Le label est un outil au service de la protection des informations et du droit des personnes

À l’exception de certaines régions du monde où la certification est une pratique courante de la vie des affaires [1] , la plupart des entreprises manquent encore de maturité sur le sujet. À cela s’ajoute le fait que les individus sont généralement «  privacy myopic [2] ». Pas facile, dans ces conditions, de lutter contre le préjugé selon lequel la protection des données et de la vie privée serait un obstacle au développement des nouvelles technologies.

En réalité, le fait de réglementer l’utilisation des données n’est pas critiquable en soi et ceci est surtout indispensable à toute démocratie ; la lourdeur bureaucratique liée aux formalités administratives et l’inadaptation de règles parfois trop théoriques, par contre, sont pénalisantes.

La certification et les labels font partie de la réforme européenne de la protection des données

Contrairement à d’autres régions dominées par la culture du déclaratif et où la protection des informations personnelles et de la vie privée est largement assurée par l’autorégulation, en Europe, le sujet relève d’abord des États.

Les systèmes d’autorégulation, basés sur la bonne foi et la volonté des organisations concernées ont il est vrai, montré leurs limites : pas vu, pas pris… Les discussions européennes en cours concernant les dysfonctionnements de l’accord de Safe Harbor [3] entre les États-Unis et l’UE en sont une illustration.

Cependant, la coexistence de schémas de certification avec un règlement d’application uniforme dans l’ensemble des pays européens et dont la violation sera passible de sanctions dissuasives [4] devrait être plus efficace.

Le projet de règlement rappelle [5] la nécessité de créer des schémas de certification et des labels, notamment au niveau européen ; en outre, une démarche de certification devrait permettre aux entreprises de faire plus facilement face à leur nouvelle obligation de documenter [6] les actions de mise en conformité et de mise en œuvre de mesures de protection des données.

Mise en œuvre de mesures de protection des données

Le label indique que la procédure, le produit et la formation proposés répondent aux exigences du référentiel. Dans le cas contraire, le schéma de certification doit en principe prévoir la suspension du label, voire son retrait.

Selon les schémas, les référentiels comprennent les textes de loi en vigueur, les standards, les bonnes pratiques, les recommandations et avis des autorités de régulation.

Une partie des référentiels porte sur des exigences allant au-delà de la loi en vigueur, telles que la portabilité des données, le respect du principe d’ Accountability, l’obligation de documentation, le droit à l’oubli, la notification des violations de confidentialité, la désignation d’un délégué à la protection des données, le Privacy By Design ou l’étude d’impacts. Autant de points traités par le projet de règlement européen.

Le Label est source de valeur ajoutée pour le secteur privé

Le label améliore de la protection des informations et des droits des personnes : tel est particulièrement le cas des labels dont le référentiel se base sur les textes européens (ou de certains pays membres comme la France), considérés comme l’une des réglementations les plus protectrices et respectueuses des droits et libertés fondamentaux des personnes.

La présence de labels sur les sites Internet améliore la sensibilisation des clients et des salariés sur le sujet de la protection des données.

Cela améliore la confiance dans l’espace digital de l’Union européenne (UE) et, par voie de conséquence, dans son économie numérique.

Le label permet également d’améliorer la relation client et d’apaiser le climat social. Le logo traduit les valeurs et les engagements d’une profession [7] et des entreprises en faveur de la protection des données de leurs membres, de leurs clients et prospects et de leurs salariés. Apple et IBM ont par exemple choisi d’afficher le label TRUST-e [8] .

Cela permet d’instaurer une relation de confiance entre les organisations et les individus, favorable à l’amélioration de la relation commerciale avec les clients et à l’apaisement du climat social au sein de l’entreprise.

Facteur de confiance, un label donne un avantage compétitif aux entreprises et à leurs sous-traitants et facilite le ROI.

Diverses études tendent à prouver que les labels influencent les comportements en ligne ; les personnes divulguent plus facilement leurs données personnelles (sans les falsifier) et sont plus enclines à acheter un produit ou à souscrire à un service en ligne [9] . Dans certains cas [10] , les entreprises certifiées peuvent bénéficier d’une préférence d’attribution de marché par un organisme public.

Un label influence les relations avec les partenaires commerciaux : le responsable de traitement doit par exemple s’assurer que son sous-traitant présente des garanties de sécurité et de confidentialité suffisantes s’il ne veut pas voir sa propre responsabilité engagée. Un sous-traitant disposant d’un label garantissant la mise en place de mesures conformes aux dispositions législatives, rassurera d’autant plus son client responsable des traitements.

L’affichage du logo, source de confiance, facilite le retour sur investissement des mesures engagées et permet de profiter d’une gratification quasi immédiate.

Le label peut être un outil de résolution amiable des litiges. Les schémas prévoient parfois une solution amiable, rapide et abordable de résolution des litiges relatifs à la protection des données et de la vie privée.

Quelques exemples de labels de protection des données et/ou de la vie privée

La majorité des labels sont émis aux États-Unis, souvent par des acteurs privés. Aucun ne s’appuie sur un référentiel conforme à la réglementation européenne.

En Europe, il existe plusieurs labels émis au niveau national ou régional, mais seul le label EuroPriSe est reconnu à l’échelle européenne.

Les schémas de certification portés par les autorités de protection des données (ex. label CNIL label ou EuroPriSe) ou développés par des organisations sans but lucratif [11] sont généralement ceux qui interprètent le plus fidèlement les règles définies dans les textes européens.

Les labels de sites Internet

Les labels de site Internet sont souvent basés sur un régime déclaratif.

Faute de standard international ou européen, ce marché se caractérise par une grande confusion. Ne sachant pas toujours ce que recouvre réellement le label, les individus peuvent se méprendre sur la signification de celui-ci et lui attribuer des vertus dépassant son périmètre.

La protection de la vie privée et des informations personnelles est souvent abordée de manière complémentaire dans le cadre d’objectifs plus larges tels que la sécurité des transactions, une pratique éthique des affaires ou la vérification de la solvabilité et de la fiabilité des acteurs.

L'exemple suisse

En Suisse, des professionnels agréés mènent des évaluations de procédure et délivrer leur propre label. La Suisse a fait le choix de labels privés basés sur un processus légal de certification des procédures de traitements des données par des organismes agréés indépendants.

L’autorité suisse de protection des données (PFPDT) est associée à la procédure d’accréditation, de contrôle et de révocation. Ainsi, l’association suisse à but non lucratif SQS est agréée pour délivrer son label Goodpriv@cy. La certification de l’ensemble des procédures exonère les entreprises de formalité de déclaration.

France : les labels CNIL [12] de formation et de procédure d’audit

La loi Informatique et Libertés prévoit la possibilité pour le régulateur français de délivrer des labels officiels de formations et de procédures d’audits de traitements de données personnelles. La CNIL travaille également depuis plusieurs années sur un schéma de labellisation de produits.

Les labels de la CNIL, à l’instar d’autres labels, ont une portée strictement nationale. Ils visent à certifier des formations et des procédures d’audit sur la base de référentiels relatifs à la méthode et au contenu de la procédure ou de la formation ; les professionnels concernés doivent par ailleurs remplir certaines exigences quant à leurs compétences et expérience.

À quoi correspond le logo du Correspondant informatique et libertés (CIL) ?

Toute organisation traitant de données personnelles peut choisir de désigner un correspondant dont la mission sera de veiller à l’application en son sein de la loi Informatique et Libertés. La désignation d’un CIL l’autorise à afficher le logo du CIL sur son site. Le CIL n’est pas certifié par la CNIL, mais sa désignation doit lui être notifiée.

Le logo du CIL est une simple marque ; il ne dépend d’aucun schéma de certification, mais il traduit néanmoins l’engagement de l’entreprise à respecter la protection des données et de la vie privée de ses clients, visiteurs ou salariés.

 EuroPriSe [13] , seul label européen de certification de produits, services IT et d’applications

Ce label est né au cours d’un programme de recherche européen conduit par l’ULD [14] . Trente-deux labels ont été délivrés par le régulateur du Schleswig Holstein depuis 2008 suite aux évaluations délivrées par des experts accrédités.

Il s’agit du seul schéma de certification basé sur la réglementation européenne et offrant des garanties de respect des droits des personnes. En outre, le référentiel comprend des standards internationaux de sécurité.

La certification du produit ou du service garantit que le produit peut être utilisé tout en protégeant la vie privée des personnes concernées.

Le label EuroPriSe pourrait bénéficier d’une plus grande visibilité dès l’adoption du nouveau règlement européen qui, d’une part, permettra d’harmoniser les législations dans l’ensemble des États membres et, d’autre part, encourage les organisations à intégrer les principes de « data protection by design » et de « data protection by default [15] ».

Le succès d’un label dépend de sa portée, de sa crédibilité, et du caractère contraignant de son référentiel

Un label doit avoir une portée suffisamment large pour être visible du plus grand nombre. L’émission de labels à l’échelle européenne devrait participer de l’uniformisation de l’application des règles de protection des données à un échelon supranational.

Les accords de reconnaissance mutuelle ou de coopérations entre labels [16] offrent l’opportunité d’étendre le périmètre et la notoriété d’un label au-delà des frontières nationales. C’est un atout essentiel dans une économie globalisée où il n’est pas toujours facile d’y voir clair parmi les nombreux labels existants.

Un label doit être reconnu par l’ensemble des acteurs. La clé de la réussite dépend de la confiance, de la crédibilité et de la pertinence du label aux yeux du régulateur, des experts, des individus et des entreprises. Dans ce cadre, le référentiel, les modalités de contrôle et les sanctions prévues en cas de violation de ses exigences sont déterminants.

Enfin, un label doit être suffisamment « attractif ». Le schéma doit être assez flexible et capable de s’adapter à la taille de l’organisation ainsi qu’à son niveau de maturité. L’organisme émetteur peut par exemple proposer des services aux adhérents [17] .

L’obtention du label pourrait être une condition indispensable à la souscription d’une assurance sur les failles de sécurité, ou il pourrait permettre à l’organisation de bénéficier d’une limitation de sa responsabilité en dehors des cas de faute intentionnelle.

1 Au Japon, le label PrivacyMark a été délivré à plus de 15 600 entreprises. 2 Distorsions psychologiques qui affectent les individus y compris les plus « sophistiqués ». Cf. sous-estimation hyperbolique des coûts et des bénéfices, biais de self-control, recherche de satisfaction immédiate, biais optimiste (« cela n'arrive qu'aux autres »), sous- assurance, etc. 3 L’accord Safe Harbor consiste pour les organisations US à s’autocertifier auprès du Département du commerce en s’engageant à respecter et à mettre en pratique les principes de base posés par la Directive 95/46 vis-à-vis des données personnelles transférées par des entreprises situées sur le territoire européen. 4 Réforme UE : le parlement a proposé des sanctions allant jusqu’à 5 % du CA d’un groupe ou 100 millions d’euros. 5 Article 39 du projet européen de règlement. 6 Principe d'Accountability. 7 Par ex. Cloud Security Alliance (CSA), Market Research Society (MRS), responsable du label Fair Data. 8 http://www.truste.com/. 9 A. Miyazaki et S. Krishnamurthy, « Internet Seals of Approval: Effects on Online Privacy Policies and Consumer Perceptions », Journal of Consumer Affairs, vol. 36. 10 EuroPriSe : https://www.datenschutzzentrum.de/faq/guetesiegel_engl.htm. 11 Exemples : Euro-Label, Confianza Online, Market Research Society (MRS) Fair Data Mark. 12 http://www.cnil.fr/linstitution/labels-cnil/ . 13 https://www.european-privacy-seal.eu/. 14 Centre indépendant pour la protection de la vie privée allemand. 15 Article 23 GDPR. 16 Par ex. Alliance de PrivacyMark (Japon) et de BBB accredited business seal. 17 Par ex. TRUST-e propose des conseils en Privacy by Design.