Méthodologie d’évaluation
1. Le champ d’évaluation
1.1 La RSE numérique
Little Syster évalue l’éthique des pratiques des Services Numériques en matière de RSE numérique, selon un référentiel défini par Little Syster.
L’éthique des pratiques des Services Numériques est l’ensemble des valeurs et principes moraux qui détermine les actions concrètes menées par ces services.
Le Label Little Syster peut être obtenu après un audit du ou des services numériques d’une marque ou d’une entreprise, basé sur le référentiel de Little Syster. Cet audit va évaluer l’impact des Services Numériques dans trois domaines spécifiques et ainsi mesurer : leur empreinte démocratique, leur empreinte sociale et leur empreinte environnementale.
Chacune de ces empreintes constitue un niveau du Label Little Syster, chaque niveau pouvant être obtenu individuellement pour chaque Service Numérique. Ce dernier n’obtiendra toutefois le Label Little Syster qu’une fois que ses pratiques auront été évaluées sur ces trois empreintes.
Nous ne délivrons pas un label de conformité à la règlementation applicable dans ces matières, que celles-ci portent sur la protection des données personnelles, sur l’impact environnemental du Service Numérique ou sur son empreinte sociale.
Notre Référentiel contient effectivement des critères qui ne sont pas nécessairement exigés par les textes en vigueur.
Le périmètre de notre évaluation est précisé ci-dessous « 2. Le Référentiel ».
1.1.1 L’empreinte sociale
L’empreinte sociale a vocation à évaluer l’impact d’un Service Numérique sur le quotidien des citoyens.
A l’heure où près de 70% de la population mondiale utilise un smartphone, les nouvelles technologies ne cessent de prendre de plus en plus de place dans notre quotidien. Cette omniprésence du numérique, bien que bénéfique sur certains aspects, comporte également certaines dérives.
L’empreinte sociale tend ainsi à évaluer les efforts fournis par le Service Numérique pour minimiser les risques de dérive lors de son utilisation. Sont notamment évaluées les mesures instaurés pour éviter les biais algorithmiques dans l’utilisation d’intelligence artificielle, ou encore celles visant à minimiser le risque d’hyper-connexion des utilisateurs et/ou des salariés du Service Numérique.
1.1.2 L’empreinte environnementale
L’empreinte environnementale a vocation à évaluer l’impact d’un Service Numérique sur l’environnement.
La diffusion exponentielle des nouvelles technologies entraine inévitablement un impact croissant du numérique sur l’écologie. Aujourd’hui, il représente entre 3 et 4% des émissions de gaz à effet de serres dans le monde, et 2.5% de l’empreinte carbone nationale. Cette consommation énergétique du numérique est due à 2/3 du fait des équipements informatiques, que ce soit par leur fabrication ou leur utilisation, mais environ 20% est également liée à la consommation des datacenters. Bien que cette proportion puisse paraître minime, elle doit être mise en perspective avec la croissance inexorable du numérique.
L’empreinte environnementale tend ainsi à évaluer les mesures instaurées par un Service Numérique afin de réduire son impact environnemental et sensibiliser les citoyens à cet enjeu. Par ailleurs, l’empreinte démocratique comprend l’évaluation de la politique de sélection des partenaires par le Service Numérique afin de favoriser la collaboration avec des acteurs vertueux sur ces enjeux.
1.1.3 L’empreinte démocratique
L’empreinte démocratique a vocation à évaluer l’impact d’un Service Numérique sur la souveraineté des acteurs économiques et des citoyens.
Cet enjeu fondamental étant mis à mal par les usages des nouvelles technologies, l’empreinte démocratique tend à évaluer une série de critères liée à la souveraineté numérique et à la confidentialité des données personnelles des citoyens. Ces mesures portent aussi bien sur l’information mise à disposition par le Service Numérique que sur ses pratiques effectives et leur concordance avec l’information fournie. L’empreinte démocratique implique également l’évaluation de la politique de sélection des partenaires du Service Numérique. En d’autres termes, les efforts mis en place par le Service Numérique pour collaborer avec d’autres acteurs vertueux sont inclus au sein de cette empreinte.
1.2 Les Services Numériques
Ce sont tous les services offerts sur un support informatique (site Internet, applications mobiles, objets connectés…) par une entreprise ou une institution et utilisable sur le territoire européen.
En priorité, nous choisissons les Services Numériques que nous évaluons avec la méthodologie suivante :
- Ceux dont la réalisation de la prestation nécessite la collecte de données personnelles et/ou de données personnelles sensibles. Par exemple les réseaux sociaux, les sites de rencontres, les mutuelles, les banques.
- Les plus populaires, par exemple en observant les applications mobiles les plus téléchargées sur les Stores. Pour l’instant, nous avons pris en considération les applications gratuites les plus téléchargées sur le PlayStore Android de Google. Nous consultons la liste des applications les plus téléchargées sur le PlayStore Android de Google tous les trimestres.
- Ceux qui communiquent sur leur investissement en matière de protection de la vie privée. Par exemple, des messageries sécurisées, des moteurs de recherche privé, les autres alternatives aux GAFAM.
- • Qu’ils soient soumis à la législation de l’UE ou hors UE.
2. Le Référentiel
Le Référentiel est la grille de notation sur laquelle se fonde les évaluations effectuées par Little Syster. Lorsqu’un service numérique se soumet à la totalité des critères de notre Référentiel, il s’inscrit dans la démarche de labellisation Little Syster (2.1 Le Label Little Syster).
Par ailleurs, certains segments du Référentiel peuvent être isolés et donner lieu à une évaluation spécifique.
2.1 Le Label Little Syster
Le Label Little Syster consiste en une évaluation des pratiques d’un service numérique sur le fondement de notre Référentiel complet. Cette évaluation se fait sur la base de l’ensemble des informations dont peut disposer Little Syster, d’une part l’évaluation automatique des informations publiques d’un service numérique (2.1.1), et d’autre part l’évaluation effective de ses pratiques grâce à un questionnaire déclaratif (2.1.2).
2.1.1 L’évaluation automatique
L’évaluation automatique des pratiques d’un service numérique se fait grâce à l’analyse d’informations publiques identifiées par sa technologie, le Little Syster Engine. Ces informations ne sont pas systématiquement explicites pour les utilisateurs.
Exemple :
– Nous évaluons la Politique de confidentialité du Service Numérique (information publique et explicite pour l’utilisateur).
– Nous évaluons la robustesse des mesures mises en place par le Service Numérique pour assurer la sécurité des données personnelles des utilisateurs (information publique et invisible pour l’utilisateur). Ce critère exige d’effectuer des tests de sécurité menés par des experts.
– Nous évaluons les outils de recueil du consentement des Services Numériques.
2.1.2 L’évaluation sur déclaration du service numérique
En parallèle de l’évaluation automatique, le Label Little Syster implique de la part du Service Numérique évalué de répondre au questionnaire Little Syster. Ce dernier, portant sur les trois empreintes, peut contenir jusqu’à 170 critères supplémentaires selon l’activité de l’entreprise.
Avant de répondre à ce questionnaire, le Service Numérique est invité à répondre à un pré-questionnaire. Il n’est pas inclus dans l’évaluation du Service Numérique à proprement parlé, mais il permet à Little Syster de déterminer les critères pertinents au regard du secteur d’activité et des pratiques de l’entreprise.
Lorsque le questionnaire qui en découle est complété par le Service Numérique et renvoyé à Little Syster, l’évaluation de ses réponses est effectuée par les équipes de Little Syster.
2.1.3 La notation des pratiques
Lorsque l’ensemble de ces informations sont réunies, Little Syster procède à la mise en commun de l’évaluation automatique et de celle réalisée par le biais du questionnaire Little Syster, puis met en perspective cette évaluation et les critères d’obtention du Label Little Syster.
Dans la mesure où les réponses au questionnaire nous permettent d’avoir des informations internes à l’entreprise, celles-ci auront un poids plus important lors de la mise en commun avec l’évaluation automatique, sauf dans l’Axe 1 – Comment j’informe, où les deux sources d’informations ont un poids égal.
La mise en commun de l’évaluation automatique et de celle réalisée par le biais du questionnaire Little Syster s’opère selon la pondération suivante :
| Axe | Évaluation automatique par LS Engine | Evaluation par le questionnaire Little Syster |
|---|---|---|
| 1 – Comment j’informe ? | 50% | 50% |
| 2 – Ce que je fais | 25% | 75% |
| 3 – Avec qui je travaille ? | 25% | 75% |
Lorsque cette mise en commun est effectuée, un score global par axe et par empreinte est obtenu.
L’obtention du Label Little Syster est également soumise à certaines conditions. D’une part, le Service Numérique doit obtenir un score de 85% dans chacune des empreintes du Référentiel. D’autre part, le Service Numérique doit valider un certain nombre de critères obligatoires pour l’obtention du Label.
2.2 Le Little Syster Score pour les Services Numériques BtoC
Le Little Syster Score BtoC est calculé exclusivement à partir des informations publiques identifiées par LS Engine. Il ne nécessite aucune intervention de la part du Service Numérique, et ne tient pas compte d’informations transmises par ce dernier ou par des utilisateurs.
Le Little Syster Score BtoC s’exprime sur une échelle allant de A à E. Toutefois, le Little Syster Score BtoC en tant que tel ne permet en aucun cas d’obtenir le Label Little Syster.
2.3 Le Little Syster Score pour les Services Numériques BtoB
Le Little Syster Score BtoB est calculé sur la base d’une sélection de critères du Questionnaire Little Syster, environ ¼ de la totalité des critères.
Le Little Syster Score BtoB s’exprime en un score sur 100. Toutefois, le Little Syster Score BtoB en tant que tel ne permet en aucun cas d’obtenir le Label Little Syster.
2.4 Les supports de publication
Les évaluations effectuées par Little Syster sont toutes accessibles en ligne.
Les entreprises labellisées par Little Syster ainsi que les Little Syster Score BtoB sont indiquées sur la plateforme Saas Little Syster, accessible prochainement.
Par ailleurs, les Little Syster Score des Services Numériques BtoC sont accessibles gratuitement sur l’application Little Syster, disponible à date sur le PlayStore en version bêta, ainsi que sur la plateforme SaaS Little Syster, prochainement accessible.
| Évaluation concernée | Support de publication |
|---|---|
| Label Little Syster | Plateforme SaaS + Application Little Syster |
| Little Syster Score des SN BtoC | Application Little Syster + Plateforme SaaS |
| Little Syster Score BtoB | Plateforme SaaS |
2.5 Les axes
Poids de la thématique dans le score : 30%.
Évaluation de la qualité de l’information mise à disposition des utilisateurs par le Service Numérique. Sont ici traitées les informations fournies par le Service Numérique dans les domaines couverts par les trois empreintes du Référentiel Little Syster.
Par exemple, Little Syster vérifie que le Service Numérique fournit une politique de protection des données personnelles complète à ses utilisateurs.
Poids de la thématique dans le score : 35%.
Évaluation des pratiques du Service Numérique et des différents impacts que celles-ci peuvent avoir. Sont également pris en compte les mesures instaurées afin de limiter les failles de sécurité sur leur site internet ou application.
Par exemple, Little Syster évalue les mesures instaurées afin de limiter l’impact environnemental de l’utilisation du Service Numérique, ou encore la concordance entre l’information entre ses pratiques et l’information à laquelle l’utilisateur a consenti.
Poids de la thématique dans le score : 35%.
Évaluation de la stratégie de sélection des partenaires technologiques du Service Numérique, et des efforts fournis pour favoriser ceux dont les pratiques numériques sont vertueuses.
Par exemple, Little Syster tient compte des éventuels critères de sélection instaurés, ou mesure également le nombre de destinataires avec lesquels le Service Numérique partage les informations personnelles de ses utilisateurs.
2.6 Les catégories de critères
| 1 - Comment j'informe ? | Fake News & Fake Content |
| 1 - Comment j'informe ? | Ethique de l'intelligence artificielle (IA) |
| 1 - Comment j'informe ? | Numérique inclusif |
| 2 - Ce que je fais | Fake News & Fake Content |
| 2 - Ce que je fais | Contenus illicites |
| 2 - Ce que je fais | Ethique de l'intelligence artificielle (IA) |
| 2 - Ce que je fais | Numérique inclusif |
| 2 - Ce que je fais | Organisation |
| 2 - Ce que je fais | Hyper-connexion |
| 3 - Avec qui je travaille ? | Sensibilisation à l'impact social |
| 1 - Comment j'informe ? | Sobriété numérique |
| 1 - Comment j'informe ? | Sensibilisation à l'impact environnemental |
| 2 - Ce que je fais | Back-end |
| 2 - Ce que je fais | Equipements |
| 2 - Ce que je fais | Front-end |
| 2 - Ce que je fais | Green by design |
| 2 - Ce que je fais | Impact environnemental |
| 2 - Ce que je fais | Organisation |
| 2 - Ce que je fais | Référent |
| 2 - Ce que je fais | Spécifications fonctionnelles |
| 3 - Avec qui je travaille ? | Impact environnemental des partenaires |
| 1 - Comment j'informe ? | Accessibilité de l'information |
| 1 - Comment j'informe ? | Contenu de l'information |
| 1 - Comment j'informe? | Espace client |
| 1 - Comment j'informe ? | Exercice des droits |
| 1 - Comment j'informe ? | Lisibilité de l'information et dark patterns |
| 1 - Comment j'informe ? | Organisation |
| 1 - Comment j'informe ? | Outil de recueil de consentement |
| 1 - Comment j'informe ? | Retrait du consentement |
| 2 - Ce que je fais | Certifications |
| 2 - Ce que je fais | Conservation des données |
| 2 - Ce que je fais | Dépôt de cookies et traceurs |
| 2 - Ce que je fais | Documentation interne |
| 2 - Ce que je fais | Privacy by default / by design |
| 2 - Ce que je fais | Profiling |
| 2 - Ce que je fais | Données sensibles |
| 2 - Ce que je fais | Souveraineté numérique |
| 2 - Ce que je fais | Traçabilité du consentement |
| 2 - Ce que je fais | Transfert intra-entreprise |
| 2 - Ce que je fais | Anticipation des cyber-risques |
| 2 - Ce que je fais | Chiffrement des données |
| 2 - Ce que je fais | Confidentialité |
| 2 - Ce que je fais | Gestion de crises |
| 2 - Ce que je fais | Hébergement des données |
| 2 - Ce que je fais | Gestion des mots de passe |
| 2 - Ce que je fais | Instauration de campagnes de pen tests et d'audit de sécurité |
| 2 - Ce que je fais | Robustesse des supports numériques |
| 3 - Avec qui je travaille ? | Sélection des partenaires |
| 3 - Avec qui je travaille ? | Souveraineté numérique |
2.7 L’expression des critères
Les critères sont exprimés sous la forme d’affirmations positives, auxquelles on peut répondre par Vrai / Faux, ou en volume ou en pourcentage :
Une réponse binaire Vrai (100%) ou Faux (0%)
Par exemple, « Une information complète est fournie aux utilisateurs sur le type de données personnelles et non personnelles collectées », dont la réponse est « Vrai » si cette information apparaît dans la Politique de confidentialité du Service Numérique, ou « Faux » si cette information n’apparaît pas dans la Politique de confidentialité du Service Numérique.
Si la réponse est « Vrai » le Service Numérique obtient un résultat de 100%, si la réponse est « Faux » le Service Numérique obtient un résultat de 0%.
Une réponse selon une échelle graduelle (de 0% à 100%)
Par exemple, « Les utilisateurs ont à leur disposition une politique de confidentialité lisible » dont la réponse est une note de 0% à 100%. Ce critère est évalué grâce à une technologie externe conçue pour déterminer le niveau de lisibilité d’un texte. Cette technologie s’appuie notamment sur le nombre de mots et la longueur des phrases. A l’issue de ce test, le document obtient une note allant de 0%, si le texte est très difficile à lire, à 100% si le texte est très facile à lire.
3. Contact
Pour toute question relative à la méthodologie de notation, contactez-nous à l’adresse email suivante : privacy@littlesyster.com.
MAJ 07 juin 2022.