesures–certainsdirontunminimumd’exigences–sontmisesenœuvreeninterneetquecetteimplémentationestvérifiée,assuréeparune interventionextérieure.Ellenesignifiedoncpasqu’iln’existeouqu’iln’existerapasdedétournementéventueldedonnéespersonnelles,maisquel’organismelabelliséentendporterseseffortssurlaprotectiondesdonnéespersonnellesetqu’ilenfaitunargumentcommercial.
Àcettefin,iladopteunengagementclairvis-à-visdesesclientsetchoisitlesélémentsqu’ilsouhaitemettreenavantafind’assurerlacrédibilitédelamarquesurlelongterme.Cesélémentsentendentgarantirdesengagementsquiparnaturediffèrentduseulrespectdelaréglementation.L’organismedéfinitsesaxesdecommunicationetl’argumentaireparlesquelsilentenddémontrerqu’iladhèredefaçonconcrèteàcertainesnormestechniquesoujuridiques,àcertainesvaleursoucertainsprincipeséthiques.Lastratégien’estdonc
Les labels visant à susciter la crédibilité : des pratiques
existantes vers l’amélioration de qualité
![Page 124: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/124.jpg)
118
passiéloignéed’unedémarchededéveloppementdurableetderesponsabilitésocialed’entreprise.
Parole d’expert d’un organisme de certification
«Un label, c’est le best effort. J’ai des imperfections mais je me donne les moyens de les traiter… on doit apporter des preuves qu’au moins, on essaie de faire.»
Rédigédansunlangagequiseveutcompréhensible,lescritèressontaxéssurlequo-tidiendel’entrepriseetdel’utilisateur:lesbonnespratiquesappliquéesdanslecadreducloud(parexemple, lefaitquelesdonnéessontstockéesuniquementenEurope), lesgarantiesapportéesdans l’utilisationdesalgorithmesoudecertainstypesdedonnéespersonnelles(donnéesrelativesauxmineurs,donnéesdesanté),l’utilisationd’unetech-nologierenforçantlaprotectiondelavieprivéecommeunetechniqued’anonymisation,laparticipationaufonctionnementd’unelisted’oppositionenmatièredemarketingdirect.
La labellisation se présente donc comme une stratégie marketing parmi d’autres.Certainsorganismesontainsioptépourd’autressignesdeconfiance,notamment:
• enchoisissantuneformepurementdéclarativeencommuniquantsurson«Engagement envers la transparence»2,enadoptantsaproprechartedesdonnéespersonnelles3ouenadhérantàuncodedeconduite4
• ensensibilisantlesinternautessurlesrisquesliéesauxdonnéespersonnellesetenlesaccompagnantdansla(re)priseenmaindeleuridentiténumérique5
• encontribuantàlaconstructiond’unécosystèmedeconfianceenfournissantdesoutilstechniquesauxdéveloppeurstiersd’applicationsafinquecelles-ciinformentl’utilisateurfinalsurlefluxdedonnéespersonnellescréé6
2 AXA,Commitment to transparency,https://group.axa.com/en/about-us/data-privacy
3 Charted’Orangerelativeàlaprotectiondesdonnéespersonnellesetdelavieprivée-janvier2010(miseàjour:décembre2014),https://bienvivreledigital.orange.fr/mes-donnees-mon-identite/charte-protection-des-donnees-personnelles-et-de-la-vie-privee;Créditagricole,Chartedesdonnéespersonnelles,https://www.credit-agricole.fr/nos-engagements/charte-des-donnees-personnelles.html
4 Cloud Infrastructure Services Providers in Europe(CISPE)Code Of ConductquientendanticiperlamiseenœuvreduRGPD,https://cispe.cloud/code-of-conduct/
5 MAIF,mesdatasetmoi,https://www.mesdatasetmoi.fr/
6 Orange Trust Badge,https://partner.orange.com/trust-badge/
![Page 125: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/125.jpg)
119
• ensesituantdansunengagementdeconformitéjuridiqueetenadoptantdesrèglesinternesd’entrepriseapprouvéesparlesautoritésdecontrôle7
D’autresentreprisespréférerontsimplementnepasapporterdegarantiesetproposerontunprixpluscompétitif.Undesavantagesdelalabellisationvisantàsusciterlacrédibilitéestqu’elleestsus-
ceptibled’enclencherplusfacilementunedynamique internequ’une labellisationvisantàprouverlaconformité,plusexigeanteoumoinsadaptéeàlaculturedel’organisme.Ladécisiondelabellisationestunedécisionstructurantepourl’organisme:trèssouventpriseauniveaudeladirectiongénérale,samiseenœuvreimpactediversesfonctionsoudiversmétiersquiparticipentauxtraitementsdedonnéespersonnelles(systèmed’information,juridique,marketing,audit,conformité,qualité,etc.)etmobiliselessalariés.
Laprocédured’évaluationpermetd’identifierlesforcesetlesfaiblesses.Àcetitre,elleestsusceptiblededébouchersurunedémarched’améliorationdelagouvernanceinternedesdonnéespersonnelles.
L’éventuel effet levier : la démarche d’améliorationCettedémarched’améliorationestlesignequenousnoussituonsnonplusdansune
approchepurementréglementairemaisdansunsystèmedegestiondesrisquesencourusàlafoisparleresponsabledutraitementetlespersonnesconcernéesparlesdonnées.Elleestnotammentprônéeparl’AFNORNormalisation,laquellepréconise«une approche par les risques, qui […] s’inscrit dans un processus itératif d’amélioration continue de la sécurité et de la protection des données personnelles»8.
Onvoitainsifleurirlesoffrescommercialesdesorganismesdecertificationetdesan-noncesquientendaccompagnerl’entreprisepouridentifierlesrisques,mettreenœuvredesmesuresadaptéespourlesdiminueretapporterdesgarantiesdeprogrèsàl’utilisateur.
Mêmesisonréférentieln’estpasspécifiquementdédiéàlaprotectiondesdonnéesper-sonnellesmaisporteenparticuliersurlasécuritédesinformationsalignéeaveclanorme
7 HP,Qu’est-cequelesBCRHP?,http://www8.hp.com/fr/fr/binding-corporate-rules.html
8 AFNOR Normalisation, Guide Protection des données personnelles: l’apport des normes volontaires,janvier 2017, p. 6, http://normalisation.afnor.org/wp-content/uploads/2017/02/AFNOR_Guide_Protection_des_donnees_perso_HD.pdf
![Page 126: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/126.jpg)
120
ISO27001,lelabel«Cloud»estàcetégardemblématique.Ilproposetroisniveauxdegarantie:
• Niveau initial :lesdéclarationsducandidatquiprennentlaformed’uneauto-éva-luationsontvérifiéesparunexpert.Celui-cipeutexigerdesinformationsoudocu-mentsfaisantlapreuvedel’évaluation.
• Niveau confirmé : l’entreprise doit obligatoirement fournir une liste de docu-ments et l’auditeur peut exiger du candidat des informations ou documentscomplémentaires.
• Niveau expert :l’entrepriseestauditéesursiteparunauditeuretsesclientsseprononcentsurleurperceptionduservicerendu.
Selonsonniveau, le labelestdélivrépour2ans (initial),3ans (confirmé)ou4ans(expert).Lorsdesapremièrecandidature,l’entreprisechoisitleniveaudesonchoix.Àl’occasiondu renouvellement,ellepeutopterpour lemêmeniveauoupourunniveausupérieur.Sielledemandelemêmeniveau,lanoteobtenuelorsdurenouvellementdoitêtresupérieureàcelleobtenuelorsdelaprécédentelabellisation;siellecandidatepourleniveausupérieur,leniveaud’exigencess’accroîttantpourlamoyennefinaledescaracté-ristiques,quepourlanoteminimumrequisepourchaquecaractéristique.
LelabelADELrecourtégalementàlanotation,viaunsystèmedescoringetderatingpardimension,accompagnéderecommandationsetdepréconisations9.
Poursapart,BureauVeritas«voit mal comment l’entreprise va pouvoir revendiquer, avec 100 % de certitude, que dans la totalité de ses systèmes et bases de données, sur un périmètre élargi à l’ensemble de ses filiales, à l’ensemble de ses fonctions, que la protection de la Privacy est sans faille»10.C’estpourquoil’organismedecertificationaannoncésonintentiondeproposerun«système de labels»à«trois niveaux permett[ant] aux entreprises d’être certifiées selon leur niveau de maturité»:
• le label«ProduitouservicePrivacybyDesign»permettraitàl’organisme,dansunedémarchedeconformité,des’engageràl’échelled’unproduitoud’unservice
9 LabelADEL,AlgorithmDataETHICSLABEL,http://www.adel-label.com/label-adel/
10 BureauVeritas,Rétablir la confiance dans leBigData, novembre 2016, http://www.move-forward-with-privacy.bureauveritas.com/wp-content/uploads/2016/11/Bureau-Veritas-brochure-francais-donnees-personnelles-2016.pdf.
![Page 127: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/127.jpg)
121
«en mettant en œuvre une conception d’offre, une architecture de données et des moyens de type «pseudonymisation» ou autres». Ce label permettrait«de démarrer dans la certification Privacy sans transformer l’ensemble de l’architecture IT»
• lelabel«CertificationGouvernance»sesitueraitdansuneapprochequalitépluslargedanslaquellel’organismeferaitlabellisersonsystèmedemanagementdeladonnée
• lelabel«RGPD»proposeraitunecertificationvolontairedeconformitédécernéesurlabased’unréférentieldécoulantdurèglement;ilpermettraitàl’organismededémontrerqu’ilrespectelalégislation(cf.Chapitre8)11
Cependant, lesentreprisesqui souhaitent s’orienter versun label de«qualité» ren-contrent actuellement des difficultés pour trouver une offre adaptée à leurs besoins.Certainesrenoncentmêmeàsefairelabelliseralorsmêmequelemarchéestfortementconcurrentiel.
7.2. Un marché fortement concurrentiel
Danslecadredesadémarched’auto-régulation,l’entreprisevaêtreconfrontéeàuneoffreéclatée,peuconnuedugrandpublic.CommelesouligneBureauVeritas,«la multipli-cation des labels pourrait produire l’inverse de l’effet visé : au lieu de restaurer la confiance, augmenter la confusion»12.
Une offre éclatée EnFrance,lemarchéentendprincipalementrépondreaubesoind’uneprofession,ou
rassurersurl’emploid’unetechnologie.Aucunlabeln’aétéattribuéencequiconcernelesrécentslabels«E-vote»delaFNTCetlelabel«ADEL».Lelabel«Cloud»deFranceITestdélivréàneufentitésetlelabel«CloudConfidence»àdeuxentreprises(voirtableaupagesuivante).Onconstatedoncquepeudelabelssontattribuésàdesorganismes.Unepremièreexplicationpossibleestcelleliéeàlaconcurrenceentreprestataires.
11 Cette intentionaétéconcrétiséepar lapublicationdébutoctobre2017duTechnical Standard for Data Protection Technical Standard related to personal data protection in compliance with the regulation(EU)2016/679, http://www.bureauveritas.com/home/news/business-news/worlds-first-personal-data-protection-standard.
12 BureauVeritas,RétablirlaconfiancedansleBigData,novembre2016,op.cit.p.11
![Page 128: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/128.jpg)
122
Parole d’un avocat
«C’est la concurrence qui fait que ça ne marche pas dans le secteur privé. Celui qui a monté un label a beaucoup travaillé avant de présenter son offre à un pre-mier client. Il a donc fortement investi. La perspective qu’il puisse fusionner avec un éventuel concurrent qui va se tirer la part du lion sur la capacité à vendre des prestations fait que l’on n’a que des boutiques. »
Organisme Nom du label Objet Référentiel Créé en…
Nombre de
labellisés
Adel
ADEL(Algorithm Data Ethic
Label)
Services/Algorithmes Règleséthiques 2016 0
CloudConfidence
CertificationCloud
Confidence
Services/Cloud
Normeslégales+bonnespratiquesenmatièredesécuritédel’information
2014 2
FEVADMarquedeconfianceFEVAD
Services/Commerceélectronique
Normeslégales+codedéontologiquedu
e-commerceetdelaventeàdistance–FEVAD
1957 400+
FNTC E-VoteServices /Vote
électronique
RecommandationCNILrelativeàlasécuritédessystèmesdevote
électronique
2016 0
FranceIT LabelCloud Services/Cloud
200bonnespratiquesenmatièredecloud 2012 9
Tableau 9. Labels de « qualité » proposés par les organismes privés français
Parexemple,lelabel«Site»lancéen1999parlaFEVADetlaFédérationdesentre-prisesducommerceetde ladistribution (FCD)pour lessitesdee-commercen’apasémergéalorsmêmequesesvingt-septrèglesavaientétéélaboréesenconcertationaveclaDirection générale de la concurrence, de la consommation et de la répression desfraudes(DGCCRF)etlaCNIL.L’explicationavancéeparuntiersdeconfianceviendraitdufaitquelesentreprisesbénéficiantd’unegrandenotoriéténepercevaientpaslanécessitéde la labellisationcarellesétaientdéjàmembresd’autres fédérationsprofessionnellesdontellesrespectaientlesrèglesdéontologiques.Dèslors,ellespréféraientbénéficieruni-
![Page 129: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/129.jpg)
123
quementdelamarquedeconfianceFEVAD.Lelabel«Site»restaitintéressantpourlespetitesentreprisesquisouhaitaientsefaireconnaîtredugrandpublic,maisquifinalementrenonçaientàl’obtenircarilleurdemandaituneffortfinanciertropimportantenraisondelarémunérationd’untierscertificateur(quis’ajoutaitauprixde1000eurosdelacotisationàlaFEVAD).
Danslesecteurdel’informatiqueennuage,oncomptedeuxlabelsfrançaisrivaux,quidesurcroîtsontenconcurrenceavecl’initiativeeuropéenneCISPE(Cloud Infrastructure Service Providers in Europe)quidepuis2016regroupeunevingtainedefournisseursd’in-frastructurescloudenprovenanced’unequinzainedepays.Uneautredifficultérésidedanslanaturedesacteurs impliqués.Leslabels«Cloud»
sontportéspardesorganismesetsociétésfrançais.Orlemarchéestdominépardesfournisseursaméricains(Amazon,Google,IBM,Microsoft,Oracle,Salesforce…)quinesoutiennentpascesinitiatives,cequienlimitegrandementlaportée.Google,notamment,refused’indiquerlalocalisationdesdonnées.
La marquedeconfianceFEVADdusecteurdelaventeàdistance,proposéedepuis1957, se distingue cependant par le nombre d’organismes labellisés, environ 400.Ceconstatn’estpaspropreàlaFrance.EnEurope,lesmarquesdeconfianceenmatièredecommerceélectroniquesedétachentpar lenombredemembresqu’elles fédèrent.Danscesecteur, laprotectiondesdonnéespersonnellesdesclientsconstitueunedescomposantesdelaconfiance,àcôtédegarantiesconcernantnotammentlalivraison,leretourdesproduits,leurremplacementouleurréparation.Cesmarquesfournissentdesniveauxdeprotectiondesdonnéespersonnelleshétérogènes,cettehétérogénéitéétantprincipalementliéeauxobligationslégalesnationalesetauxobjectifspoursuivisparl’as-sociationprofessionnellequidélivrelelabel.Ellesprésententl’avantagedesensibiliserlesadhérents.
► LeCodededéontologiedue-commerceetdelaventeàdistancedelaFEVADrappellelesprincipalesdispositionslégalesetexigequel’entrepriseadhérenterespectedeuxlistesd’opposition:l’unerelativeàlaprospectioncommercialetéléphoniqueetl’autreàlaprospectionparcourrierpostaldite«ListeRobinson–StopPublicité».
![Page 130: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/130.jpg)
124
► UnexempleintéressantconcernantlafournituredesignestangiblesdeconfianceestconstituéparlamarqueespagnoleConfianza Online.Soncodeéthiquedetrente-deuxpagesaétéofficiellementapprouvépartroisorganismespublics:l’Agenceespagnoledeprotectiondesdonnées,l’InstitutnationaldelaconsommationetleMinistèredel’industrie,ducommerceetdutourisme.
Cesmarquessesontfédéréesauniveaueuropéen.Iciaussi,laconcurrencedomineentredeuxorganisationsauxambitionssimilaires:l’European Multichannel & Online Trade Association(EMOTA)etl’associationdissidenteEcommerceEUROPE.
• L’association européenne Ecommerce EUROPE représente 25000 entrepriseset fédère dix-neuf associations nationales, notamment la FEVAD/France avecenviron 400 adhérents, BeCommerce/Belgique, Thuiswinkel/Pays-Bas avec2217labels,E-maerket/Danemarkavec2200labels.ElledélivregratuitementsamarqueECommerce Europe trust markà10000boutiquesenligne13,laquelledoitêtreaffichéeconjointementavecunemarquenationaleaccréditée.L’entreprisequienbénéficies’engageàrespecterlecodedeconduiteEcommerceEuropepourlemoinssommaireencequiconcernelesdonnéespersonnelles14etceluidel’asso-ciationnationalefondésurledroitnational.
• Demême, seuls les commerçants certifiés par un label national partenaire del’EMOTApeuventafficherlelabeleuropéenEMOTAsurleursite.
Des prix compétitifsSi les prixsonttrèsvariables,carfonctionnotammentdupérimètredelalabellisationet
duniveaud’exigencesdesréférentiels,ilsdépendentleplussouventdelatailledel’orga-nismecandidatoudesonchiffred’affairesannuel:
• l’adhésionà laFEVADestpayante, lacotisationannuelleallanten fonctionduchiffred’affairede1000à35000€
13 https://www.ecommerce-europe.eu/ecommerce-europe-trustmark/
14 https://www.ecommercetrustmark.eu/the-code-of-conduct/ qui, en matière de données personnelles, secontented’affirmer:«Nous respectons votre vie privée, nous protégeons vos données et nous veillons à un environnement Internet sans danger. Nous sommes transparents et nous vous informons de la collecte et du traitement de vos données ainsi que des fins auxquelles nous les utilisons, y compris les informations sur notre politique en matière de cookies. Les données sont collectées pour exécuter le contrat et améliorer notre offre à votre intention ainsi que votre expérience d’achat. Vos données sont collectées conformément à la législation en matière de protection des données et de respect de la vie privée, et uniquement avec votre consentement explicite, dans la mesure où la loi l’exige».
![Page 131: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/131.jpg)
125
• leprixdulabelbelgeBeCommerce,enplusdel’adhésionàcetteassociationquicommenceà150€etquis’élèveà11000€au-delàd’unchiffred’affairede25mil-lionsd’euros,estde500€pourlepremierauditdecertificationd’unsiteweb,puisde200€pourlessitessuivants
• pourConfianza Online,lesfraisannuelscommencentà295€HTpourlesentre-prisesdontlechiffred’affairesestinférieuràunmilliond’eurosetaugmententpro-gressivementjusqu’à3500€HTsilechiffred’affairesdépasse25millionsd’euros
• lecoûtdulabel«Cloud»,entre1000à5500€HT,varieenfonctiondel’adhésionounonducandidatàFranceITetduniveaudelabellisationdemandé
• ladéclarationd’unservicecloudauprèsdeCISPE(Cloud Infrastructure Service ProvidersinEurope)revientà990€,cellesdetroisservicesetplusà2990€
Ontrouvecettemêmelogiquepourleslabelsaméricains:• pourobtenirlelabelTRUSTe,ilfallaitcompter399$(pourunchiffred’affaireinfé-
rieurà500000$)et8999$(pourunchiffred’affairesde2milliardsdedollarsouplus)
• pourlelabelBBBonline,200$pouruntotaldesventesinférieurà1milliondedol-lars,et6000$pouruntotaldeventeégalà2milliardsdedollarsouplus.
La première labellisation est souvent plus chère: les frais de certification sont parexemplede550€pourlelabelBeCommerceetde300€pourlarecertificationtouslesdeuxans.
D’aprèsuntiersdeconfiance,labarrièredes10000€seraitassezfortepourlespe-titesetmoyennesentreprisesquisontnéanmoinsprêtesàinvestir5000€.Cettesommedépendbienentendudesavantagesquel’entrepriseentendretirerdelalabellisation.Unavocatcitelecasd’unestart-uppourlaquelleleprixde40000€neparaissaitpasexces-sif:cetteentreprisedéveloppaitunetechnologie«extrêmement agressive vis-à-vis des données personnelles»etcherchaitàrassureràlafoissesinvestisseursetsesclients.
Parfois,lemontantnereflètepaslecoûtréelquedevraientfacturerlesauditeurs.Selonuntiersdeconfiance,cesdernierssesitueraientdansunelogiquedemarchéde«pre-mière approche»etproposeraientdesprix«très raisonnables»pourcapterlaclientèle.Ilsfactureraientensuited’autresprestations,danslecadred’unprocessusd’amélioration.
![Page 132: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/132.jpg)
126
Danslemêmetemps,denouvellesformesd’automatisationd’auditsontentraind’ap-paraître.Lamachine,àtraverslesalgorithmes,permeteneffetd’automatisercertainesévaluationsetd’endiminuerlecoût.StarAudit,parexemple,facture400€l’auto-évalua-tionetlapublicationdurapport.
Lalabellisationenmatièrededonnéespersonnellesestdoncuneactivitééconomiqueconvoitéeparuncertainnombredeprestataires.«Il en résulte qu’elle comporte une cer-taine ambivalence attestée, dans les champs classiques où un retour d’expérience a pu être établi, par le constat de pratiques de certification à la fois non conformes aux exi-gences de la protection des consommateurs et néfastes sur un plan concurrentiel.»15
7.3. L’effet potentiellement trompeur
Ladémarchede«qualité»estsusceptibled’effetsquiportentàconfusionetquirisquentd’induirel’utilisateurenerreur.
D’une part, le référentielde«qualité»peutrevêtirunniveaud’exigencesvariable.Encequiconcernelecadrelégal,onsouligneradefaçonpositivequel’onytrouvelesprincipalesobligationsenmatièredeprotectiondesdonnéespersonnelles(licéité,proportionnalité,fi-nalité,transparence)issuesdeladirective(UE)95/46/CEet,àpartirdu25mai2018,duRèglementgénéralsurlaprotectiondesdonnées(désignéesdansleschémaci-contreparOB_RGPD).Lagarantieapportéeparlelabelportesurcesexigences(OB_RGPD1,OB_RGPD2);ellenesignifiepaspourautantquel’organismelabelliséafaitévaluersaconformitéencequiconcernesesautresobligationslégales(OB_RGPD3,OB_RGPD4).
Quantauxcritèresde«qualité»désignéparCR_Q,quipardéfinitionnerelèventpasduchamplégislatif,ilsoffrentdifficilementdespointsdecomparaisonentrelesdifférentsréférentiels:uncritèrepeutparexempleportersurl’adhésionàunelisted’oppositionetsamiseenœuvrepratique(CR_Q1),unautresurl’hébergementdesdonnéessurleterritoiredel’UE(CR_Q2),unautreencoresurladésignationd’unCorrespondantInformatiqueet
15 Penneau,A.(2014).Certificationetcodesdeconduiteprivés:article38et39(dansleurversionoriginelle),in La proposition de règlement européen relatif aux données personnelles : propositions du réseau Trans Europe Experts, sous ladirectiondeNathalieMartial-Braz,Sociétéde législationcomparée, volume9,2014,p.351.
![Page 133: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/133.jpg)
127
Libertésdansdescasoùcettedésignationn’estpasjuridiquementobligatoire(CR_Q3)oulasimpleexistenced’unepolitiqued’entreprise(CR_Q4).
Lagarantieapportéeicisignifiequelesexpertsontsimplementvérifiéquel’entrepriseabienmisenplacedesbonnespratiquespouratteindredesexigences.Typiquement,unla-belportantsurlagouvernancedesdonnéespersonnellesestunengagementàrespecterdesprocéduresdequalité,etnonpasàeffectueruntraitementdedonnéespersonnellesdequalité.Celayparticipe,certes.
► L’exempleemblématiqueesticilelabelaméricainTRUSTequilabellisel’existenced’unedéclarationdel’entreprise:ilnevérifiepasquelapolitiquemiseenplaceestlabonne.
Figure 1. Les effets de confusion
Niveau RGPD
0 1 2 3 4 5temps0
0,5
-0,5
-1
1
OB_RGPD1CR_Q1
OB_RGPD1OB_RGPD2OB_RGPD4CR_Q3
OB_RGPD1OB_RGPD2CR_Q1
OB_RGPD1OB_RGPD2OB_RGPD3CR_Q1
OB_RGPD1
OB_RGPD3CR_Q4
OB_RGPD1OB_RGPD2OB_RGPD3CR_Q2
Label X
Label CNIL
Label X
Label X
Label Y
Label X
scénario 2
scénario 1 scénario 3
![Page 134: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/134.jpg)
128
Parole d’expert d’un organisme de certification
«On est très « bonne pratique ». On restreint les exigences à l’existence d’une po-litique d’entreprise mise en œuvre réellement. On vérifie qu’il y a bien une subs-tance derrière l’engagement. C’est plus une approche anglo-saxonne.»
D’autre part,latemporalitéintervientdefaçonnonnégligeable.L’évaluationesteffec-tuéeàuntempsT0pouruneduréequivariedeunàcinqans.Lescontrôlesa posteriori semblentrarespendantcettepériode.Ontrouveeneffetparmileslabelsexistantspeud’informationssurunquelconquesuivialorsmêmequeleproduit,serviceoulesrèglesdegouvernancequiontétéévaluésontcertainementévoluéentre-temps.Leslabelsquiprévoientunevérificationnecommuniquentpassurlaréellemiseenœuvredecelle-ci,sibienquel’ons’interrogesurleurmatérialité.Lecontrôlesefaitprincipalementàtraverslerenouvellement.Onrelèvecetteambiguïténotammentdansledomainedesmarquesdeconfiancedecommerceélectroniqueoùlesuividurespectdesexigencesparlecommer-çantpeutallerdurenouvellementdelalabellisationàuncontrôlesporadiqueoucontinu.
► Parexemple,lelabelBeCommerce(Belgique)énoncedanssonrèglement:«chaque début d’année, 20% des sociétés qui ont obtenu le label de qualité et qui, par conséquent, sont liées par les règles de certification de BeCommerce, seront sélectionnées au hasard par un huissier de justice pour faire l’objet d’une procédure de certification de contrôle. Ces certifications seront réparties sur toute l’année et les sociétés impliquées ne seront évidemment pas informées de ce contrôle.»16
Lescritèreseux-mêmespeuventvariersurladurée,cequiestclassiquedansledomainedelacertification:leniveauglobaldeprotectionpeutaugmenterou,aucontraire,diminuersicertainesexigencessontsuppriméesousi,plussubtilement,ellessontmodifiées.
La crédibilitépasseaussiparl’informationdupublic.Ellesematérialiseparlamiseenplacedansl’intérêtdetouteslespartiesdesmécanismesderésolutiondesconflitsdanslecasoùunlitigesurviendraitentrel’entrepriselabelliséeetlapersonnedontlesdonnéespersonnellessontutilisées.Or, toutcomme laCNIL,certains labelsn’indiquentqu’une
16 https://www.becommerce.be/upload/Label_FR_Reglement201420140313144711.pdf
![Page 135: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/135.jpg)
129
adressemaildecontactsansautreprécision;lesmarquesdeconfiancedusecteurducommerceélectroniqueetde laventeàdistanceprivilégientuneprocéduredemédia-tionetcommuniquentlargementàsonpropos,commeConfianza online,Trust Shops et ESRB.Cettequestiondesréclamationsouplutôtdel’absencedepossibilitésderéclama-tionscrédiblesseposeégalementdanslecadredel’accordsurlePrivacy Shield. Si l’ac-cordapermisd’introduirelemécanismedel’Ombudsperson,l’effectivitéetl’indépendancedecemédiateurposequestion17.
Unproblèmeparticulierestdonc lemanquedevolontéetdepouvoirde lapartdesorganismesdecertificationàprendredesmesurespourfairefaceauxabus,àl’encontredeleursadhérentslorsqu’ils’agitd’uneassociationoudeleursclientsencequiconcernelesorganismesprivésdecertification.Lessanctions,dumoinsannoncées,vontdusimpleavertissement,àunesuspensiontemporaireouunrenvoi,ouunesanctionfinancière18.
Lesrévocationssontrares.Lapublicitéquienestfaiteencoreplus(laFEVADpréciseque les sanctionsnesontpasrenduespubliques)alorsmêmequeleretraitestsupposéfonctionnercommeunincitateuràseconformerauxengagements.Lorsquel’américainTRUSTearetirésonlabelàGratis Internet of Washingtonen2005pournon-respectdelapolitiqued’informationrelativeauxmineurs,l’organismedelabellisationn’apasrendupubliclanaturedesviolations.L’argumentavancéétaitqu’ilétaitliéparunaccorddeconfi-dentialité19.Or,commelesouligneunavocat,«sanctionner les vilains petits canards paraît être la condition de la crédibilité et de la durée des labels».
Cependant,dansuncontexteconcurrentiel,ils’agitd’abordpourcertainsprestatairesdeparveniràlabelliserunnombrecritiquedeclients.Ceci impliquede«laisser passer avec de très larges fourches»lescandidatspourcréerunepremièrebasededonnéesclients.Cen’estquedansundeuxièmetemps,lorsquelenombredeclientslabellisésest
17 Voiràcepropos lediscoursdudéputéeuropéenClaudeMoraesdanslecadrede13eRencontrede laChaire Valeurs et Politiques des Informations Personnelles : «Les données personnelles dans lestraitésetaccordsinternationaux:lePrivacy Shield»du6janvier2017,https://cvpip.wp.imt.fr/2017/02/06/privacy-shield-claude-moraes-speech/
18 EuropeanParliament,DirectorateGeneralforInternalPolicies,APan-EuropeanTrustmarkforE-Commerce:PossibilitiesandOpportunities,study, IP/A/IMCO/ST/2012-04,July2012,http://www.europarl.europa.eu/RegData/etudes/etudes/join/2012/492433/IPOL-IMCO_ET(2012)492433_EN.pdf
19 Associated Press, ‘Privacy-Assurance Seal Yanked’, Wired, 2 September 2005, http://www.wired.com/techbiz/media/news/2005/02/66557
![Page 136: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/136.jpg)
130
suffisant,quel’organismepeutenvisagerd’élargircertainesexigencesetdesanctionnerlesmauvaisélèves.
Faceàcerisquedenivellementparlebasdelacertificationenmatièrededonnéespersonnelles,laquestionestalorsdesavoirquelstypesderèglesilconvientd’adopterpourencadrercemarchéetselonquelmodederégulation.Àcetégard,leRGPDlaisselaporteouverteàplusieursoptions(cf.Chapitre8).
Le cas américainAux États-Unis,leslabelsoumarquesdeconfiancesontnombreuxetd’origineprivée,
lelégislateurpréférantlaisserlemarchéserégulerparlui-même.Enl’absencedecadrelégalgénéralàl’instardel’Unioneuropéenne,lepaysdisposedequelquesloisfédéralessectorielles20.CertainsÉtats,comme laCalifornie,ontadoptédes législationsplusexi-geantesouimposélanotificationdesfaillesdesécurité21.Lelégislateurn’intervientdoncquedansdessecteursetpourdesusagesspécifiquescar,commel’asoulignéIsabelleFalque-Pierrotin, présidente de laCNIL, lors d’une rencontre organisée par laChaire Valeurs et Politiques des Informations Personnelles le 8 janvier 201622,«la protec-tion des données est très marquée par les sensibilités culturelles de chaque pays. Cette conception a des conséquences sur la régulation : nous [les européens] pensons que les données personnelles sont un droit fondamental tandis que les États-Unis se rattachent davantage à la protection des consommateurs.»
LaprotectiondesconsommateursetdelaconcurrenceestassuréeparlaCommissionfédéraleaméricaineducommerce(Federal Trade Commission–FTC).Àcetitreetsousceprisme,cetteagencefédéraleindépendanteintervientenmatièredeprotectiondesdon-
20 CommelePrivacy Actde1974pourlestraitementsdesdonnéeseffectuésparlegouvernementfédéraletsesagences,l’Health Insurance Portability and Accountability Act(HIPAA)de1996dansledomainedelasanté,le Children’s Online Privacy Protection Act (COPPA)de1998encequiconcernelesenfantsdemoinsde13ansouencoreleGramm-Leach-BlileyActde1999pourlesactivitésfinancières.
21 LaloicalifornienneOnline Privacy Protection Act of 2003 – Business and Professions Codeobligelessitesdecommerceélectroniqueouencorelessitescollectantdesdonnéespersonnellesd’habitantscaliforniensàafficherunedéclarationdeconfidentialité.D’autreslois,tellesquecellesduNebraskaoudePennsylvanie,sanctionnentlesdéclarationstrompeusesenmatièredeprotectiondesdonnéespersonnelles.
22 Chaire Valeurs et Politiques des Informations Personnelles, 10e rencontre Personal Data in the International Treaties and Agreements,8janvier2016.
![Page 137: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/137.jpg)
131
néespersonnelles23.Sonpremieretprincipaloutilconsisteàexigerd’uneentreprisequ’ellemettefinàsespratiquesillégaleset,lecaséchéant,àadopterdesmesurescoercitives.
► LaFTCpeutexigerlamiseenplacedepolitiquesclairesdeprotectiondesdonnéespersonnellesetdesécuritéoul’effacementdesdonnéesdesconsommateursobtenuesillégalement.En2011,elleaparexempleimposéàFacebookd’informerlesinternautesquantauxchangementsdesesconditionsgénéralesd’utilisationquipouvaientaffecterleurvieprivéeetleurfaireapprouver.
► LaFTCpeutégalementimposeràuneentreprisedesesoumettreàdesévaluationsannuelleseffectuéespardesexpertsindépendants,ouencoreuneréparationpécuniaireenfaveurdesconsommateurs.
En cas d’irrespect de ses injonctions, la Commission peut chercher à obtenir descondamnations pécuniaires. Outre l’atteinte à l’image demarque des entreprises, lesamendessontrelativementdissuasives:suiteauxnégociationsentreprisesaveclaFTC,Googleadûs’acquitteren2012delasommede22,5millionsdedollarspourmettrefinauxpoursuitesliéesàlasurveillancedesutilisateursdunavigateurSafari24.
Danscecontexte,leslabelsfondéssurdessystèmesd’auto-évaluationindiquentsim-plementauconsommateurquelesitepartageouvertementsapolitiquedeconfidentialité.Celle-ciprécise,parexemple,commentlesinformationssontcollectées,utiliséesetparta-géesetlafaçondontlapersonnepeuteffectueruncertaincontrôlesursesdonnées.Cetaffichageadoncpourobjectifd’informerleconsommateuretainsiluipermettredefaireunchoixéclairéquantàl’utilisationdesesdonnées.DesentreprisesinternationalementconnuescommeApple,Ebay,TheNewYorkTimesouencoreCisco,Disneyland,EAga-mes,HewlettPackard, IBM,McDonalds,OracleouVerizonsont labellisées.Certainescumulentmêmeplusieurslabels.
23 Notammentencequiconcernel’applicationdeloissectoriellesspécifiquescommeleFair Credit Reporting Act de1970ouleCOPPA.Enparticulier,lasection5duFederal Trade Commission Actinterditlespratiquesillégalesoutrompeuses.
24 LeréseausocialPathavaiten2013négociéaveclaFTCuneamendede800000$,soitprèsde588000€àl’époque,quis’ajoutaitàl’obligationdesesoumettreàunauditsurlaprotectiondesdonnées.En2014,Yelpavaitdûs’acquitterd’uneamendede450000$pouravoircollectédesdonnéesd’enfantsâgésdemoinsde13ans,sansleconsentementdesparents.
![Page 138: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/138.jpg)
132
Pourautant,l’apportréeldecessignesdeconfianceestquestionnéparlesassociationsdeprotectiondelavieprivéed’outre-Atlantique.L’associationPrivacy Internationalnotam-mentestimequ’ilscréentsouventune«illusion de protection de la vie privée»etn’ajoutentaucuneplus-valueauxobligationslégales25.
LecasdulabelaméricainTRUSTe,leplusgrandprestatairedecertificationenmatièredePrivacy,quiparticipeauxmécanismesd’auto-régulationmiseenœuvrenotammentpar la loiaméricainesur laprotectionde lavieprivéeen lignedesenfants (Children’s Online Privacy Protection Act–COPPA),lesaccordsSafe Habor et Privacy Shield conclus entrel’UnioneuropéenneetlesÉtats-Unis26,etlesrèglestransfrontalièresdeprotectiondelavieprivéedelaCoopérationéconomiquepourl’Asie-Pacifique(Asia-Pacific Economic Cooperation–APEC),estàcetégardemblématique.Cetteorganisationàbutnonlucratif,quiemployaitquatre-vingtsalariésetcomptait4000clients,effectuaitdescontrôlesau-prèsdesdétenteursdesonlabelqui,pourlemoins,laissaientàdésirer.Ainsi,laFederal Trade Commission (FTC)acondamnél’entrepriselabelliséeTRUSTeToyssmart.comenjuillet2000pournon-respectdesapolitiquedeprotectiondesdonnéespersonnellesetre-ventedesabasededonnéesclients27.Toyssmart.comn’estd’ailleurspaslaseulesociétédanscecas.
► Uneétudemenéeen2007adémontréquelessiteswebMicrosoft,Yahoo,ChaseManhattanBank,etGeocitiespourtantlabellisésTRUSTepratiquaientdespolitiquesdevieprivéediscutables.IlenallaitdemêmepourEquifaxquidisposaitd’unlabelBBBOnLine28.
25 PrivacyInternational, ‘Responseto theEuropeanCommission’sCommunicationonthe ‘ComprehensiveApproach onPersonalDataPrivacy International, January 2011, p. 11 http://ec.europa.eu/justice/news/consulting_public/0006/contributions/organisations/pi_en.pdf : “We have strong reservations about the value of ‘privacy seals’, which can often create an illusion of privacy protection without delivering anything additional to legal obligations, and we especially question the value of privacy seals operated by for-profit companies when the profits of the seal program are wholly dependent on the revenues from seal holders”.
26 Le16août2016,TRUSTeaannoncéqu’iltravaillaitavecplusde500entreprisespourévalueretvérifierlerespectdesnouvellesexigencesduPrivacy Shieldetfournirdesservicesderèglementdesdifférends,https://www.trustarc.com/press/500-companies-working-truste-comply-eu-u-s-privacy-shield/.
27 FTC v Toysmart.com, LLC, and Toysmart.com, Inc., District of Massachusetts, Civil ActionNo.00–11341-RGS,https://www.ftc.gov/enforcement/cases-proceedings/x000075/toysmartcom-llc-toysmartcom-inc.
28 LaRose,R.andRifon,N.,(2007).Promotingi-Safety:EffectsofPrivacyWarningsandPrivacySealsonRiskAssessmentandOnlinePrivacyBehavior(Summer2007),vol.41,JournalofConsumerAffairs12.
![Page 139: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/139.jpg)
133
► Unesecondeétudeissuedetravauxmenésàl’UniversitéaméricainedeCarnegieMellonen2010amisenévidencequelessiteswebdeFacebook,MSN,etAOL,quidisposaientdulabelTRUSTeEUSafeHarbor,n’utilisaientpascorrectementlaplateformedepréférenceP3P:sur2417labellisésTRUSTe-certifiedwebsites,134sitespratiquaientunepolitiquedegestiondescookiesproblématique,dont21figuraientparmilescentspremierssiteslesplusfréquentés29.
TRUSTe lui-même a fait l’objet d’une série de sanctions, dont une amende de200000$parlaFTCennovembre2014,pourpratiquestrompeuses:entre2007et2013,l’organismeavaitrenouvelétacitementlelabelde1000sociétéssanseffectuerlamoindrevérificationaposteriori30!
Iln’estdoncpassurprenantqueTRUSTeaitchangédenom.L’organismes’appelledésormaisTrustArcafin,dumoinsofficiellement,«de refléter notre transformation d’une société de certification en un fournisseur mondial de solutions de confidentialité fondées sur la technologie»31.
TrustArcproposecertainslabelsTRUSTeetcommercialisedessolutionsdegestiondelaconformitéaucadrejuridiqueeuropéen,enparticulierauRGPDetauPrivacy Shield.Cetyped’activitémarchandeemblématiquedudéveloppementactueldumarchédespresta-tairesdeservicesdecertificationetdelabelsenmatièrededonnéespersonnellesdoit-ilêtreréglementépourlimiterlesabuset,sioui,comment?QuellesréponsesnousapporteleRGPDàcetégard?
29 Leon,P.G.,FaithCranor,L.,McDonald,A.M.,andMcGuire,R.,(2010).Tokenattempt:TheMisrepresentationofWebsitePrivacyPoliciesThroughtheMisuseofP3PCompactPolicyTokens,CyLab.Paper73,http://repository.cmu.edu/cylab/73.VoirégalementConnolly,C.,Greenleaf,G.andWaters,N. (2014).Privacyself-regulationincrisis?TRUSTe’s‘deceptive’practices,132PrivacyLaws&BusinessInternationalReport,13-17,December2014.
30 FTC Approves Final Order In TRUSTe Privacy Case, https://www.ftc.gov/news-events/press-releases/2014/11/truste-settles-ftc-charges-it-deceived-consumers-through-its.
31 TheLeaderinPrivacyComplianceandRiskManagementSolutionsHasaNewName–TrustArc,https://www.trustarc.com/about/.
![Page 140: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/140.jpg)
134
« Assemblée » – Thierry Citron
![Page 141: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/141.jpg)
ClaireLevallois-Barth
Chapitre 8. Les mécanismes de labellisation issus du Règlement général sur la protection des données (RGPD)
![Page 142: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/142.jpg)
136
Le27avril2016,l’Unioneuropéenneaadoptélerèglement(UE)2016/679relatifàlaprotectiondespersonnesphysiquesàl’égarddutraitementdesdonnéesàcaractèreper-sonneletàlalibrecirculationdecesdonnées,abrogeantladirective95/46/CE(RèglementgénéralsurlaprotectiondesdonnéesouRGPD)1.Letexte,entréenvigueurle25mai2016,estapplicableàpartirdu25mai2018.Àcettedate,laloifrançaiseInformatiqueetLibertésdevraitêtreengrandepartiemodifiée.
Le RGPDsesituedans lacontinuitéde ladirectiveeuropéenne95/46/CE(DirectiveProtectiondesdonnées)2:ilreprendlesprincipesdeprotectionexistants(licéité,loyauté,transparence, limitationdesfinalités,minimisationetexactitudedesdonnées, limitationdelaconservation,niveaudeprotectionadéquatpourlesfluxtransfrontièresdedonnées,protectionrenforcéedesdonnéessensibles,etc.)toutenajoutantdenouvellesobligations(droitàlaportabilitédesdonnéespersonnelles,droitàl’oublinumérique,etc.)3.Unedes
1 Règlement(UE)2016/679duParlementeuropéenetduConseildu27avril2016relatifàlaprotectiondespersonnesphysiquesàl’égarddutraitementdesdonnéesàcaractèrepersonneletàlalibrecirculationdecesdonnées,etabrogeantladirective95/46/CE(Règlementgénéralsurlaprotectiondesdonnées),JOUE,n°L119,4mai2013,p.1.
2 Directive95/46/CEduParlementeuropéenetduConseil,du24octobre1995,relativeàlaprotectiondespersonnesphysiquesàl’égarddutraitementdesdonnéesàcaractèrepersonneletàlalibrecirculationdecesdonnées,JOCE,n°L281,23novembre1995,p.31.
3 VoirLevallois-Barth, C. (2017). Données personnelles : une réforme européenne pour un 21e siècle numérique, Revue TELECOM 185, juin 2017, https://cvpip.wp.imt.fr/062017-donnees-personnelles-une-reforme-europeenne-pour-un-21eme-siecle-numerique/
8.1. Lesmécanismesdecertification,élémentsparticipantàladémonstrationdurespectdelalégislation ..............138
8.2. Lesoptionsdemiseenœuvre ........................................141
8.3. LesperspectivesdemiseenœuvreduRGPDetlerôledesinstancespubliques ...........................................147
8
![Page 143: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/143.jpg)
137
nouveautésestconstituéeparlapossibilitéde«certifications, labels ou marques en ma-tière de protection des données personnelles».Eneffet, leRGPDutilise les trois termes:certification, label et marque.Dès lors,
existe-ilunedifférenceentrecestroisnotionsetsioui,laquelle?
Defaçonclassique,lerèglementconçoitlacertificationcommeunsignedeconformité,signequiprendraitlaformed’unlabel.Ilstipuleainsique«lorsque les critères sont ap-prouvés par le comité [Comité Européen de Protection des Données ou CEPD], cela peut donner lieu à une certification commune, le label européen de protection des données»4. Encequiconcerneleterme«marque»etlaconfusionqu’ilpeutapporter,deuxinter-
prétationssontpossibles.Selonlapremière,sonemploipourraitêtreinterprétécommelavolontéde laisser laporteouverteà l’éventuelle inscriptiondessignesdeconfianceauseindudroiteuropéendesmarques5.EnFranceparexemple,ils’agitd’unemarquedéposéeprotégeantlesdroitsdespartiestiercesautoriséesàlesutiliser.Lareconnais-sancejuridiqueconfèreaupropriétaireundroitexclusifd’utiliserlamarquedontl’utilisationnonautoriséeetdéloyalepeutdonnerlieuàuneactioncivilepourcontrefaçon6. Selon la secondeinterprétation,etauvudecertainespropositionsavancéeslorsdesnégociations
4 Art.42-5duRGPD.
5 Danscesens,Lachaud,E.,(2016).WhythecertificationprocessdefinedintheGeneralDataProtectionRegulationcannotbesuccessful.ComputerLaw&SecurityReview32,814–826.https://doi.org/10.1016/j.clsr.2016.07.001
6 Art.L.716-1duCodedepropriétéintellectuelle.
Les mécanismes de labellisation issus du Règlement général sur la
protection des données (RGPD)
![Page 144: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/144.jpg)
138
surleRèglement,onpeutpenserqueladifférenceentreles«labels»etles«marquesenmatièredeprotectiondesdonnées»resteessentiellementrhétorique7.Ainsi,leParlementeuropéenaassimilélesdeuxnotionslorsqu’ilaproposéque«les autorités de contrôle oc-troient […] la marque standardisée de protection des données dénommée label européen de protection des données»8.Concrètement,onnotequelesarticles42«Certification»et43«Organismesdecertification»duRGPDsefocalisentdansleursintituléssurlaseulecertification.Plusprécisément,l’article42énoncel’objectifdelacertification,qu’ilconçoitcommeun
outildedémonstrationdelaconformité(8.1.).Pourautant,lesmodalitésmêmededéli-vranced’unecertification,d’unlabeloud’unemarquenesontpasàcejourentièrementconnues,leRGPDcomprenantcertainesoptions(8.2.)etlaissantentrevoirplusieurspers-pectivesdemisenœuvre(8.3.).
8.1. Les mécanismes de certification, éléments participant à la démonstration du respect de la législation
Ainsi,lelabel,àcôtédelacertificationetdelamarqueenmatièrededonnéesperson-nelles,permetàl’entitéde«prouver»(ils’agit icid’uneprésomptiondepreuve)qu’elleamisenplacedesmesuresappropriéesetefficacespourrespecterlalégislation.Cettefacultés’inscritdanslecadred’unenouvelleobligation,l’obligationde«responsabilité»ou«accountability»(voirci-contre).Parfoistraduitepar«l’obligation de rendre des comptes»,elleimpliquede«met[tre] en
œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au […] règlement»9. L’objectifestdes’assurerquel’entitéquicollecteettraitedesdonnéespersonnellesamisenplacedesoutilspratiquesenvuedegarantirlaprotectioneffectivedesdonnées10.
7 Danscesens,Lachaud,E.,(2016).WhythecertificationprocessdefinedintheGeneralDataProtectionRegulationcannotbesuccessful.ComputerLaw&SecurityReview32,814–826.https://doi.org/10.1016/j.clsr.2016.07.001,précité.
8 RésolutionlégislativeduParlementeuropéendu12mars2014surlapropositionderèglementduParlementeuropéenetduConseilrelatifàlaprotectiondespersonnesphysiquesàl’égarddutraitementdesdonnéesàcaractèrepersonneletà la librecirculationdecesdonnées(Règlementgénéralsur laprotectiondesdonnées)(COM(2012)0011–C7-0025/2012–2012/0011(COD)),art.391sexies
9 Art.24-1duRGPD.
10 Danscesens,Groupedetravail«Article29»surlaprotectiondesdonnées,avisn°3/2010surleprincipederesponsabilitéadoptéle13juillet2010,WP173,p.3,http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_fr.pdf
![Page 145: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/145.jpg)
139
Le principe de responsabilité (« accountability »)
Dès1980,leprincipederesponsabilitéestreconnuexplicitementdansleslignesdirectricesrégissantlaprotectiondelavieprivéedel’OrganisationdeCoopérationetdeDéveloppementÉconomiques(OCDE).Ainsi,lepoint14précise:«Principedelaresponsabilité»:«Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus.»Ilestl’undesprinci-pauxconceptsducadredéfiniparl’OrganisationÉconomiquepourl’Asie-Pacifique(APEC)pourlaprotectiondelavieprivée(point26del’APEC Privacy Framework).IlfigureégalementdansladernièreversionduprojetdenormeISO29100établis-santuncadrepourlerespectdelavieprivée.
Cesoutilspeuventnotammentconsisteràappliquerunepolitiquedeprotectiondesdon-nées,uncodedeconduiteapprouvéoudesmécanismesdecertificationapprouvés.Ainsi,lacertificationn’estpasobligatoiremaisconçuecommeunélémentlaisséauchoixduresponsabledetraitementettenantàlasituationparticulièredesopérationsdetraitementsqu’ilopère.Elleluipermetdeprouverqu’ilamisenplacedesmesuresappropriéesetefficacespourrespecterlalégislation,enparticulierpourattesterdurespectdesdeuxexi-gences:celle,classique,desécuritédutraitement,etl’obligationnouvelledegarantirquelaprotectiondesdonnéesestassuréedèslaconceptiondutraitement(Data Protection by design)etpardéfaut(Data Protection by default)11.Lacertificationvaégalementpermettreauresponsabledetraitementdeprouverqu’ilafaitappelàunsous-traitantprésentantdes«garanties suffisantes»12.Enfin,elle intervient lorsduprononcédessanctions, lesautoritésdecontrôledevantlaprendreencomptepourdécider,s’ilyalieu,d’imposeruneamendeadministrativeetpourenfixerlemontant13.
Cefaisant,cesystèmedeprésomptionsimpleestconçucommeunoutilquidoit:• engendrerauniveauduresponsablede traitementunesécurité juridiqueen lui
permettantdeprouverquelesdonnéespersonnellesqu’iltransmetàunautreres-ponsabledetraitementontétécollectéesetpeuventêtreutiliséesentoutelégalité.
11 Voir « Identités numériques », Cahier n°1 de la Chaire Valeurs et Politiques des Informations Personnelles,coordonnéparClaireLevallois-Barth,p.67.
12 Voirconsidérant81etart.28-5duRGPD.
13 Art.83-2(j)duRGPD.
![Page 146: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/146.jpg)
140
• aiderlesutilisateurs-consommateursàvisualiserrapidementleniveaudeprotec-tiondeleursdonnées14.
Lerenforcementdelatransparences’opèreàundoubleniveau:celuidelapersonneconcernée(B2C)etceluidesresponsablesdetraitements(B2B).Elleconcerneainsitoutelachaîned’utilisationdesdonnéespersonnelles,deleurcollecteàleurtransmission,enpassantparleursous-traitance.
Lacertifications’adresseeneffetauxresponsablesdetraitementetauxsous-traitants,qu’ilsrelèventounonduchampd’applicationduRGPD.Ils’agitd’unaspectimportant:offrirlapossibilitéàunorganismeétablidansl’UnioneuropéenedetransférerdefaçonlégaledesdonnéespersonnellesàunorganismecertifiéRGPD,mêmesilepaysdansle-quelsontenvoyéeslesdonnéesnedisposepasd’unniveaudeprotectionadéquat.Cetteformed’exportation de la norme européennedeprotectiondesdonnéesdoitpermettreauxentreprisesnoneuropéennesd’entrerplusfacilementsurlemarchéeuropéen.
Transfert de données personnelles en dehors de l’Union européenne (articles 45 et 46 du RGPD)
Lorsd’untransfertdedonnéespersonnellesendehorsdel’Unioneuropéenne,leRGPDstipule,àl’instardeladirective95/46/CEProtectiondesdonnées,queletransfertnepeutavoirlieuqueversunpaystiers,unterritoireouunouplusieurssecteursdéterminésdansunpays tiers,ouuneorganisation internationale,quiassureunniveaudeprotectionadéquat.Ceniveaudeprotectionestreconnuparla Commissioneuropéenne,chargéedepublierdesdécisionsditesd‘adéquation.
Enl’absencededécisiond’adéquation,leresponsabledutraitementoulesous-trai-tantpeuttransférerdesdonnéess’ilprévoitdes«garanties appropriées ».
14 Cons.100duRGPD.
![Page 147: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/147.jpg)
141
Parmicesgaranties,figurentdesrèglesinternesd’entreprise,desclausescontrac-tuelles,uncodedeconduiteapprouvéou«un mécanisme de certification approu-vé […] assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appro-priées, y compris en ce qui concerne les droits des personnes concernées».Lesgarantiespeuventaussiprendre laformed’unaccord international,à l’instardel’accordconcluenjuillet2016entrelesÉtats-Unisetl’UE,lePrivacy Shieldetdontlesmodalitésmêmesdemiseenœuvrenesontpassansposerquestion15.
8.2. Les options de mise en œuvre
LeRGPDretientuneformulationsouplequipermetàtouslesschémasdelabellisationexistantsdecoexister,qu’ils’agissed’unlabelpublicdélivréauniveaunationaloudel’UE,oubiend’unlabeldélivréparuneassociationouunorganismeprivé.Desoncôté,l’orga-nismedecertificationprivédevraobtenirunagrémentqui,luiaussi,pourraêtreaccordédedifférentesmanières.
Des labels délivrés soit par une autorité publique, soit par une entité privéeSelonlesrèglesfixéesparleRGPD,unlabelpourraêtredélivrésurlabasedecritères
approuvésetpubliésparl’autoritédecontrôlecompétente,sursonterritoire(enFrance,la CNIL)16.LescritèrespourrontégalementêtreapprouvésparleComitéEuropéendelaProtectiondesDonnées(CEPD)17.Danscecas,ilsdonnerontlieuàunecertificationcom-mune,lelabeleuropéendeprotectiondesdonnées18.Cependant,leRGPDneprécisepaslafaçondontlescritèresserontdéfinis.Notamment,ilneprévoitpasuneconsultationdespartiesprenantes(l’industrie,lesorganisationsnongouvernementales…),contrairementà
15 VoirLevallois-Barth,C.,Meseguer, I. (2016).Privacy Shield:unbouclieràpeinebrandidéjàébréché?,Éditorialdelalettred’informationtrimestriellen°5delaChaire Valeurs et Politiques des Informations Personnellles, décembre 2016 : https://cvpip.wp.imt.fr/2016/12/05/privacy-shield-un-bouclier-a-peine-brandi-deja-ebreche/
16 Art.58-3(f)duRGPD.
17 Composédu chef d’uneautorité de contrôle de chaqueÉtatmembreet duContrôleur européende laprotection des données, ou de leurs représentants respectifs, le CEPD disposera notamment de lapersonnalitéjuridiqueetdepouvoirsrenforcés.
18 Art.42-5duRGPD.
![Page 148: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/148.jpg)
142
cequ’ilprévoitpourl’élaborationd’uncodedeconduite19.Cetypedeconsultation,quiaétéproposéparleParlementeuropéenenpremièrelecture,constituepourtantunepratiqueétabliedansledomainedelacertification.
Afin d’obtenir un label valide pour une durée maximale de trois ans, avec pos-sibilité de renouvellement, un responsable de traitement ou un sous-traitant pour-ra s’adresser soit à une autorité de contrôle, soit à une entité privéeparexempleAFNORcertification,British Standard InstitutouBureauVeritas.Lesdeuxtypesd’entités(publiqueouprivée)pourrontdélivrerdeslabelssurlabasedecritèresapprouvésauni-veaunational(parl’autoritédecontrôle)oudel’UE(parleCEPD).Lespossibilitésserontdonc:
• unlabeleuropéenétabliauniveaudel’UEdélivréparuneautoritédecontrôlenationale
• unlabeleuropéenétabliauniveaudel’UEdélivréparunorganismeprivédecertification
• unlabelbasésurdescritèresnationauxdélivréparuneautoritédecontrôlenationale
• unlabelbasésurdescritèresnationauxdélivréparunorganismeprivédecertification
Cerecoursauxentitéspubliquesetprivéesreflètelecompromisadopté:tandisqueleParlementeuropéenproposaitquecerôlesoitconféréauxseulesautoritésnationalesdecontrôleenmatièredeprotectiondesdonnéespersonnelles(désignéeségalementdanscetouvragecomme«autoritédeprotectiondesdonnées»),laCommissioneuropéenneetleConseileuropéenpréféreraientaccréditerdesauditeursprivés.
19 cf.cons.99duRGPD« Lors de l’élaboration d’un code de conduite, ou lors de sa modification ou prorogation, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants devraient consulter les parties intéressées, y compris les personnes concernées lorsque cela est possible, et tenir compte des contributions transmises et des opinions exprimées à la suite de ces consultations.»
![Page 149: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/149.jpg)
143
Attribution du label
Autorité de contrôle compétente (Article 56 du RGPD)
L’autoritédecontrôlecompétenteestl’autoritédel’établissementprincipaloudel’établissementuniqueduresponsabledutraitementoudusous-traitant.Sileres-ponsabledutraitementoulesous-traitantestétablidansplusieursÉtatsmembres,sonétablissementprincipalcorrespondenprincipeaulieudesonadministrationcentraledansl’Union.Cesprincipesconnaissenttoutefoisdesexceptions.Encequiconcerneleresponsabledetraitement:lorsquelesdécisionsquantauxfinalitésetauxmoyensdutraitementsontprisesdansunautredesesétablisse-mentsetquecetétablissementalepouvoirdefaireappliquersesdécisions,cetétablissementdoitêtreconsidérécommel’établissementprincipal;Encequiconcernelesous-traitant:s’ilnedisposepasd’uneadministrationcen-traledansl’Union,ilconvientderetenirl’endroitoùsedéroulel’essentieldesac-tivitésdetraitement.
Figure 2. RGPD : délivrance d’une certification / d’un label
Demande de label
Critèresapprouvésparl’autoritédecontrôle,aprèsavisducomité
Registre public
Peutordonnerdenepasdélivrerlelabel
Peutretirerlelabel
Attribution du label
Critèresapprouvésparl’autoritédecontrôle,aprèsavisducomité
Critèresapprouvésparlecomité(certification
commune,labeleuropéendeprotectiondes
données)
Examen(surdossier,etaccèsauxtraitementsdedonnées)
OrganismedecertificationAutoritédecontrôlecompétente
![Page 150: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/150.jpg)
144
Pourautant,leRGPDnementionnepaslesmodalitésdereconnaissancemutuelle:onignorequelstatutuneautoritédecontrôlecompétentedansunÉtatAaccorderaàunlabeldélivréconformémentauRGPDdansunÉtatBparuneautoritécompétenteouparunorganismeprivé20.Ilprévoit,entoutcas,queleslabelsainsiquetouslesmécanismesdecertificationserontconsignésdansunregistrepublictenuparleCEPD21.
Quelelabelsoitdélivréparuneentitépubliqueouprivée,leresponsabledetraitementdevrafournirtouteslesinformationspertinentesainsiquel’accèsàsesactivitésdetrai-tements.Lorsquel’évaluationseraeffectuéeparunorganismedecertification,cetorga-nismedevracommuniqueràl’autoritédecontrôlelesraisonsdeladélivrancedulabelet,lecaséchéant,lesélémentsjustifiantsonretrait.L’autoritépourraretirerunecertificationouordonneràl’organismedecertificationdenepasdélivrerunlabelsilesexigencesap-plicablesnesontpasouplussatisfaites.LesautoritésdecontrôleacquièrentdoncavecleRGPDdenouveauxpouvoirs.Onnote,àcetégard,queleRGPDn’abordepaslaquestionducoûtdelacertifica-
tion,alorsqueleParlementeuropéenavaitproposédepréciserqu’ellepuisses’effectuer« moyennant le paiement de frais raisonnables tenant compte des coûts administratifs»,«au travers d’un processus transparent et ne présentant pas de complications injusti-fiées»via«des redevances harmonisées»22.
Commenousvenonsdelevoir,l’harmonisationproposéeparleRGPDestloind’êtretotale,lacertificationpourraêtredélivréeauchoixsoitparuneautoritédecontrôle,soitparunorganismedecertification«disposant d’un niveau d’expertise approprié»23.Danscederniercas,l’entitéprivéeseramise«sous surveillance».
Des organismes de certification privés mis sous surveillanceAinsi, leRGPDfixedescritèrescommunspour lesorganismesdecertification. Il il-
lustreunetendancegénéralequifaitévoluer« le modèle actuel de la certification vers
20 EnSuisse,l’article7del’Ordonnancesurlescertificationsenmatièredeprotectiondesdonnées(OCPD)du28septembre2007intitulé“Reconnaissancedescertificationsétrangères»précisequelareconnaissanceesteffectuéeparlePréposé,aprèsavoirconsultéleServiced’accréditationsuisse,https://www.admin.ch/opc/fr/classified-compilation/20071826/index.html
21 Art.42-8duRGPD.
22 Art. 39 1 sexies, 39 1bis et 1ter «Certification» de la résolution législative duParlement européen du12mars2014,précitée.
23 Art.42-5duRGPD.
![Page 151: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/151.jpg)
145
une posture interventionniste visant à écarter l’influence des organismes de certification insuffisamment compétents, indépendants ou impartiaux…»24.Enlamatière,illaisselechoixàchaqueÉtatquantauxmodalitésdemisesoussurveillancedesorganismesdecertification.Ainsi,unorganismepourraêtreagréépourcinqansmaximum:
• soitparuneautoritédecontrôlenationale(enFrance,laCNILquivoitainsisespouvoirsd’autorisationrenforcés)
• soitparleCEPD• soitparl’organismenationald’accréditation25
24 Penneau,A.(2014).Certificationetcodesdeconduiteprivés:article38et39(dansleurversionoriginelle),in La proposition de règlement européen relatif aux données personnelles : propositions du réseau Trans Europe Experts, sous ladirectiondeNathalieMartial-Braz,Sociétéde législationcomparée, volume9,2014,p.353.
25 Art.43-1duRGPDetarticle70-1(o)duRGPD.
Octroi (5 ans maximum renouvelable)
Figure 3. RGPD : agrément d’un organisme de certification
Organismedecertification(avecniveaud’expertise
approprié)
Critèresapprouvésparl’autoritédecontrôle,aprèsavisducomité
Critèresapprouvés parlecomité
Critèresapprouvésparl’autoritédecontrôle,aprèsavisducomité
Règlement(CE)765/2008etISO17065/2012
Examendudossierauregard
Autoritédecontrôle
Organismenationald’accréditation
Demande d’agrément
![Page 152: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/152.jpg)
146
Pourcetroisièmecas,leRGPDprécisequel’organismenationald’accréditationsera«désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil26, conformément à la norme EN-ISO/IEC 17065/201227 et aux exigences supplé-mentaires établies par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56».Ainsi,cetorganisme,enFranceleComitéfrançaisd’accréditation,leCofrac,de-vradefaçonclassiqueseconformerauxexigencesd’unrèglementUE,leRèglement(CE)n°765/2008,etcequiestbeaucoupmoinscourant,d’unenormeISO.Cetteexigencen’estpassansposerquestionpuisqu’ils’agitpardéfinitiond’unenormevolontaireadoptéeparconsensusauseind’uneorganisationinternationaleetnond’unorganedel’UE.
Parailleurs,leRèglement(CE)no765/2008exigequ’unÉtatmembredésigneunseulet unique organisme d’accréditation afin de prévenir toute concurrence. Or, le RGPDlaisselapossibilitéauxÉtatsmembresdechoisirentredeuxoptions:unorganismedecertificationpourrasefaireagréersoitparuneautoritédecontrôle,soitparunorganismenationald’accréditation.Surquelscritèressonchoixsebasera-t-il?Lavigilances’imposeàcetégard.
Quellequesoitl’optionretenue,l’organismedecertificationseraagréésurlabasedecritèresrédigésetpubliésparl’autoritédecontrôle,aprèsavisduCEPD,ouparleCEPDlui-même.Ilserasoumisàcertainesobligationsinstitutionnellesetprocédurales:nonseu-lementildevras’engageràrespecterlescritèresapprouvésparl’autoritédecontrôleouleCEPD,maisaussidémontrersonindépendanceetsonexpertiseenmatièredeprotectiondesdonnéespersonnelles,ainsiquel’absencedeconflitd’intérêtdansl’accomplissementdesesmissions.
Parailleurs,ildevramettreenplacedesprocéduresquiconcerneront«la délivrance, l’examen périodique et le retrait d’une certification»,letraitement«des réclamations rela-tives aux violations de la certification ou à la manière dont [elle est] appliquée»28.Ildevra«définir la façon dont ces procédures et structures sont rendues transparentes à l’égard
26 Règlement(CE)n°765/2008du09/07/08fixantlesprescriptionsrelativesàl’accréditationetàlasurveillancedumarchépourlacommercialisationdesproduitsetabrogeantlerèglement(CEE)n°339/93duConseil,JOUE,n°L218,13aout2008,p.1.
27 ISO/CEI17065:2012relativeàl’évaluationdelaconformité–Exigencespourlesorganismescertifiantlesproduits,lesprocédésetlesservices.
28 Art.43-2duRGPD.
![Page 153: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/153.jpg)
147
des personnes concernées et du public».Alorsseulement,sonnomfigureradanslere-gistrepublictenuparleCEPD29.
L’autoritédecontrôlecompétenteoul’organismenationald’accréditationpourrontretirerunagrémentsicesconditionsnesontpasouplusréunies.Silesmesuresprisesconsti-tuentuneviolationduRGPD, l’organismedecertificationpourra,enoutre, faire l’objetd’uneamendeadministrativepouvants’éleverjusqu’à10000000€ou,danslecasd’uneentreprise,jusqu’à2%duchiffred’affairesannuelmondialtotaldel’exerciceprécédent,lemontantleplusélevéétantretenu30.
8.3. Les perspectives de mise en œuvre du RGPD et le rôle des instances publiques
Pourlesraisonsquenousvenonsd’évoquer,leRGPDn’imposepaslamiseenplacedemécanismesdecertification,labelsoumarquesenmatièredeprotectiondesdonnées,mais«encourag[e]»simplementlesÉtatsmembres,lesautoritésdecontrôle,leCEPDetla Commissioneuropéennedanscettedémarche31.Leferont-ils?Etsurtoutquellesformescet«encouragement»prendra-t-il?Enpratique,leRGPDimpliqued’êtredéclinédanslalégislationsecondairesoitauniveaunational,soitauniveaueuropéen.
L’harmonisation du référentielPourl’instant, laCommissioneuropéennes’interrogesurlapertinenced’adopterdes
actesdéléguésoudesactesd’exécution32etachoisilavoieclassiquedelanormalisationpourtravaillersurunréférentielcommun,faceàl’inactiondel’industrie.Déjàen2006,laCommissioneuropéenneademandéausecteurprivé«d’élaborer des systèmes abor-dables pour la certification de sécurité des produits, processus et services qui répondent à des besoins spécifiques de l’UE (notamment en ce qui concerne le respect de la vie
29 Art.70-1(o)duRGPD.
30 Art.83-4bduRGPD.
31 Art.42-1duRGPD.
32 Cettepossibilitéestintroduiteparlesarticles43-8et43-9duRGPD.
![Page 154: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/154.jpg)
148
privée)»,favorisantuneapproched’auto-régulation33.Enl’absencederéactiontangible,elleaannoncéen2010sonintentiond’examiner«la possibilité d’instaurer des régimes européens de certification (par exemple, des « labels de protection de la vie privée ») pour les processus, technologies, produits et services»34.Début2015,elleaadoptéunmandatchargeantlesorganismeseuropéensdenormalisationd’élaborer«des normes européennes et des publications en matière de normalisation européenne pour la ges-tion du respect de la vie privée et de la protection des données à caractère personnel»35. Lemandatsefocalisesurlerespectdelaprotectiondesdonnéesdèslaconceptionetpardéfautetainsiquesurlesobligationsdesécurité36.Pouryrépondre,leComitéeuropéendenormalisation (CEN)et leComitéeuropéendenormalisationenélectroniqueetenélectrotechnique(CENELEC)ontcrééuncomitédetravailconjoint,leJWG8«Privacy management in products and services»37.
Desoncôté,leG29,quiavaitprévud’adopterfindécembre2016deslignesdirectricessurlacertification,enareportélapublication.
Ilestvraiquelesujetserévèlecomplexe,notammentparcequeseuleslesautoritésdecontrôlefrançaisesetallemandespossèdentunecertainepratiqueenmatièredelabelli-sation.Desoncôté,l’autoritédecontrôlebritannique,l’Information Commissioner Office (ICO),aannoncéqu’elletravaillaitàlacréationd’unlabel«Vieprivée»reposantsurun
33 CommunicationdelaCommissionauConseil,auParlementeuropéen,auComitééconomiqueetsocialeuropéen et au Comité des régions, Une stratégie pour une société de l’information sûre – Dialogue,partenariatetresponsabilisation,COM(2006)251final,Bruxelles,31.05.2006,p.11,http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:52006DC0251
34 CommunicationdelaCommissionauParlementeuropéen,auConseil,auComitééconomiqueetsocialeuropéen et au Comité des régions, Une approche globale de la protection des données à caractèrepersonneldansl’Unioneuropéenne,COM(2010)609final,Bruxelles,le4.11.2010,p.14,http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_fr.pdf
35 Décision d’exécution de la Commission européenne du 20 janvier 2015 relative à une demande denormalisationauxorganisationseuropéennesdenormalisationconcernantdesnormeseuropéennesetdespublicationsenmatièredenormalisationeuropéennepourlagestiondurespectdelavieprivéeetdelaprotectiondesdonnéesàcaractèrepersonnel,conformémentàl’article10,paragraphe1,duRèglement(UE)n°1025/2012duParlementeuropéenetduConseilàl’appuideladirective95/46/CEduParlementeuropéenetduConseiletàl’appuidelapolitiqueindustrielleenmatièredesécuritédel’Union,C(2015)102 final, Bruxelles, le 20 janvier 2015, http://ec.europa.eu/transparency/regdoc/rep/3/2015/FR/3-2015-102-FR-F1-1.PDF
36 Annexedeladécisiond’exécutiondelaCommissiondu20janvier2015,C(2015)102final,précitée,http://ec.europa.eu/transparency/regdoc/rep/3/2015/FR/3-2015-102-FR-F1-1-ANNEX-1.PDF
37 http://www.cencenelec.eu/standards/Sectors/DefenceSecurityPrivacy/Privacy/Pages/default.aspx
![Page 155: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/155.jpg)
149
logodéposésous formedemarquecommerciale38.Lacertificationseraiteffectuéepardesorganismestiersprivésaccréditésparl’organismenationalUK Accreditation Services (UKAS).Lesautoritésdecontrôledoiventdoncd’abordpartagerleursexpériencespouracquériruneculturecommune.Concrètement,lacertificationafaitpartiedesthèmesdis-cutéslorsdupremierFablaborganiséparlaPrésidenceduG29le26juillet2016,cequidémontresonimportance.Partieintégranteduprocessusdeco-construction,ceFablabaréuniunecentainedepersonnes–représentantàlafoislesautoritésdeprotectiondesdonnées,lasociétécivileetlesindustriels–afind’alimenterlaréflexion.
L’adoption des lignes directrices par le G29
AfindepréciserlamiseenœuvreduRGPD,leG29élaboredeslignesdirectricesenrecourantàuneméthodeparticulière.Toutd’abord,ilsélectionnelesthèmesdetravail.Uneconsultationpubliqueestensuiteorganisée.Puislecontenudutexteestdiscutélorsd’uneréunionappelée«Fablab»àBruxellesaveclesreprésen-tantsdesautoritésdeprotectiondesdonnées,lasociétécivileetlesindustriels.Unepremièreversiondeslignesdirectricesestensuitepubliée(v1).Elleestsou-miseàunedeuxièmeconsultationdespartiesprenantes,pouraboutiràlapublica-tiond’unedeuxièmeversion(v2)39.
L’harmonisation des schémas de certification Sur le fond, ils’agitdepréciser lesmodalitésd’applicationduRGPD,maisausside
régulerlemarchéintérieurdesservicesdecertificationenmatièredeprotectiondesdon-néespersonnelles.Eneffet,ainsiquelesouligneleG29,«l’expérience dans d’autres do-maines, et notamment dans la certification des marchandises, a montré une tendance au nivellement par le bas. La concurrence entre prestataires pourrait conduire à une baisse des prix, ainsi qu’à une certaine souplesse, voire à un assouplissement des procédures… des règles semblent nécessaires pour garantir la bonne qualité des services et des condi-tions égales pour tous»40.Lesinterrogationsportentalorssurlesmodalitésetleniveau
38 https://iconewsblog.wordpress.com/2015/08/28/whats-the-latest-on-the-ico-privacy-seals/
39 Pour consulter les différentes lignes directrices adoptées: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
40 Groupedetravail«Article29»surlaprotectiondesdonnées,avisn°3/2010surleprincipederesponsabilitéadopté le 13 juillet 2010, WP 173, n° 67, p. 20, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_fr.pdf
![Page 156: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/156.jpg)
150
d’interventiondesautoritéspubliqueseuropéennesetnationales,comptetenudesnom-breusesmargesdemanœuvrelaisséesauxÉtatsmembres41. Àcetégard,EricLachaudexaminelapossibilitédeprendreencomptel’expériencedu
marquageCEdanslecadredel’Internetdesobjets42quisefondesurleschémasuivant43:
• lelégislateureuropéenémetdesexigencesditesde«hautniveau»vialesdirec-tives«Nouvelleapproche»
• lesorganismesdenormalisationlescomplètentavecdesnormestechniques• les fabricants ou les organismesde certifications privés vérifient et certifient la
conformitéauxnormestechniques• lesautoritésnationalesdesÉtatsmembressurveillentlesfabricantsetlesorga-
nismesdecertificationssurleurpropremarché
Danscemodèledecorégulation, laCommissioneuropéenneadopterait unenormeobligatoireenmatièrededonnéespersonnelleset l’organismes’auto-certifierait,cequiauraitpouravantaged’introduireunecertaineflexibilité,faciliteraitl’implicationdespetitesetmoyennesentrepriseset réduirait lecoûtde la labellisation.Cettesolutionprésentetoutefoisdeuxinconvénients.D’unepart,lemarquageCEintroduitunecertaineconfusionauprèsduconsommateur: ilattestequ’unproduitestprésuméconformeàunenormeeuropéenneetnonqueleproduitestfabriquédansl’Unioneuropéenne.D’autrepart,sonschémaneconcerneactuellementquelesproduits.Ildevraitdoncêtreadaptéauxser-vices,personnesetprocéduresenmatièrededonnéespersonnelles.Enoutre,lesilenceduRGPDsurcesujetsembleplutôtaugurerduchoixd’un labelspécifique«Donnéespersonnelles».
41 VoirTambou,O.,(2016).L’introductiondelacertificationdanslerèglementgénéraldelaprotectiondesdonnéespersonnelles:quellevaleurajoutée?,RevueLamydeDroitdel’Immatériel,avril2016,pp.51-54https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2768093.
42 Voir E. Lachaud qui propose d’élargir le périmètre du marquage CE à la protection des donnéespersonnelles,inLachaud,E.,(2016).CouldtheCEMarkingBeRelevanttoEnforcePrivacybyDesignintheInternetofThings?In Data Protection on the Move(pp.135-162).SpringerNetherlands.
43 Décisionduconseil93/465/EECdu22juillet1993,concernantlesmodulesrelatifsauxdifférentesphasesdesprocéduresd’évaluationdelaconformitéetlesrèglesd’appositionetd’utilisationdumarquage«CE»deconformité,destinésàêtreutilisésdanslesdirectivesd’harmonisationtechnique,JOCE,n°L220,30août1993,p.23.
![Page 157: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/157.jpg)
151
RowenaRodriguesproposequantàelleunschémaquin’estpassiéloignédeceluidumarquageCE:ils’agiraitd’adopterunenormeobligatoirerelativeauxanalysesd’impact44. L’organismeeffectueraitsonanalyseets’auto-certifierait.Lavérificationseraitconfiéesoitaux autoritésdeprotectiondesdonnéesquieffectueraientdescontrôles,soitauxorga-nismesdecertificationprivéschargésdeconduiredesauditsuneoudeuxfoisparan.Lesplaintesetréclamationsseraientd’aborddéposéesauprèsdel’organismelabellisé,avantd’êtreintroduitesdevantunejuridictionouuneautoritédecontrôle.
Ilpeutaussiêtreenvisagéd’établirdeslabelsauniveaunational.Cettesolutionmé-nagerait à la fois lesautoritésdecontrôleet lesmarchésnationauxde la certificationmaisposeraitdesdifficultésd’articulation.Lerisqueestque lesentitéssouhaitantêtrelabelliséessetournentversdeslabelsmoinsexigeants,plusfacilesàobteniretauretoursurinvestissementplusimportant,lacertificationétant« une activité marchande ordinaire pleinement ouverte à la concurrence »45.
Sil’optiondelalabellisationdélivréeparlesautoritésdecontrôleestretenue,cesauto-ritésdevrontavoirlesmoyenshumainetfinancierdeleurambition.Celasera-t-ilvraimentlecasdansuncontextederestrictionbudgétaire?Ellesdevrontégalementveilleràévitertoutediscrimination,ànepasêtre«jugeetpartie»,cetécueilétantsouventavancéparlespersonnesinterrogées.
Parole d’un avocat
«Celui qui sanctionne ne peut pas être le labellisateur… car la tentation serait natu-rellement de privilégier ceux qui ont le label CNIL au détriment de ceux qui ne l’ont pas mais qui pourraient avoir… d’autres labels plus exigeants que le label CNIL sans pour autant créer de présomption de conformité.»
Afin de démultiplier les possibilités de labellisation, ne vaut-il pasmieux dédier lesmoyensàlasurveillanceduniveaud’indépendanceetdecompétencedesexpertstravail-
44 VoirRodrigues,R.,Wright,D.andWadhwa,K. (2013).Developingaprivacysealscheme(thatworks),InternationalDataPrivacyLawAdvanceAccess,publishedFebruary1,2013,17pages,.p.15.
45 Avisde l’Autoritéde la concurrencen°15-A-16du16novembre2015portant sur l’examen,au regarddes règles de concurrence, des activités de normalisation et de certification, point 51, http://www.autoritedelaconcurrence.fr/pdf/avis/15a16.pdf
![Page 158: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/158.jpg)
152
lantpourlesorganismesdecertificationprivés?Ilfautentoutcasveilleràétablirlesmo-dalitésdecoopérationentrelesautoritésdecontrôleetlesorganismesnationauxd’accré-ditation.Ils’agitàlafoisdecontrôlerl’ensembledesschémasdelabellisationetd’articulerlalabellisation«Donnéespersonnelles»aveclescertificationsproposéesdansd’autresdomaines,commeceluidelasécurité.
Reste l’épineuse question du niveau de protection: faut-il concevoir la certificationcommeunfacilitateurpermettantàunorganismededémontrersaconformitéàdescri-tèresdequalitéoupositionnerlelabelsurunniveaudeprotectionglobaleallantau-delàdelalégislationàl’instardeslabelsdélivrésparlaCNIL?L’écueilestalorsderéglementer«danslesdétails»,detropréguleretdenepasrépondreauxattentesdespartiespre-nantes,enparticulierdespetitesetmoyennesentreprises.
Unlongparcoursrestedoncàaccomplirpourvoirunjourexisterdes«labels»euro-péensapportantenunseulcoupd’œilune informationpréciseetcrédibleaucitoyen.Le risqueestaucontraired’ajouterde laconfusiondansundomaineparticulièrementcomplexe.
![Page 159: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/159.jpg)
PatrickWaelbroeckAntoineDubus
Chapitre 9. Analyse économique des marques de confiance
![Page 160: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/160.jpg)
154
Nousanalysonsàprésentlesdéfiséconomiquesassociésauxlabelsdeprotectiondesdonnéespersonnellesetauxmarquesdeconfiance.Nousdévelopponstoutd’abordlanotiond’asymétried’informations,quifaitquelesconsommateurssontenrecherchedesignauxpourévaluerlaconfiancequ’ilspeuventavoirdanslesproduitsouservicespro-posés(9.1.).Nouspoursuivonsparl’analysedelademandedeprotectiondelavieprivéeetdesdonnéespersonnelles:quellessontlessourcesd’externalitésnégativesetlaformequ’ellesprennent(9.2.)?Quelleestenregardl’offredesécuritéetdeprotectiondesdon-néesclientsproposéeparlesentreprises(9.3.)?Nousterminonscechapitreendiscutantlesdifférentsmodèleséconomiquesassociésauprocessusdelabellisation(9.4.).
9.1. La notion d’asymétrie d’informations
L’économienumériqueestdésormais«axéesurlesdonnées».LesentreprisesInternettellesqu’AmazonouCriteoutilisentlesdonnéespersonnellespourdévelopperleursmo-dèlescommerciauxen fonctionderecommandationsdeproduitsetduciblagepublici-taire1.Cesinformationspeuventrésulterdecontributionsvolontaires(unconsommateurcommentantunblogouévaluant laqualitéd’unproduitou la réputationd’unvendeur)oudetracesinvolontaires(laisséesparuninternautedanssonhistoriquedenavigation).Celasoulèvelaquestiondesavoirquelstypesdedonnéessontutilisésparlesentreprisesetquelssontlesrisquespourlesconsommateurs.Lesdonnéesutiliséesàmauvaises-
1 Voirwww.criteo.frpourunedescriptiondeleursoffresd’affaires
9.1. Lanotiond’asymétried’informations ..............................154
9.2. Comprendrelademandedesécuritéetdeprotectiondesdonnéespersonnelles:lessourcesd’externalitésnégatives ..........................................................................157
9.3. L’offredesécuritéetdeprotectiondesdonnéespersonnellesparlesentreprises .....................................160
9.4. Uneanalyseéconomiquedelaprotectiondesdonnéespersonnellesetdesmarquesdeconfiance ....................162
9
![Page 161: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/161.jpg)
155
cientpeuventconduireàdesexternalitésnégativestellesquelafraude,leharcèlement,lespam,lepiratage,levold’identité,etc.Cesexternalitésnégativesrésultentd’unedéfail-lancedumarchélorsquelesactionsd’unagentéconomiqueexercentuneffetnégatifsurd’autresagentssanscompensationliéeàunmécanismedemarché.
Cesrisquessontprésentsaustadedelacollecte,del’exploitationetdelatransmissiondesdonnées.Néanmoins,ilssontdifficilesàappréhenderpourleconsommateur.D’unepart,illuiestdifficiledevérifiercommentsesdonnéessontutiliséesparlescompagniesquilescollectentetlestraitentetdesavoirsicetteutilisationestconformeounonàlalégislation.Ceciestd’autantplusvraiàl’èreduBig Dataoùdesbasesdedonnéesin-dépendantesavecpeud’informationspersonnellespeuventêtrecombinées facilementpouridentifierunepersonne.D’autrepart,unindividuestdifficilementcapabled’évaluertechniquementleniveaudesécuritéinformatiquedontfontl’objetsesdonnéespendantleurtransmissionetleurstockage.
Cettesituationconduitàdesasymétriesd’informationsquiportentsurlevolumededon-néespersonnellesstockéesparl’entrepriseetsespartenaires,lestraitementseffectuésetlesterritoiresquihébergentsesdonnées.L’asymétried’informationssurvientlorsqu’unagentéconomiqueaplusd’informationssurlesétatsdelanatureetlesdifférentstypes
Analyse économique des marques de confiance
![Page 162: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/162.jpg)
156
d’incertitudesqu’unautreagent.Celapeutentraînerunedisparitiondumarché,commel’amontréGeorgeAkerlof2danssestravauxquiluiontvalusonprixNobel.
L’impactéconomiquedesasymétriesd’informationsad’abordétéanalysésurlesmar-chésd’occasion,oùunvendeurconnaîtlaqualitéduproduitqu’ilvendmieuxquelepros-pect,puisaétéappliquésurlemarchédutravailetsurlesmarchésfinanciers.Ceconceptpeutêtreappliquéauxdonnéespersonnellescarl’entreprisequitraitelesdonnéesdesesclientsdisposedeplusd’informationssurleniveaudeconformitéjuridiqueetsurlasécu-ritédesoninfrastructureinformatiquequel’utilisateur.Cependant,lesentrepriseselles-mêmesnesontpastoujoursenmesured’évaluertotalementlasécuritédeleursystèmed’information:ellesignorentainsiparfoissiellesontsubiunecyberattaque.Danscecas,l’intégritédusystèmededonnéesn’estpasvérifiableetl’étatdesécuritéetdeprotectionpeutêtreinconnutantpourlesentreprisesquepourlesconsommateurs.Onparlealorsdebiensdecroyancedanslamesureoùl’étatdelanaturen’estvérifiablepouraucunagentéconomiqueimpliquédanslatransaction.
L’état de sécurité d’une transaction comme un bien de croyance
LecasdeYahoo3illustrecephénomèneàgrandeéchelle,puisquelafirmen’aprisconnaissance(selonsesdires)qu’en2016duvoldeplusd’unmilliarddecomptesutilisateurquiavaiteulieutroisansauparavant.
L’asymétried’informationspeutencouragerlesvendeurspeuscrupuleux(àsavoirceuxquinerespectentpaslaréglementationenvigueuroulesbonnespratiques)àappliquerdemauvaisespolitiquesdeprotectiondesdonnéesetréduirelaparticipationdesconsomma-teursaumarché.Enprésenced’asymétriesd’informations,lesconsommateurscherchentdessignauxpourévaluer leniveaudeconfidentialité, laprotectiondesdonnéeset/oulasécuritédessitesWeb,desproduitsetdesservices.Parmicessignaux,leslabelsdeconfidentialitéetlesmarquesdeconfiancejouentunrôlecentral.
2 Akerlof,G.A.(1970).Themarketforlemons:Qualityuncertaintyandthemarketmechanism.Thequarterlyjournalofeconomics,488-500.
3 http://www.lemonde.fr/pixels/article/2016/12/14/plus-d-un-milliard-de-comptes-d-utilisateurs-yahoo-ont-ete-pirates_5049069_4408996.html
![Page 163: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/163.jpg)
157
9.2. Comprendre la demande de sécurité et de protection des données personnelles : les sources d’externalités négatives
Laprincipalejustificationéconomiquepourprotégerlesdonnéespersonnellesestfon-déesurl’existenced’externalitésnégativespourlesconsommateursquandcelles-cicir-culentsansautorisation.Cesexternalitésnégativespeuventprendrelesformessuivantes:
• lafrauded’identitéetlevold’identité• l’utilisationdedonnéespersonnellesparuntiersàdesfinsdouteusestellesque
lespam• lapertededonnéespersonnelles tellesque lesnumérosdecartedecréditen
raisond’unmanquedesécuritédesserveursoùlesdonnéessontstockées
Cesexternalitésnégatives(pourleconsommateur)conduisentlesentreprisesàcollec-tertropdedonnéesparrapportàl’optimumsocial.Ilexisteplusieursautresmécanismeséconomiquesquiexpliquentpourquoilesconsommateurssouhaitentprotégerleursdon-néespersonnelles.Nouslesprésentonsci-dessous.
Discrimination par les prixSilesentreprisesdisposentd’informationsprécisessurleursclientsetleurscompor-
tements,ellespeuventpratiquerladiscriminationparlesprix,àsavoirvendrelemêmeproduitouserviceàdifférentsprixnetsàdesconsommateursdifférents.Leprixnetcom-prendlesfraisdelivraisonetdeproduction.Pourlesproduitsnumériques,laformededis-criminationlaplusrépandueconsisteàdévelopperdesstratégiespouridentifierplusieursgroupesdeconsommateursetproposerdifférentesversionsd’unmêmeproduitouserviceàcesgroupes.Parexemple,un fabricantde logicielsproposeunmêmeproduitavecdifférentesfonctionnalités:uneversionprofessionnellecomplèteetuneversionbasique(ouétudiante)pourlaquellecertainesfonctionsnesontpasdisponibles.Lesinformationspersonnellesdesconsommateurspeuventdoncêtreutiliséespourpersonnaliserlesoffresàdesclientsciblés,souventàuncoûttrèsfaible.Certainsconsommateursbénéficientdeprixbas,maisd’autressevoientproposerdesprixplusélevésetpeuventdéciderdepro-tégerleursdonnéespersonnellespouréviterd’êtrediscriminés.Leslogicielspermettantdemasquer lesadresses IP, lesextensionsdenavigateur Internetbloquant lesscriptsrendentplusdifficilel’identificationdesutilisateursetdoncladiscriminationparlesprix.
![Page 164: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/164.jpg)
158
Ciblage et bulles informationnellesLesconsommateursreçoiventdesinformationsfiltréesparlesplateformestellesque
GoogleouAmazon.Parexemple,lemoteurderechercheGooglefiltrelesrésultatsderechercheenfonctiondelagéolocalisation,del’historiquedenavigationetduprofilpubli-citaire.Amazonexécutedesalgorithmespourfournirdesrecommandationsdeproduitspersonnalisésenfonctiondel’historiquedenavigationetdesachatsd’unepersonne.Cesfiltresd’informationpeuventinfluencerlecomportementdesinternautes.Ilssoulèventdesproblèmeséconomiques importants liésprincipalementaudroitde laconcurrence.Eneffet,commentgarantirqueleconsommateurneratepasdesopportunitéscommercialesetquecesfiltresneréduisentpaslaconcurrenceenexcluantcertainscontenus,produitsouservices?
Lesbullesinformationnellessontcrééespardesalgorithmesquicréentununiversspé-cifiquepouruninternauteetvontpotentiellementinfluencerlamanièredontilpense,secomporteetachète.Encoreunefois,certainsinternautespeuventdécideralorsdeproté-gerleursdonnéescontreleciblagedontilspeuventfairel’objet.
Publicités et bloqueurs de pubsDenombreuxréseauxenlignepeuventêtredécritsparcequelalittératureéconomique
appelle«lesmarchésàdeuxfaces».Ilssecaractérisentpardesexternalitésderéseaucroiséesouindirectesentredifférentsgroupesd’agents.Parexemple,unmoteurdere-cherchetelquegoogle.compermetauxinternautesd’accédergratuitementàuncontenufinancéparlapublicité.Lesitemetainsienrelationlesannonceursavecdesconsom-mateurspotentiels.Cesdernierstrouventlemoteurderecherched’autantplusutilequelenombred’annoncespertinentesestimportant.Demême,unannonceurchercheuneplateformeavecungrandnombred’utilisateursquipeuventvoirsespublicitésciblées.Ilexistedoncuneexternalitéderéseaupositiveentrelesutilisateursd’Internetetlesannon-ceurs.Ladynamiquedesmarchésàdeuxfacesoùlesinternautesetlesannonceursin-teragissentimpliquequ’unpetitavantagecomparatifinitiald’unmoteurderecherchepeutconduireàsadominationdumarchégrâceàunebouclederétroactionpositive.
Lalittératureéconomiquesurlapublicitédistinguedeuxtypesdepublicité:lespublici-tésinformativesetpersuasives.Lespublicitésinformativesfournissentdesinformationssur lescaractéristiquesclésduproduit, tellesque lesdétailsphysiques, lescaractéris-tiquestechniquesetlesprix.Lespublicitéspersuasivessontutiliséespourconstruireune
![Page 165: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/165.jpg)
159
marqueetnefournissentpasforcémentdesinformationsutiles.Bienquelespublicitésinformativessoientprécieusespourcertainsconsommateurs,lespublicitéspersuasivespeuventêtreconsidéréescommeunenuisancepourd’autres.Cesdernierschercherontalorsàlesbloqueretàéviterd’êtreidentifiés.
Lestravauxempiriquessur laperceptiondespublicitéspar lesconsommateurssontrares,maissoulignentdiversesattitudesdesconsommateurs:certainsadorentlapubli-citéalorsqued’autresysontextrêmementaverses.Cesperceptionsvarientégalementd’unpaysàl’autre.SelonuneétudedeBusinessInsiderUK,unutilisateurInternetsur4utiliseunbloqueurdepublicitéenFrancealorsqueseul1sur10enutiliseauxÉtats-Unisen2015.Le tauxdepénétrationdesbloqueursdepublicitéesten forteaugmentationenFranceetatteintplusde50%d’après lesondageréalisépar laChaire Valeurs et Politiques des Informations Personnellesaudébutde20174.
Des CGU difficiles à lire, encore plus à comprendreDesrèglesformellesetécrites,tellesquedeschartesoudesconditionsgénéralesd’uti-
lisationd’unservice(CGU)peuventréduirelesasymétriesd’informationsenspécifiantleniveaudesécuritéinformatiqueetdeconformitéjuridiquedelaprotectiondesdonnéespersonnelles.LesCGUsontsouventutiliséesparlesentreprisesquivendentdesproduitsetdesservicesnumériques.Cependant,commel’ontsoulignéOlurinetal.20125,Antonetal. 20036,cesCGUsontextrêmementdifficilesàlireetàcomprendre(CranoretMcDonald20097,BecheretZarksy20158,Bakosetal.,20149).Enoutre,ellessonttoujoursformuléesdansunformat«toutourien»oùl’acheteurduproduitoul’utilisateurduservicedoitac-ceptertouteslesconditionsavantdepouvoirl’utiliser.Enanalysantl’impactéconomiquedecescontrats, onpeutpenserque les termesdesservicesqui protègentmieux les
4 https://cvpip.wp.imt.fr/files/2017/06/Donn%C3%A9es-personnelles-et-confiance-VPIP-Mediametrie-Synth%C3%A8se.pdf
5 Olurin,M.,Adams,C.,Logrippo,L.(2012).Platformforprivacypreferences(p3p):Currentstatusandfuturedirections.IEEE,TenthAnnualInternationalConferenceonPrivacy,SecurityandTrust(PST),pp217-220.DOI:10.1109/PST.2012.6297943
6 Anton,A.,Earp,J.B.,Bolchini,D.,He,Q.,Jensen,C.,Stufflebeam,W.(2003).Thelackofclarityinfinancialprivacy policies and the need for standardization. IEEESecurity & Privacy, 2(2):36-45. DOI : 10.1109/MSECP.2004.1281243
7 McDonald,A.M.,Cranor,L.F.(2009).Thecostofreadingprivacypolicies.ISJLP,4,543.
8 Becher,S.I.,Zarsky,T.(2015).OnlineConsumerContracts:NoOneReads,ButDoesAnyoneCare?.
9 Bakos,Y.,Marotta-Wurgler,F.,Trossen,D.R.(2014).Doesanyonereadthefineprint?Consumerattentiontostandard-formcontracts.TheJournalofLegalStudies,43(1),1-35.DOI:10.1086/674424
![Page 166: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/166.jpg)
160
donnéespersonnellesconduirontàunniveauderentabilitéinférieuràcourtterme.D’unepart,laprotectiondesdonnéesetlasécuritésontcoûteusesàmettreenœuvre.D’autrepart,lestermesdeservicequifacilitentl’exploitation,laréutilisationetlaventededonnéespersonnellesengendrentplusdeprofits.Uncontratuniquepourtouslesutilisateursper-metàuneentreprised’imposerdesrèglesflexiblesenmatièredeprotectiondesdonnéespersonnellesetn’estcertainementpasunegarantiepourl’utilisateurduservicequesesdonnéespersonnellesserontprotégées,créantainsietperpétuantd’autresasymétriesd’informations.
9.3. L’offre de sécurité et de protection des données personnelles par les entreprises
Nousétudionsmaintenant les facteursquipoussent lesentreprisesàsécuriser leurinfrastructure de données et à protéger les données personnelles de leurs clients.Premièrement, lasécuritépeutêtreanalyséecommeunbienpublicpour lequel il yaunsous-investissementparlesecteurprivé.Commenousl’avonsvudanslessectionsprécédentes,ilexistedesexternalitésnégativesassociéesaumanquedeprotectiondesdonnéespersonnellesquinesontpascompenséespar lesmécanismesdumarchéetquiexacerbentcephénomènedesous-investissement.Deuxièmement, lesentreprisesdéveloppentdesstratégiescommercialespouratteindrerapidementunemassecritiqueaudétrimentde lasécurisationde leur infrastructurededonnées.Enfin, lesstratégiescommercialesbaséessurl’exploitationdesdonnéespersonnellesexigentsouventquelesentreprisescommuniquentlesdonnéespersonnellesdeleursclientsavecdestiersquinereçoiventpasforcémentd’incitationsàlesprotéger.L’asymétriedel’informationportantsurleniveaudesécuritédel’infrastructuredesdonnéespermetauxentreprisesdeparta-gerfacilementdesdonnéessansquelesclientsn’ensoientconscients.
La « sécurité » comme un bien publicLathéorieéconomiquecaractériseunbienpublicparuneutilisationnon-rivale,c’està
direquelaconsommationdubienparunagentnenuitpasàsaconsommationparunautreagent.Laconsommationdubienpublicestaussinonexclusive:ilestimpossibled’empêcherunagentdeconsommerlebien.Ainsi,l’entreprisequisécurisesoninfrastruc-turededonnéesnepeutgénéralementpass’approprierlatotalitédesbénéficesinduitspar son investissement. En revanche, elle profite elle-même des investissements des
![Page 167: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/167.jpg)
161
autresentreprises.Elleauradonctendanceàsous-investirdanslebien.Chaqueagentsuivantcettelogique,l’ensembledesentreprisesrisquentdesous-investirensécurité.Deplus,lesentreprisesontmoinsd’incitationsàsécuriserlesdonnéesdeleursclients
parrapportàl’optimumsocial,carellesnetiennentpascomptedesexternalitésnégativespourlesutilisateursdeservicesnumériques,commeargumentédanslasectionprécé-dente.Dansl’ensemble,lesecteurprivénefournitpasleniveaudeprotectionoptimaletlesdonnéespersonnellessontsous-protégéesdansl’écosystème.
Les conséquences des externalités de réseauxMooreetAnderson(2012)10étudientl’effetdesexternalitésderéseausurleniveaude
sécuritéchoisipar lesdéveloppeursde logiciels.Lesexternalitéspositivesde réseauxémergent lorsque lavaleurd’unproduitouserviceaugmenteavec lenombred’utilisa-teurs.Parexemple,lavaleurd’unlogicielaugmenteaveclenombredesesutilisateurs,parcequ’ilestplussimpled’utiliserleformatassociépourl’échangedefichiersentreamis,collègues,etcontactsdefaçongénérale.Uneentrepriseadoncintérêtàatteindreunemassecritiqueleplusrapidementpossibleafindedominersonmarchéetdedevenirlaréférence.Lesincitationspouruneentrepriseàdépenserdel’argentetdutempspourprotégerlesdonnéespersonnellesdesesclientssontréduites,parrapportàunesituationsansexternalitéderéseau.Ladémarcheconsistantà laisserd’autresacteurs,commedeschercheursensécurité informatique,oudesprofessionnelsdedétectionde faillesindépendants,corrigerleserreurs,sembleplusrentable.
Les modèles d’affaires fondés sur l’échange de donnéesLesentreprisesquidéveloppent leursstratégiescommercialesautourde lapublicité
créentdesrevenusenvendantlesdonnéesdeleursclientsàdestiers.Cesentreprisessontincitéesàrédigerdesconditionsdeservicetrèsgénéralespourpouvoirutiliser(etréutiliser)demanièreexhaustivelesdonnéesdisponibles.Lorsquelesdonnéesperson-nellessont transféréesàdes tiers, ilestdifficilepour leclientdedéterminercommentsesdonnéessontutilisées,stockéesetsécurisées.LesAd exchangesavecenchèresentempsréelexacerbentcesproblèmes,carlesdonnéespersonnellesdisponiblesdanslescookiesstockéssurlesordinateurssonttransmisesetappariéespard’autresplates-formesetsociétéstierces.Lesdonnéespersonnellespeuventensuiteêtreutiliséessans
10 Moore,T.,Anderson,R. (2012). Internetsecurity.TheOxfordHandbookof theDigitalEconomy’(OxfordUniversityPress2011).
![Page 168: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/168.jpg)
162
le consentementdesclientspardesentreprisesquisontparfoistrèséloignéesdel’entre-priseinitialeetdesesclients.
Data lock-inLes économies d’échelle dans le stockageet l’exploitation des données, l’existence
d’externalitésderéseauxsur lesplateformesen ligneàplusieursversants,c’est-à-direquiserventd’intermédiairesentreplusieursgroupesd’agentséconomiques,ontcréédesmonopolessurInternet.Parexemple,Googlereprésentaiten2017plusde88%desre-cherchessurInternetdanslemonde11.Parailleurs,unutilisateurdeservicesnumériquesbénéficiedesinformationsstockéesenligneluipermettantd’automatisersaconnexion,d’enregistrersespréférencesetsonhistoriquedenavigation.Cecicréeunesituationdelock-inrésultantd’unecaptivitédesutilisateursfidélisésauserviceetcaractériséepardescoûtsdechangementélevés.Cettesituationpermetauxentreprisesenmonopoled’im-poserdesconditionsd’utilisationdeleursservicesfacilitantuneexploitationmassivedesdonnéesdeleursclientsparfoisàleursdépens(Mantelero,201312).
9.4. Une analyse économique de la protection des données personnelles et des marques de confiance
Lesmarquesdeconfiancepeuventprendredifférentesformesetspécificités.Nousétu-dionscesdifférentescombinaisons,en renvoyantàRodriguesetal. (2013)13pouruneapprocheplussystématique.Unemarque de confiance par adhésionestdélivréeparuneassociationàsesmembrescontredesfrais.Elleestgénéralementdélivréeparuneentrepriseprivée,commeTRUSTeauxÉtats-Unis.Unemarque de confiance publique,quantàelle,estdélivréeparuneautoritépubliqueenconformitéavecunrèglement,uneloiouunepolitiquespécifique.Unemarque de confiance binaire(publiqueouprivée)indiquesil’entrepriseaatteintuncertainniveaudecertificationdeconformitéauxrégle-mentationsouauxchartesexistantes.Unemarque de confiance continue (publique
11 http://www.journaldunet.com/ebusiness/le-net/1087491-parts-de-marche-des-moteurs-de-recherche-dansle-monde/
12 Mantelero,A.(2013).Competitivevalueofdataprotection:theimpactofdataprotectionregulationononlinebehavior,InternationalDataPrivacyLaw3(4):229-238.DOI:10.1093/idpl/ipt016
13 Rodrigues,R.,Barnard-Wills,D.,Wright,D.,DeHert,P.,Papakonstantinou,E.(2013).EUPrivacysealsproject: Inventoryandanalysisofprivacycertificationschemes.FinalReport.PublicationsOfficeof theEuropeanUnion.
![Page 169: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/169.jpg)
163
ouprivée)possèdeplusieursniveauxdeconformité,généralementreprésentéspardeslettresoudescouleurs.
Label délivré par adhésion et labels publicsUnlabelestmoinscrédiblesisesmembresdoiventadhérerdemanièrevolontaire,et
cepourdesraisonsévidentes.Eneffet,larelationentrel’organisationquidélivrelelabeletsesmembresestambiguë.Ils’agitd’unerelationdetype«principal-agentsmultiples»oùlesmembressontégalementdesclientsquipaientdesfraisd’adhésionauprincipal.Leprincipalestintéresséparl’acquisitiondenouveauxmembresetadoncmoinsd’incitationàvérifierlaconformitédesesmembresauxnormesdulabelmêmesilachartedel’or-ganisationstipulequ’elles’engageàlefaire.Parconséquent,lesmembresneprotègentlesdonnéesdeleursclientsques’ilspensentquelaprobabilitéd’êtreprisendéfautestsuffisammentélevée.
Leslabelspublicsnesouffrentpasduproblèmedeclientélisme,maislaquestiondufinancementdel’auditsepose,commenousleverronsplusloin.Parailleurs,leslabelspublicsco-existentsouventavecdeslabelsparadhésion.Commentdéterminerleniveaudequalitédulabelpublic?Toutd’abord,unenormefournieparl’Étatquiseraittropfaibleparrapportauxmeilleurespratiquesdel’industrieperdsonpouvoirdesignal.Certainesentreprisespréférerontalorspayeruncoûtsupplémentairepouradopterunsceauprivédequalitésupérieureafindesesignaleràleursclientsetd’obtenirunavantageconcurrentieletunemeilleureréputation.
Si les normesétatiquessontprochesdecellesdessociétésayantobtenudeslabelsdehautequalité,lesentreprisess’appuierontsurlesceaupublicpoursignalerlahautequalitéde leurpolitiquedeprotectiondesdonnéespersonnelles, le labelpublicsesubstituantalorsaulabelprivé.Enfin,s’iln’yaquedesmarquesdeconfiancepubliques,ilexisteunrisquedesélectionadversequipeutconduireàl’exclusiondesentreprisesdehautequa-litésilanormeesttropfaible(oudesentreprisesdemoyenneàhautequalitésilanormeesttropélevée).
Parailleurs,lacohabitationdemarquesdeconfianceinternationales,soumisesàdeslégislationsdifférentes,peutintroduiredefactounecohabitationpublic-privédansleséco-systèmesdeprotectiondesdonnées.La détermination du bon niveau de qualité pour la norme de protection est donc un élément essentiel à prendre en considération�
![Page 170: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/170.jpg)
164
Formats : volontaires, continus, binairesDeuxprincipauxformatsdelabelsexistent,quiontdifférentseffetséconomiques:conti-
nusetbinaires.Les labelscontinusprennentdifférentesvaleurs,représentéespardescouleurs,dessignes,oudeslettres.Unemarquedeconfiancebinairesignaleuniquementsil’entrepriserespecteunréférentiel.RoeetSheldon(2007)14constatentquelesmarquesde confiance continues réduisent considérablement les asymétries d’informations etconduisentàdesprixetunequalitésurlemarchééquivalentsàceuxquiprévalentdansunesituationd’informationparfaite,mêmesileslabelscontinussontaprioriplusdifficilesà comprendreetà interpréterque les labelsbinaires.Pour lesmarquesdeconfiancebinaires,ilexisteunrisquequelesconsommateursàfaiblerevenuetlesentreprisesdefaiblequalitépréfèrentlanormedequalitéinférieure,etquelesconsommateursayantdeshautsrevenusprivilégientlesentreprisesoffrantunniveaudeprotectionélevé.
Procédures d’audit et résolution des conflitsParfois,lecontratentrel’organisationquidélivrelamarquedeconfianceetsesmembres
préciseque lesmembrespaientpourrésoudre lesconflitsavec lesclients.Parfois,cesontlesclientsquidoiventréglerlesfraisliésaulitige.Celapeutentraînerdesineffica-citéssilesfraissontélevés.Parexemple,Connolly(2008)15adémontréquel’applicationdestermesducontratentreTRUSTeetsesmembresétaitrare.Ilfournitdenombreuxexemplesdeviolationsdelavieprivéeentre1998et2007(ycomprisdespertesdedon-néeschezAOL,Facebook,Hotmail,MicrosoftetRealNetworks)quin’ontpasétésuiviesd’actionsderectifications.Ilestévidentqu’unlabelprivésanspolitiqued’auditrégulierestvouéàperdresonpou-
voirdesignaldequalitépourlesconsommateurs.
Les différents modèles d’affairesLaquestionsuivanteportesurlesfraisfacturésparl’organisationquidélivrelamarque
deconfiance.D’unepart,unprixélevéd’unemarquedeconfianceexclutlespetitesen-treprisesquin’ontpaslesmoyensdefinancerlalabellisation.D’autrepart,unprixélevésignaleauxconsommateursquel’entreprisequiaffichelamarquedeconfianceestfinan-cièrementsaineetqu’elledisposederessourcessuffisantespourprotégerlesdonnées
14 Roe,B.,Sheldon,I.(2007).Credencegoodlabeling:Theefficiencyanddistributionalimplicationsofseveralpolicy approaches.American Journal ofAgricultural Economics 89(4):1020-1033.DOI : 10.1111/j.1467-8276.2007.01024.x
15 Connolly,C.(2008).TrustmarkSchemesStruggletoProtectPrivacy,Workingpaper.
![Page 171: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/171.jpg)
165
personnellesdesesclients.Unprixélevéreflèteégalementlabonneréputationdel’or-ganisationquidélivrelamarquedeconfianceetlafiabilitéduprocessusdelabellisation.Cetargumentn’estévidemmentvalablequesilesinternautesconnaissentlescoûtsdelabellisationpayésparlesentreprisesquigèrentlessitesWebqu’ilsvisitent.Unprixfaiblenepermetpasàlamarquedeconfiancedejouersonrôledesignalde
qualitéetpourraitréduirelebudgetdel’organismedélivrantlamarquedeconfiancepourauditersesmembres.Unecertificationgratuiten’estpossiblequesielleestfinancéeparunconsortiumouuneagencepublique.Laquestionducoûtassociéauxlabelspublicsdeprotectiondesdonnéespubliquesàgrandeéchelleattenddesréponses.
Plusieurs facteurséconomiquesmettentenévidencedes inefficacitéssur lemarchédelaprotectiondesdonnéespersonnelles.Premièrement,lesasymétriesd’informationscréentdescomportementsopportunistesdelapartdesentreprisespeuscrupuleusesquidéveloppentdesstratégiespourexploiterlesdonnéesdesclientsparfoisàleurinsu(dis-criminationparlesprix,CGUtroppeuprotectrices,captivitédesclients).Deuxièmement,lesentreprisesquiinvestissentdanslaprotectiondesdonnéesclientsneprennentsou-ventpasencomptelesexternalitésnégativespourlesclientsdelapertedeleursdonnées(spam,vold’identités,fraudes).Troisièmement,lesforcesdumarchépoussentcertainesentreprisesàatteindreunemassecritiqueaudétrimentdelaprotectiondesdonnéesoufondentleurmodèled’affairesurlaventededonnéesàdestiercespartiesquin’ontpasnécessairementlesmêmesincitationséconomiquesàprotégerlesdonnéesclients.Leslabelsdeprotectiondesdonnéesagissentcommedessignesdeconfiancedontl’impactéconomiqueestdifficileàdéterminer.D’unepart,unlabeldehautequalitédélivréparuneinstitutionpubliquegénèredelaconfiance,maispossèdedescoûtsélevés,àlafoispourlesentreprisesprivéesetpourl’institutionpublique,qu’ils’agitdefinancer.D’autrepart,unlabelprivépermetderésoudreleproblèmedufinancement,maisposedesproblèmesdeclientélismeetpeutêtreplusfacilementmanipulé.Danslesdeuxcas,lesquestionsdesa-voirquelestlebonniveaudequalitéassociéaulabeletquelestsonprixsontessentiellespourquelelabeljouepleinementsonrôledesignedeconfiancesurleplanéconomique.
![Page 172: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/172.jpg)
166
« En Chemin l’empreinte de l’autre » – Thierry Citron
![Page 173: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/173.jpg)
PatrickWaelbroeck
Chapitre 10. Les impacts économiques des labels
![Page 174: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/174.jpg)
168
Cechapitres’intéresseà l’impactéconomiquedes labelspour lesentrepriseset lesconsommateurs. Nous montrons tout d’abord comment les labels et les marques deconfiancepeuventimpacterlesstratégiesdesentreprises(10.1.).Lesrésultatsprésentéssontessentiellement fondéssurdesétudesaméricainesquipeuventnéanmoinsservird’enseignementdanslecontexteeuropéen.Lasection10.2présentelesrésultatsd’uneenquêtequelaChaire Valeurs et Politiques des Informations Personnelles a réalisée en2017encollaborationavecMédiamétriesurl’usagedesdonnéespersonnellesparlesinternautesfrançais1.Levoletsurlaperceptiondeslabelsparlesinternautesestprésentéenexclusivitédanscechapitre.
10.1. Impact économique des marques de confiance
Lesétudesempiriquessur l’efficacitééconomiquedesmarquesdeconfianceetdeslabelsmontrentqu’ilsengendrentunefaibleaugmentationdesprixetuneffetpositifsurlesventes.Ellesidentifientégalementquelescomportementsadoptésparlesconsommateurspeuventparaîtrerisquéscarissusd’uneincompréhensiondespolitiquessous-jacentesdeprotectiondesdonnéespersonnellesetdeleurvieprivée.Pourdéterminerunordredegrandeur,nouspouvonsnousréféreràl’étudedeMiyazakietKrishnamurthy(2002)2 qui
1 https://cvpip.wp.imt.fr/donnees-personnelles-et-confiance-quelles-strategies-pour-les-citoyens-consommateurs-en-2017/
2 Miyazaki,A.D.,Krishnamurthy,S.(2002).Internetsealsofapproval:Effectsononlineprivacypoliciesandconsumerperceptions.TheJournalofConsumerAffairs28-49.DOI:10.1111/j.1745-6606.2002.tb00419.x
10.1. Impactéconomiquedesmarquesdeconfiance ............168
10.2. Impactdeslabelssurlesutilisateurs ..............................17310
![Page 175: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/175.jpg)
169
ont constaté aux États-Unisque32%desentreprisesFortune50,prèsde5%desentre-prisesFortune500et14%desentreprisesdeInformationWeek100étaienttitulairesd’unlabelTRUSTeouBBBOnLine, lesdeuxprincipalesmarquesdeconfianceaméricainesen2002.Desétudesplusrécentesindiquentdeschiffressimilairespour lapénétrationdesmarquesdeconfidentialitéetdesmarquesdeconfianceparmilessitesWeblesplusvisités(environ7sur50).
Augmentation du prix et des ventesLes différentes études américaines montrent qu’après l’adoption d’une marque de
confianceleproduit labellisévoitsonprixaugmenter.L’impactvarieselondesfacteursexogènes.Différentsordresdegrandeurpermettentd’appréciercesimpactsselonlana-tureduproduit, lanaturede lamarquedeconfiance, leprocessusou la composanteidentifiée,ouencorelalocalisationgéographiquedumarché.Lalittératureportantessen-tiellementsurlesmarquesdeconfianceagroalimentaires,leseffetssontnaturellementàmodérer,maisilspermettentdesaisirlesécartsimportants.
KieseletVillasBoas(2007)3étudientl’impactdesmarquesdeconfianceduNational Organic ProgrametduDépartementdel’AgriculturepourlelaitbiologiqueauxÉtats-Unissur lesconsommateurs. Ilsconstatentunchangementdans leshabitudesd’achatdes
3 Kiesel, K., Villas-Boas, S. B. (2007). Got organic milk? consumer valuations of milk labels after theimplementationoftheUSDAorganicseal.Journalofagricultural&foodindustrialorganization5(1).DOI:10.2202/1542-0485.1152
Les impacts économiquesdes labels
![Page 176: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/176.jpg)
170
consommateursaprèsl’apparitiondesmarquesdeconfiance.Plusprécisément,unema-jorationvariantentre192centset224centsestacceptéeparlesconsommateurspourundemi-gallondelaitbiologique,cequicorrespondàuneaugmentationde39,4%à45,8%duprix.
BrounenetKok(2011)4,dansleurétudesur l’évolutiondesachatsdebiensimmobi-liersenfonctiondelaprésenced’unlabeldeconsommationénergétiqueauPays-Bas,observentuneaugmentationdelapropensionàpayerde3.7%,liéeàlaprésenced’unemarquedeconfiancegarantissantuneefficacitéénergétiquesupérieuredel’habitation.Considérantqueleprixmoyendevented’unlogementauxPays-Baslorsdeleurétudeestde231000€,ilsévaluentlamajorationtarifairemoyenneà8449€.
Pourlecasdesmarquesdeconfiancesanitaires,McCluskeyetLoureiro(2000)5 se ré-fèrentàuneétudede1997enFrance(aprèslacrisedelavachefolle).Ilsrapportentunedisponibilitéàpayerde22%plusélevéepourdelaviandedebœufgarantienoninfectée.Bjorneretal.(2004)6étudientquantàeuxl’impactdelamarquedeconfianceécologique«NordicSwann»surlaconsommationde1596foyersdanois.Lelabelenvironnementalauneffetpositifsurlechoixdupapiertoilette,avecunepropensionàpayerunprixde13%à18%supérieurpourunproduitgarantissantqu’ilestrespectueuxdel’environnement.
D’unpointdevuecommercial,Levyetal.(1985)7observentunimpactpositifduSpecial Diet Alert,unprogrammed’informationsnutritivesàl’initiativedesupermarchésmenésurdeuxans.Ilsnotenttoutefoisunedifférenced’impactduprogrammeselonlazonegéo-graphiqueconcernée:l’augmentationdesventesdeproduitsfavoriséeparleprogrammefutde4à8%supérieureàWashingtonparrapportàBaltimore,mettantenavantuneplusgrandesensibilitédelapopulationconcernéeauxfacteursvisésparlesmarquesdeconfiance.
4 Brounen, D., Kok, N. (2011). On the economics of energy labels in the housing market. Journal ofEnvironmentalEconomicsandManagement62(2):166-179.DOI:10.1016/j.jeem.2010.11.006
5 Loureiro,M.L.,McCluskey,J.J.(2000).Consumerpreferencesandwillingnesstopayforfoodlabeling:Adiscussionofempiricalstudies.JournalofFoodDistributionResearch34(3):95-102
6 Bjørner,T.B.,Hansen,L.G.,&Russell,C.S. (2004).Environmental labelingandconsumers’choice—an empirical analysis of the effect of the Nordic Swan. Journal of Environmental Economics andManagement,47(3),411-434.DOI:10.1016/j.jeem.2003.06.002
7 Levy,A.S.,Mathews,O.,Stephenson,M.,Tenney,J.E.,&Schucker,R.E.(1985).Theimpactofanutritioninformationprogramonfoodpurchases.JournalofPublicPolicy&Marketing,1-13
![Page 177: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/177.jpg)
171
Maietal.(2015)8étudientl’impactdesmarquesdeconfiancedegarantiedeprotectiondesdonnéespersonnellessurlesprixdevente.Ilsévaluentà1,5%lamajorationduprixassociéeàl’introductiond’unemarquedeconfiance,danslecasdessitesdevente.Defaçonsimilaire,MelniketAlm(2002)9relèventunimpactsignificatifd’unebonneévaluationd’unvendeursureBay,maisassociéeàunetrèsfaibleaugmentationduprix.
Lesévaluationsquenousvenonsdecitervarientdoncde1,5%à45,8%duprixdevented’unproduitgarantiparunlabel,parrapportàunproduitsansgarantie.Ilressortdelalisted’étudesci-dessusquelelieudevente,lanatureduproduit,etd’éventuelsscan-dalesliésausecteurétudiésontprobablementàl’origined’untelécart.Onpeutrésumercerésultatparlanotionintuitivederisqueperçu.Unutilisateurserad’autantplusprêtàpayerunemajorationtarifairepourunproduitsilerisqueassociéàunequalitédouteuseestimportant.
Plusprécisément,McCluskeyetLoureiro(2000)10montrentquelagarantied’absenced’OGMenEuropeetauJaponaugmente ladisponibilitéàpayerdesconsommateurs,tandisqueLietal.(2003)11observentenChinequelesconsommateurssontprêtsàpayer38%depluspourdurizgénétiquementmodifiéparrapportàduriztraditionnel,et16,3%depluspourde l’huiledesojagénétiquementmodifiépar rapportàde l’huiledesojatraditionnelle.Ceci pourrait s’expliquerpardesdifférencesdecultureset depolitiquesagro-alimentaires.
L’impactdesmarquesdeconfianceporteplussuruneffetvolumequesuruneffetprix,enparticulierpourdessitesnonmarchands,oùl’impactdelamarquedeconfiancenepeutpasêtreobservésurleprix.
8 MaiB,MenonNM,SarkarS(2010)Nofreelunch:Pricepremiumforprivacyseal-bearingvendors.JournalofManagementInformationSystems27(2):189-212
9 Melnik,M.I.,&Alm,J.(2002).Doesaseller’secommercereputationmatter?EvidencefromeBayauctions.Thejournalofindustrialeconomics,50(3),337-349.DOI:10.1111/1467-6451.00180
10 LoureiroML,McCluskey J J (2000)Consumerpreferencesandwillingness topay for food labeling:Adiscussionofempiricalstudies.JournalofFoodDistributionResearch34(3):95-102
11 Li,Q.,Curtis,K.R.,McCluskey,J.J.,&Wahl,T.I.(2003).ConsumerattitudestowardgeneticallymodifiedfoodsinBeijing,China
![Page 178: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/178.jpg)
172
Marques de confiance et effets de confusionGao(2007)12sepenchesurlacomparaisondesimpactsselondifférentesmarquesde
confiance. Ilénumèrequatrecaractéristiquesrelativesàunproduitagricoleetpouvantêtregarantiesparunemarquedeconfiance:laqualitéàlaconsommationentermesdegoûts,l’originegéographique,lerespectdeméthodesbiologiques,laprésenced’OGM.
L’originalitédel’approcherésidedansl’étudecomparéedesmarquesdeconfianceexis-tantespourlaviandelesunesparrapportauxautres,etl’étudedel’impactsupplémentaired’unemarquedeconfiancesurunproduitdéjàmarqué.Ilsnotent,entreautre,queladatedepéremptionn’aunimpactquesecondaire,dépendantdelaprésenced’autresattributs.Enoutre,lesmarquesdeconfianceportantsurlatendresseetlamaigreurdelaviandeontuneffetpositifsignificatif,contrairementàladatedepéremption.Defaçonsurprenante,leseffetsmarginauxpour laqualitéde laviandeet l’origineduproduitsontopposésàpartird’uncertainseuil:lenombredemarquesdeconfiancegarantissantlatendressedelaviandeauneffetmarginalpositifsurlapropensionàacheter.Enrevanche,lacertifica-tiond’originedelaviandepassed’uneffetpositifpourlepassagede3à4marquesdeconfiance,maisauneffetnégatifpourlepassagede4à5.
L’important iciest lechangementd’effetd’unevaleurpositiveàunevaleurnégative,laissantsupposerquelenombredemarquesdeconfiancepeutêtrejugénégativementàpartird’uncertainseuil.Finalement,ilobserveque,sanstenircomptedelanatureprécisedesmarquesdeconfiance,leurnombreauneffetmarginalpositif.
Cette confusionestégalement relevéepour lesmarquesdeconfianceécologiques.LeireetThidell(2005)13étudient,pourleurpart,l’impactdu«NordicSwann»;ilsconstatentquecettemarqueestefficace.Sientredeuxproduitscomparables,l’und’euxpossèdelamarque«NordicSwann»,lesconsommateurslepréféreront.Cependant,cerésultatquisemblefortentermed’attitudeannoncée,perddesasignificationdèsquel’auteurconsi-dèrel’achateffectif.
12 Gao,Z.(2007).Effectsofadditionalqualityattributesonconsumerwillingness-to-payforfoodlabels(Doctoraldissertation,KansasStateUniversity)
13 Leire,C.,Thidell,Å. (2005).Product-relatedenvironmental information toguideconsumerpurchases–areviewandanalysisofresearchonperceptions,understandinganduseamongNordicconsumers.JournalofCleanerProduction,13(10),1061-1070.DOI:10.1016/j.jclepro.2004.12.004
![Page 179: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/179.jpg)
173
Enfin,sil’onconsidèrelesdonnéespersonnellessurInternet,LaroseetRiffon(2007)14 confrontentlescomportementsde227étudiantsetconcluentquele«Privacy Paradox»,àsavoirlepartagevolontairedesdonnéespersonnellesmalgrélacraintequ’ellesnesoientpaseffectivementprotégées,estdûàunetropgrandeconfiancedesutilisateurs.Ainsi,laconfusionautourdesrisquesquepeutprésenterunsiteentraîneunecertainevulnérabilitédel’internaute.
Cependant,Nouassairetal.(2002)15étudientunphénomènecomparableau«Privacy Paradox»,danslecontexteenFrancedesproduitsgénétiquementmodifiés.Lesconsom-mateursinterrogéssedéclarentcontrelesalimentsavecOGM.Cependant,ilsnesemblentpasprendrecettecomposanteencomptelorsdeleursachats.Leurétudeportantsurunpanelde112participantssoulignequel’inattentionauxmarquesdeconfianceestlacausedecettecontradiction,etqueleprixqu’ilssontprêtsàpayerdécroîtde30%lorsquelesconsommateursprennentconnaissancedelaprésenced’OGM.
10.2. Impact des labels sur les utilisateurs
Afindemieuxappréhender la façondont lesFrançaisgèrent leursdonnéesperson-nelles,laChaire Valeurs et Politiques des Informations Personnelles s’est associée àMédiamétriepourréaliseruneenquêteenmars2017.Celle-cis’inscritdanslecontexted’unelenteérosiondelaconfiancesurInternet,delacollectesouventabusivedesdon-néespersonnellesetdelasurveillancemiseenplaceparcertainsÉtatsouacteursprivés.
L’échantillon, représentatif de la population internaute, était constitué de 2051 inter-nautesâgésde15ansetplus.La représentativitéaétéassuréepar laméthodedesquotas(sexe,tranched’âgeen5classes,classesocio-professionnelleen5classesetrégionParis-Province)surlabasedel’enquêtederéférencedelapopulationd’internautesenFrance,l’Observatoiredesusagesdel’Internet.Lequestionnaireaétéauto-administréenlignesurlapériodedu26févrierau16mars2017.
14 LaRose,R.,Rifon,N.J.(2007).Promotingi-safety:effectsofprivacywarningsandprivacysealsonriskassessmentandonlineprivacybehavior.JournalofConsumerAffairs,41(1),127-149.DOI:10.1111/j.1745-6606.2006.00071.x
15 Noussair,C.,Robin,S.,Ruffieux,B.(2002).Doconsumersnotcareaboutbiotechfoodsordotheyjustnotreadthelabels?Economicsletters,75(1),47-53.DOI:10.1016/S0165-1765(01)00594-8
![Page 180: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/180.jpg)
174
Pourmieuxcomprendrelesenjeuxdessignesdeconfiance,lasériedequestionsré-digéesparPatrickWaelbroeck,ArmenKhatchatourovetClaireLevallois-Barthportaitsurles formes que devrait prendre un label,le type d’entité devant délivrer le label,etl’impact d’un label sur les habitudes des internautes.
La formeNousavonsdiscutédesavantagesetdesinconvénientsdedifférentesformesdelabels,
enparticulier leslabelsàplusieursniveauxet leslabelsbinaires(cf.Chapitre9).Nousyavonssoulignéàplusieursendroits les risquesdemanipulationspar lesentrepriseslabelliséesassociésaux labelsbinaires.Nousenavonsconcluqu’un labelàplusieursniveauxétaitpréférable.Lesréponsesfourniesparlesinternautesquenousavonsinter-rogésconfirmentlapréférencepourdeslabelsnuancés.
Figure 4. Type de label qui susciterait le plus la confiance
Parmi les internautes qui affirment une préférence quant à la présence ou non d’un label de fiabilité, plus de la moitié ferait davantage confiance à un label nuancé, qui exprimerait le niveau de protection des données personnelles via une échelle (de notes ou de couleurs).
Un label nuancé C’est-à-direunlabelquiindiqueraitunniveaudeprotectiondesdonnéespersonnellesviauneéchelledenotesoudecouleurs.
Un label unique C’est-à-direquelaprésencedecelabelindiqueraitquelesiteprotègelesdonnéespersonnelles,etl’absencedecelabelnedonneraitaucuneindicationquantàlaprotectiondesdonnéespersonnelles.
Aucun de ces deux types de labelsJe ne sais pas
► Question : à quel type de label feriez-vous le plus confiance ?
► Base : internautes de 15 ans et plus qui se positionnent quant à la notion de label (n=1437)
54%
32%8%7%
![Page 181: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/181.jpg)
175
Qui doit labelliser ?Nousavonsidentifiédansleschapitres7et9lesrisquesdeclientélismeetleseffets
potentiellementperversd’unsystèmedelabeldélivréparunorganismeprivé.
Laprédominancedel’organismepublicLesréponsesàl’enquêtemontrentclairementqu’unorganismedel’Étatouunorga-
nismeinstitutionnelconstitueraituntiersdeconfiancepourdélivrerun labelnumériquepourprèsde7internautessur10.Laquestiondumodèled’affairesetdufinancementducoûtdelalabellisationn’acependantpasétéposée.
LepotentieldesnotationscollaborativesEncequiconcerne lesystèmedenotationscollaboratif,onremarqueque53%des
personnesinterrogéessontprêtesàyparticiperdemanièreactive(sansincitationsmo-nétairesouautre),cequicorrespondàunchiffrequel’onretrouvedanslessystèmesdenotationdesitescommeeBay,oùenviron50%desmembresévaluentleurstransactions.
Figure 5. Disposition à donner son avis sur la fiabilité d’un site
Plus de la moitié des internautes serait prêts à donner leur avis sur la fiabilité d’un site, pour témoigner ou non que le site protège bien les données personnelles. En revanche, 3 internautes sur 10 ne se sentent pas concernés ou ne savent pas.
Oui,certainement16%Oui,probablement37%
Non,probablementpas11%Non,certainementpas7%
JenemesenspasconcernéJenesaispas
► Question : pour démontrer qu’ils protègent bien les informations personnelles, certains sites
affichent les avis des consommateurs sur la confiance qu’ils leur accordent et sur la fiabilité du
site. Seriez-vous prêts à participer en donnant votre avis sur la fiabilité d’un site ?
► Base : internautes de 15 ans et plus (n=2051)
53%18%29%
![Page 182: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/182.jpg)
176
Qui doit-on labelliser ?L’enquêtemontreclairementquel’ondoitlabelliserenprioritélessitesd’achatenligne
étrangersetlesréseauxsociaux,pourlesquelslesniveauxdeconfiancesontnettementinférieursàlamoyenne.
Figure 6. Niveau de confiance vis-à-vis des acteurs sur Internet
Les sites de l’État et la banque suscitent la confiance de la quasi-totalité des internautes. Les sites d’achat français sont jugés nettement plus fiables que les sites d’achat étrangers. Seulement un tiers des internautes font confiance aux réseaux sociaux (note moyenne de 3,6 / 10)
Lessitesdel’ÉtatLabanqueLeFAIouopérateurdetéléphonieLessitesd’achatenlignefrançaisLessitesd’achatenligneétrangersLes réseaux sociaux
Pas du tout confiance (0 à 2)Plutôt pas confiance (3 et 4)
Plutôt confiance (5 à 7)Totalement confiance (8 à 10)
► Question : sur une échelle de 0 à 10, quel est votre niveau de confiance pour chacun des
acteurs suivants ?
► Base : internautes de 15 ans et plus (n=2051)
94%92%83%81%35%35%
Confiance+(5 à 10)
8,07,76,66,23,73,6
Moyenne(sur 10)
26% 68%29% 63%
12 47% 36%14 51% 30%34% 30% 27%38% 27% 28%
![Page 183: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/183.jpg)
177
ImpactLe labeldeprotectiondesdonnéespermetd’améliorer leniveaudeconfiancedans
lessituationsperçuescommerisquées,commel’utilisationd’unservicegratuitouunté-léchargement.Onconstateégalementuneffetpositifd’explorationquipermettraitauxin-ternautesdesortirdeleursbullesinformationnelles.Unimpactéconomiquepour¼despersonnesinterrogéesestégalementàsouligner.
Figure 7. Impacts qu’aurait un label de protections des données
Parmi les internautes qui ont exprimé une préférence quant à la présence ou non d’un label de fiabilité, plus des trois quarts verraient leurs habitudes de navigation influencées par la présence d’un label. Cela améliorerait notamment la confiance envers les sites labellisés.
D’avoirplusdeconfianceenversunprestatairequimeproposeunservicegratuit
Denaviguersurcertainssiteswebquevousnevisitezpasd’habitude
D’avoirplusdeconfianceenversunprestatairequimeproposeunservicepayant
Detéléchargerdesapplicationsquevousn’auriezpastéléchargéessurvotreéquipement
D’effectuerdavantaged’achatssurInternet
Riendetoutcela,celanechangeraitrienàmeshabitudesdenavigation
► Question : si un label de protection des données personnelles se développait, pensez-vous
qu’il permettrait…
► Base : internautes de 15 ans et plus qui se positionnent quant à la notion de label (n=1437)
49%
37%
33%
27%25%
24%
76%estimentquela
présenced’unlabeldeprotectiondesdonnéesauraituneinfluencesurleurshabitudesde
navigation
![Page 184: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/184.jpg)
178
Pistes de mise en œuvre L’expériencedes labelsdans lesautres industries, tellesque l’agro-alimentaireou le
secteurénergétique,montrequ’ilsontdes impactssignificatifsentermesdeprixetdeventespourlesentreprisesetproduitslabellisés.L’ampleurdeceseffetséconomiquesva-riecependantd’uneétudedecasàl’autre,leseffetslesplusfortsétantobservéslorsquelesrisquespourlesconsommateurssontélevés(risquepourlasantéparexemple).
Ainsi,laprisedeconsciencegrandissantedesenjeuxsociétauxautourdelaprotectiondesdonnéespersonnellesparlesinternautespeutconduireàpenserquel’impactécono-miquedeslabelsdeprotectiondedonnéesiraégalementengrandissant.
Encequiconcernelaperceptiondesutilisateursd’untellabel,l’enquêtequenousavonsmenée au sein de laChaire Valeurs et Politiques des Informations Personnelles sembleindiquerqu’unlabelàplusieursniveauxdélivréparunorganismepubliccombinéàunsystèmedenotationcollaboratifenco-constructionaveclesinternautessemblepro-metteur.Ildevraitenprioritérenforcerlaconfiancedesinternauteslorsqu’ilsutilisentdessitesmarchandsétrangersetdesréseauxsociaux.
![Page 185: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/185.jpg)
MarylineLaurent
Chapitre 11. La blockchain est-elle une technologie de confiance ?
![Page 186: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/186.jpg)
180
Cechapitreprésentelefonctionnementetleslimitesdu« trust by design»exposéauchapitre1,ens’appuyantsurunexempleparticulierdetechnologie,celuidelablockchain.
Cettetechnologieaétéinventéeàlafindesannées2000.Plusprécisément,elleaétédéveloppéeauseinduprojetd’échangedecrypto-monnaiesurInternetBitcoin,projetquil’arenduepopulaireetquiapermisdedémontrersagrandefiabilité.En2014,lafondationàbutnonlucratifEthereumdirigéeparVitalikButerindécided’étendreleprincipedelablockchainàuneblockchainprogrammable,ouvrantainsilechampàunnouveautypedetransactionsappelé« smart contracts».
► Unexempledetransaction ou smart contractconsisteàdéclencherunvirement(encrypto-monnaies)àlaréceptiond’uncolis,oul’ouvertured’uneporte(véhicule,locationdemaison…)aprèsprépaiementduservice.
En2015,unepremièreversionducodesourced’Ethereumestrenduepublique,cequipermetàdenombreuxindustrielsetdéveloppeursindépendantsdeproposerdesservicesinnovants.CitonsparexempleletoutrécentserviceFizzyd’AXAquiassurelespassagerscontrelesretardsd’avion1.
1 https://buff.ly/2xiTBId
11.1. Lesélémentstechniquesfondamentaux ........................182
11.2. Lefonctionnementdelablockchain ...............................183
11.3. Lesfacteursdelaconfiance ...........................................192
11.4. Latransparencedelachaîneetl’atteinteàlavieprivée ..........................................................................................196
11.5. Deslimitesàprendreenconsidération .........................198
11
![Page 187: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/187.jpg)
181
Lablockchainestsouventcomparéeàungroslivredecomptes,publiquementacces-siblesetauditables, tenupardes«membres».Cesderniersont lapossibilitéd’yajou-terdesécritures,àconditionquecetteopérationsoitvalidéeparplusieursmembresdugroupe,voirelamajoritédesmembres.Ilestainsipossibledetracerlesécrituresdecha-cun,sanspourautantconnaîtrel’identitédesentitésimpliquées,lesmembresagissantsous pseudonymat.
Aprèsavoirintroduitquelquestechniquesélémentairesutilesàlacompréhension(11.1.),cechapitredécritlefonctionnementtechniquedelablockchain(11.2.).Puis,ilidentifielespropriétésclésquipermettentdeluiconféreruncertaindegrédeconfiance(11.3.).Enfin,ildresseunétatdeslieuxdesrisquesetlimitesassociésàcettetechnologieetdiscutedesacapacitéàgarantirlaprotectiondesdonnéespersonnelles(11.4.et11.5.).
Ladifficultéde l’exerciceconsisteàdistinguercequi relève,d’unepart,duconceptpropreàlablockchainet,d’autrepart,desdifférentesinstanciationsquienontétéfaites,notammentlesprojetsBitcoin,Ethereum,RippleetLitecoin2.NotonsquelesexplicationsfourniesdanslasuiteontprincipalementtraitauprojetBitcoin,quifaitl’objetd’unelittéra-turefournieetstable.
2 OnpourraalorsécrireBlockchainBitcoin,BlockchainEthereum…pourdésignercesinstanciations.
La blockchain est-elle une technologie de confiance ?
![Page 188: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/188.jpg)
182
11.1. Les éléments techniques fondamentaux
Lasécuritéofferteparlablockchainreposepourl’essentielsurdesmécanismescryp-tographiquesstandard,relevantprincipalementdelacryptographieàcléspubliques,desfonctionsdehachageetdessignaturesélectroniques.
Mécanismes cryptographiquesLacryptographieàcléspubliquessupposequechaqueentitéd’unsystèmedispose
dedeuxclés,uneclé publiqueconnuedetousetuneclé privéemaintenuesecrèteparl’entitéquienestpropriétaire.Cettecléprivéepermetàsonpropriétairedesignerunedemandedetransactionetainsideprouverqu’ilenestàl’origine.Laclépubliquepermetàuneautreentitédevérifierl’authenticitédelasignature.
Leniveaudesécuritéd’uncryptosystèmesemesureàladifficultédecraquerlesclésprivées.Ceniveaudépenddirectementde la tailledesparamètres:plus leur tailleestgrande,plusilestdifficiledecraquerlacléprivée.Avecdumatérielinformatiquedemoinsenmoinscheretoffrantdeplusenplusdepuissancedecalculetdemémoire,ilestné-cessairederéviserrégulièrementàlahausselatailledesparamètres,pourmaintenirleniveaudedifficulté.Aujourd’hui,unesécuritédeniveau100estsuffisante,cequicorres-pondàunattaquantàquionconfèrelacapacitéderéaliser2100opérationspourréaliserune attaque.
Le projet Bitcoin se fonde sur le cryptosystème ECC (Elliptic Curve Cryptography)quiutilise l’algorithmedesignatureECDSA (Elliptic Curve Digital Signature Algorithm).ECDSAs’appuiesurlescourbeselliptiquesquiontl’avantaged’utiliser,pourunmêmeni-veaudesécurité,destaillesdeclésraisonnablesparrapportàd’autrescryptosystèmesàcléspubliquesplusclassiquestelsqueleRSA(dunomdesesinventeurs:Rivest,ShamiretAdleman).Ainsi,pourunniveaudesécuritéde112,lesclésexigéessontde3072bitspourRSAetseulementde256bitspourECC.
Fonctions de hachageLesfonctionsdehachage(Hash)sonttrèsprésentesdanslesblockchains,enparti-
culierlafonctionSHA256.Ellespermettentdefabriquerdessignaturespourauthentifierchaquetransaction,degarantirunlienfortentreunmembredelablockchainetsaclépublique,etd’identifierunetransactionouunblocinjectédanslablockchain.Ellesservent
![Page 189: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/189.jpg)
183
aussiàlierlesblocsentreeuxdemanièreàrigidifierl’enchaînementdesblocs,cequioffreunegarantiedel’intégritédelablockchain.
Propriétés d’une fonction de hachage (Hash) cryptographique
• Production d’un résultat (ou haché) de taille fixe: quel que soit le mes-sage fourni enentrée, la fonction retourne toujoursun résultat demême taille.L’algorithmeSHA256retourneunhachésur256bits• Irréversibilitédumessagehaché: ilesttrèsdifficiledetrouverlemessagefournienentréeàpartirdurésultatdelafonction• Résistanceauxcollisions:ilesttrèsdifficiled’obteniràpartirdedeuxmes-sageslemêmehaché• Effetavalanche:lamodificationd’unbitdanslemessageenentréeapourconséquencedemodifieraumoinslamoitiédesbitsensortie.Cettepropriétéestintéressantepourgarantirl’intégrité.Lorsquelespropriétésd’irréversibilitéetderésistanceauxcollisionssontqualifiéesde«trèsdifficiles»,celasignifiequelesoutilsalgorithmiquesetinformatiquesac-tuelsnepermettentpasderéaliseruneattaquesurunefonctiondehachageenuntempsraisonnable.
Signatures électroniquesLafabricationd’unesignaturesuppose,pourlesignataire,decommencerparappliquer
unefonctiondehachagesurlesélémentsdelatransactionàauthentifier,puisdechiffrerlerésultatobtenuavecsacléprivée.
11.2. Le fonctionnement de la blockchain
Uneblockchain est unensemblede transactions individuelles regroupéesenblocs,chaquebloccontenantlestransactionsémisesàpartirdudernierbloc.Chaquetransac-tionestémiseparunnœudpréalablementenrôlé,quiladiffuseàtouslesmembresdelablockchain.L’authenticitéetlalégitimitédelatransactionsontalorsvérifiéesparlesnœudsdela
blockchain, qui se réfèrent à l’historique des transactions enregistrées depuis l’originedanslablockchain.Puis,lesmineursagglomèrentsouslaformed’unbloclestransac-tionsvalidées.Pourvaliderlebloc,ilsdoivent«miner»,c’est-à-direrésoudreunproblème
![Page 190: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/190.jpg)
184
mathématiquecomplexeappelé«Preuvedetravail»(Proof of Work–PoW)3.Lemineurquilepremierrésoutleproblèmemathématiquediffusesasolutionàtouslesnœuds,quivérifientalorslapreuvePoW.Encasdevaliditéavérée,chaquenœudajouteleblocdanslablockchain,etlesmineurscommencentàminerleblocsuivant.Lefaitd’inscriremassi-vementunblocdanslablockchainsignifiequ’unconsensusaétéatteintparmilesnœuds.
Les différents types de nœuds D’unpointdevuetechnique,lesmembresdelablockchainsontdesressourcesinfor-
matiques(parexempledesordinateurs)quiontétéconnectéesàlablockchainlorsd’unephased’enrôlement.Misesenréseauautraversd’Internet,cesressourcessontcouram-mentappeléesdesnœuds.
Pourêtremembred’uneblockchain,unepersonnedoitdoncenrôlerundeseséquipe-mentsinformatiquesentantque«nœud».Ilexistedeuxtypesdenœuds:
• les nœuds réguliers,dotéspourlaplupartdecapacitésinformatiquesordinaires,àpartirdesquelsdespersonnesphysiquespeuventémettredesdemandesdetransactions
• les nœuds « miners »oumineurs,dotésdegrossescapacitésdetraitement,direc-tementutilesaufonctionnementdelablockchainetcapableseuxaussid’émettredestransactions
Lesnœudsréguliersoumineurs,pourpeuqu’ilsdisposentdegrossescapacité,peuventstockerl’ensembledelablockchain.Ilssontalorsappelés«nœudentier»(«full node»).Notons que la BlockchainBitcoinlancéeen2009atteinten2017plusde158GB.
La phase d’enrôlement dans la blockchainAucoursdel’enrôlement,lenœud,qu’ilsoitrégulieroumineur,téléchargeunlogicielqui
luipermetdes’interfaceraveclablockchain.Celogicielestpersonnaliségrâceàunnumé-rodecompteblockchain(parexemple,uneadresseBitcoinde160bits)etunjeudecléspubliqueetprivée.Ilestimpératifquelepropriétairedunœudconservelelogicieltéléchar-géetlemotdepassequidéverrouillesacléprivée.Danslecascontraire,ilperdral’accèsàsoncompteblockchainetnepourrapluspasserdetransactionàpartirdesoncompte.
3 LeprocédédevalidationparProof of Stake,radicalementdifférentduProof of Work,estexpliquépage190.
![Page 191: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/191.jpg)
185
Ildoitexisterunlienévidentetfacilementvérifiableentrelenumérodecompteetlaclépublique.DanslecasduBitcoinparexemple,l’adresseBitcoincorrespondclassiquementaurésultatduhachagedelaclépubliqueassociée.Ainsi,toutnœudestenmesuredevé-rifierlacohérenceentrelapropriétéd’uncompteetlasignatured’unetransactionqu’ilestsupposéavoirémise.Cettecaractéristiqueévitederecouriràuneinfrastructuredegestiondeclésoùlagestiondescertificatsélectroniquesestparticulièrementlourdeetcoûteuse.
La phase de transaction Laphasedetransactioncomprendlavalidationdechacunedestransactions, l’agré-
gationdecestransactionsenunbloc,letravaildeminage(PoW,PoS)quipeutprendreplusieursminutes(environdixminutespourleprojetBitcoin),ladiffusiondublocminé,lavalidationd’unnouveaublocparsespairsetl’insertiondublocdanslablockchain.
Chaqueblockchain laisseunecertaine latitudeaunœudémetteurpourpréciser lesconditionsàsatisfairepourqu’unetransactionsoiteffective.PourleprojetBitcoin,larègleimpliciteconsisteàvérifierqu’unnœuddisposedesuffi-
sammentdeBitcoinspourémettrelatransaction.Lenœudémetteurquantàluipeutimpo-ser,sousformed’unprogrammeécritenscript,sespropresconditions,parexemplequelebénéficiaireprouvesonidentitéenémettantunesignaturevalideouplusieurssignaturesdanslecasoùlebénéficiairedisposeraitparexempledeplusieurscomptesetsouhaiteraitaugmenterleniveaudesécurité.Dans le cadre d’Ethereum, les règles sont fixées par les développeurs de smart
contracts.
Quellesquesoientlesrèglesparticulièresadoptéesparchaquetypedeblockchains,danstouslescasunetransactiondoitnécessairementcontenir(voirFigure8,page186):
• unidentifiantdetransaction• desinformationspermettantdevaliderlalégitimitédelatransactionou,pluslarge-
ment,desituerlecontextedelatransaction.LeprojetBitcoinfaitréférenceàdesentrées (inputs)quipermettentàl’émetteurBertrandd’identifierplusieurstransac-tionsantérieures(cellesd’AnneetAlice)pourjustifierd’unsoldesuffisant,etdeprouverqu’ilsatisfaitbienlesconditionsimposéesparAnneetAlice(disposerdelaclépubliqueetd’unesignature)pourdisposerdesmontantstransférés
• des informationsprécisant le résultat de la transaction. LeprojetBitcoindéfinitdessorties(outputs)quiprécisentlesbénéficiairesduvirement(CharlesetZoé),
![Page 192: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/192.jpg)
186
Figure 8. Format simplifié d’une transaction Bitcoin
IDdelatransactionpasséeparAnneIndex output delatransactiond’AnneClépubliquedeBertrandPreuveémiseparBertrandpoursatisfairelesconditionsd’Anne(ex:signaturedeBertrand)HashdelatransactionpasséeparAliceIndex output delatransactiond’AliceClépubliquedeBertrandPreuveémiseparBertrandpoursatisfairelesconditionsd’Alice(ex:signaturedeBertrand)
Montanttransféré:0,4Conditionsdetransfert(pubKey script).Ex:possessiondelaclépubliquedeCharles,dontonpréciseicil’adresseBitcoin (hashdesaclépublique)CompteBitcoindeCharlesMontanttransféré:0,3Conditionsdetransfert(pubKey script).CompteBitcoindeZoé
Numéro de version du protocoleNombre d’inputs : 2
Nombre d’outputs : 2
Out
put 2
Out
put 1
Inpu
t 2In
put 1
Hash
Transactionprécédented’Anne(Output:montant
transféréde0,5BTC)
Hash
Transactionprécédented’Alice(Output:montant
transféréde0,2BTC)
![Page 193: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/193.jpg)
187
lemontantassocié,etlesconditionsquelesbénéficiairesdoiventsatisfairepourrécupérerlemontant.Àlamanièred’unlivredecompte,l’équilibrepeutêtreatteintentre inputs et outputs,maissilemontantenoutputestmoinsélevéqu’eninput,celasignifiequelemineurpeutbénéficierdeladifférencepoursontravaildemi-nage.Parfois,lesfraisdetransactionsontobligatoires,lemontantallouépermet-tantd’inciterlesmineursàintégrerlatransactiondansleuropérationdeminage.
La constitution des blocs Unblocregroupeunensembledetransactions.Ilviseàcristalliserlecontenudestran-
sactionsetdubloc,ainsiquelapositiondublocdanslablockchain,demanièreàrendreimpossible toutemodificationaccidentelleoumalveillanteducontenude lablockchain.Cettecristallisationreposesurdeuxprocédésessentielscomplémentaires.
Lepremierprocédéchercheàrigidifierlastructuredetransactionsetdeblocsenvenantsoudertouscesélémentsentreeux.Àcettefin,lesfonctionsdehachagesontutiliséesintensivementetsontparfoisorganiséespourproduireunarbredeMerkle4.Maissilesfonctionsdehachageempêchentdemodifierpartiellementunblocdelachaîne,ellesn’éli-minentpaslesactesd’écrasementéventueldesderniersblocs.Cesontlesmécanismesdeminagecouplésàl’architecturedécentraliséedestockageetdecalculsquifournissentdesgarantiesdeconfiance.Touslesélémentsapportantstructurellementetfonctionnelle-mentdelaconfiancesontprésentésensection11.3,page192.
Si l’onseréfèreà lastructureduprojetBitcoin(cf.Figure9,page188),unblocestcomposéd’unentêteincluantunesignalétiqueutileaufonctionnementdelablockchain,d’uncontenuregroupantlestransactionsetd’unnonce,c’est-à-direunnombrealéatoireutileàl’opérationdeminageetd’autresélémentsexplicitésci-dessous.
Lorsdechaquetransaction,un identifiant(TxID)estcalculé: ilcorrespondauhachéducontenude latransaction.L’arbredeMerklepermetensuitedesolidifier l’ensembledestransactionsencalculantdeshashssuccessifsjusqu’àtrouverlaracinedel’arbre.Lerésultatestalorsinscritdansl’entêtedubloc.Lecontenudel’entêteestalorsfortementliéaucontenudubloc,cequiultérieurementserviraàprouverl’intégritéducontenudubloc.
4 «En informatique et en cryptographie, un arbre de Merkle ou arbre de hachage est une structure de données contenant un résumé d’information d’un volume de données, généralement grand (comme un fichier) .»Wikipédia
![Page 194: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/194.jpg)
188
Figure 9. Format simplifié d’un bloc Bitcoin et de son chaînage dans la blockchain
Entêtedebloc Hashdublocprécédent
Bloc 3
Hash
Entêtedebloc Hashdublocprécédent
Bloc 1
Entêtedebloc NonceHashdublocprécédentRacinedel’arbredeMerkle
Bloc 2
ContenudublocTransaction1Transaction2Transaction3Transaction4
TxID1TxID2TxID3TxID4
HashHash
HashHash
HashHash
Arbre de Merkle
Hash
Hash
Racinedel’arbre
Hash
EntêtedeblocNoncede32bits?HashdublocprécédentRacinedel’arbredeMerkle
Bloc 2
0000……0C5668F9D0…
Figure 10. Travail de minage de type PoW sur l’entête du bloc Bitcoin
![Page 195: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/195.jpg)
189
Ledeuxièmeprocédédecristallisationgarantit,quantà lui, l’intégritéde laplacedublocdanslablockchain.Cettepropriétéestassuréeessentiellementenchaînantlesblocsentreeux,àpartirdupremierblocdelachaîneappelé«Genesis Block».
► SurlaFigure9,page188,lebloc2estbiensituéentrelesblocs1et3,cequipeutêtrevérifiéens’assurantquelehachédubloc1estcorrectementrenseignédansl’entêtedubloc2.Ilenvademêmepourlehachédubloc2dansl’entêtedubloc3.
LorsquelePoWestrésolusimultanémentpardeuxmineurs,lesautresnœudsreçoiventalorsdeuxblocsvalidésmaisdifférents.Lesdeuxblocssontalorsajoutésàlachaîneaumêmeniveau,cequicréeuneffetdefourcheetdémarredeuxchaînesdistinctes.
Ceproblèmededédoublements’auto-régule,toutsimplementparlefaitquel’effortdeminagen’estpasrépartiéquitablemententrelesdeuxblockchainstemporairementdis-tinctes.Ainsilablockchainquigranditplusvitequel’autreseraconsidéréevalide.PourBitcoin, il estadmisqu’auboutdecentblocsajoutésà lablockchain, leproblèmededédoublementestrésolu.Bienentendu,celasupposederéintégrerlestransactionsin-validéesquifigurentdans lablockchainabandonnée. Ilestégalementconvenuqu’unetransactiondetypeBitcoinestconsidéréeeffectivementpasséeàlaconditionqu’ellesoit«enterrée»soussixblocs,cequinécessited’attendreuneheureavantquelebénéficiairenepuissedisposerdesesBitcoinsetréaliserlui-mêmeunetransaction.Cetteconditionestunfreintrèsfortàl’utilisationdesblockchainsdansunenvironnementdynamique,cequiamèneleschercheursàs’intéresseràdesalternativescommeleProof of Stake.
La validation de l’opération de minageL’opérationdeminagepermetaumineurdeconstruireunblocvalideparlarésolution
d’unproblèmemathématiquecomplexeetdesevoiroctroyerungain.Avantdedémarrercetterésolution,lemineurajouteunetransactionappeléetransaction«coinbase»dansleblocàtraiterafind’êtrerémunéré.Àcettefin,lapolitiquedelablockchainl’autoriseàcréerdelamonnaieetànepasrespecterlarègleapplicableauxtransactionsstandardselonlaquellelemontantdel’outputdoitêtreinférieuraumontanteninput. La transaction «coinbase»préciselemineurbénéficiaireetlemontantdesongain.Delasorte,aprèsrésolutionduproblème,sileblocestacceptéparlesautresmineursdelablockchain,lemineurauraacquislegainainsiquel’ensembledesfraisdetransaction.Lesconcepteurs
![Page 196: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/196.jpg)
190
duprojetBitcoinontprévuquelarécompensedublocdiminueavecletemps,etquelesmineursdoiventdeplusenpluscomptersurlesfraisdetransactionpourêtrerémunérés.
Lavalidationparpreuvedetravail(Proof of Work–PoW)Leproblèmeàrésoudre,pourvaliderunbloc,consisteàtrouverlavaleurduchamp
Noncede32bitsàrenseigner(cf.Figure10,page188)dansl’entêtedublocdesortequelehachagedel’entêtedublocaboutisseàunrésultatinférieuràunecertainevaleur.Pluscettevaleurestpetite,plus leproblèmeestdifficileàrésoudre.Pourconserver lamêmecomplexitécalculatoireaufildutemps,lapolitiquedelablockchainajusteleniveaudedifficulté.
► DanslecasduprojetBitcoin,unblocestminéenmoyennetouteslesdixminutes.Tousles2016blocs,soitunepériodethéoriquededeuxsemaines,unemoyenneestcalculée;siletempsmoyenesttropcourt,ladifficultéestrevueàlahausse;s’ilesttroplong,ladifficultéestrevueàlabaisse.
L’undesinconvénientsmajeursduPoWestquelemineurdoiteffectuerdenombreuxcalculs.Untypedepreuveplussimple,leProof of Stake(PoS),adoncétédéveloppé.
Lavalidationsimpleparpreuved’enjeu(Proof of Stake–PoS)L’objectifdelavalidationparPoSestd’allégerlaprocéduredeminageparPoW.Cet
allégementvapermettreàlafoisderéduirelesdépensesénergétiquesetd’obtenirunemeilleureréactivitédelablockchain.L’enjeuestdoncàlafoisécologiqueetéconomique,puisquelablockchainvapouvoirinscrireplusrapidementdestransactions,etdonctraiterdeplusgrosvolumes.
► LeprojetEthereumdéveloppeactuellementunalgorithmePoSappeléCasper.LamigrationversCasper,prévued’iciàdeuxans,devraitpermettredevaliderdesblocsenquelquessecondes,voiremoinsd’uneseconde,etainsidetraiter20000transactionsparseconde.
D’unpointdevuefonctionnel,lavalidationparPoSestencoreplusdécentraliséequecelleparPoW.Eneffet,lePoWimposequelesnœudseffectuentexactementlesmêmesopérationsdeminagedepuislavalidationdestransactionsjusqu’àlarésolutiondupro-blème.Ceciapoureffetdedéséquilibrerlefonctionnementdelablockchain,etced’autant
![Page 197: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/197.jpg)
191
plusquelaChinecentraliseaujourd’huiunegrandepartieduminagedesBitcoins.Poursapart,l’approchePoSCasperrépartitlevolumedetransactionsàvalider,nonpassurlatotalitédesnœuds,maisenplusieurssous-groupes.Lesystèmeprivilégielesnœudsquiontleplusfortengagement,c’est-à-direceuxquiontunportefeuilleleplusfourni(enBitcoinparexemple)etquiontdoncleplusàperdreencasdemalveillance.Deplus,unsystèmed’amendesestprévupourdissuaderlesmauvaiscomportements.
SileprincipePoSestàpremièrevueprometteur,laprudencerestedemise.Mêmes’ilestentestsurEthereum,iln’apasréellementfaitsespreuves,contrairementauprocédéPoWdéjàtestédanslesprojetslargeéchelleBitcoinetEthereum.
Les mécanismes d’incitation à miner Sans leminage, lablockchainnepourrait pas fonctionner. Il est doncprimordial de
proposerungainappelécrypto-carburantsuffisammentattractifpour inciterunnombresuffisantdemineursàmineretàstockerlablockchain.Legaindoitcompenserl’achatdematérieldefortescapacités(encalculset/oustockage)etsonmaintienenétatainsiquelecoûtdel’énergie.
Pourrappel,lemineurdoitdisposerdepuissancesdecalculsimportantes.Ungainluiestversépourchaqueminageréussietacceptéparsespairssouslaformed’unetran-sactionqu’ilajoutedanslebloc(cf.«Lavalidationdel’opérationdeminage»,page189).
Lesconcepteursdéfinissentlibrementlanatureducrypto-carburant.Celui-ciestgéné-ralementliéàl’activitéportéeparlablockchain.Ilpeuts’agirdelacrypto-monnaieBitcoinouetherpourleprojetEthereum,oudetechniquesdefidélisationclassiques:bénéficierd’espacedestockage,deressourcesdecalculs,decapacitédevotesplusimportante,dequelquesheuresdelocationdevoiture,d’unséjourdansunhôteloud’unvoyage.
Dans tous les cas, ceprocédéd’incitation impliquededéfinir uneunité virtuellequipermetd’accumulerdesgainsenfonctiondeseffortsfournis,aumêmetitrequ’unecartedefidélité.
![Page 198: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/198.jpg)
192
11.3. Les facteurs de la confiance
Uneblockchaindisposedeplusieursatoutspoursusciterlaconfiance.Cetteconfiancen’estcependantpasabsolue.
L’architecture décentralisée et la neutralité de la gouvernanceEnpremier lieu, laconfiancereposesurunearchitecture décentraliséecomposée
d’ungrandnombredenœudsdépendantd’organisationsvariées.Contrairementàunear-chitecturecentraliséeoùlesdécisionspeuventêtreprisesunilatéralement,ilfautparveniràunconsensusoucontrôlerplusde50%desnœuds(oudelapuissancedecalcul)pouragirsurlesystème.Lefaitquel’architecturereposesurunemultitudedenœuds,garantituneplusgrandeimpartialitédansletravaildevalidationetdestockagedelablockchain,unemeilleuredisponibilitéduserviceetdoncuneconfianceaccruedansleservice.
Si la confiance suppose que la répartition des ressources informatiques utiles auxcalculsetaustockagesoitéquilibréeentreorganisations,onobservecependantuneten-danceinversedanslecasduBitcoinaveclacréationdefermesdeminage(mining pool).Àplusieursreprises,lestroisplusgrossesfermesontréussiàdéteniràellesseulesplusde50%delapuissanceduréseau.Or,cettebarredes50%estcritiquecarellepermetàuneorganisationouun regroupementd’organisationsde réaliser l’attaquedes51%,c’est-à-diredecensurerdestransactionsavantleprocessusdeminage,defavoriserletravaildeminagedesespropresmineurspourempocherlesgainsàlaplacedemineursplusrapides,deréussirencasdedédoublementdelachaîneàimposerunechaînepluslongueavecuneprobabilitéraisonnabledesuccès,etdoncdemaîtriserl’historiquedelachaîne.Cependant,l’attaquedes51%nepermetnidevolerdesgains,nid’émettredestransactionsfrauduleuses.
Ensecondlieu,laconfiancereposesurlaneutralité de la gouvernance.Avantd’in-vestirdesontempsetsonargentdansuneblockchain,ilestnécessairedeseposerlesquestionssuivantes:«la neutralité de la gouvernance est-elle garantie ?»Lesacteurs,c’est-à-direlepetitgroupedepersonnesimpliquéesàfaireévoluerlecodeetleprotocole,sont-ilsréellementindépendantsdansleursprisesdedécisionetcapablesderésisteràdespressionspolitiques,industrielles…?Sicen’estpaslecas,leprincipefondamentaldedécentralisationn’estplusrespecté.Deplus,sil’ensembledecesacteurscontrôleplusdelamoitiédelapuissancedecalculdelablockchain,alorsleprincipedeconsensus
![Page 199: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/199.jpg)
193
n’estluinonpluspasrespectépourlesraisonssuivantes.Quandunemiseàjourducodedelablockchainimpliquantdenouvellesrèglesdefonctionnementestdiffuséedanslablockchain,l’administrateurd’unmineuralechoixd’accepterouderefuserlamiseàjour.Ilpeuts’agird’unetransformationdesrèglesmineureetrétrocompatible–onparlealorsde«soft fork»-oud’unetransformationimportanteetsanscompatibilitéascendante–onparlealorsde«hard fork».Pourdevenirfonctionnel,un«soft fork»doitrecueillirlesoutiend’unemajoritédemineurs,tandisquele«hard fork»nécessiteunconsensusbeaucouppluslarge.Encasd’absencedeconsensusavecdeuxpopulationsconséquentesdemi-neurs,lablockchaininitialesescindeendeux.Lesdeuxblockchainssuiventalorsleurproprechemin.Unregroupementd’acteursquidétiendraientlamajoritédelacapacitédeminage,peutdonc,parcollusion,modifierlesrèglesdegouvernance,créerdes«forks»quicréentdelaconfusion,deladoubledépense(voirplusbas)etunrisquededévaluationdelacrypto-monnaie.
La transparence pour une meilleure auditabilitéLaconfiancereposeégalementsurleprincipe de transparence.Ceprincipesedécline
enplusieursélémentstantauniveaudeschaînesdetransactionquedesalgorithmes.
• Traçabilité et auditabilité de toute la chaîne de transactions : la publicationdans l’espace public de toutes les transactions réalisées depuis l’origine de lablockchain (Bloc0ou«Genesis Block»)permetà chacundevérifier l’intégritédelachaîne,etderetracertouslesmouvementsassociésàuncompte.Ainsi,lafraudeestenthéorieéliminée;toutsevoit,toutsesait,danslalimitedesgarantiesoffertesparlepseudonymat.
• Transparence des algorithmes : lecodeutilisépourminer,afindes’interfaceraveclablockchain,oupourmettreenœuvreunsmart contractestlisiblepartous.L’avantageestdepermettreauxexpertsdelacommunautéd’utilisateursdescru-terlecodeetd’alerterencasdesuspicion.Laconfiancereposedoncsurleslan-ceursd’alertes.
![Page 200: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/200.jpg)
194
La sécurité informatiqueEnfin, la blockchain permet d’assurer une bonne gestion du risque informatique
(cf.Chapitre4),etcegrâceauxcaractéristiquessuivantes:
• Une chaîne rigide et inaltérable :lesblocscontenusdanslablockchainainsiquel’enchaînementdecesblocssontrigidifiéspourévitertoutealtérationultérieuredelachaîne.Pourcela,lasécurités’appuiesurlecaractèredistribuédel’architecture,etsurunmécanismedeconsensusfort.Àcelas’ajouteéventuellementunméca-nismed’incitationàadopterunboncomportement,unmécanismededissuasiondesmauvaiscomportements,etdumatérielcryptographiquepourapporterdesgaranties techniques fortes.LePoWs’appuiesurunconsensusetunepreuvecryptographiquecoûteuseencalculs,tandisquelePoSs’appuiesurunconsensusetdesmécanismesd’incitationetdedissuasionquin’ontpasencoretotalementfaitleurspreuvessurunsystèmeréel.
• L’authenticité des transactions protégées par pseudonyme :lebesoind’agirentoutediscrétionmaisaussil’assurancequedesmoyensdesécuritéadaptéssontmisenœuvrepourgarantirlavaliditédestransactionsetdoncdesgainsac-quissontgagesdeconfiancepourlesusagersdelablockchain.
• Un niveau de sécurité adaptatif : lesavancées technologiquesrendentvulné-rablesaufildesannéesdesprocédésdesécuritéréputésrésistantsàuneépoque.Pourmaintenirlaconfiancedanslesoutilstechniques,plusieursblockchainspré-voientdesmécanismesdontleniveaudesécuritéestévolutif.
Cependant,laconfiancedanslablockchainestloind’êtreabsolue.Plusieursélémentspeuventeneffetlaremettreencausesuiteauxdéconvenuessuivantes:
• Des erreurs de programmation :pourlesblockchainsprogrammables(ounon),un risque fortest liéàdeserreurshumainesdeprogrammation,commece futlecasen2016pourl’attaquededétournementdefondsréaliséesurEthereum.En quatre semaines, la plateforme Decentralized Autonomous Organisation
![Page 201: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/201.jpg)
195
(The DAO)5,quipermetàsacommunautéd’investirencapital-risque,aprocédéàunelevéedefondsspectaculairede150millionsdedollarspouralimenterdespro-jetsdestartupssouhaitantutiliserEthereum.The DAOaensuiteétépiratéeàhau-teurde50millionsdedollarspardesattaquantsquiontexploitéunevulnérabilitédanslecodedessmart contracts.Cetteerreurapermisàcesderniersd’appeleràdemultiplesrepriseslafonctionduprogrammeautorisantunesortiedefondsàpartird’uncompte.Commel’arappelédansunpostdeblogleco-fondateurd’Ethe-reumVitalikButerin,«le problème affecte seulement DAO, la blockchain Ethereum reste parfaitement sûre».En2017,uneautreattaqueamisencauseuneerreurdanslelogicieldeporte-monnaieParity Wallet,etaconduitauvolde30millionsdedollarsenethers.
• Double dépense :ladoubledépenseconsisteàémettredeuxtransactionsportantsur lemêmeobjetetquidevraientnormalement s’exclure l’une l’autre. Il s’agitd’unactevolontairemalveillantd’unparticipantquiestnormalementarbitrélorsduminage.Cependant,ilpeutarriverquedansunprocessusdedédoublementdechaîne,chaquetransactionsoitvalidéeindépendammentparchaquechaîne.Àcemoment-là,lebénéficiairesaits’ildisposeounondesgainsqu’unefoislachaînelapluscourteabandonnée.PourBitcoin,ledélairaisonnableconsidéréestd’environuneheure,soitletempséquivalentàlaconstitutiondesixblocs.
• Rétention de transactions :unmineurpeutavoirintérêtànepaspartagerunetransactiondontlesfraisdetransactionsontélevés.Engardantcettetransactionpourluijusqu’ausuccèsduminaged’unbloc,ils’assurequ’elleserainclusedansundesesblocsetqu’ilbénéficieradelarécompense.Ilpeutdoncs’écouleruncertainlapsdetempsavantquecettetransactionnesoitincluedanslablockchain.Cetteattaquederétentionseradeplusenpluscrédibleàl’avenircarlemodèledepaiementreposeradeplusenplussurlesfraisdetransactionàmesurequelesrécompensesdeblocdiminueront.Delamêmefaçon,unmineurbienconnectépeutretenirunblocavantdelediffuserpourbénéficierd’undélaisupplémentairedansl’opérationdeminage.Cen’estquelorsqu’ilrecevraunblocconcurrentqu’il
5 Blockchain France fournit la définition suivante d’une DAO: « Une DAO (Decentralized AutonomousOrganization) est une organisation fonctionnant grâce à un programme informatique qui fournit des règles de gouvernance à une communauté. Ces règles sont transparentes et immuables car inscrites dans la blockchain. »
![Page 202: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/202.jpg)
196
pourraalorsdiffusermassivementsonproprebloc.Cesattaquesforcentàréfléchiràl’améliorationdesmécanismesd’incitation.
• Blanchiment d’argent :leproblèmedeblanchimentd’argentseposedèsqu’unnouveaumoyend’échanged’argentestàdisposition.Contrairementàcequ’onpourraitcroire,latransparencedestransactionspasséesdanslablockchainn’em-pêchepasleblanchimentd’argent;ellelerendjustepluscomplexe.Eneffet,destechniquesexistentpourbrouillerlespistesetlatraçabilité.Lapremière,trèssimple,consisteàdétenirunemultitudedecomptes(certainspouvantmêmen’êtreutilisésqu’uneseulefois)etàréaliserdestransactionsentreplusieursdecescomptes.Uneautreapproche,appeléeCoinjoindansBitcoin,consisteàfusionnerplusieurstransactionsenuneseule.Pluslenombredetransactionsfusionnées(entrantesetsortantes)estimportant,meilleureestlaprotectioncarplusilestdifficilederelierundébiteuràuncréditeur.Notonstoutefoisquel’approcheZerocashdécritedanslasectionsuivantegarantitlanontraçabilitédestransactionsetrenddoncimpos-sibleladétectiondeblanchimentd’argentsurlaseulebasedesélémentsfournisdanslablockchain.
11.4. La transparence de la chaîne et l’atteinte à la vie privée
Uneblockchainreposesurlepseudonymatdesmembresparticipants.Ilsuffitdoncquesoitdévoilée l’identitéréellede lapersonneassociéeàuncomptepourquetoutes lestransactionseffectuéesparcettepersonnedepuissoncomptesoientrévélées,etce,de-puisl’origine.Commeexpliquéplushaut,plusieurstechniquesvisentàprotégerl’identitéréelledesusagers,àsavoirposséderdescomptesmultiples,certainsàusageunique,eteffectuerplusieurstransactionssimultanémentsurleprincipeduCoinjoindeBitcoin.
Leprincipedetransparencedelablockchaindoitrendreprudentslesconcepteursdeservicesquantàlapriseencomptedelaprotectiondesdonnéespersonnelles.Enef-fet,touteinformationdenatureprivée,qu’ellesoitsousformealgorithmiqueoudedon-néesstatiques(donnéespersonnelles,cléscryptographiques…),nedoitpasêtrehéber-géeenclairdanslablockchain,parexempleauseind’unetransaction.Enrevanche,lablockchain,pourlaquelleilestpréférabledelimiterlatailledesinformationsstockéesdanslestransactionspourdesraisonsdecoûts,peuts’appuyersurunemémoiredistribuée,
![Page 203: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/203.jpg)
197
externaliséeetillimitée,quipeutprendrelaformed’unréseaupairàpairfonctionnantàlamanièred’unréseauBitTorrent,Gnutella,NapsterouKademlia.Ils’agitvéritablementd’unemémoireexternaliséedanslamesureoùcettemémoireestindexéegrâceàdesclésDHT(Distributed Hash Table)quipeuventêtreréférencéesdanslablockchain.Cettemémoirepeuthébergerdesdonnéesenclairoudesdonnéeschiffrées.Danscederniercas,ilconvientd’assurerlagestiondescléscryptographiques.
En2014,l’initiativeZerocashaproposéunesolutiontrèsintéressantedepaiementano-nymiséetdécentralisé6.CettesolutionassureletransfertdeBitcoinsviauneblockchainentoutetransparencemaissanstraçabilitépossibledesfluxmonétaires,c’est-à-diresansrévélerni lasource,ni ladestination,ni lemontanttransféré.Lasolutionreposesur leprincipeduzero-knowledge(schémasdits«àapportnulledeconnaissance»)quipermetàunutilisateurdeprouverlaconnaissanced’unsecretàuntierssansavoiràenrévélersavaleur.Pourcela,elles’appuiesurleschémazk-SNARKs(zero-knowledge Succinct Non-interactive ARguments of Knowledge),quiestparticulièrementperformantavecunepreuveétablieenquelquesmillisecondes.L’analogiesuivanteestsouventreprisepourexpliquerleprincipeduZerocash:touslesutilisateursaccrochentleursbilletssurunmur,qu’ilsdécrochentaumomentd’unedépense.
Enfin,l’initiativeEnigmaduMassachusetts Institute of Technology(MIT)développéeen2015proposeuneplateformeclouddécentraliséegarantissantlaconfidentialitédestrai-tementsopérésetdesinformationstraitées7.Elles’appuiesurlablockchainpourgarantirlatraçabilitédesopérationseffectuéesetsurleréseaupair-à-pairEnigmapoureffectuerlestraitementsetlestockagedesinformationssensibles.L’idéeestquechaquenœudduréseauEnigmanepossèdequ’unevuepartielleetsansvaleurdel’informationsensibleetqu’ileffectueuntraitementpartielsurcetteinformation.Ainsi,lesnœudsn’ontaccèsindividuellementàaucuneinformationsensible,etgrâceàdestechniquesdetypeSMC(Secure Multi-party Computing),illeurestpossibledeproduiredefaçoncollaborativeunrésultatquiadusenspourl’application.
6 Ben-Sasson,E.,Chiesa,A.,Garman,C.,Green,M.,Miers, I.,Tromer,E.,Virza,M., (2014).Zerocash:DecentralizedAnonymousPaymentsfromBitcoin,2014IEEESymposiumonSecurityandPrivacy.
7 Zyskind,G.,Nathan,O.,Pentland,A.,(2015).Enigma:Enigma:DecentralizedComputationPlatformwithGuaranteedPrivacy,http://enigma.media.mit.edu/enigma_full.pdf
![Page 204: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/204.jpg)
198
11.5. Des limites à prendre en considération
Nousavonspuvoirquelatechnologieblockchainprésentedeslimitesstructurelles.Ellenepeutpasêtreprésentéecommeunegarantiedeconfianceabsolue,mêmelimitéeàlaconfiancedécidée.Eneffet,lesconsidérationsorganisationnelles,derapportsdepou-voirentrelesacteurs,d’appropriationparlesutilisateursoumêmestrictementtechniques,complexifientconsidérablementl’examendelaportéeréelledecettetechnologie.Ellesin-diquententoutcas,unefoisdeplus,quelasimpletransparencen’estpasungageabsoludeconfianceetdurespectdesdonnéespersonnelles.
Rappelonsqu’ensontempsl’infrastructureàcléspubliques(Public Key Infrastructures –PKI)aétéprésentéecommeunetechnologie«révolutionnaire»garantissantlaconfiance,avantqueseslimitesnesoientcommunémentadmises.
Ainsi,etcommepourleslabelsdanslesenslarge,lefaitd’utiliseruneblockchainapportecertainesgaranties,maisils’agitplusicid’unmoyend’induireoudesuggérerlaconfiancedel’utilisateurenmettantl’accentsurlesaspectsbienchoisisdecettetechnologie.
![Page 205: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/205.jpg)
ArmenKhatchatourovClaireLevallois-BarthMarylineLaurentPatrickWaelbroeck
� Conclusion
![Page 206: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/206.jpg)
200
Danscetouvrage,nousavonsabordélesquestionssoulevéesparunsignedeconfianceparticulier,lelabel en matière des données personnelles,ainsiquecertainespistesettendancesdanslepaysageencoursdeconstruction.
Silaproblématiquedeslabelsn’estpasnouvelleensoi,commeenattesteleurpré-sencedanslesdomainesdel’énergieoudel’alimentation,laspécificitédesbiensnumé-riquesetleuressorexponentielnesemblentpaspermettrederecouriràdessolutionsdéjàéprouvées.Lacirculationcroissantedesinformationsamènedoncàposersousuneformenouvellelaquestiondesmodesdegouvernancedesdonnéespersonnelles.
Encesens, il fautsansdouteconcevoir leslabelset l’interventiondesexpertsqu’ilsimpliquentcommeunoutild’accompagnementpourpermettreauxresponsablesdetrai-tementsdedonnéespersonnellesd’augmenterprogressivementleniveaudeprotectiondesdonnéesqu’ilscollectentetutilisent.Laquestionresteiciouvertequantauxmodalitésconcrètesdecetaccompagnement.Dansquellemesurefaut-illaisserlesentreprisesoulesassociationsprofessionnellesélaborerleurspropresréférentielsetprocéduresd’au-dit?Ilnoussembleiciessentield’impliquerl’ensembledespartiesprenantesauprocessusdeconstructionenreconfigurantlerôleaussibiendesrégulateursquedesrégulés,sansoublierlescitoyens.Enparticulier,l’interventiondel’Étatnoussembleincontournableaumoinssurtroispoints:l’établissementdesréférentiels,l’accréditationdescertificateursenfaisantintervenirdesorganismesexistantsetspécialiséstelsqueleCOFRAC,etl’imposi-tiondesanctionsvéritablementdissuasivesafind’assainirlemarché.Car,auvudesabuspotentiels,uneformedepressionsurlesentreprisessembleicinécessaire,neserait-cequ’àtraversunemenacedepertederéputation,etdoncdeconfiance.
Mais,nousl’avonségalementconstatéaucoursdecetouvrage(dansleschapitres5et6),uneinterventionétatiquetropstricte,ouentraînantdescoûtstropimportants,pourraitinciterlesacteursàsetournerversdeslabelsprivés,lesquelspeuventcomporteruneffetpotentiellementtrompeur,enprésentantuneimageembelliedelaprotectiondesdonnées.Àn’enpasdouter,cerisqueestréelcomptetenu,d’unepart,delatendanceactuelledetransfertversledomaineduprivédecequirelevaitjadis,àtortouàraison,dudomainedel’Étatet,d’autrepart,dufaitquelesmodalitésd’élaborationetdedélivrancedeslabelspri-vésnesontpassuffisammentencadréessurl’ensembledeleurcycledevie.Laquestionquiestainsiposéeparcessignesdeconfianceestcelledeladélégationdespolitiquesdegestiondesdonnéespersonnellesdescitoyensausecteurprivé.
![Page 207: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/207.jpg)
201
D’unpointdevueplusrestreint,onpeutsupposerqueleslabelsprésententuneutilitééconomiqueàlafoispourleconsommateuretl’entreprise.«Rassurer»leclientoupros-pect,luifournirdesindicesquantaubonfonctionnementdesservicesnumériques,peutsansdoutelevercertainesbarrières.Ceconstatestconfirméparl’enquêtemenéeparlaChaire Valeurs et Politique des Informations Personnellesauprèsde2000internautesenmars2017,etquimontrequelesutilisateursavertissontaussiceuxquisontenclinsàconsommerleplus1.
Cependant,aujourd’hui,forceestdeconstaterqu’iln’existepasdemodèled’affairesenlamatière.Lelabelentantquesignedeconfiancefaitnécessairementpartiedelastratégiedecommunicationdel’entreprise(cf.Chapitres3et9),communicationquidoitpermettreauxconsommateursd’évaluerlafiabilitédusignalenvoyé.Commenousl’avonssouligné,lessignauxenvoyéssonttropnombreuxettropfaiblespourêtreperçusparlepublicetlesentreprises.Deplus,lescoûtsassociésauprocessusdelabellisationvarientdequelquescentainesàplusieursmilliersd’eurosenfonctionnotammentdesexigencesimposées,deladuréedevaliditédulabeletduprocessusd’auditretenu(cf.Chapitres6et7).Laquestionducoûtàlafoisfinancierettemporel,esticiimportante.Ilestnécessairequel’obtentiond’unlabelsoitrelativementonéreusepourlesentreprises,afinquelelabelpuisse jouerpleinementsonrôledesignaldebonnespratiquesenmatièredeprotec-tiondesdonnéespersonnelles.Pourautant,ilnedoitpasêtretropélevéafindenepasdissuaderlesentreprises,oudenepasleurfaireaugmenterexcessivementlesprixdesservicesconcernés(cf.Chapitre9).Sicecoûtestuniquementàlachargedesentreprises,commentlesinciteràsefairelabelliseralorsmêmequeleretoursurinvestissementestdifficileàdéterminer?Lapriseenchargedecefinancementducôtédesorganismesla-bellisateurspublicsseposeégalement:commentfaireensortequ’ilspuissentsupporterfinancièrementlecoûtdel’audit?
Faceàcesinterrogations,latentationestgranded’asseoirlalabellisationsurdesélé-ments techniquesdontonsupposequ’ilssontàmêmed’établir laconfiance.Mais lessolutions techniques peuvent-elles répondre à elles seules à la problématique de laconfianceetenvoyerunsignaldequalité?Neseréduisent-ellespasàuneévaluationdurisqueet,aumieux,àl’établissementd’untypeparticulierdeconfiancequenousavons
1 Waelbroeck,P.,Khatchatourov,A.,Levallois-Barth,C.(2017)SynthèseduRapport«Donnéespersonnellesetconfiance:quellesstratégiespourlescitoyens-consommateursen2017?»,ChaireValeursetPolitiquesdesInformationsPersonnelles,23juin2017.
![Page 208: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/208.jpg)
202
qualifiéde«confiance décidée»(cf.Chapitre1)?Cetteévaluationdurisquenes’opère-t-ellepasselonlescritèresquisonteux-mêmesétablisdansunjeudeprisesdepositionentrelesacteursconcurrents?Eneffet,lesprocessusdegouvernanceneseréduisentpasàdessignesextérieursdetransparenceetàl’implémentationdetelleoutelletechno-logiefut-ellequalifiée,demanièreplusoumoinsdéclarative,dedata protection by design àunmomentdonné.C’estl’articulationentrelestechnologies,leurévolution,etlesmé-canismesdegouvernancequ’ilfauticiconsidérer,ainsiqueledémontrel’exempledelablockchain(cf.Chapitre11):mêmesicettetechnologieapportedespreuvesdefiabilitéetderobustessed’unpointdevuetechniqueetprometdanscertainscasunemeilleureprotectionàtraversunegouvernancedécentralisée,encorefaut-ilquelesmineursdelablockchainnesoientpasmajoritairementcontrôlésparquelquesacteurs.Laqualificationd’unesolutiontechnologiqueapportedespreuvesdefiabilitéetderobustessed’unpointdevuetechnique,maisellen’apporteaucunegarantiequantàsonbonusageetnefournitquedesréponsespartiellesquantàsagouvernance.Loind’unevisionstatique,etpourtoutdiresimplificatricequiconsisteraitàpouvoirrésoudrelesproblématiquesdegouver-nancepardesprocédéstechniques,laquestiondeslabelsmetenlumièreladimensiontemporelledesprojetséconomiquesetpolitiquesconcurrents.
~
![Page 209: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/209.jpg)
203
L’essentieldecetouvrages’estemployéàdécrirecetteconjonctionentrela«confiance décidée »etuntypenouveaudelaconfiancequenoussommesamenésàqualifierde«confiance suggérée»(cf.Chapitre1).Onentrevoitque,dumoinsencequiconcernelecadrederégulationquenousavonsdécrit(cf.Chapitres2et9),lesutilisateursrestentsouventcantonnésdansunrôlepassif,ceuxàquileslabelssontadressés;ilsn’accèdentquerarementàunrôleactif,quiconsisteàparticiperauprocessusmêmed’élaborationdessuggestions.Desmécanismesdelabellisation(etdeconfiance)quis’opéreraientdeprocheenproche,àl’instardesinitiativespeer-to-peer,doiventdoncêtreexplorésdanslefutur.Encorefaut-ilquelesutilisateurssoientenmesuredeprocéderdefaçondécen-traliséeàl’évaluationdesservicesnumériquesimpliquantdesdonnéespersonnelles.Or,cetteévaluationdiffèrefondamentalementdelanotation«collaborative»d’unechambred’hôteloud’unelivraisonparcorrespondance.Toutrestedoncàconstruirepourparveniràdesformesd’auditetdelabelscitoyens.L’enjeuesticidetaille:ilportesurl’implicationdescitoyensetleursentimentd’appartenanceàlasociéténumérique,etnonseulementàl’économienumérique.
Endéfinitive, la thématiquedes labelsenmatièrededonnéespersonnellessoulèvedesenjeuxquinoussemblentessentielsetpourtoutdireambivalentsdupointdevueso-ciétal.D’uncôté,ondéresponsabiliselapersonne,enmettantdefaitàmalleprojetinitialdesLumièresetdel’individuautonome:àseconformersansréserveauxprescriptionsetsignesprovenantdesinstancesextérieures,l’individurisquedeperdrelacapacitécri-tiquenécessaire.Parexemple,lagénéralisationdelalabellisationnerisque-t-ellepasdeconduireàtermeàlagénéralisationdesconduitesquisedonnentbonneconscienceouàunenouvelleformededépendancedel’utilisateur?
D’unautrecôté,on«responsabilise»2l’individuenl’obligeantàune«autogestiondesoi»etdesesdonnéespersonnelles,parexempleàtraversuntableaudebordincorporédanslelogiciel.C’estdèslorsl’individuquirisqued’ensupporterlecoût,danslamesureoùtelleoutelletransactionviaunservicenon-labellisépourraitluiêtredésormaisreprochée,ouentoutcasêtreperçuecommecomportantunrisque(économique,desécurité,etc.)qu’ildoitlui-mêmeassumer.Onconsidèredoncquel’individuestresponsabledeseschoix,sans
2 Nous interprétons ici librement la thématique de responsabilisation telle quemise en place parMichelFoucaultdanslesCoursauCollègedeFranceàlafindesannées1970,notammentSécurité,territoire,populationetNaissancedelabiopolitique.
![Page 210: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/210.jpg)
204
pourautantsuffisammentlesensibiliserauxenjeuxéthiques,économiquesetpolitiquesliésàlacirculationmondialedesdonnéespersonnelles.Demême,onnes’interrogepassurleseffetsdeschoixponctuelsqu’ilopère,enseconformantauxsuggestionsquisemettentainsienplace,surlaconstitutiondesonidentitévécueoudesacapacitéd’agir3.
Enuncertainsens,ils’agitdoncicid’unnouveauparadigmedeprescriptiondescom-portementsdesutilisateurs,d’une tendanceprofondedans lasociété: il nes’agitplusdeformesdeprescriptionfermequi interdisent telleoutelleaction,maisdeformesdeprescriptionsouplequisuggèrentteloutelproduitouservice(cf.Chapitres1et2).Cette«confiancesuggérée»danslenumériqueconstituenéanmoinsbeletbienuninstrumentdegouvernance.
Ils’ensuitque,enmatièrededonnéespersonnelles,leslabelssontuncastrèsparti-culierde«régulation»carilsserontamenésàreconfigurernonseulementlesrôlesdesacteurs(régulésourégulateurs)oulesmécanismesdeconcurrence,maisaussietsurtoutlamanièredontlasociétéconçoitlevivre-ensembleàl’heureoùtouteactionindividuelleoucollectivecréedesdonnéesetestguidéeparelles.
3 OnconsulteraàcesujetKhatchatourov,A.etChardel,P.-A.(2016).Laconstructiondel’identitédanslasociétécontemporaine:enjeuxthéoriques.in « Identités numériques »,Cahiern°1delaChaire Valeurs et Politiques des Informations Personnelles,coordonnéparClaireLevallois-Barth.
![Page 211: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/211.jpg)
� Annexes
![Page 212: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/212.jpg)
206
TabledesillustrationsTableau 1. Qualificationsdesécuritédélivréesparl’ANSSI
pourlesproduitsetprestatairesdeservicesdeconfiance ............................................................. 51
Tableau 2. Deuxapprochesdelagestiondurisqueeninformatique ......................................................... 56
Tableau 3. Labelsdélivréspardesorganismesfrançais ..... 67
Tableau 4. Labelsdélivréspardesorganismesallemands . 68
Tableau 5. Labelsdélivréspardesorganismesétablisdansd’autrespayseuropéens .................................... 74
Tableau 6. Labelsdélivréspardesorganismessituésendehorsdel’Europe .............................................. 76
Tableau 7. Labelsdedimensioneuropéenne ...................... 78
Tableau 8. LabelsdélivrésparlaCNIL ................................ 97
Tableau 9. Labelsde«qualité»proposésparlesorganismesprivésfrançais ............................... 122
![Page 213: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/213.jpg)
207
Figure 1. Leseffetsdeconfusion ..................................... 127
Figure 2. RGPD:délivranced’unecertification/d’unlabel .. ........................................................................... 143
Figure 3. RGPD:agrémentd’unorganismedecertification ........................................................................... 145
Figure 4. Typedelabelquisusciteraitlepluslaconfiance ... ........................................................................... 174
Figure 5. Dispositionàdonnersonavissurlafiabilitéd’unsite ..................................................................... 175
Figure 6. Niveaudeconfiancevis-à-visdesacteurssurInternet............................................................... 176
Figure 7. Impactsqu’auraitunlabeldeprotectionsdesdonnées ............................................................. 177
Figure 8. Formatsimplifiéd’unetransactionBitcoin........ 186
Figure 9. Formatsimplifiéd’unblocBitcoinetdesonchaînagedanslablockchain ............................ 188
Figure 10. TravaildeminagedetypePoWsurl’entêtedublocBitcoin ........................................................ 188
![Page 214: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/214.jpg)
208
IndexAAccountability(principederesponsabilité)138–139Acteursautonomes11,18AFCDP96Algorithmes13–15,43–46,55–59,126–134,158–166transparencedesalgorithmes193
Aliénation11–13,17Allemagne14,35–36,53–54,66,68,78,83,89,92,95,101,105,107Analyse 56analyseautomatisée57analysecomportementale55–59
Analysesd’impact109,151ANSSI50,51,54APEC79,132Apprentissagebayésien40–46ARJEL35Asymétried’informations43–46,116,154,156–166Attestationdeconformité82,89,104Audit54,87–88,164–166auditsurpièces88auditsursite88labelCNIL«Auditdetraitement»96,106,110–111
Auditeur34,88–89,120,125–126Authentification57authentificationcomportementale59authentificationforte59
Auto-certification.VoirCertificationAuto-déterminationinformationnelle14–16Auto-évaluation87,120,131–134Automatisation17Auto-régulation81–82,86,121Autorité95–114autoritédecertification53,101,103,109autoritédecertificationEuroPriSe.Voir EuroPriSeautoritédecontrôle30,35,78,84,92,110,119,138–152autoritédeprotectiondesdonnées66,81,81–82,92–93,95,101,102,142,149,151autoritépublique30,33,48,50,81,141,150,162index-charismatic authority 19procedural authority 19
![Page 215: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/215.jpg)
209
BBiendecroyance156–166Blockchain60,180–198architecturedécentralisée192attaquedes51%192Bitcoin181,184,190Ethereum181,190facteursdeconfiance192fonctionnement183limites198minage183,189neutralitédelagouvernance192pseudonymat181,194TheDAO : Decentralized Autonomous Organisation 194transparencedesalgorithmes193
Bloqueursdepublicité19–20,158–166Bonnefoi3,23–24Bullesinformationnelles44–46,158–166
CCalculrationneldebénéfices8–10CCRA53CEN148CENELEC148CEPD137,141,142,144,146,147Certificat34Certification31,33–35,50–52,66–68,82–90,120–121,126,128–129,
132–133,137,165,172auto-certification87autoritédecertification.Voir Autoritécertificationanonyme3–4,60certificationCSPN52certificationEAL53marchéintérieurdesservicesdecertification149marquedecertification.VoirMarqueschémasdecertification82,149
Chiffrementhomomorphique60Chineservicedecréditsocial57
Choixrationnel9–11,10–12Citoyens18–19,203CNIL26–35,79–88,79–90,92,96,106,141Codedeconduite139COFRAC34,146Collaboratif18–20,175–178
![Page 216: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/216.jpg)
210
Comitéd’AgrémentdesHébergeursdedonnéesdesanté34Commissioneuropéenne28,92,101,140,142,147,150Complexité(mécanismederéductiondela)8Comportementsdesindividus9–11,15–17,43–45.
Voir aussiAnalysecomportementaleConditionsgénéralesd’utilisation159–166Confiance23,116confianceassurée7–20,27,29,60confianceby design16–18,180confiancedécidée7–20,27–29,49,60confiancedistribuée15,17confiancelégitime24confiancesuggérée15,203crisedeconfiance2,8–14défautdeconfiance11–13dignedeconfiance43–46formalisationdelaconfiance2laconfiancedanslenumérique12laconfianceendroit22–36laconfianceenéconomie38–46laconfianceeninformatique49marquesdeconfiance.VoirMarquesdeconfiancemécanismesdelaconfiance9–14,192niveaudeconfiance176–178preuvedeconfiance3signesdeconfiance118–134signesextérieursdelaconfiance4,165–166tiersdeconfiance16
Confidence 7Conformité52,62,83,84,88–90,98–100,111–114,117–134,137–138,
150–152,156–166attestationdeconformité34,82,89–90,104certificationdeconformité34,162contrôle/évaluationdeconformité33,54,82packsdeconformité31
Connaissance(externalitéde)43–46Conseild’État31–32,99Consentement30,109,111,162Consommateurs18–19,27,28,33,154–166,168–178Constructionduliensocial25Coopération41–46Corégulation52,82,150Coût45–46,108,110,144Crédibilité55,88,112,116–119,128–129Critèrescommuns51,53Croyance3Cyber-surveillance13–15,56
![Page 217: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/217.jpg)
211
DDatafication 4Data lock-in162–166Démarched’amélioration119Démarched’auto-régulation121.Voir aussiAuto-régulationDémarchevolontaire117Développementdurable118Dilemmeduprisonnier41–46Directive95/46/CE28,83,126,136–152Directives«Nouvelleapproche»150Droitàlaportabilité29Droitdelaconsommation29Droitdur30Droitsouple30–32
EEAL(EvaluationAssuranceLevel)51,53,56Échec(attributiondel’)9–11Économienumérique27–30Effetsdeconfusion172–178Effettrompeur126eIDAS25,54,56Encapacitation4,18,29Équité18,42–46Étatsdelanature39–46,155–166États-Unis35–36,53–54,66,76,79,87,106,108,130,141,169–178EuroPriSe35,82,88,90,92,101–113Évaluateur88,90,98,104
FFamilier10FEVAD36,86,122–124,129Fiabilité175–178FNTC96,121FTC130,132–133
GG2931,148–149Goodwill42–46Gouvernance12–14,192gouvernancedécentralisée59gouvernancedesoi10–12
![Page 218: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/218.jpg)
212
IImagedemarque131Incertitude8–10,39–46Incomplétude39–46Individucomportements.VoirComportementdesindividusdéresponsabilisationdel’individu14–16,19rationalitéindividuelle42–46responsabilisationdel’individu14–16,19
Informationdupublic128Interactionslocales9–11,13–15Interactionsrépétées18ISO33,84,86,96,146
JJeududictateur42–46
LLabellisation4,14–16,119–134,175–178Labels2,18,30–35,44–46,64,137,163–166,173–178formesdelabels174–178labeleuropéendeprotectiondesdonnées141labelsdélivrésparlaCNIL96,111
LandMecklembourg-Poméranie81,101,103,107LandSchleswig-Holstein66,81,92,101,107,112LCEN25Légitimation15,19Libéralisme11–13Logo82,89,100,105LoifrançaiseInformatiqueetLibertés136Loyauté 26desplateformes26
MMarché25,27,28,29,116,121,149Marketing117stratégiemarketing118
MarquageCE150Marque34,117,124,137marquecollective100marquedecertification89marquedeconformité89
![Page 219: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/219.jpg)
213
Marquesdeconfiance2,36,45,123,128–129,162–166,168–178Massededonnées56Modèlesd’affaires161–166Monnaie12
NNéolibéralisme11–13,13–15Normes163–166Normesinternationales84
OObligationderesponsabilité138Offre122Offrescommerciales119Organismenationald’accréditation146Organismesdecertification56
PPartiefaible3Plaintes100,151Portabilitédesdonnées18Présomptiondepreuve138Présomptionsimple139Prestatairesdeservicesdeconfiancequalifiés54Preuvesdures3Privacy by Design 120Privacywashing 19Prix124,157–166,169–178Procédésd’anonymisation94Procédured’évaluation87,98Profiling 56Protectiondesdonnéespersonnelles4,60,157–166,168–178,196Pseudonymat181
![Page 220: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/220.jpg)
214
QQualification54deproduitsSSI48,50
renforcée ou élémentaire 51, 52standard 51, 52
desprestatairesdeservicesdeconfiance48avancée, qualifiée ou simple 51
durisque48associé à une plateforme, un service ou un utilisateur 55
Qualité117
RRanking 56Réciprocité18,42–46Réclamations129,151Recours90,99Référentiel33,51–52,82,86–90,94,96,100,119,121,124,126,147Règlement25Règlementsdeslitiges104Régulation4,19,204Réputation3,42–46,55Résolutiondesconflits128,164–166Respectdelavieprivée13–15,60,168–178Responsabilité26,31Responsabilitésocialed’entreprise118RGPD2,14,28,30–31,93,97,107,113,121,126,130,136,141Risques2,10–12,25,48–49,108–109,113aversionaurisque40–46calculderisque13–15catégoriesderisques39–46évaluationdurisque9–11gestiondesrisques29,56,114,119réductiondurisque39–46risquenonprobabiliste39–46risqueprobabiliste39–46risquesdelatransaction45–46
SSanctions4,41–46,90,113,129Scoring 56Sécurité13–15,25–26,160–166dessystèmesd’information48,49,156–166
Sécuritéjuridique32
![Page 221: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/221.jpg)
215
Servicesqualifiés56Signal45–46Sincérité24,27Smart contracts 180Sous-traitants26,139–143Suisse35,82,84,88,112Systèmesdenotation55,58dérives58
TTiersdeconfiance175–178Tiersdeconfiancenumérique26Tracesmassives55–56Transaction2,41–46,156–166,180Transfertsinternationauxdedonnées31,140Transparence4,26,59,89,193,196Trust 7Trust by design. VoirConfiancebydesignTRUSTe79,87,125,127,129,132–133
UULD92
VVivre-ensemble8,27,204
![Page 222: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/222.jpg)
216
ListedesabréviationsAFCDP AssociationFrançaisedesCorrespondantsàlaprotectiondesDonnées
PersonnellesAFNOR AssociationfrançaisedeNormalisationAl. AlinéaANSSI AgenceNationaledelaSécuritédesSystèmesd’InformationArt. ArticleBBB Better Business BureauCA Courd’AppelCass. CourdecassationCCRA Common Criteria Recognition ArrangementCSPN CertificatdeSécuritédePremierNiveauCE CommunautéEuropéenneCEN ComitéEuropéendeNormalisationCENELEC ComitéEuropéendeNormalisationenÉLECtroniqueetenélectrotechniqueCEPD ComitéEuropéendeProtectiondesDonnéesCESTI Centred’ÉvaluationdelaSécuritédesTechnologiesdel’InformationCf. ConferCIL CorresponsantInformatiqueetLibertésCISPE Cloud Infrastructure Service Providers in EuropeCNIL CommissionNationaledel’InformationetdesLibertésCOFRAC COmitéFRançaisd’ACcréditationcoll. collectionCrim. ChambrecriminelleD. DallozDAO Decentralized Autonomous Organisationdéc. DécisionDHT Distributed Hash TableEAL Evaluation Assurance LevelECC Elliptic Curve Cryptography ECDSA Elliptic Curve Digital Signature Algorithm eIDAS Electronic IDentification And trust ServicesESRB Entertainment Software Rating BoardFEVAD FEdérationdue-commerceetdelaVenteADistanceFNTC FédérationdesTiersdeConfiancedunumériqueFTC Federal Trade Commission–Commissionfédéraleaméricainedu
commerce
![Page 223: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/223.jpg)
217
G29 GroupeArticle29ISO International Organization for StandardizationJ.O.C.E. JournalOfficieldelaCommunautéEuropéenneJ.O.R.F. JournalOfficieldelaRépubliqueFrançaiseJ.O.U.E. JournalOfficieldel’UnioneuropéenneLCEN LoipourlaConfiancedansl’EconomieNumériquen° numérop. pagePASSI Prestataired’AuditdelaSécuritédesSystèmesd’InformationPDIS PrestatairedeDétectiond’IncidentsdeSécuritéPFPDT PréposéFédéralàlaProtectiondesDonnéesetàlaTransparencePKI Public Key InfrastructurePoW Proof of WorkPoS Proof of StakePRIS PrestatairedeRéponseauxIncidentsdeSécuritéPSCE PrestatairedeServicedeCertificationÉlectroniquePSHE PrestatairedeServiced’HorodatageÉlectroniqueRèglementeIDAS Règlement(UE)no910/2014duParlementeuropéenetdu
Conseildu23juillet2014surl’identificationélectroniqueetlesservicesdeconfiancepourlestransactionsélectroniquesauseindumarchéintérieur
RGPD RèglementGénéralsurlaProtectiondesDonnées(Règlement(UE)2016/679duParlementeuropéenetduConseildu27avril2016relatifàlaprotectiondespersonnesphysiquesàl’égarddutraitementdesdonnéesàcaractèrepersonneletàlalibrecirculationdecesdonnées,etabrogeantladirective95/46/CE(Règlementgénéralsurlaprotectiondesdonnées),JOUEL119/1du4mai2016).
RLDI RevueLamyDroitdel’ImmatérielRSA RivestShamirAdlemanSHA Secure Hash AlgorithmSOG-IS Senior Officials Group Information Systems SecuritySQS AssociationsuissepourlesSystèmesdeQualitéetdeManagementSSI SécuritédesSystèmesd’InformationToE Target of Evaluation(périmètredelabellisation)UBA User Behavior AnalyticsUE UnioneuropéenneULD Unabhängiges Landeszentrum fuer Datenschutz(Autoritédeprotection
desdonnéesduLandallemandduSchleswig-Holstein)
![Page 224: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/224.jpg)
218
Listedesentretienseffectuésentreoctobre2015etseptembre2017
Par Claire Levallois-Barth et Delphine Chauvet
Arnaud Belleil,Directeurtransformationdigitale,Cecurity.comMaître Alain Bensoussan,AlainBenoussanAvocatsJérome Beranger,co-fondateuretChiefStrategyOfficer,ADELFlorence Bonnet,CILConsultingJohanna Carvais, Responsable du pôle Labels, etValérie Bourriquen, Juriste, pôle
Labels,CNILMaître Etienne Drouard,avocatassociéeK&LGatesEric Lachaud,PhDcandidateinLawandTechnology,TilburgInstituteforLaw,Technology,
andSociety(TILT),TilburgUniversity,Pays-BasMaître Denise Lebeau-Marianna,avocatassociéeDLAPiperFranceLLPXavier Leclerc,Président,Axil-ConsultingMaître Nathalie Metallinos,IDEAavocatsLaurent Midrier,Vice-PrésidentStratégie&Innovation,BureauVeritasHervé Molina,Directeurdel’AuditInformatiqueetJean-Christophe Carbonel,Chefde
Mission,Directiondelasécuritéglobale,GroupeLaPosteMaître Fabrice Naftalski,avocatassociéEYMaître Yann Padova, avocat associé Baker & McKenzie (Paris), ancien membre
(Commissaire)delaCommissiondeRégulationdel’Energie(CRE)enchargedesquestionsrelativesàlaprotectiondesdonnéespersonnelles(2015-2017),ancienSecrétairegénéraldelaCNIL(2006-2012)
Benoit Pellan,Chefdeproduitnumérique,DépartementInnovationetDéveloppement,AFNORcertification
Bruno Rasle,Déléguégénéral,AFCDP(AssociationFrançaisedesCorrespondantsàlaProtectiondesDonnées)
Frédéric Richter,Président,StiftungDatenschutz,AllemagneStéphane Schmoll,DirecteurgénéraletLaurent Cellier,DirecteurExpérienceUtilisateur
etCorrespondantInformatiqueetLibertés,DeverywareMaître Thibault Verbiest,avocatassociéDeGaulleFleurance&AssociésCécile Wendling,Directricedelaprospective,GroupeAXADelphine Zeberro,Directeur-ITAdvisory,Deloitte
![Page 225: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/225.jpg)
219
BibliographieAcquisti,A.(2012).NudgingPrivacy:TheBehavioralEconomicsofPersonalInformation.in Jacques Bus, Malcolm Crompton, Mireille Hildebrandt, George Metakides (eds), Digital Enlightenment Yearbook 2012,IOSPress.
Agosti,P.,Caprioli,E.A.,(2005).Laconfiancedansl’économienumérique(Commentairesdecertainsaspectsdelaloipourlaconfiancedansl’économienumérique)(LCEN),Petitesaffiches,03/06/2005,n°110.
Akerlof, G. A. (1970). The market for lemons : Quality uncertainty and the marketmechanism.Thequarterlyjournalofeconomics,488-500.
Anton,A.,Earp,J.B.,Bolchini,D.,He,Q.,Jensen,C.,Stufflebeam,W.(2003).Thelackofclarity infinancialprivacypoliciesandtheneedforstandardization. IEEESecurity&Privacy,2(2):36-45.DOI:10.1109/MSECP.2004.1281243.
Bakos,Y.,Marotta-Wurgler,F.,Trossen,D.R.(2014).Doesanyonereadthefineprint?Consumerattentiontostandard-formcontracts.TheJournalofLegalStudies,43(1),1-35.DOI:10.1086/674424.
Barabàsi,AL.(2002).Linked:TheNewScienceofNetworks,Perseus,Cambridge,MA.
Becher,S.I.,Zarsky,T.(2015).OnlineConsumerContracts:NoOneReads,ButDoesAnyoneCare?
Ben-Sasson,E.,Chiesa,A.,Garman,C.,Green,M.,Miers,I.,Tromer,E.,Virza,M.,(2014).Zerocash:DecentralizedAnonymousPaymentsfromBitcoin,2014IEEESymposiumonSecurityandPrivacy.
Bjørner,T.B.,Hansen,L.G.,&Russell,C.S.(2004).Environmentallabelingandconsumers’choice—anempiricalanalysisoftheeffectoftheNordicSwan.JournalofEnvironmentalEconomicsandManagement,47(3),411-434.DOI:10.1016/j.jeem.2003.06.002.
![Page 226: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/226.jpg)
220
Brounen, D., Kok, N. (2011). On the economics of energy labels in the housingmarket. Journal of Environmental Economics and Management 62(2):166-179. DOI:10.1016/j.jeem.2010.11.006.
Cabral,L,Hortascu,A.(2010).DynamicsofSellerReputation:TheoryandEvidencefromeBay,JournalofIndustrialEconomics,v.58,no.1,March2010,pp.54-78
Carvais,J.(2015).LelabelCNILcommeoutildeconformité,in AFCDP, Correspondant Informatique et Libertés, Bien plus qu’un métier.pp.497à510.
Castets-Renard, C., (2006). Le formalisme du contrat électronique ou la confiancedécrétée,Defrénois,30/10/2006,n°20,p.1529.
Chochois, M., Magnin, N., (2015). Qualité des produits de SSI, les labels français,Techniquesdel’ingénieur,H5825v2,octobre2015.
Connolly,C.(2008).TrustmarkSchemesStruggletoProtectPrivacy,Workingpaper.
Connolly, C., Greenleaf, G. and Waters, N. (2014). Privacy self-regulation in crisis?TRUSTe’s‘deceptive’practices,132PrivacyLaws&BusinessInternationalReport,13-17,December2014.
Cornu,G.,(2016).Vocabulairejuridique,Paris,PUF,11eédition,2016,V°Confiance.
Foucault,M.(2004).Naissancedelabiopolitique,Paris,Gallimard/LeSeuil,coll.« HautesÉtudes ».
Fournier,P.(2015).Laresponsabilitécommemodedegouvernementnéolibéral:l’exempledesprogrammesd’aideauxfamillesauxÉtats-Unisde1980ànosjours.in Les ateliers de l’éthique,Volume10,Numéro1.
Gao,Z.(2007).Effectsofadditionalqualityattributesonconsumerwillingness-to-payforfoodlabels(Doctoraldissertation,KansasStateUniversity).
![Page 227: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/227.jpg)
221
Khatchatourov,A. (2016) Big Data entre archive et diagramme. ÉtudesDigitales n°2,ClassiquesGarnier,Paris.
Khatchatourov,A.(2016).Peut-onmettrelamainsurlesalgorithmes ?Notesurla« culturealgorithmique »deDourish.ÉtudesDigitales,n°2,ClassiquesGarnier,Paris.
Khatchatourov, A. et Chardel, P.-A. (2016). La construction de l’identité dans lasociété contemporaine : enjeux théoriques. in « Identités numériques », Cahier n°1de laChaire Valeurs et Politiques des Informations Personnelles, coordonné parClaireLevallois-Barth.
Kiesel,K.,Villas-Boas,S.B.(2007).Gotorganicmilk?consumervaluationsofmilklabelsaftertheimplementationoftheUSDAorganicseal.Journalofagricultural&foodindustrialorganization5(1).DOI:10.2202/1542-0485.1152
Lachaud,E.,(2016).CouldtheCEMarkingBeRelevanttoEnforcePrivacybyDesignintheInternetofThings?In Data Protection on the Move(pp.135-162).SpringerNetherlands.
Lachaud,E.,(2016).WhythecertificationprocessdefinedintheGeneralDataProtectionRegulationcannotbesuccessful.ComputerLaw&SecurityReview32,814–826.
Lachaud,E.(2017).TheGeneralDataProtectionRegulationandtheriseofcertificationasaregulatoryinstrument.ComputerLaw&SecurityReview.
LaRose,R.andRifon,N., (2007).Promoting i-Safety:EffectsofPrivacyWarningsandPrivacySealsonRiskAssessmentandOnlinePrivacyBehavior(Summer2007),vol.41,JournalofConsumerAffairs12.
Laurent,M.,etKaâniche,N.(2016).Lespreuvesd’identitésoud’attributspréservantlepseudonymat.in « Identités numériques »,Cahiern°1delaChaire Valeurs et Politiques des Informations Personnelles,coordonnéparClaireLevallois-Barth.
![Page 228: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/228.jpg)
222
Leire,C.,Thidell,Å. (2005).Product-relatedenvironmental information toguideconsu-mer purchases–a review and analysis of research on perceptions, understanding anduse among Nordic consumers. Journal of Cleaner Production, 13(10), 1061-1070. DOI:10.1016/j.jclepro.2004.12.004.
Leon,P.G.,FaithCranor,L.,McDonald,A.M.,andMcGuire,R.,(2010).Tokenattempt:TheMisrepresentationofWebsitePrivacyPoliciesThroughtheMisuseofP3PCompactPolicyTokens,CyLab.Paper73.
Levallois-Barth,C.,Meseguer,I.(2016).PrivacyShield:unbouclieràpeinebrandidéjàébréché?,Éditorialde la lettred’information trimestriellen°5de laChaire Valeurs et Politiques des Informations Personnellles,décembre2016.
Levallois, C. (2016). Identités numériques et gestion des données personnelles.in « Identités numériques », Cahier n°1 de la Chaire Valeurs et Politiques des Informations Personnelles,coordonnéparClaireLevallois-Barth.
Levallois,C.(2016).Laréglementationmiseenplaceparl’Unioneuropéenneenmatièred’identificationélectroniqueetdesservicesdeconfiance(règlementeIDAS).in « Identités numériques », Cahier n°1 de la Chaire Valeurs et Politiques des Informations Personnelles,coordonnéparClaireLevallois-Barth.
Levy,A.S.,Mathews,O.,Stephenson,M.,Tenney,J.E.,&Schucker,R.E.(1985).Theimpactofanutritioninformationprogramonfoodpurchases.JournalofPublicPolicy&Marketing,1-13.
Li,Q.,Curtis,K.R.,McCluskey,J.J.,&Wahl,T. I. (2003).Consumerattitudes towardgeneticallymodifiedfoodsinBeijing,China.
Loureiro,M.L.,McCluskey,J.J.(2000).Consumerpreferencesandwillingnesstopayforfoodlabeling:Adiscussionofempiricalstudies.JournalofFoodDistributionResearch34(3):95-102.
Luhmann,N. (2001). Confiance et familiarité: Problèmes et alternatives. Réseaux, no108,(4),15-35.doi:10.3917/res.108.0015.TraductiondeLouisQuéré.
![Page 229: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/229.jpg)
223
Luhmann,N.(2010).LePouvoir[«Macht»],Pressesdel’UniversitéLaval,1975/2010.
Machina,M.,(2007).Non-expectedUtility,in Darity (Ed), International Encyclopedia of the Social Sciences,MacmilanReferenceUSA,2ndEdition.
MaiB,MenonNM,SarkarS(2010)Nofreelunch:Pricepremiumforprivacyseal-bearingvendors.JournalofManagementInformationSystems27(2):189-212.
Mantelero, A. (2013). Competitive value of data protection: the impact of dataprotection regulationononlinebehavior, InternationalDataPrivacyLaw3(4):229-238. DOI:10.1093/idpl/ipt016.
McDonald,A.M.,Cranor,L.F.(2009).Thecostofreadingprivacypolicies.ISJLP,4,543.
Mekki, M., (2009). Propos introductifs sur le droit souple, in Le droit souple, Dalloz, Coll.«Thèmesetcommentaires».
Melnik, M. I., & Alm, J. (2002). Does a seller’s ecommerce reputation matter?Evidence from eBay auctions. The journal of industrial economics, 50(3), 337-349. DOI:10.1111/1467-6451.00180.
Miyazaki,A.D.,Krishnamurthy,S. (2002). Internetsealsofapproval:Effectsononlineprivacy policies and consumer perceptions. The Journal of Consumer Affairs 28-49. DOI:10.1111/j.1745-6606.2002.tb00419.x.
Moore,T.,Anderson,R. (2012). Internet security.TheOxfordHandbook of theDigitalEconomy’(OxfordUniversityPress2011).
NaftalskiF.etDesgens-PasanauG.,(2010).Enjeuxetperspectivesdupouvoirdelabellisa-tiondelaCNIL,RevueLamyDroitdel’Immatériel,N°63,août-septembre2010,12pages.
Naftalski,F.(2011).LabelCNILetconformité«informatiqueetlibertés»:publicationdespremiersréférentiels,RevueLamyDroitdel’Immatériel.
![Page 230: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/230.jpg)
224
Noussair, C., Robin, S., Ruffieux, B. (2002). Do consumers not care about bio-tech foods or do they just not read the labels? Economics letters, 75(1), 47-53. DOI:10.1016/S0165-1765(01)00594-8.
Olurin,M.,Adams,C.,Logrippo,L.(2012).Platformforprivacypreferences(p3p):Currentstatus and future directions. IEEE, TenthAnnual International Conference on Privacy,SecurityandTrust(PST),pp217-220.DOI:10.1109/PST.2012.6297943.
O’Neil.(2014).HackingWeber:Legitimacy,critique,andtrustinpeerproduction.
Parasuraman,R.,Mouloua,M.,&Molloy,R.(1996).Effectsofadaptivetaskallocationonmonitoringofautomatedsystems.in Human Factors: The Journal of the Human Factors and Ergonomics Society.
Pasquale,F.(2015).TheBlackBoxSociety:TheSecretAlgorithmsThatControlMoneyandInformation,HarvardUniversityPress.
Penneau,A. (2014).Certification et codes de conduite privés : article 38 et 39 (dansleur version originelle), in La proposition de règlement européen relatif aux données personnelles : propositions du réseau Trans Europe Experts,sousladirectiondeNathalieMartial-Braz,Sociétédelégislationcomparée,volume9,2014,p.351.
Pontier,J.-M.,(1996).Lacertification,outildelamoderniténormative.
Quéré,L.(2001).Lastructurecognitiveetnormativedelaconfiance.
Rodrigues,R.,Wright,D.andWadhwa,K. (2013).Developingaprivacyseal scheme(thatworks),InternationalDataPrivacyLawAdvanceAccess,publishedFebruary1,2013,17pages,.p.15.
Rodrigues,R.,Barnard-Wills,D.,Wright,D.,DeHert,P.,Papakonstantinou,E.(2013).EUPrivacysealsproject:Inventoryandanalysisofprivacycertificationschemes.FinalReport.PublicationsOfficeoftheEuropeanUnion.
![Page 231: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/231.jpg)
225
Rouvroy, A. & Berns, T. (2013). Gouvernementalité algorithmique et perspectivesd’émancipation:ledisparatecommeconditiond’individuationparlarelation.Réseaux31.
Stiegler,B.(2015).LaSociétéautomatique.L’avenirdutravail,Fayard.
Tambou, O., (2016). L’introduction de la certification dans le règlement général de laprotectiondesdonnéespersonnelles:quellevaleurajoutée?,RevueLamydeDroitdel’Immatériel,avril2016,pp.51-54.
Vivant, M., (2004). Entre ancien et nouveau, une quête désordonnée de confiancepourl’économienumérique,CahierLamyDroitdel’informatiqueetdesréseaux,n°171,juillet2004,p.2ets.
Waelbroeck, P., Khatchatourov, A., Levallois-Barth, C. (2017) Synthèse du Rapport«Donnéespersonnellesetconfiance:quellesstratégiespourlescitoyens-consommateursen2017?»,Chaire Valeurs et Politiques des Informations Personnelles,23juin2017.
Zyskind,G.,Nathan,O.,Pentland,A.,(2015).Enigma:Enigma:DecentralizedComputationPlatformwithGuaranteedPrivacy.
![Page 232: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/232.jpg)
226
InterventionseffectuéesparlesmembresdelaChaireenlienaveclathématiquedessignesdeconfianceetdeslabels(évènementsexternes)
8 décembre 2017 •Participationaupaneld’Armen Khatchatourov, « Les approches pour la définition et la gestion des risques liés aux données personnelles dans les systèmes d’information », Journéed’étude«Vieprivée, donnéespersonnellesetrisques.Quelsparamètrespourleurcohabitationàvenir?»,ENS,Paris
8 novembre 2017 • « La confiance en action : confiance, numérique et design »,organiséepar laFondationMines-Télécom, àParis: intervention deClaire Levallois-Barth portantsur«Lessignesdeconfiance»
5 octobre 2017 • Journée Objets connectés de Santéorganiséeparl’IMTàParis.Animationdelatableronde«Mesureetqualitédesdonnées»parArmen Khatchatourov etdelatableronde«Sécuritéetconfiance»parMaryline Laurent,aveclaparticipationdeClaire Levallois-Barth.
![Page 233: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/233.jpg)
227
10 mai 2017 •ParticipationdeMaryline Laurentàlatable ronde « Que reste-t-il de la confiance à l’ère du numérique ? »,sur«Lespreuvesdeconfianceeninformatique»,petit-déjeunerdelaFondationMines-Télécom,NUMA,Paris,France.
28 avril 2017 • Journée d’étude « Le cadre juridique applicable aux traitements de données à caractère personnel »organiséeparleCERAPS(UMR8026)etl’UniversitédeLilledanslecadreduprojetderechercheANR«APPEL»,Lille:interventiondeClaire Levallois-Barth sur le thème«Le rôledes labelspour renforcer l’effectivitéducadrejuridiqueapplicableauxtraitementsdedonnéesàcaractèrepersonnel»
29 mars 2017 • « La confiance distribuée à l’ère du numérique » organisée parla Fondation Mines-Télécom, au WAI BNP Paribas, Paris. Présentation d’Armen Khatchatourov «La confiance dans le numérique» et de Claire Levallois-Barth «La confiance régulée : l’exemple des labels en matière de protection des donnéespersonnelles».
![Page 234: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/234.jpg)
228
ÉvènementsinternesorganisésparlaChaireenlienaveclathématiquedessignesdeconfiance(réservésauxpartenaires)
20 novembre 2017 • Présentation à Orange labs, ChatillonLorsdecetteréunion,Claire Levallois-Barth,Armen Khatchatourov,Maryline Laurent et Patrick Waelbroeckontexposéleursréflexionssurlessignesdeconfianceenfonctiondeleurdisciplinederecherche.
15 mars 2017 • Présentation au Comité de Labellisation de la CNILLorsdecetteréunion,Claire Levallois-Barthaexposélesrésultatsdelarecherchesurleslabelsenmatièrededonnéespersonnelles.Lesdifférentesmodalitésd’interventiondesautoritésdecontrôleen lamatièreontétédiscutéesavec lesCommissairesde laCNILetl’équipepluridisciplinairedelaChaire.
14 mars 2017 • Groupe de travail interne Règlement Données personnelles (RGPD)Clément Chevauchédel’AFNORNormalisationaprésentéetdiscutéledocumentintitulé«L’apportdesnormesvolontairesdanslenumérique».
![Page 235: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/235.jpg)
229
15 décembre 2016 • Atelier interne « Labels en matière de protection des données personnelles : de quel type de confiance parlons-nous ? »Cetateliervisaitàdéfinirlanotiondeconfiance,tantdanssasignificationquedanssafonctionsociale.Claire Levallois-Barthamontréquececoncept,situéentrelesavoircompletetlemanquedesavoir,visaitàcomblerlevideentrel’expertetleprofane.ElleaégalementexposélesdispositionsduRGPDrelativesà lacertificationetaux labels.Armen Khatchatourova,quantàlui,présentéunecritiquedumodèledelaconfiancecommegestiondesrisques.
16 décembre 2015 • Atelier interne « Labels en matière de protection des données personnelles : état de l’art juridique et économique »Lorsdecetatelier,Delphine Chauvet et Claire Levallois-Barthonttentédecernerlesnotionsdelabel,certification,marquedeconfianceethomologationendroitfrançaiseteuropéen.Ellesontprésentéunpremierétatdel’artsurleslabelsexistantsenmatièrededonnéespersonnellesetsesontinterrogéessurlesraisonspourlesquelleslacentainedelabelsrépertoriésn’avaientpasacquisdevisibilitédupointdevuedel’opinionpublique.Patrick Waelbroeck et Antoine Dubusont,pourleurpart,traitélaquestiondelafaisabilitééconomiquedeslabelsenmatièredeprotectiondesdonnéespersonnelles.
30 avril 2014 • Atelier interne « Enjeux et problématiques posés par la labellisation en matière de données personnelles »AniméparClaire Levallois-Barth,cetatelierafourniunpremieraperçudelalabellisationenmatièrededonnéespersonnellesàtraversdeuxprésentations:lapremièred’Arnaud Belleil,DirecteurAssociédeCecurity.com,surlesenjeuxetproblématiques;laseconde,de Matthieu Grall, chef du service de l’expertise technologique, à la direction destechnologies et de l’innovation de la CNIL intitulée «La labellisation vue par la CNIL,l’ANSSIetl’ISO».
![Page 236: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/236.jpg)
230
LachairederechercheValeursetPolitiquesdesInformationsPersonnelles
Créée par l’Institut Mines-Télécom en mars 2013, la Chaire regroupe une équipepluridisciplinairedechercheurstravaillantàlafoissurlesaspectsjuridiquesderégulationetdeconformité, techniquesdesécuritédessystèmesetdesdonnées,économiquesde partage des informations personnelles et philosophiques de responsabilisation etd’anticipationdesconséquencessociétales.
Elle bénéficie du soutien de septmécènes : le Groupe Imprimerie Nationale, BNPParibas, Orange, LVMH, QWANT, SOPRA STERIA (mécènes fondateurs), DassaultSystèmes (mécène associé), de la collaboration de la Commission nationale del’informatiqueetdeslibertés(CNIL)etdelaDirectioninterministérielledunumériqueetdusystèmed’informationetdecommunicationde l’État (DINSIC),etdusupportde laFondationMines-Télécom.
LaChaireestcoordonnéeparClaireLevallois-Barth,maîtredeconférencesendroità Télécom ParisTech, et a été cofondée avec IvanMeseguer,Affaires Européennes,DirectionRecherche et Innovation de l’IMT,Maryline Laurent, professeur en sciencesde l’informatique à Télécom SudParis, Patrick Waelbroeck, professeur en scienceséconomiquesàTélécomParisTechetPierre-AntoineChardel,professeurenphilosophieàTélécomÉcoledeManagement.
LaChaireValeursetPolitiquesdesInformationsPersonnellesseproposed’aiderlesentreprises, les citoyens et les pouvoirs publics dans leurs réflexions sur la collecte,l’utilisationetlepartagedesinformationspersonnelles,àsavoirlesinformationsconcernantlesindividus(leursviesprivées,leursactivitésprofessionnelles,leursidentitésnumériques,leurscontributionssurlesréseauxsociaux,etc.),incluantcellescollectéesparlesobjetscommunicantsquilesentourent.Cesinformationsfourniesparlespersonnes,outracesdeleursactivitésetinteractions,posenteneffetdenombreusesquestionsentermesdevaleursociale,valeuréconomique,politiquedecontrôleetpolitiquederégulation.
![Page 237: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/237.jpg)
231
LestravauxdelaChairesontconduitsseloncinqaxesderecherchetransdisciplinaires:• lesidentitésnumériques;• lagestiondesinformationspersonnelles;• lescontributionsettraces;• lesinformationspersonnellesdansl’internetdesobjets;• lespolitiquesdesinformationspersonnelles.
Enplusde lapublicationd’articlesde rechercheet la participationaux colloquesetconférences, la Chaire organise régulièrement des évènements ouverts à tous, poursensibiliserlegrandpublicsurcesenjeuxmajeursdumondenumérique.
www.informations-personnelles.orgyoutube.informations-personnelles.org
@CVPIP
EN SAVOIR PLUS
CONTACTS
CLAIRELEVALLOIS-BARTHCoordinatricedelaChaire
ANNE-CATHERINEAYEAssistantedelaChaire
[email protected]+33 1 45 81 72 53
TélécomParisTech-IMT46rueBarrault|F-75634ParisCedex13
![Page 238: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/238.jpg)
232
Auteurs
ClaireLevallois-Barth
MaîtredeconférencesendroitàTélécomParisTech,coordinatricedelaChaire.Elles’intéresseàl’évolutiondelaprotectiondes
libertésetdroitsfondamentauxàl’èrenumérique.Elleseconcentreenparticuliersurlaquestion
delaprotectiondesdonnéespersonnelles,notammentdanslecontexteduBig Data,ainsiquesurlagestiondesidentitésnumériques.
ArmenKhatchatourov IngénieurderechercheetdocteurenphilosophiedelatechniqueàTélécomÉcoledeManagement.Enarticulantl’approchethéorique
etl’ingénierie,ils’intéresseàlamanièredontlestechnologiesnumériquesaffectentnotre
sentimentdesoietauxconséquencessociétales decestechnologies.
PatrickWaelbroeck Professeurenscienceséconomiquesà
TélécomParisTech,cofondateurdelaChaire.Sestravauxportentsurl’économiedel’innovation,l’économiedelapropriété
intellectuelle,l’économiedel’internetetdesdonnéespersonnelles.Ilenseignel’économiede
l’internetetdesdonnées.
![Page 239: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/239.jpg)
Aveclacontributiond’IvanMeseguer,cofondateurdelaChaire,AffairesEuropéennes,DirectionRechercheetInnovationdel’IMT,etlesparticipationsdeStéphaneMénégaldo,chargé
decommunication,ChantalFriedmanetAnne-CatherineAye,assistantesdelaChaire
Professeurensciencesdel’informatiqueàTélécomSudParis,cofondatricedelaChaire.
Responsabledel’équipeR3S(Réseaux,Systèmes,Services,Sécurité)dulaboratoireUMR5157SAMOVAR.Elles’intéresseauxproblématiquesdesécuritéetdevieprivée
danslesenvironnementsdecloud,desystèmesminiaturisésetàlagestiondes
identitésnumériques.
MarylineLaurent
Post-doctoranteendroitàTélécomParisTech,elleasoutenusathèsesur«Lavieprivée.Étude
dedroitprivé.»àl’UniversitéParis-Sudetestchargéed’enseignementàl’UniversitéParis2
Panthéon-Assas.
DelphineChauvet
DoctorantenscienceséconomiquesauseindelaChaireValeursetPolitiquesdesInformations
Personnelles,iltravaillesurlethème«Protectiondesdonnéespersonnellesetconcurrence».Sesrecherchesportentplusparticulièrementsurlaventededonnéesàdesfinsdeciblage
publicitaire,derecommandationspersonnaliséesenligne,ouencoredeciblageparlesprix.
AntoineDubus
![Page 240: Signes de confiance - IMT · 2018. 2. 20. · La confiance dans le numérique. Des signes extérieurs vers la régulation de soi ... , le baromètre de la confiancede l’ACSEL-CDC3](https://reader035.vdocuments.site/reader035/viewer/2022071210/6020cb3a27115f0c1433e7f6/html5/thumbnails/240.jpg)
MÉCÈNE ASSOCIÉMÉCÈNES FONDATEURS
DINSIC*
PARTENAIRES QUALIFIÉS
Les partenaires de la Chaire Valeurs et Politiques des Informations Personnelles (CVPIP)
*Direction Interministérielle du Numérique et du Système d’Information et de Communication de l’État
Situéeaucentredelaconstructiondetoutesociété,laconfiancequestionnelapossibilitémêmedeséchangesinstitutionnelsetcommerciaux,etlerôlequeceséchangespeuventavoirdanslastructurationdenotrevivre-ensemble.Or,nousassistonsaujourd’huiàunecrisedeconfiancemanifeste,dontlenumériqueestl’undesvecteurs.Tandisquelesscienceséconomiquesetinformatiquesseréfèrentàlanotionderisquesdans le cadred’une transactionoude la sécuritédes systèmes techniques, ledroitdéfinitclassiquementlaconfiancecommeunecroyanceenlabonnefoid’autrui.D’unpointdevuesocio-philosophique,laconfianceconstitueundesprincipauxmécanismesde réductiond’incertitudedansunesociétécontemporainecomplexe.Deuxaspectssimultanémentàl’œuvrepermettentdediminuercettecomplexité:laconfianceassuréeetlaconfiancedécidée(confidence et trustenanglais).Cet ouvrage propose d’aborder la question des labels en matière de donnéespersonnelles comme outil de confiance. Quel est leur impact sur la perception del’utilisateuretsesactesdeconsommation?Quellesréponseslatechnologie–dontlablockchain–peut-elleapporter?Quelestouqueldoitêtreàcetégardlenouveaurôledel’État?L’omniprésencedelabelsoudetrust by designn’a-t-ellepasseslimites?Lasur-utilisationdelabelsnerisquet-ellepasparfoisdedéresponsabiliserlesindividusenlesdéchargeantdetouteanalysecritique?
Nereÿs
– 06
62
12 1
5 25
– w
ww.
nere
ys.fr
– R
CS 4
9943
8505