Méthodologie de notation

1. Le champ d’évaluation

1.1 La protection des données personnelles

Little Syster évalue l’éthique des pratiques des Services Numériques en matière de protection de la vie privée, selon une grille de notation définie par Little Syster.
Le Little Syster Score est exprimé en lettre, allant de A à E.
L’éthique des pratiques des Services Numériques est l’ensemble des valeurs et principes moraux qui détermine les actions concrètes menées par ces services.
Nous ne délivrons pas un label de conformité au Règlement sur la protection des données personnelles (RGPD) car nous n’évaluons pas la conformité des Services Numériques à l’intégralité des dispositions de ce Règlement.
Notre grille de notation prévoit la vérification de critères qui ne sont pas exigés par le RGPD.
Le périmètre de notre notation est précisé ci-dessous « 2.2 Les thématiques » et « 2.3 Les critères ». Il concerne la collecte, l’utilisation, la sécurisation et le partage de vos informations personnelles.

1.2 Les Services Numériques

Ce sont tous les services offerts sur un support informatique (site Internet, applications mobiles, objets connectés…) par une entreprise ou une institution et utilisable sur le territoire européen.
En priorité, nous choisissons les Services Numériques que nous évaluons avec la méthodologie suivante :

  • Ceux dont la réalisation de la prestation nécessite la collecte de données personnelles et/ou de données personnelles sensibles. Par exemple les réseaux sociaux, les sites de rencontres, les mutuelles, les banques.
  • Les plus populaires, par exemple en observant les applications mobiles les plus téléchargées sur les Stores. Pour l’instant, nous avons pris en considération les applications gratuites les plus téléchargées sur le PlayStore Android de Google. Nous consultons la liste des applications les plus téléchargées sur le PlayStore Android de Google tous les trimestres.
  • Ceux qui communiquent sur leur investissement en matière de protection de la vie privée. Par exemple, des messageries sécurisées, des moteurs de recherche privé, les autres alternatives aux GAFAM.
  • Qu’ils soient soumis à la législation de l’UE ou hors UE.

2. La grille de notation

Le Little Syster Score vous permet de savoir quels Services Numériques sont responsables et lesquels sont à risque.

2.1 Les sources de données

Le Little Syster Score est calculé grâce à l’évaluation d’informations publiques. Ces informations ne sont pas systématiquement explicites pour les utilisateurs.
Exemple :
– Nous évaluons la Politique de confidentialité du Service Numérique (information publique et explicite pour l’utilisateur).
– Nous évaluons la robustesse des mesures mises en place par le Service Numérique pour assurer la sécurité des données personnelles des utilisateurs (information publique et invisible pour l’utilisateur). Ce critère exige d’effectuer des tests de sécurité menés par des experts.
Le Little Syster Score n’est pas calculé sur la base de données transmises ni par les entreprises, ni par les utilisateurs.

2.2 Les thématiques

Poids de la thématique dans le score : 30%.

Évaluation de la qualité de l’information mise à disposition des utilisateurs concernant le traitement des données personnelles.

Par exemple, Little Syster vérifie que le service a informé l’utilisateur des raisons pour lesquelles il collecte ses informations personnelles (nécessaires pour le fonctionnement du service ou optionnelles pour la publicité ciblée, analyse d’audience…).

Poids de la thématique dans le score : 20%.

Évaluation de la concordance entre l’utilisation des données personnelles et les finalités pour lesquelles l’utilisateur a donné son consentement.

Par exemple, Little Syster analyse l’outil de recueil de consentement choisi par le service.

Poids de la thématique dans le score : 15%.

Évaluation de la minimisation des risques d’incident ayant comme conséquence de compromettre la confidentialité ou la disponibilité des données.

Par exemple, Little Syster teste les garanties mises en œuvre pour éviter des failles de sécurité sur le site internet du service.

Poids de la thématique dans le score : 35%.

Évaluation de la stratégie de sélection des partenaires technologiques vertueux en matière de protection des données personnelles, notamment les partenaires publicitaires.

Par exemple, Little Syster mesure le nombre de destinataires avec lesquels le service partage des informations personnelles de ses utilisateurs.

2.3 Les critères

Poids de la thématique dans le score : 30%.

Etendue des informations
Type de données
Finalités
Partage
Cookies
Pisteurs
Email promotionnel
Profiling publicitaire
Minimisation
Durées de conservation
Sauvegarde des données
Suppression de compte
Exercice de droits
- Exercice de droits - accès
- Exercice de droits - rectification
- Exercice de droits - opposition
- Exercice de droits - portabilité
- Exercice de droits - oubli
Accessibilité et paramétrage des supports
Support juridique
Support de consentement
Support de consentement - Inscription compte
Clarté des supports
Support juridique lisible
Support juridique simplifié

Poids de la thématique dans le score : 20%.

Légitimité de la collecte
Type de données collectées
Consentement adéquat aux finalités
Méthodes de collecte raisonnée
Cookies propriétaires
Cookies tiers
Pisteurs tiers
Formulaires déclaratifs – inscription compte utilisateur
Traitement et usage raisonnés
Profilage
Territorialité de l’entreprise
Territorialité de l’hébergeur

Poids de la thématique dans le score : 15%.

Outils techniques de maîtrise des risques de sécurité adéquats
Garanties Web

Poids de la thématique dans le score : 35%.

Destinataires de données (flux sortants)
Volume de destinataires
Risque de dispersion des données
Fournisseurs de données (flux entrants)
Volume de fournisseurs
Risque de dispersion des données

2.4 L’expression des critères

Les critères sont exprimés sous la forme d’affirmations positives, auxquelles on peut répondre par Vrai / Faux, ou en volume ou en pourcentage :

Une réponse binaire Vrai (100%) ou Faux (0%)

Par exemple, « Une information complète est fournie aux utilisateurs sur le type de données personnelles et non personnelles collectées » , dont la réponse est « Vrai » si cette information apparaît dans la Politique de confidentialité du Service Numérique, ou « Faux » si cette information n’apparaît pas dans la Politique de confidentialité du Service Numérique.
Si la réponse est « Vrai » le Service Numérique obtient un résultat de 100%, si la réponse est « Faux » le Service Numérique obtient un résultat de 0%.

Une réponse selon une échelle de plusieurs paliers (0%, 25%, 50%, 75% et 100%)

Par exemple, « Le serveur du site web de l’entreprise est basé dans un pays soumis à une législation raisonnée en matière de protection des données personnelles » dont la réponse varie entre 5 paliers : 0%, 25%, 50%, 75% et 100%. Les paliers sont définis par une étude de la CNIL qui compare les niveaux de protection législative de chaque pays de monde.

Pour illustration, voici 3 des 5 paliers déterminés par la CNIL :
– Si le serveur de l’entreprise est basé dans l’Union Européenne, protégé par le RGPD, le Service Numérique obtient un résultat de 100%.
– Si le serveur de l’entreprise est basé dans un pays avec une législation sur la protection des données personnelles « partiellement adéquate au RGPD », le Service Numérique obtient un résultat de 50%.
– Si le serveur de l’entreprise est basé dans un pays sans législation sur la protection des données personnelles, le Service Numérique obtient un résultat de 0%.

Une réponse selon une échelle graduelle (de 0% à 100%)

Par exemple, « Les utilisateurs ont à leur disposition une politique de confidentialité lisible » dont la réponse est une note de 0% à 100%. Ce critère est évalué grâce à une technologie externe conçue pour déterminer le niveau de lisibilité d’un texte. Cette technologie s’appuie notamment sur le nombre de mots et la longueur des phrases. A l’issue de ce test, le document obtient une note allant de 0%, si le texte est très difficile à lire, à 100% si le texte est très facile à lire.

2.5 L’échelle de notation

Little Syster Score Echelle de notation Notation Commentaires

Excellent
Pratiques exemplaires

90-100

La protection de la vie privée est dans l’ADN du service numérique.
Le service numérique a voulu et réussi à mettre en place une politique structurée et vertueuse en matière de protection des données personnelles.

Bon
Pratiques vertueuses

75-89

La protection des données personnelles est l’une des priorités du service numérique.
Le service numérique a la volonté de mettre en place et fait évoluer une politique structurée et vertueuse en matière de protection de la vie privée.

Moyen
Pratiques à améliorer

60-74

La protection des données personnelles est prise en compte, mais les processus sont incomplets.
Le service numérique doit améliorer sa stratégie en matière de protection de la vie privée pour mieux prendre en compte le besoin des utilisateurs.

Médiocre
Pratiques à risques

40-59

La protection des données personnelles n’est pas suffisamment prise en compte.
Le service numérique doit renforcer sa stratégie et s’impliquer dans le traitement rigoureux des failles détectées en matière de protection de la vie privée.

Mauvais
Pratiques irrespectueuses

0-39

La protection des données personnelles n’est pas prise en considération.
Le service numérique doit définir une politique et mettre en place une stratégie en matière de protection de la vie privée.

3. Les Services Numériques mis en avant dans l’application Little Syster

La sélection des Services Numériques mis en avant sur notre application (Services Numériques « À la une » et « Sélection du mois ») est impartiale : aucune entreprise ne rémunère Little Syster pour être mise en avant, sur la page d’accueil ou ailleurs.
Nous choisissons de mettre en avant sur notre application les Services Numériques les mieux notés (A ou B) qui participent à un Internet plus sécurisé et plus juste pour l’utilisateur en matière de protection des données personnelles.
Chaque mois, nous choisissons un secteur susceptible d’intéresser l’utilisateur. Nous déterminons les secteurs d’activité susceptibles d’intéresser l’utilisateur selon un faisceau d’indices :

  • La popularité des applications mobiles de ce secteur d’activité sur les Stores (PlayStore de Google pour les smartphones Android et AppStore d’Apple pour les smartphones iPhone).
  • L’actualité récente
  • Le volume et le caractère sensible de la collecte de données
  • L’existence de nombreuses alternatives crédibles (notées A ou B) pour concurrencer des Services Numériques à risque (D ou E).

4. Contact

Pour toute question relative à la méthodologie de notation, contactez-nous à l’adresse email suivante : privacy@littlesyster.com.

MAJ 28 juin 2021.

Partagez :