ICTjournal 05/2021

22 confiance &

22 confiance & numérique interview «Notre label de confiance repose sur un catalogue de 35 critères» Lancée six mois plus tôt, la Swiss Digital Initiative dévoilait lors du WEF 2020 son projet de développer un label permettant aux utilisateurs de s’assurer qu’un service numérique est digne de confiance. Après plusieurs mois d’expérimentation, une première version du «Digital Trust Label» devrait être officiellement lancée fin 2021. Explications avec Niniane Päffgen, Directrice de la Swiss Digital Initiative, que la rédaction a rencontrée au Campus Biotech à Genève où la fondation est établie. Interview: Rodolphe Koller Vous développez un label de confiance numérique. Qu’est-ce donc pour vous que la «confiance numérique»? La confiance est une notion complexe, indispensable aux interactions et qui dépend de plusieurs facteurs. Dans le monde analogique, on donne sa confiance à quelqu’un en fonction de la relation, de l’expérience ou de la culture. Dans le numérique, beaucoup de ces facteurs sont hors de notre portée et d’autres questions se posent, comme celles de faire confiance à un robot ou à une intelligence artificielle. Même si, au final, la confiance reste une décision individuelle, nous pensons que le label peut apporter de la transparence et des informations de manière à réduire le risque et l’incertitude pour les utilisateurs et leur permettre de prendre de meilleures décisions. C’est ce que nous aimerions contribuer à promouvoir avec notre label. Quel problème cherchez-vous à résoudre avec ce label? Et pour qui est-ce un problème? Le problème, c’est le manque de transparence. Les utilisateurs ne disposent pas de certaines informations, ils ne peuvent par exemple pas savoir si une décision qui les concerne est prise par un algorithme. Si vous envoyez votre dossier de candidature à un système de recrutement, vous voulez non seulement savoir si vos données sont bien protégées, mais aussi si le screening est réalisé par un humain ou par un algorithme. Le label sert précisément à cela: à fournir aux utilisateurs les moyens de prendre des décisions informées. Est-ce vraiment un problème pour les utilisateurs? On constate effectivement que les utilisateurs continuent paradoxalement d’employer des services quand bien même ils savent que ces services collectent beaucoup de données. Toutefois, je pense que les utilisateurs sont de plus en plus soucieux de la protection de leurs données: ils sont par exemple nombreux à s’être tournés vers de nouvelles apps après que Whatsapp a modifié ses conditions d’utilisation. On voit aussi que par exemple Apple a commencé à prendre sa responsabilité au sérieux en intégrant un label de privacy dans l’AppStore. Justement, le déficit de confiance n’est-il pas surtout un problème pour les entreprises qui proposent des outils numériques? Et le label n’est-il donc pas surtout une solution au problème de ces entreprises? Le label est prioritairement destiné aux utilisateurs. Toutefois, comme son adoption par les entreprises concernées repose sur une base volontaire, il faut que celles qui l’appliquent y trouvent leur compte. La question est donc de trouver le juste niveau d’exigences: obtenir le label doit être raisonnablement faisable pour les entreprises intéressées, mais sans l’être trop, car sinon le label perdrait sa crédibilité. L’objectif est-il que les utilisateurs aient confiance ou que les services soient dignes de leur confiance? Nous voulons les deux. Les utilisateurs pourront faire confiance à un service labélisé parce qu’ils auront obtenu les informations nécessaires pour décider par eux-mêmes que le service est effectivement digne de leur confiance. Concrètement, qu’est-ce que le label va mesurer et certifier? A l’heure actuelle, le label repose sur un catalogue de 35 critères à remplir, qui couvrent quatre catégories: la sécurité, la protection des données, la fiabilité et l’interaction responsable avec les utilisateurs. Ces catégories ont été dérivées d’une enquête sur la confiance numérique auprès d’un panel d’utilisateurs, puis validées par un groupe d’experts académiques. Cela dit, nous sommes dans une démarche d’expérimentation et d’amélioration en continu, si bien que le catalogue va sans doute évoluer dans le futur, par exemple en intégrant des critères de durabilité. Y a-t-il une gradation dans l’évaluation ou juge-t-on simplement si le critère est rempli ou non? L’attribution du label repose sur un audit externe dont l’ob- 05 / 2021 www.ictjournal.ch © netzmedien ag

confiance & numérique interview 23 Niniane Päffgen est Managing Director de la Swiss Digital Initiative. «La solution choisie devra correspondre à un compromis raisonnable entre un label attribué une fois pour toute et un label nécessitant une recertification à chaque mise à jour.» jectif est de déterminer si les critères sont simplement remplis ou pas, mais les choses changeront peut-être à l’avenir avec l’introduction d’une graduation. Pour quels motifs avez-vous décidé de certifier des services numériques plutôt que les entreprises qui les développent et les exploitent? N’est-ce pas à elles qu’il s’agit de faire confiance? Il est clair que si l’on a confiance dans une entreprise, cela joue un rôle dans la confiance qu’on aura dans ses services numériques. Mais ce n’est pas l’objet du label. Sans compter que certifier une entreprise serait une tâche autrement plus complexe. On sait que les produits numériques évoluent sans cesse. Comment comptez-vous intégrer cette dynamique? Faudra-t-il par exemple faire recertifier un service à chaque nouvelle release? Ces questions sont pour l’heure ouvertes, mais il est clair que la complexité des outils numériques est un défi majeur. La solution choisie devra correspondre à un compromis raisonnable entre un label attribué une fois pour toutes, ce qui ne serait pas compatible avec la grande évolutivité des services numériques, et un label nécessitant une recertification à chaque mise à jour, ce qui ne serait pas très réaliste dans la pratique. Nous allons expérimenter la durée de validité du label et les éventuelles recertifications nécessaires. Comment va fonctionner l’obtention du label? Qui va se charger de la certification? Tout prestataire intéressé devra soumettre une demande de labélisation pour un service numérique spécifique. Sur la base des vérifications effectuées, l’auditeur pourra émettre une recommandation qui servira de base pour la décision d’attribution du label par un groupe d’experts indépendant. Dans un premier temps, nous allons opérer avec une entreprise d’audit spécifique, la société SGS, mais l’objectif est d’offrir à terme aux prestataires intéressés un choix plus large d’auditeurs. Comment allez-vous auditer la conception du service numérique, les données sur lesquelles il s’appuie, ou encore les technologies tierces qu’il intègre? La définition précise des procédures d’audit qui devront être mises en œuvre pour vérifier les 35 critères définis www.ictjournal.ch © netzmedien ag 05 / 2021