ICTjournal 05/2021

24 confiance &

24 confiance & numérique interview va faire l’objet d’un document spécifique, les «auditing guidelines», qui viendra compléter le catalogue du label. Pour ce qui est des technologies tierces potentiellement utilisées au sein d’un service numérique à labelliser, le prestataire de services sera responsable d’obtenir et de transmettre les éléments nécessaires à leur vérification. Il est clair que l’audit aura ses limites, sans quoi ce serait une énorme tâche. approche itérative. Nous faisons actuellement des tests et nous devrions disposer d’un premier MVP (minimum viable product) d’ici fin septembre. Cette version minimale nous permettra de vérifier durant l’automne que les critères du catalogue sont applicables dans la pratique et de répondre aux questions relatives à la complexité des services. Nous avons l’objectif de lancer une version utilisable du label d’ici la fin de l’année. Quel sera le coût pour une entreprise souhaitant faire labelliser la confiance de l’un de ses services? Le pricing est en développement. Il est probable qu’il y aura des niveaux de coût différents en fonction de la complexité du service à labéliser. Quels sont les défis principaux dans la création de ce label? Il y a d’abord la complexité que vous avez évoquée. Labelliser la confiance d’un service numérique n’est pas aussi simple que de labelliser une banane en matière de commerce équitable. Il y a aussi le défi du modèle économique, car nous devons financer nos services de labellisation, tout en restant indépendant des intérêts économiques… Quel type d’entreprise ciblez-vous? Des organisations suisses? Des entreprises utilisatrices ou des fournisseurs de solutions? Au niveau géographique, nous ciblons pour l’instant le marché suisse, mais notre vision est internationale. Quant à savoir le type d’entreprise, nous n’excluons rien. Nous voulons proposer le label dans les secteurs où cela fait sens. Vous n’allez donc pas vous frotter à des domaines très exigeants et déjà fortement réglementés comme les technologies numériques dans la santé… Le label est utilisé lorsque la confiance est particulièrement importante, indépendamment de la réglementation en vigueur. «Le pricing est en développement. Il est probable qu’il y aura des niveaux de coût différents en fonction de la complexité du service à labéliser.» Qu’est-ce qui fera pour vous le succès du label? Il faut que le label soit reconnu par les utilisateurs, qu’ils y voient de la valeur et qu’ils demandent que les outils numériques qu’ils utilisent soient labélisés. Mais il faudra aussi que le label permette aux entreprises de montrer de façon crédible qu’elles prennent des mesures pour renforcer la confiance dans leurs services. Il faut enfin que nous nous établissions comme un émetteur crédible. Les études montrent que les gens font davantage confiance à une organisation vue comme légitime, telle qu’une autorité publique. Vous allez donc vous adosser à un institution publique… Il faut voir si notre projet intéresse une institution. Vu l’importance d’impliquer tous les acteurs concernés, un partenariat public-privé pourrait être un bon modèle… Qui sont vos partenaires aujourd’hui? Nous collaborons étroitement avec l’EPFL et l’administration fédérale. Nous nous appuyons aussi sur des experts de la protection des données et des représentants des consommateurs. Nous avons aussi des entreprises partenaires comme Crédit Suisse, Swiss Re, booking.com ou Swisscom qui se sont dès le début mises à disposition pour tester notre label et donner leur feedback. Pour ce qui est des aspects liés aux audits nécessaires, SGS est notre partenaire. Où en est aujourd’hui le projet? Quand comptez-vous lancer le label? Le projet étant très complexe, nous avons opté pour une Au niveau mondial, on voit naître de plus en plus d’initiatives, émanant des Etats, d’entreprises, du monde académique ou d’associations professionnelles qui se proposent elles aussi d’améliorer l’éthique et la confiance du numérique. Votre label est-il vraiment nécessaire? Avec le laboratoire Ethix, nous avons récemment publié une analyse de 50 initiatives similaires à notre projet. Nous sommes beaucoup d’acteurs à nous pencher sur les mêmes questions. Notre projet se distingue toutefois par son caractère global, alors que de nombreuses initiatives se concentrent sur tel ou tel aspect particulier, comme la cybersécurité ou la protection des données. Nous échangeons par ailleurs régulièrement avec les projets les plus proches du nôtre, notamment en Finlande et au Danemark, avec la volonté de développer des synergies. Deux dernières questions… Le problème est-il que les gens ne font pas confiance aux services numériques ou au contraire qu’ils leur font trop confiance? Nous sommes en faveur d’une confiance qui ne soit pas aveugle. Notre label peut y contribuer en réduisant la complexité et en donnant de la transparence aux services numériques. Vu que vous êtes partenaire de l’EPFL, est-ce que l’application Swisscovid obtiendrait votre label de confiance? On ne l’a pas vérifié, mais c’est une bonne idée… 05 / 2021 www.ictjournal.ch © netzmedien ag

confiance & numérique la tribune du DPO 25 La confiance à l’ère du numérique, un vœu pieux? Au début du siècle, les indices étaient au vert: technologies en forte expansion, innovation fulgurante, outils de travail performants. La douce illusion bercée d’insouciance que tout irait de mieux en mieux fut douchée par les révélations de lanceurs d’alerte. Et la confiance fut rompue. A jamais? Sans doute pas, mais…Si tout le monde s’accorde à dire qu’il faudrait restaurer la confiance des utilisateurs que nous sommes vis-à-vis des solutions technologiques qui nous sont proposées, deux écoles semblent coexister quant à la faisabilité de cette mission. Pour les uns, c’est peine perdue. Nous dépendons trop, parfois totalement, de systèmes et solutions informatiques créés par des géants en perpétuelle lutte concurrentielle, et leur modèle économique rend vaine cette quête. Pour les autres, c’est possible car la technologie le permet, manque la volonté, y compris politique, d’investir dans le développement de solutions labellisables, et la nécessité de viser, en fonction de la sensibilité des données concernées, le bon niveau de sécurité 1 . Pour ma part, mon cœur balance, entre éternel optimisme et dure réalité et, s’il existe, le chemin pour restaurer la confiance à l’ère du numérique me semble semé d’embûches. Joindre le fond et la forme Tout d’abord, la notion de confiance doit être prise au sérieux, et l’on doit faire en sorte que le fond et la forme se rejoignent, que les termes utilisés soient bien descriptifs des processus et non de pure façade. Combien de solutions nous ont été vendues en jouant sur le pouvoir des mots – dans mon domaine, des outils «RGPD conformes» vendus très cher par des commerciaux devenus pour l’occasion spécialistes de la conformité. Condition sine qua non Ensuite, la conformité est une condition sine qua non. J’aime constater qu’une fois encore revenir aux principes qui président au traitement des données personnelles, que je rappelle en toute occasion, comme une litanie dans l’espoir qu’ils s’impriment dans les consciences, serait un bon fil rouge. Ainsi, traiter les données pour une finalité connue et légitime, autant que nécessaire mais aussi peu et longtemps que possible, de manière sécurisée et selon une confidentialité dictées par la finalité et la nature des données, dire ce que l’on fait et faire ce que l’on dit, est indispensable pour (re)créer la confiance. Une protection des données dès la conception et par défaut Dans l’ensemble des données informatiques à considérer se trouve un nombre significatif de données que la réglementation qualifie de personnelles. Restaurer la confiance suppose donc d’être capable et déterminé à traiter les données personnelles d’une manière conforme aux règles de protection des données. Dans ce cadre, c’est tant le Responsable de traitement, organe décidant des finalités et des moyens du traitement, que le sous-traitant qui sont responsables de la conformité du traitement, le second dans la mesure de la part de traitement qui lui a été déléguée. Le principe de la protection des données dès la conception et par défaut – obligation figurant tant dans le RGPD que dans la LPD modifiée – sera donc incontournable. Cette conformité dépendant non seulement du prestataire mais également du client, elle n’est pas si facile à atteindre. Mais si de co-responsables ils deviennent coacteurs de la conformité, alors la confiance sera restaurée. Image: gregepperson / iStock.com Isabelle Dubois Déléguée à la protection des données certifiée, ancienne préposée cantonale, cofondatrice du Club de la protection des données. adhocresolution.ch clubprotectiondesdonnees.net «S’il existe, le chemin pour restaurer la confiance à l’ère du numérique me semble semé d’embûches.» (*) Référence 1 Exprimé en particulier par Jean- Henry Morin dans La Responsabilité numérique – restaurer la confiance à l’ère du numérique, éd. fyp, 2014, qui évoque également le prérequis de conformité que je mentionne ici. www.ictjournal.ch © netzmedien ag 05 / 2021