Niniane Päffgen, Swiss Digital Initiative: «Notre label de confiance repose sur un catalogue de 35 critères»

Mise à jour du 4 novembre 2021: la Swiss Digital Initiative vient de dévoiler le logo de son «Digital Trust Label». Dès 2022, il permettra aux utilisateurs de reconnaître les applications numériques dignes de confiance. L'inscription pour la certification est maintenant ouverte à toutes les organisations.

Vous développez un label de confiance numérique. Qu’est-ce donc pour vous que la «confiance numérique»?

La confiance est une notion complexe, indispensable aux interactions et qui dépend de plusieurs facteurs. Dans le monde analogique, on donne sa confiance à quelqu’un en fonction de la relation, de l’expérience ou de la culture. Dans le numérique, beaucoup de ces facteurs sont hors de notre portée et d’autres questions se posent, comme celles de faire confiance à un robot ou à une intelligence artificielle. Même si, au final, la confiance reste une décision individuelle, nous pensons que le label peut apporter de la transparence et des informations de manière à réduire le risque et l’incertitude pour les utilisateurs et leur permettre de prendre de meilleures décisions. C’est ce que nous aimerions contribuer à promouvoir avec notre label.

Quel problème cherchez-vous à résoudre avec ce label? Et pour qui est-ce un problème?

Le problème, c’est le manque de transparence. Les utilisateurs ne disposent pas de certaines informations, ils ne peuvent par exemple pas savoir si une décision qui les concerne est prise par un algorithme. Si vous envoyez votre dossier de candidature à un système de recrutement, vous voulez non seulement savoir si vos données sont bien protégées mais aussi si le screening est réalisé par un humain ou par un algorithme. Le label sert précisément à cela: à fournir aux utilisateurs les moyens de prendre des décisions informées.

Est-ce vraiment un problème pour les utilisateurs?

On constate effectivement que les utilisateurs continuent paradoxalement d’employer des services quand bien même ils savent que ces services collectent beaucoup de données. Toutefois, je pense que les utilisateurs sont de plus en plus soucieux de la protection de leurs données: ils sont par exemple nombreux à s’être tournés vers de nouvelles apps après que Whatsapp a modifié ses conditions d’utilisation. On voit aussi que par exemple Apple a commencé à prendre sa responsabilité au sérieux en intégrant un label de privacy dans l’AppStore.

Justement, le déficit de confiance n’est-il pas surtout un problème pour les entreprises qui proposent des outils numériques? Et le label n’est-il donc pas surtout une solution au problème de ces entreprises?

Le label est prioritairement destiné aux utilisateurs. Toutefois, comme son adoption par les entreprises concernées repose sur une base volontaire, il faut que celles qui l’appliquent y trouvent leur compte. La question est donc de trouver le juste niveau d’exigences: obtenir le label doit être raisonnablement faisable pour les entreprise intéressées, mais sans l’être trop, car sinon le label perdrait sa crédibilité.

Il est clair que si l’on a confiance dans une entreprise, cela joue un rôle dans la confiance qu’on aura dans ses services numériques.

L’objectif est-il que les utilisateurs aient confiance ou que les services soient dignes de leurs confiance?

Nous voulons les deux. Les utilisateurs pourront faire confiance à un service labélisé parce qu’ils auront obtenu les informations nécessaires pour décider par eux-mêmes que le service est effectivement digne de leur confiance.

Concrètement, qu’est-ce que le label va mesurer et certifier?

A l’heure actuelle, le label repose sur un catalogue de 35 critères à remplir, qui couvrent quatre catégories: la sécurité, la protection des données, la fiabilité et l’interaction responsable avec les utilisateurs. Ces catégories ont été dérivées d’une enquête sur la confiance numérique auprès d’un panel d’utilisateurs, puis validées par un groupe d’experts académiques. Cela dit, nous sommes dans une démarche d’expérimentation et d’amélioration en continu, si bien que le catalogue va sans doute évoluer dans le futur, par exemple en intégrant des critères de durabilité.

Y a-t-il une gradation dans l’évaluation ou juge-t-on simplement si le critère est rempli ou non?

L’attribution du label repose sur un audit externe dont l’objectif est de déterminer si les critères sont simplement remplis ou pas, mais les choses changeront peut-être à l’avenir avec l’introduction d’une graduation.

Pour quels motifs avez-vous décidé de certifier des services numériques plutôt que les entreprises qui les développent et les exploitent? N’est-ce pas à elles qu’il s’agit de faire confiance?

Il est clair que si l’on a confiance dans une entreprise, cela joue un rôle dans la confiance qu’on aura dans ses services numériques. Mais ce n’est pas l’objet du label. Sans compter que certifier une entreprise serait une tâche autrement plus complexe.

On sait que les produits numériques évoluent sans cesse. Comment comptez-vous intégrer cette dynamique? Faudra-t-il par exemple faire recertifier un service à chaque nouvelle release?

Ces questions sont pour l’heure ouvertes, mais il est clair que la complexité des outils numériques est un défi majeur. La solution choisie devra correspondre à un compromis raisonnable entre un label attribué une fois pour toute, ce qui ne serait pas compatible avec la grande évolutivité des services numériques, et un label nécessitant une recertification à chaque mise à jour, ce qui ne serait pas très réaliste dans la pratique. Nous allons expérimenter la durée de validité du label et les éventuelles recertifications nécessaires.

Comment va fonctionner l’obtention du label? Qui va se charger de la certification?

Tout prestataire intéressé devra soumettre une demande de labélisation pour un service numérique spécifique. Sur la base des vérifications effectuées, l’auditeur pourra émettre une recommandation qui servira de base pour la décision d’attribution du label par un groupe d’experts indépendant. Dans un premier temps, nous allons opérer avec une entreprise d’audit spécifique, la société SGS, mais l’objectif est d’offrir à terme aux prestataires intéressés un choix plus large d’auditeurs.

Comment allez-vous auditer la conception du service numérique, les données sur lesquelles il s’appuie, ou encore les technologies tierces qu’il intègre?

La définition précise des procédures d’audit qui devront être mise en œuvre pour vérifier les 35 critères définis va faire l’objet d’un document spécifique, les « auditing guidelines », qui viendra compléter le catalogue du label. Pour ce qui est des technologies tierces potentiellement utilisées au sein d’un service numérique à labelliser, le prestataire de service sera responsable d’obtenir et de transmettre les éléments nécessaires à leur vérification. Il est clair que l’audit aura ses limites, sans quoi ce serait une énorme tâche.

Il est clair que l’audit aura ses limites, sans quoi ce serait une énorme tâche.

Quel sera le coût pour une entreprise souhaitant faire labelliser la confiance de l’un de ses services?

Le pricing est en développement. Il est probable qu’il y aura des niveaux de coût différents en fonction de la complexité du service à labéliser.

Quels sont les défis principaux dans la création de ce label?

Il y a d’abord la complexité que vous avez évoquée. Labelliser la confiance d’un service numérique n’est pas aussi simple que de labelliser une banane en matière de commerce équitable. Il y a aussi le défi du modèle économique, car nous devons financer nos services de labellisation, tout en restant indépendant des intérêts économiques…

Qu’est-ce qui fera pour vous le succès du label?

Il faut que le label soit reconnu par les utilisateurs, qu’ils y voient de la valeur et qu’ils demandent que les outils numériques qu’ils utilisent soient labélisés. Mais il faudra aussi que le label permette aux entreprises de montrer de façon crédible qu’elles prennent des mesures pour renforcer la confiance dans leurs services. Il faut enfin que nous nous établissions comme un émetteur crédible. Les études montrent que les gens font davantage confiance à une organisation vue comme légitime, telle qu’une autorité publique.

Vous allez donc vous adosser à une institution publique…

Il faut voir si notre projet intéresse une institution. Vu l’importance d’impliquer tous les acteurs concernés, un partenariat public-privé pourrait être un bon modèle…

Qui sont vos partenaires aujourd’hui?

Nous collaborons étroitement avec l’EPFL et l’administration fédérale. Nous nous appuyons aussi sur des experts de la protection des données et des représentants des consommateurs. Nous avons aussi des entreprises partenaires comme Crédit Suisse, Swiss Re, booking.com ou Swisscom qui se sont dès le début mises à disposition pour tester notre label et donner leur feedback. Pour ce qui est des aspects liés aux audits nécessaire, SGS est notre partenaire.

Où en est aujourd’hui le projet? Quand comptez-vous lancer le label?

Le projet étant très complexe, nous avons opté pour une approche itérative. Nous faisons actuellement des tests et nous devrions disposer d’un premier MVP (minimum viable product) d’ici fin septembre. Cette version minimale nous permettra de vérifier durant l’automne que les critères du catalogue sont applicables dans la pratique et de répondre aux questions relatives à la complexité des services. Nous avons l’objectif de lancer une version utilisable du label d’ici la fin de l’année.

Quel type d’entreprise ciblez-vous? Des organisations suisses? Des entreprises utilisatrices ou des fournisseurs de solutions?

Au niveau géographique, nous ciblons pour l’instant le marché suisse, mais notre vision est internationale. Quant à savoir le type d’entreprise, nous n’excluons rien. Nous voulons proposer le label dans les secteurs où cela fait sens.

Vous n’allez donc pas vous frotter à des domaines très exigeants et déjà fortement réglementés comme les technologies numériques dans la santé…

Le label est utilisé lorsque la confiance est particulièrement importante, indépendamment de la réglementation en vigueur.

Au niveau mondial, on voit naître de plus en plus d’initiatives, émanant des Etats, d’entreprises, du monde académique ou d’associations professionnelles qui se proposent elles aussi d’améliorer l’éthique et la confiance du numérique. Votre label est-il vraiment nécessaire?

Avec le laboratoire Ethix, nous avons récemment publié une analyse de 50 initiatives similaires à notre projet. Nous sommes beaucoup d’acteurs à nous pencher sur les mêmes questions. Notre projet se distingue toutefois par son caractère global, alors que de nombreuses initiatives se concentrent sur tel ou tel aspect particulier, comme la cybersécurité ou la protection des données. Nous échangeons par ailleurs régulièrement avec les projets les plus proches du nôtre, notamment en Finlande et au Danemark, avec la volonté de développer des synergies.

Deux dernières questions… Le problème est-il que les gens ne font pas confiance aux services numériques ou au contraire qu’ils leur font trop confiance?

Nous sommes en faveur d’une confiance qui ne soit pas aveugle. Notre label peut y contribuer en réduisant la complexité et en donnant de la transparence aux services numériques.

Vous êtes partenaire de l’EPFL... est-ce que l’application Swisscovid obtiendrait votre label de confiance?

On ne l’a pas vérifié, mais c’est une bonne idée…