FAQ

Le Digital Trust Label indique la fiabilité d’un service numérique. Notre définition du service numérique est alignée sur la définition officielle de la Commission européenne. Les services numériques comprennent une vaste catégorie de services en ligne, allant des simples sites web aux services d’infrastructure et aux plateformes en ligne. Les services numériques se présentent sous de nombreuses formes et sont omniprésents. Nous attendons des services certifiables dans trois catégories :

Niveaux de complexité :

1. Services de faible complexité (ex. : abonnement à une newsletter)
2. Services de complexité moyenne (par exemple, les applications de messagerie instantanée)
3. Services de haute complexité (par exemple, infrastructure de blockchain et services bancaires).

Il n’est pas nécessaire de labelliser tous les services numériques, mais surtout les applications où des données sensibles sont partagées et/ou une décision est prise par un algorithme.

Le label de confiance numérique est particulièrement adapté aux services numériques qui impliquent des données sensibles et où des décisions automatisées sont prises avec des conséquences importantes. Les secteurs particulièrement concernés par le label sont les soins de santé, le secteur public, les médias, les RH, l’éducation, ainsi que les banques et les assurances. Le label cible principalement les services B2C.

Étape 1) Consultez notre catalogue de critères de labellisation et obtenez un premier aperçu du processus d’audit du label, y compris son coût. En général, le coût du label se situe entre 22’000 et 45’000 CHF et dépend fortement de la complexité du service à auditer. 

Étape 2) Identifier en interne un service numérique approprié correspondant au catalogue de critères. Un service B2C avec un large impact sur les utilisateurs et/ou un processus de prise de décision automatisé est recommandé. 

Étape 3) Contactez Diana, chef de projet DTL (diana@sdi-foundation.org), pour organiser un appel de cadrage avec l’auditeur (SGS) afin de discuter du service numérique choisi et de planifier les prochaines étapes du processus d’audit.

Aucune revue de code ne sera effectuée dans le cadre de l’audit. En revanche, les examens de code effectués par des fournisseurs tiers reconnus peuvent être acceptés comme preuve. Si un tel document n’existe pas, des « extraits » du code, c’est-à-dire des « contrôles ponctuels du code source », peuvent être effectués dans le cadre de l’audit.

La sécurité d’un service numérique est principalement évaluée dans les catégories de la sécurité, de la protection des données et de la fiabilité. Dans le cadre de l’audit, des contrôles portant par exemple sur une protection de pointe des mots de passe, les meilleures pratiques en matière d’authentification des utilisateurs ainsi que les processus de lutte contre les cyber-attaques seront évalués. Les Pen Tests, la surveillance, les normes de codage, les plans de test et les accords de niveau de service avec les fournisseurs tiers servent ainsi de preuves. Toutefois, il est important de souligner qu’une sécurité à 100% ne peut jamais être garantie (impossible).

La vérification des critères relatifs à l’utilisateur équitable se concentre sur l’accès équitable et illimité à un service numérique pour toutes les populations, tous les sexes, etc. En bref, aucune personne ne doit être systématiquement 

désavantagée ou exclue du service numérique. Ce critère sera évalué en analysant, par exemple, le flux de décision d’un service numérique, en effectuant des tests auprès des utilisateurs, en effectuant des analyses ou des certifications par des tiers crédibles ou en effectuant une démonstration en direct du service pendant l’audit.

Le Digital Trust Label signale clairement aux utilisateurs que le fournisseur du service numérique certifié est prêt à « aller plus loin », à aller au-delà de ce qui est légalement requis. En tant que tel, le label ne sera pas nécessairement rendu obsolète par les nouvelles réglementations, mais cela impliquera probablement des changements significatifs du label au fil du temps. Bien entendu, la SDI est favorable à une approche normalisée qui réglemente les services numériques et accroît la transparence et la confiance des consommateurs. En attendant qu’une législation normalisée soit mise en place, nous pensons que le label peut servir cette cause importante en tant qu’instrument de droit souple et nous sommes impatients de collaborer avec d’autres initiatives pour faire progresser la confiance numérique.

Un comité d’experts de haut niveau a été chargé de définir les critères du catalogue des labels et deux processus de consultation publique ont donné à toutes les parties intéressées la possibilité de donner leur avis et de contribuer à la définition des « services numériques dignes de confiance ».

Actuellement, nos 35 critères de labellisation sont répartis en quatre catégories (sécurité, protection des données, fiabilité et interaction équitable avec l’utilisateur). Des ajustements ou des ajouts aux catégories et/ou aux critères sont possibles au fur et à mesure du développement du label. Nous tenons à fournir un catalogue de critères stimulants. Le label doit être porteur d’un objectif fort ; cependant, nous devons également tenir compte du compromis entre le développement d’un label stimulant et le fait de le rendre suffisamment pratique et abordable pour que les entreprises puissent effectuer un audit.

Le label est compris comme un effort continu et collaboratif pour renforcer la transparence, la fiabilité et la compréhensibilité des applications numériques.

La publication de la première version est un point de départ et le label doit se développer en permanence.

Le catalogue de critères et les dimensions du label sont fondés sur un dialogue approfondi et inclusif avec divers experts et sur des recherches.

Nous avons mené des recherches sur les facteurs déterminant la confiance numérique (- tous les résultats publiés ici) – ont montré que les quatre catégories présentent un équilibre entre elles.

Sur la base de ces résultats, nous avons décidé d’adopter une approche holistique pour les critères du label. Quatre dimensions clés constituent le noyau des critères du label. L’opérationnalisation des principes fondamentaux se fait par le biais de spécifications techniques, juridiques ou administratives précises qui peuvent être vérifiées en externe.

Le catalogue s’appuie sur des normes existantes, telles que l’ISO 27001 (système de gestion de la sécurité de l’information), l’ISO 22301 (système de gestion de la continuité des activités) et le GDPR (législation européenne sur la protection des données). Il ne couvre pas le système P-D-C-A, mais tous les sujets directement liés à la sécurité du produit.

Nous envisageons d’impliquer un médiateur indépendant qui prendra en charge toutes les violations potentielles et de les examinera au cas par cas. D’ici là, nous acceptons tout retour d’information et toute violation potentielle via le formulaire de contact.

La durée de l’audit dépend de plusieurs paramètres tels que l’exhaustivité des preuves fournies à l’auditeur, la disponibilité des ressources et les résultats de l’audit, par exemple, s’il existe des non-conformités qui doivent être résolues avant de poursuivre l’audit. Nous recommandons de planifier 14 jours ouvrables complets pour l’audit, ce qui inclut la collecte de tous les documents et preuves pertinents, les entretiens avec l’auditeur et toute autre clarification potentielle de la part de l’auditeur.

SDI est le propriétaire du label. Il définit donc les critères du label et les étapes pour l’obtenir et prend la décision finale d’attribution du label. La principale interaction tout au long du processus de labellisation se fera avec SDI et l’auditeur. Une fois le rapport d’audit de l’entreprise candidate reçu, des experts indépendants mèneront l’examen technique pour accorder la certification. SDI a décidé de mener l’examen technique afin de fournir un niveau de confiance supplémentaire au processus d’audit pour souligner la crédibilité du label.

Tous les critères du label peuvent ne pas être applicables en fonction du service numérique à auditer. Dans ce cas, l’auditeur évaluera et discutera de la liste des critères applicables avec l’organisation directement. Si la majorité des critères du label ne sont pas applicables au service numérique à auditer, le label peut être jugé inadapté à ce service numérique. Dans ce cas, SDI a le droit d’interrompre le processus d’audit afin de préserver la crédibilité et les normes du label.

Pour la première phase de l’audit du Digital Trust Label, les documents sur les politiques et les procédures décrivant la mise en œuvre générale des exigences respectives de la norme Digital Trust Label sont principalement requis.
Cela peut inclure, par exemple, la norme interne de sécurité de l’information, la norme de confidentialité des données ou l’évaluation des risques. Les plans de reprise après sinistre ou les approbations légales peuvent également être pertinents. Si ces documents ne sont pas disponibles, des descriptions informelles peuvent être fournies.
Dans la deuxième phase, c’est-à-dire l’audit proprement dit, la mise en œuvre des politiques et procédures doit être prouvée en ce qui concerne le service concerné. Pour cela, les auditeurs s’appuieront autant que possible sur des preuves déjà existantes, par exemple d’autres rapports d’audit (ISO 27001) existants, des rapports de tests de pénétration ou des rapports de tests. Des vérifications et démonstrations détaillées sur le système en direct ou des vérifications des configurations (par exemple pour les serveurs) sont également possibles. Pour les services externes, il est possible d’examiner par exemple les SLA ou les contrats avec les fournisseurs.