Pourquoi créer un label PrivacyTech ?

Anaïs Person : Avant la création du label, il n'y avait pas d'option existante pour valoriser un savoir-faire et un engagement en faveur de la protection de la vie privée sans entrer dans des processus de certification internationaux de type ISO 27001, très fiables mais extrêmement coûteux à mettre en œuvre et dépassant largement le cadre des efforts consentis pour accorder une protection exemplaire des données personnelles. Ce constat a été dressé en partenariat avec notre partenaire, l'AFNOR, qui propose elle-même de passer ces certifications ! Nous nous sommes donc concertés et avons décidé de combler ce vide en créant le premier label reconnaissant l'excellence en matière de protection de la vie privée sur Internet.

Avec le label PrivacyTech, nous avons surtout voulu permettre à la tech française, et notamment aux startups et PME, de bénéficier d'une telle distinction. C'est pourquoi le label se distingue par deux caractéristiques assez uniques dans le genre :

• il vise une solution logicielle et non une entreprise : il récompense l'investissement dans la conformité d'un produit en particulier, et non dans l'étude des process d'élaboration de ce dernier, ce qui permet à des jeunes entreprises qui n'ont pas encore forcément formalisé certains aspects de leur conformité de néanmoins voir les efforts consentis pour le produit reconnus ;
• il se divise en 5 catégories qui visent des services différents (détaillés ci-dessous). Il nous a en effet semblé important de prendre en compte les différentes spécificités du secteur afin de proposer un label modulaire qui puisse insister sur les avantages de chaque type de solution sur le marché.

Hugo Ruggieri : Je pense qu'il y avait un vrai manque avant la création du label PrivacyTech. Les normes internationales ISO ne répondent pas à tous les besoins et ne se concentrent pas sur l'excellence en matière de vie privée. L'arrivée du PrivacyTech a ainsi permis de combler un besoin pour les entreprises françaises cherchant à se distinguer sur leur marché. En tant que solution française, Doctrine est très fière d'avoir obtenu le label PrivacyTech dans la catégorie Sovereign Solution.

Pourquoi se faire labelliser ?

Hugo Ruggieri : La réglementation sur les données personnelles est souvent vue comme une contrainte, comme un mur inhibant l'innovation. Chez Doctrine comme chez PrivacyTech (dont nous sommes adhérents), nous pensons au contraire que le respect du RGPD peut être un avantage concurrentiel. Aujourd'hui, pour gagner la confiance des utilisateurs professionnels comme des consommateurs, il n'est plus suffisant de seulement respecter le RGPD : il faut aller plus loin. Mais le texte s'y prête très bien !

Par exemple, le RGPD incite à ce que l'information soit délivrée de manière claire et transparente : c'est la légitimation du legal design, que nous avons adopté pour notre politique de données personnelles ! De la même manière, l'obligation de conduire une analyse d'impact peut être utilisée comme une opportunité de prendre de la hauteur et de contribuer au débat général : Doctrine a ainsi publié les résultats de son analyse d'impact sur la publication en ligne des décisions de justice (https://blog.doctrine.fr/concilier-vie-privee-publicite-justice/).

Anaïs Person : De la même manière, le RGPD soutient la création de codes de bonne conduite et impose des mesures de sécurité. La labellisation est donc un moyen pour les entreprises qui ont investi dans leur conformité de voir ces efforts audités et avalisés par un tiers indépendant et impartial.

Quelle est la procédure ?

Anaïs Person : Une plateforme a été créée avec notre partenaire AFNOR, disponible au lien privacytech.afnor.org/. Elle permet d'initier la procédure de labellisation. Après le paiement de la contribution à l'audit, il y a un questionnaire à remplir qui varie en fonction de la catégorie choisie. Le questionnaire implique l'envoi d'un certain nombre de preuves, comme des documents, des captures d'écran ou encore des codes d'accès, qui permettront à l'auditeur de vérifier la conformité de la solution au référentiel.

Hugo Ruggieri : En effet, un autre vrai "plus" du label PrivacyTech est que l'audit s'effectue selon le calendrier de l'entreprise auditée. On peut prendre le temps nécessaire pour remplir le questionnaire d'audit. Par exemple, nous avons mis un mois chez Doctrine pour analyser le référentiel, disponible sur le site de PrivacyTech, échanger avec les équipes très réactives pour expliquer les exigences, et compiler les éléments nécessaires pour démontrer notre conformité. Les résultats sont arrivés 3 semaines plus tard, le temps que l'auditeur puisse analyser les éléments fournis. La procédure est donc très fluide du point de vue de l'entreprise. D'une manière générale, le label PrivacyTech est donc un excellent moyen de faire de sa conformité RGPD un avantage concurrentiel !

Encadré : les différentes catégories du Label PrivacyTech

• Catégorie 1 - Data Protection Management Asset : cette catégorie regroupe toutes les solutions logicielles qui permettent à un organisme de répondre à un ou plusieurs principes fondamentaux assurant la licéité des traitements (Droit d’information, garanties de l’exercice des droits, gestion des consentements etc..).
• Catégorie 2 - Data Protection Management Solution : cette catégorie regroupe toutes les solutions logicielles qui permettent à un organisme de répondre à ses obligations documentaires (Registre, PIA, registre d’exercice des droits, journal des violations).
• Catégorie 3 - Data Processor Compliant Solution : cette catégorie regroupe toutes les solutions logicielles mises à disposition par un organisme qui a vocation à endosser un rôle de sous-traitant au sens du RGPD (solution logicielle RH, solution logicielle CRM, solution logicielle d’archivage, plateforme de gestion d’évènements, plateforme de routage courriel …).
• Catégorie 4 - Personal Data Management : cette catégorie regroupe toutes les solutions logicielles tournées sur l’individu qui renforcent l’autodétermination informationnelle par la maîtrise et le contrôle par l’utilisateur sur ses données personnelles.
• Catégorie 5 - Sovereign Solution : cette catégorie regroupe toutes les solutions souveraines à destination de personnes physiques répondant à des besoins aujourd'hui majoritairement couverts par les services de la société de l'information (Moteurs de recherche, messageries électroniques, réseaux sociaux, plateformes, newsletters, etc.)