Temesis Pôle d'expertise au service des professionnels du Web

L'accompagnement qualité Web et accessibilité.

Accueil > Ressources > Articles > Garantie et certification > Certifications de sites et labels

Garantie et certification

Certifications de sites et labels

Auteur(s) : Elie Sloïm

Publié le : 29 novembre 2007

Résumé :

Cet article a été rédigé en mai 2000 (P..., deux ans ! ;-) et faisait le point sur les certifications et labels Internet. Nous mettions en évidence les enjeux et le principe de la certification, et nous présentions quelques éléments qui peuvent aider à arbitrer entre les différentes formes de garanties. Deux ans plus tard, cet article est plus que jamais d’actualité (Elie Sloïm - Avril 2002).

 Un mode d’évaluation ?

Dans le premier article que nous vous avons proposé sur le site e-qualite.com, l’état de l’évaluation (janvier 2000), nous n’avons pas abordé le sujet des labels et des certifications de sites. Le principe est classique : la présence d’un sceau reconnu permet d’apporter de la confiance à un utilisateur ou à un acheteur en garantissant un certain nombre de faits établis et contrôlés régulièrement. D’une certaine manière, l’organisme certificateur (le tiers de confiance) effectue l’évaluation à la place de l’utilisateur. C’est en ce sens que les certifications de sites viennent parfaitement s’intégrer dans la thématique de l’évaluation de la qualité sur Internet, et c’est aussi la raison pour laquelle nous nous devions d’aborder ce sujet.

De nombreux services existent d’ores et déjà sur Internet. Suivant les cas, et malheureusement suivant la convenance, les acteurs du marché parlent de certification, de labellisation, de garantie ou d’assurance. Le vocabulaire utilisé dans ce domaine est souvent très flou. En ce qui nous concerne, nous allons donc nous placer du point de vue général et désigner sous le nom de certification les services qui garantissent ou assurent toute ou partie de l’activité d’un site et qui se traduisent par l’obtention d’un sceau (logo) qui sera affiché sur le site certifié ou "labellisé"( [1]).

Dans un premier temps, nous allons nous efforcer de comprendre pourquoi ce système est devenu incontournable sur Internet. Par la suite nous analyserons le fonctionnement et les implications pour finalement établir une liste de points et de critères à envisager pour analyser la crédibilité d’un certificat.

 La certification sur Internet ?

Pourquoi certifier des sites ?

Commençons par enfoncer une porte ouverte : Sur Internet, l’utilisateur a besoin d’éléments pour se retrouver. Bien sûr, cet argumentaire est le nôtre, mais aussi celui des moteurs de recherches, annuaires, répertoires thématiques spécialisés ou généralistes, qui se fixent tous comme mission d’aider les Internautes, spécialistes ou grand public, à trouver l’information qu’ils recherchent, et surtout dans des conditions de confiance optimales. Et c’est ce dernier point qui constitue le meilleur atout de développement des certificats : la complexité du problème de l’évaluation sur Internet est établie : il suffit pour s’en convaincre de consulter les différentes grilles d’évaluation à la disposition du public.

Or, dans le cas qui nous concerne, l’organisme qui délivre le certificat va évaluer lui-même la confiance que l’on peut accorder à l’activité d’un site, et fournir cette information globale sous forme synthétique : une marque de reconnaissance, un sceau, ou un logo. Dès que le sceau est placé, et si la crédibilité du certificateur est établie (nous verrons que ce n’est pas un problème simple), l’utilisateur peut se reposer sur l’organisme certificateur, ce qui lui évite d’avoir à effectuer lui-même l’évaluation. En résumé, la certification simplifie, clarifie, et apporte de la confiance. La conclusion est évidente : en informatique et particulièrement sur Internet, un système qui combine ces trois fonctions est destiné à se développer très vite.

Le rôle moteur du commerce électronique

Il y a encore peu de temps, les internautes avaient leur propres modes de régulation. Les enjeux libertaires des débuts d’Internet correspondaient à la découverte d’un nouveau media. L’image de sérieux que détiennent actuellement les grandes enseignes n’est pas dû à la présence d’un label. C’est l’histoire, l’usage et la popularité qui les a conduit à acquérir progressivement cette reconnaissance et cette confiance que leur accorde un nombre considérable d’utilisateurs. Pour résumer, les sites ont créé du trafic en étant sérieux, et le trafic généré leur a apporté en retour une garantie de sérieux. Tant que l’on parlait de qualité de contenu ou d’échanges immatériels d’informations, cette garantie suffisait largement.

Mais dès lors qu’un service propose des transactions en ligne, il a beau s’appeler Amazon ou La Fnac, une réputation sérieuse n’est pas un argument suffisant en soi pour rassurer la totalité des utilisateurs. Il faut apporter d’autres garanties. Lorsque les acteurs d’Internet ont pris conscience de l’importance potentielle que pouvait avoir le commerce électronique, il ne s’agissait plus de parler d’un formidable réseau d’échange, mais d’un gigantesque marché à conquérir. Les enjeux financiers sont énormes, et il n’est pas question que la confiance défaillante des utilisateurs viennent freiner la machine qui est en train de se mettre en route. Il s’agit de trouver le plus vite possible des systèmes reconnus susceptibles de sécuriser les transactions. Mais sécuriser totalement les transactions en imposant un système fiable à 100% prendra sans doute du temps, et certains pourraient même objecter qu’il n’est pas sûr que l’on y arrive un jour.

En attendant le jour béni ou tous les utilisateurs sortiront leur carte bleue dans une confiance totale, la certification est l’une des méthodes les plus évidentes et des plus efficaces pour garantir les risques encourus au cours d’une transaction en ligne. De fait, de nombreux organismes concernés affirment leur souhait d’apporter de la confiance au commerce électronique et concentrent l’essentiel de leur communication sur ce thème. La sécurité des transactions électroniques est bien un argument moteur dans le développement des certifications.

La complexité du sujet

On a vu l’importance du commerce électronique dans le développement des certifications, mais limiter le domaine d’action de la certification à ce sujet serait une erreur grossière d’appréciation. Au cours de nos recherches sur les différents acteurs du marché, nous avons pu vérifier que le terme certification concernait presque tous les domaines d’Internet. C’est ainsi qu’on peut certifier la compétence humaine, les sites, les techniques, les transactions, les entreprises, l’audience d’un site, le matériel utilisé, la gestion des données personnelles, la politique de management de la Qualité, la légalité et le contenu, et cette liste n’est pas exhaustive : la certification peut même concerner des aspects éthiques, comme la politique sociale de la société gérant le site. En fait, il est possible de certifier à peu près tout.

Et ce n’est pas tout, car chacun des thèmes abordés peut être décliné dans différents métiers et domaines. Des certificats sectoriels existent déjà dans le domaine de la santé ou de la finance, par exemple. On imagine aisément que dans ces deux derniers secteurs, les attentes et les priorités des professionnels sont très largement différentes. La conséquence de ces observations est la suivante : le marché est considérable et de nombreux certificats spécialisés peuvent coexister sans problème tant les domaines, les métiers et les secteurs sont diversifiés. Nous verrons par la suite que cette affirmation n’est pas vraie dans le cas des certificats "à spectre large", qui visent à certifier l’ensemble de l’activité d’un site, pour un public élargi.

 Fonctionnement : les pré-requis

Les pré-requis

Les systèmes de certifications reposent toujours (sur Internet comme dans d’autres domaines) sur les éléments suivants :

Il suffit qu’un seul de ces pré-requis soit manquant ou insuffisant pour que le certificat ait des difficultés pour être reconnu.

Conditions de bon fonctionnement

La qualité du référentiel : Le certificat doit avoir une signification pratique, technique, ou éthique : ce sont les critères objectifs que doivent respecter les sites certifiés, mais aussi les critères objectifs que doit respecter l’organisme certificateur (quelquefois, ce deuxième point est nettement moins mis en évidence que le premier).

Par ailleurs, le référentiel doit avoir un domaine d’application bien défini, et lorsque cela est possible, la part laissée à l’interprétation doit être la plus étroite possible.

Le certificateur : L’organisme certificateur doit garantir une objectivité totale. Ce point dépend beaucoup de la qualité du référentiel. Dans tous les cas, l’organisme certificateur doit pouvoir examiner la conformité d’un site par rapport au référentiel dans un esprit parfaitement objectif et impartial. D’où l’importance qu’il faut accorder à la formation et à la compétence des auditeurs. La réputation, la crédibilité et l’expérience de l’organisme certificateur sont des atouts considérables. Un certificat sans caution sérieuse (histoire, société importante, autres certifications réussies dans d’autres domaines ou secteurs) devra faire le double du travail. Dans un premier temps, il devra faire reconnaître sa compétence en tant qu’organisme certificateur, et c’est alors seulement qu’il pourra se battre sur la signification réelle de son certificat : autant dire que ce n’est pas gagné d’avance...

Reconnaissance : Un certificat ne prend réellement son sens que s’il est connu, qu’il concerne de nombreux sites de son secteur, et que l’organisme qui le gère fait en sorte, par ses actions de communication et mesures obligatoires d’identification, que la connaissance et la reconnaissance de son sceau augmentent. Ce problème a une importance considérable : il existe actuellement plusieurs certificats relatifs aux sites et aux transactions en ligne (même domaine d’application) et s’adressant au grand public (même cible). Il y a peu de chances que les utilisateurs soient prêts à mémoriser l’image de nombreux sceaux. il faut probablement s’attendre à des regroupements, voire à des disparitions. A terme, on peut imaginer la coexistence de deux à trois labels réellement crédibles pour le grand public, mais pas beaucoup plus. On a donc des chances d’assister à un combat farouche sur le terrain de la communication, et c’est le point que nous allons aborder dans la suite de cet article.

 L’importance de la communication

Comme nous l’avons vu précédemment, pour qu’un certificat soit crédible, il doit être connu. Ce point qui semble a priori concerner exclusivement la structure responsable du référentiel, est un critère essentiel, y compris pour les sites certifiés. Obtenir le certificat X n’a aucun intérêt si l’organisme qui le gère ne fait pas tout ce qui est possible pour se faire connaître, aussi bien auprès des utilisateurs que des administrateurs de sites. D’ailleurs, si c’est le cas, tout le monde y gagne. Autrement dit, le label et le "labellisé" augmentent conjointement leur crédibilité.

La communication "classique"

La méthode la plus évidente pour faire connaître un certificat passe par la publicité ou les relations presse. Bien que cela ne soit presque jamais dit, une partie du ticket d’entrée (le prix que le certifié pour obtenir le certificat), est consacrée à la communication. Dans tous les cas, on imagine difficilement un certificat dont l’obtention serait gratuite (cela existe, cependant, dans des phases de lancement ou de test, ou dans le cas de certains certificats délivrés par des organismes publics). Outre les frais de communication dont nous venons de parler, le fait de gérer, faire évoluer, contrôler, certifier demande du temps et donc de l’argent. En fonction du domaine couvert, de la taille et des ambitions affichées par l’organisme certificateur, les prix varient énormément, sans que l’on sache toujours comment ils sont fixés.

La communication spécifique "certification"

Il existe d’autres méthodes de communication, moins chères, et tout aussi efficaces, et qui ont le mérite de placer la responsabilité de la reconnaissance du certificat sur les épaules du certificateur autant que du certifié. Dans la plupart des cas, il est exigé ou fortement recommandé que le logo ou le sceau figure sur la page d’accueil de chacun des sites certifiés. Dans certains cas, le non-respect de cette règle conduit à la suspension du certificat. On voit qu’il ne s’agit pas d’un détail. Il s’agit d’une forme de publicité, qui part du principe tout à fait exact que les deux parties ont autant intérêt à faire connaître leur certificat.

L’effet boule de neige

L’une des raisons du succès des certifications dans le domaine du management de la qualité vient du fait que les normes (ISO 9000, notamment) ont incité les entreprises certifiées à choisir comme fournisseurs d’autres entreprises certifiées, plutôt que des entreprises non certifiées (à prestations égales, bien sûr). Cela repose sur une vraie volonté d’assurance de la qualité, et cela a probablement contribué largement au succès des normes. Lorsqu’une grande entreprise a obtenu la certification ISO 9000, elle ne tarde pas en général à demander à ses fournisseurs de l’obtenir à leur tour.

Mais comment faire dans le cas des sites Internet ? Pour l’instant, il n’existe pas de fournisseurs à proprement parler, mais il existe des partenaires, des affiliés, des prestataires. Qu’a cela ne tienne, on demandera aux sites certifiés de choisir si possible de faire des liens sur d’autres sites certifiés plutôt que sur des sites non certifiés. Cette exigence est d’ores et déjà évoquée dans certains référentiels. Encore une fois, voici une méthode qui vise à augmenter la crédibilité d’un certificat, et qui permet accessoirement de faire de la communication à moindres frais.

Le glissement

La confiance générée par une certification est toujours une donnée fortement subjective et la communication autour d’un certificat est beaucoup plus complexe et fine que dans le cas d’un bien matériel. La confiance est fragile, elle est difficlement quantifiable, et la moindre erreur de communication se paye très cher. Cet aspect irrationnel de la confiance est quelquefois mis à profit en terme de communication.

Nous allons reprendre l’exemple des certifications relatives au management de la qualité. Les référentiels ISO 9000 ne permettent absolument pas de juger de la qualité des produits ou des services fournis par une entreprise certifiée. L’obtention de ce certificat démontre uniquement que l’entreprise est dans une démarche active d’amélioration de la qualité. Or, de nombreuses entreprises exploitent la confusion issue des termes "assurance qualité" ou "management de la qualité", et communiquent allègrement sur la "qualité" de leurs produits démontrée par leur certificat. Ce n’est pas malhonnête, car la certification montre effectivement que l’amélioration de la qualité est un axe majeur de la politique de l’entreprise, mais ce n’est pas strictement exact au sens de la certification.

Les certifications de sites Internet n’échappent pas à ce phénomène : dans certains cas, la certification va apporter de la confiance sur des thèmes qui ne font pas partie de son domaine d’application. Pour illustrer ce glissement, il suffit d’examiner certaines chartes et de constater que certains sujets sont abordés parce qu’il faut en parler, mais représentent simplement des voeux pieux, ne serait-ce que parce l’état des techniques ne permet pas de les examiner de manière objective ( [3]) !

Pour résumer, le public qui va visualiser un sceau sur un site n’a pas obligatoirement besoin de connaître en détail les exigences réelles du référentiel pour en tirer de la confiance.

 Critères d’évaluation et analyse d’un certificat

Nous venons de voir différentes méthodes de communication susceptibles d’augmenter la reconnaissance d’un certificat. Mais ne l’oublions pas, l’essentiel de la crédibilité repose sur la solidité des critères d’obtention. Ceux-ci doivent correspondre à une réalité tangible, et l’évaluation de la qualité d’un système de certification doit passer par un examen objectif. Voici donc quelques questions qu’il peut être utile de se poser, notamment avant de lancer une démarche de certification de site.

A- le référentiel

Qui a rédigé le référentiel ?

Quel est le domaine visé : qualité du site, critères techniques ou ergonomiques, commerce et échanges électroniques, données personnelles ?

Quels sont les exigences pour les sites certifiés ?

Le référentiel est-il précis ou flou dans ses exigences ?

Les développements futurs : le référentiel est-il fixe ou susceptible d’évoluer, et dans quel sens (surenchère ou assouplissement) ?

Qui est chargé de le faire évoluer ? A quelle fréquence ?

B- L’organisme certificateur

L’organisme certificateur est-il l’auteur du référentiel ?

Qui se charge d’accorder le certificat ?

Quelle est la structure juridique du certificateur ?

Le certificateur possède t-il une expérience et surtout des compétences dans ce domaine ?

Quelles sont les obligations de l’organisme certificateur ?

En quoi engage t-il sa crédibilité ?

Existe-t-il des sanctions (retrait du certificat, communication, sanctions financières) en cas de problème ?

Existe-t-il des risques de conflit d’intéret : l’indépendance de l’organisme certificateur est elle garantie et comment est elle mise en oeuvre ?

Quelles sont les mesures prises par le certificateur pour faire connaître le sceau ?

C- les sites certifiés

Quelles sont les obligations du site certifié ?

Que se passe t-il en cas de non-respect du référentiel ?

Combien coûte l’obtention et le renouvellement du certificat ?

Pour quelle durée le certificat est-il accordé ?

L’application du référentiel est-elle vérifiée régulièrement ?

Comment se déroule le contrôle ? A quelle fréquence ?

Combien de sites ont demandé le certificat ?

Combien de sites l’ont obtenu ?

Quel est le ratio entre le nombre de demandes et de succès ?

Comme dans toutes les grilles d’évaluation, il est impossible d’être exhaustif. Cependant, ces différents points permettent déjà d’examiner globalement la crédibilité potentielle ou réelle d’un système de certification.

 L’avenir de la certification sur Internet

Assurance ou certification ?

On a vu récemment se développer de nouvelles marques de reconnaissance, qui reposent non plus sur la garantie et le contrôle réel des activités, comme c’est le cas pour les certifications "classiques", mais sur les risques encourus. Il s’agit des sceaux d’assurance. Partant de la même constatation que le frein majeur était le manque de confiance, ce type de service se concentre non plus sur les causes, mais sur les effets. En d’autres termes, le fonctionnement interne d’un site Internet devient un élément secondaire. Ce qui compte, c’est ce que percevra l’utilisateur en cas de problème (au cours d’une transaction, notamment).

Dans ce cas, la présence du sceau garantit le remboursement des détournements éventuels. Ce n’est que dans un deuxième temps que les causes seront recherchées pour éviter que les détournements ne se reproduisent. En terme de confiance, ce système est d’une efficacité redoutable, car de manière évidente les visiteurs d’un site cherchent en premier lieu à avoir confiance sur ce qui leur importe le plus : le porte-monnaie. Les autres préoccupations sont secondaires par rapport à celle-ci, et les assureurs qui mettent en place ce type de garantie l’ont bien compris. ( [4]) Bien que le principe soit totalement différent, la confusion avec une certification est soigneusement entretenue (les documents promotionnels reprennent le vocabulaire de la certification : sceau, garantie, confiance, label...). Bien sûr, par le phénomène de glissement dont nous avons parlé plus haut, l’utilisateur pensera souvent, même de manière inconsciente que le sceau garantit d’autres éléments que la transaction, comme la qualité de service, ce qui n’est absolument pas le cas dans les faits.

Le certificat idéal ?

A l’heure actuelle, un site qui souhaite proposer de réelles garanties à ses utilisateurs peut être amené à afficher de nombreux sceaux sur sa page d’accueil. Nous voyons actuellement coexister des labels spécialistes (données personnelles, sécurité des transactions....) et des labels généralistes. Mais existe t-il un référentiel qui prend en compte les différents aspects de la qualité des services en ligne, comme l’ergonomie, l’accessibilité, la disponibilité, la sécurité...? A ma connaissance, ce référentiel reste à inventer.

Que l’on parle de "B2B" ou de "B2C", de sites de divertissement, de commerce, d’information ou autre, l’utilisateur a les mêmes exigences et les mêmes droits (sécurité de la transaction, confiance dans le contenu, données personnelles, ergonomie, respect de l’internaute, assurance, qualité des services associés...). En fait, la nature du site, de l’utilisateur, et du domaine d’activité fait varier l’importance relative des critères d’évaluation de la qualité, mais il s’agit toujours des mêmes critères. Il peut donc certainement s’agir du même certificat.

Avec une bonne dose d’utopie, on peut parfaitement imaginer un système de certification fédérant de manière sérieuse les nombreux aspects de la confiance Internet.

Et puisque nous parlons de certificat idéal, il nous faut parler du référentiel idéal : celui-ci devrait être accepté et reconnu par tous les acteurs de la chaîne, et ce jusqu’à l’utilisateur final. En fait, nous ne sommes plus très loin de la définition d’une norme.

Etant donné le nombre d’initiatives existant dans le domaine de la certification de sites, je peux affirmer que la nécessité d’une norme spécifique aux activités en ligne va apparaître à tous les acteurs d’Internet, et dans des délais très courts (un an ou deux maximum). Mais dès lors que la prise de conscience aura eu lieu, il faudra peut-être encore du temps pour que la norme et les conditions réelles de certification soient mises en place.

Va t-on voir apparaître des initiatives publiques de grande envergure ? Les organismes de normalisation pourront t-ils suivre le rythme effréné du développement du commerce électronique ? Que nous préparent les grands acteurs de la certification, qui sont encore relativement discrets ?

J’ignore les réponses à ces questions, mais l’évolution de ce marché risque d’être tout à fait passionnante à suivre, car en tout état de cause, nous n’avons encore rien vu !

Notes :

[1]Le mot label vient de l’anglais où il signifie étiquette. A l’origine, il s’agissait en Français d’une marque apposée sur les produits fabriqués par les membres d’un syndicat professionnel.

[2]Par exemple, l’AFNOR (normes françaises) ou l’ISO (normes internationales) garantissent et font évoluer les normes, mais ne vérifient pas directement leur application, qui est presque toujours déléguée à d’autres organismes.

[3]Qui peut affirmer aujourd’hui qu’un système de paiement est sécurisé à 100% ?

[4]Ces assurances existent depuis longtemps et tous les utilisateurs de cartes bleues y souscrivent déjà. En cas de problème lors d’un détournement de carte, vous êtes remboursé et le détournement donne lieu à une enquête. Pour une raison que je crois liée à la communication, ce service est peu connu des acheteurs. Il présente exactement les mêmes avantages pour les utilisateurs de cartes, à la différence qu’il est souscrit par les utilisateurs et non par le commerçant.

Opquast - SAS au capital de 111 766€ - 18, rue Lucien Granet 33150 - Cenon - France - +33 5 56 401 402