Les CFF, Credit Suisse, Migros et Swisscom déploient une signalétique commune pour la protection des données

Plusieurs entreprises suisses de premier plan ont collaboré en vue de rendre plus claires les déclarations de protection des données. Migros, Swisscom, CFF et Credit Suisse lancent à cet effet des pictogrammes dont l’objectif est de faire comprendre de façon visuelle comment les données utilisateurs sont traitées par un service en ligne. Baptisés «Privacy Icons», ces pictogrammes au nombre de 19 sont disponibles gratuitement.

Les Privacy Icons indiquent les types de données traitées (par exemple données de santé, de localisation), leurs sources (données fournies ou collectées) ou la finalité du traitement (marketing, développement de produits. etc.) Sont également pris en compte d'éventuels traitements particuliers, le lieu du traitement et si les données sont partagées avec des tiers. Chaque pictogramme existe en deux versions, positive et négative. L’icône barré indiquant que la situation ne s’applique pas (par exemple «Nous ne traitons aucune donnée concernant votre santé»). Migros, Swisscom, les CFF et Credit Suisse complètent d’ores et déjà leurs déclarations de confidentialité avec la signalétique. BKW et Zurich Assurances prévoient de le faire. L’association Privacy Icons encourage toutes les entreprises à utiliser ces pictogrammes en les téléchargeant via son site web.

Une démarche unique au monde

«Les Privacy Icons offrent l’opportunité d’établir des standards en Suisse, à l’instar de panneaux de signalisation pour la protection des données. Une démarche unique au monde», explique Matthias Glatthaar, co-président de l’association Privacy Icons et délégué à la protection des données de la Fédération des coopératives Migros. Sylvain Métille, associé au sein de l'étude HDC, voit d’un bon œil le développement de cette signalétique. «C’est une excellente initiative qui offre plus de lisibilité et de transparence. Le point faible, comme toujours dans ces projets, est de savoir si les icônes seront utilisées par suffisamment de fournisseurs pour atteindre une taille critique et devenir un standard. Il faut absolument éviter trop d’initiatives parallèles qui rendraient la compréhension des icônes difficiles», déclare l’avocat à ICTjournal. Il espère en outre que la Commission européenne soit sensible à ce projet lorsqu’elle devra se prononcer sur l’adoption des icônes normalisées prévues par le RGPD mais qui n’existent pas encore.

La Fédération romande des consommateurs n’est pas convaincue

Pour la Fédération romande des consommateurs (FRC), l’objectif de la démarche est louable mais elle n’atteint pas tout à fait son but. Joint par la rédaction, Robin Eymann, responsable politique économique de la FRC, craint que ces pictogrammes donnent aux utilisateurs l'illusion d’avoir la maîtrise de leurs données. «Le souci principal de ces entreprises n’est pas forcément la transparence et la protection des données mais de donner le sentiment de maîtriser ses données», explique-t-il, citant en exemple plusieurs services dont les utilisateurs ne peuvent pas profiter sans consentir à l'utilisation de leurs données, entre autres pour des motifs de profilage. Robin Eymann remarque également qu’en cas de transfert de données à des tiers, la signalétique ne donne pas suffisamment d’information: «On ne sait souvent pas à quels tiers les données sont transmises. Et dans le cas d’une transmission où le tiers est connu, les entreprises renvoient ensuite souvent aux conditions générales de ce tiers (qui n’aura sûrement pas de Privacy Icons).»

Pour le responsable politique économique de la FRC, plutôt que d’inventer des pictogrammes, ces entreprises feraient mieux d’éviter de baser une partie de leur modèle d’affaire sur le traitement de données personnelles. «Si elles souhaitent tout de même continuer dans cette voie qui n’est pas intrinsèquement mauvaise, nous leur recommandons vivement de faire appel à des tiers neutres pour évaluer la pertinence de ces pictogrammes et de prévoir des contrôles quant à leur utilisation. Car ici, on a bien l’impression que les organisations de défense de la vie privée ou les spécialistes de ces questions n’ont pas été impliqués, ce qui pourrait porter un coup à la crédibilité de la démarche si elle est sincère», analyse Robin Eymann.