Transformations numériques : de quelle confiance les labels sont-ils le signe ?

La Chaire Valeurs et Politiques des Informations Personnelles vous invite à venir assister le jeudi 8 mars 2018 de 17h à 19h30 à une rencontre consacrée au lancement de son dernier ouvrage intitulé « Signes de confiance – l’impact des labels sur la gestion des données personnelles ».

+ Consulter le sommaire

> Télécharger l'ouvrage

Notre équipe pluridisciplinaire s’est en effet s’est intéressée à la question de la confiance. Située au centre de la construction de toute société, la confiance questionne la possibilité même des échanges institutionnels et commerciaux et le rôle que ces échanges peuvent avoir dans la structuration de notre vivre ensemble. Or, nous assistons aujourd’hui à une crise de confiance. Le numérique est sans doute un des vecteurs de cette « crise » dans la mesure où les liens sociaux préalables à un échange marchand « numérique » ne sont pas assez anciens ou assez fort et que la « qualité » des biens numériques n’est pas toujours connue par le consommateur, même après l’acte de consommation.

Quelles sont les formes de la confiance et ses transformations actuelles ?

En économie, la confiance est souvent associée au risque attribué par chaque consommateur à la contrepartie dans une transaction. L’évaluation de ce risque y est centrale et dépend des informations mises à la disposition du consommateur. On suppose alors que les labels, en tant que signes extérieurs de la confiance, permettent de réduire l’asymétrie d’information.

Les sciences informatiques font reposer également la confiance sur le niveau de risque, les méthodes de qualification de ce risque ayant évolué avec les technologies. L’approche historique trouve son origine dans le besoin de certifier des produits de sécurité des systèmes d’informations qui a été récemment étendu aux prestataires de services de confiance ; il s’agit d’une approche top-down dont la procédure est encadrée par les autorités publiques et qui aboutit à l’attribution d’un niveau de certification. L’évolution technologique a rendu possible, grâce aux capacités croissantes de traitement et de stockage disponibles, une autre approche reposant sur l’analyse massive de données ; elle permet d’établir un score pour noter des individus ou des services numériques, l’objectif étant d’améliorer le niveau de confiance d’un individu vis-à-vis d’un service numérique ou d’authentification ou bien d’un État vis-à-vis de ses citoyens. L’exemple de la Blockchain est ici intéressant car l’on s’aperçoit que le problème n’est pas tant technique qu’organisationnel : la concentration de la puissance de calcul par des groupes de mineurs, en particulier en Chine, pose question.

De son côté, le droit définit classiquement la confiance comme une croyance en la bonne foi d’autrui. Il sert alors d’abord à protéger la partie faible, notamment la personne dont les données sont collectées. Il semble qu’aujourd’hui le droit s’oriente dans une démarche dont le but a changé : il s’agit désormais d’assurer le bon fonctionnement du marché, notamment en recourant à des tiers rassurants : tiers de confiance participant à la gestion de la mort numérique, personne de confiance en santé. Il faut donc reconsidérer la manière dont le droit met en œuvre la confiance. En effet, les mécanismes de droit ne sont désormais plus caractérisés par la seule contrainte (ce que l’on appelle le « droit dur ») mais elles cherchent également à orienter les comportements  des consommateurs et des producteurs des biens et services (ce que l’on désigne par « droit mou » ou « droit souple »). Dans ce contexte, le label occupe une place particulière, en tant que signe extérieur et visible de la confiance, qui est capable justement d’orienter ces comportements.

Enfin, du point de vue socio-philosophique, la confiance constitue un des principaux mécanismes de réduction d’incertitude dans une société contemporaine particulière complexe. On opère alors une distinction conceptuelle entre deux aspects simultanément à l’œuvre pour diminuer la complexité : la confiance assurée  et la confiance décidée (la confidence et le trust en anglais).

Comment concevoir des labels comme véritable outil de la confiance ?

Les labels présentent sans doute une utilité économique à la fois pour le consommateur et l’entreprise. « Rassurer » le client, lui fournir des indices quant au bon fonctionnement des services numériques peut sans doute lever certaines barrières. Cependant, il n’existe pas de modèle d’affaires car des exigences contradictoires ont été identifiées. Pour ne citer d’un exemple, le prix de la procédure de labellisation doit être assez élevé pour envoyer un signal clair mais pas trop pour ne pas décourager l’entreprise.

Le label doit être conçu comme un outil d’accompagnement qui permet aux entreprises d’augmenter progressivement le niveau de protection des données. La question reste ouverte quant aux modalités concrètes de cet accompagnement. Ici, l’intervention de l’Etat nous semble incontournable au moins sur trois points : l’établissement des référentiels, l’accréditation des certificateurs et l’imposition de sanctions véritablement dissuasives afin d’assainir le marché.

Cette intervention étatique est certes nécessaire mais si elle est trop stricte ou entraîne des coûts trop importants, elle peut inciter les acteurs à se tourner vers des labels privés. Or, certains de ces labels comportent un effet potentiellement trompeur : ils présentent une image embellie de la protection de ses données. Ce risque est réel car aujourd’hui les modalités d’élaboration et de délivrance des labels privés ne sont pas, selon nous, suffisamment encadrées.

Enfin, notre ouvrage resitue la question des labels dans une perspective plus large. A ce titre, trois aspects sont abordés.

En premier lieu, quel est ou quel doit être le rôle de l’Etat ? Le centre de gravité passe de l’appareil législatif proprement dit à un modèle nouveau, associant dans des proportions variables, l’Etat, le marché et les consommateurs. En témoigne la montée en puissance du droit souple. On interprétera ce mouvement soit comme une capitulation de l’Etat quant à la possibilité de réguler certains aspects relatifs aux technologies numériques, notamment leur dimension internationale, soit comme un dialogue constructif avec les instances non-étatiques : les certificateurs privés, les associations professionnelles ou des associations de consommateurs.

En deuxième lieu, l’évolution actuelle de la confiance n’est pas sans conséquence sur les individus. D’un côté, les labels informent les utilisateurs. Pour autant ces derniers exercent-ils réellement leur libre arbitre ? L’omniprésence des labels ne risque-t-elle pas de les déresponsabiliser en les déchargeant de toute analyse critique ?

En troisième lieu, nous explorons la relation entre confiance et design : le privacy by design et plus récemment le data protection by design figurent de plus en plus dans le vocabulaire commun. Le risque est que ces notions soient vidées de leur substance. Nous abordons alors ce que pourrait être le Trust by design et en explorons les limites, voire les contradictions.

Le risque n’est-il pas ici justement de vouloir trop formaliser et trop guider les relations de confiance, notamment à travers les labels ?

Claire Levallois-Barth, Coordinatrice de la Chaire, Maître de conférences en droit à Télécom ParisTech


Sommaire de l'ouvrage "Signes de confiance - L'impact des labels sur la gestion des données personnelles"

Introduction.............................................................................................................................1
Armen Khatchatourov

Chapitre 1. La confiance dans le numérique. Des signes extérieurs vers la régulation de soi.............................................................................................................................................. 5
Armen Khatchatourov

Chapitre 2. La confiance saisie par le droit.......................................................................... 21
Claire Levallois-Barth

Chapitre 3. La notion de confiance en économie................................................................ 37
Patrick Waelbroeck
Antoine Dubus

Chapitre 4. La confiance en informatique par la gestion du risque................................... 47
Maryline Laurent
Armen Khatchatourov

Chapitre 5. Panorama national et international des labels relatifs aux données personnelles........................................................................................................................... 63
Claire Levallois-Barth,
Delphine Chauvet

Chapitre 6. Les labels visant à prouver la conformité : de l’implémentation du cadre réglementaire et au-delà................................................................................................................................... 91
Claire Levallois-Barth
Delphine Chauvet

Chapitre 7. Les labels visant à susciter la crédibilité : des pratiques existantes vers l’amélioration de qualité................................................................................................................................... 115
Claire Levallois-Barth

Chapitre 8. Les mécanismes de labellisation issus du Règlement général sur la protection des données (RGPD)..............................................................................................................135
Claire Levallois-Barth

Chapitre 9. Analyse économique des marques de confiance...........................................153
Patrick Waelbroeck
Antoine Dubus

Chapitre 10. Les impacts économiques des labels........................................................... 167
Patrick Waelbroeck

Chapitre 11. La blockchain est-elle une technologie de confiance ?................................179
Maryline Laurent

Conclusion...........................................................................................................................199
Armen Khatchatourov
Claire Levallois-Barth
Maryline Laurent
Patrick Waelbroeck

Commentaires Clos.