Situés au centre de la construction de toute société, les liens de confiance concernent à la fois les relations entre les citoyens et les relations entre les individus et les entreprises. En la matière, la confiance conditionne la possibilité même des échanges commerciaux et questionne le rôle que ces échanges peuvent avoir dans la structuration de notre vivre ensemble.
Or, on remarque aujourd’hui que les entreprises peinent à fournir des garanties aisément compréhensibles du grand public quant à la préservation des données personnelles et de la vie privée de leurs clients. Cette difficulté constitue un problème à la fois pour le client (qui ne peut pas se référer à un signe digne de confiance pour choisir en toute connaissance de cause une prestation ou un service) et l’entreprise (pour laquelle il est difficile de prouver sa bonne foi quant au respect de la loi Informatique et Libertés).
A cet égard, un signe tangible de confiance, tel un label, peut être envisagé comme un moyen pour (ré)instaurer la confiance. En effet, si la confiance s’acquiert avec le temps – ce qui ne va pas de pair avec la rapidité, caractéristique des nouvelles techniques –, le label est susceptible de faciliter cette acquisition, notamment par l’intermédiaire d’un logo.
On constate cependant, qu’au-delà des quatre labels délivrés par la CNIL (audit, formation, coffre-fort numérique et gouvernance Informatique et libertés), le paysage français des labels, contrairement aux paysages allemands et américains, n’est pas foisonnant. Par ailleurs, le label européen EuroPriSe créé en 2008 reste fort peu connu.
Le Règlement Général sur la Protection des Données (RGPD) adopté le 27 avril 20161 entend, pour sa part, encourager la mise en place de certifications, labels et marques en matière de protection des données « pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services » et aux entreprises et sous-traitants de démontrer la conformité de leurs traitements2. Autrement dit, le label pourrait participer à la mise en œuvre d’un principe phare introduit par le nouveau texte, le principe de responsabilité (« accountability »). Reste à définir et surtout à réunir les conditions permettant de créer un lien de confiance durable entre professionnels et utilisateurs finaux.
Ce questionnement anime les travaux de la Chaire. Précisément, de quels vecteurs de confiance parlons-nous ? Quelles garanties le label doit-il offrir, notamment pour rompre l’actuelle asymétrie d’information ? Sur quels critères sa délivrance et son maintien doivent-ils reposer ? Quel doit être son champ d’application territorial et matériel ? Enfin, de quelle manière les entreprises peuvent-elles participer, en adoptant des bonnes pratiques, à la construction du vivre ensemble ?
Claire Levallois-Barth
Maître de conférences en droit à Télécom ParisTech
Delphine Chauvet
Post-doctorante en droit privé à Télécom ParisTech
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679
- Considérant 100 et article 42 du RGPD.