Le 24 mai 2018, l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) a organisé à Paris une conférence intitulée « Le big bang du RGPD » [1]. A cette occasion, Claire Levallois-Barth a traité du thème des labels « Données personnelles ». Elle s’est demandé si ces derniers constituent réellement des signes de confiance en se référant à l’enquête menée par la Chaire VPIP avec Médiamétrie début 2017. Cette enquête a révélé, entre autre, que la prudence est de mise : 61 % des internautes refusent de partager leur géolocalisation, 35 % d’entre eux ont déjà renoncé à l’achat ou ont changé de moyen de paiement pour ne pas laisser de traces sur Internet et 11 % naviguent uniquement sur des sites qui ne nécessitent pas de s'identifier. Par ailleurs, les internautes qui utilisent le plus de bloqueurs de publicité sont aussi ceux qui consomment le plus souvent sur Internet.
Comment répondre à cette crise de confiance ? Côté entreprises, ces dernières ont des difficultés pour rassurer l’utilisateur en prouvant leur « bonne foi » via des garanties compréhensibles. Côté internaute, on note une (quasi) absence de signe de confiance pour les aider à choisir une prestation ou un service. Pourtant, il existe prêt d’une centaine de labels, certifications et autres marques en matière de données personnelles, dont 75 en Europe. Ces derniers vont de l’auto-déclaration à la certification avec contrôle sur place en passant par un audit sur production d’éléments de preuve. Le degré de confiance qui peut donc être apporté est donc très variable. Par exemple, le label américain auto déclaratif TRUSTe, désormais TrustArc, a changé de nom pour faire oublier un passé peu glorieux et une sanction infligée par la Commission Fédérale du Commerce américain (Federal Trade Commission – FTC).
Enfin, si l’on peut signaler le manque de visibilité de tous ces signes de confiance au niveau européen, l’évolution actuelle du marché laisse penser que le développement du marché de la certification en matière de données personnelles devrait commencer par les labélisations dans le domaine B2B. Face au renforcement de leurs obligations par le RGPD, les sous-traitants souhaitent en effet recourir à la certification pour prouver leur conformité.
Claire Levallois-Barth, Coordinatrice de la Chaire VPIP, Maître de conférences en droit à Télécom ParisTech
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), JOUE L 119/1 du 4 mai 2016, http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR.