Le 7 octobre 2019, l’Online Trust Alliance (OTA) de l’Internet Society a publié l’Audit de confiance en ligne – Campagnes présidentielles 2020 Dans l’ensemble, 30 % des campagnes ont décroché leur place au tableau d’honneur tandis que 70 % ont échoué, principalement pour cause de manquement dans leurs déclarations de confidentialité. Dans le cadre de ce processus, l’OTA a pris contact avec les responsables des campagnes, leur proposant d’expliquer leurs scores d’audit spécifiques et la façon de les améliorer. Les campagnes ont également été informées qu’elles seraient réévaluées à la mi-novembre et que les résultats actualisés seraient publiés début décembre. En conséquence, plusieurs campagnes nous ont contactés pour comprendre la méthodologie et la notation, et nombre d’entre elles ont apporté des améliorations.
La réévaluation de tous les éléments de l’audit s’est terminée le 25 novembre, et le tableau ci-dessous montre les résultats actualisés depuis la publication de l’audit inital. Plusieurs campagnes ont été suspendues depuis début octobre (Messam, O’Rourke, Ryan et Sanford, ainsi que Bullock et Sestak début décembre). Les campagnes indiquées en gras dans la colonne Tableau d’honneur ont apporté suffisamment d’améliorations pour que leur déclaration de confidentialité obtienne une note satisfaisante et ont ainsi décroché leur place au tableau d’honneur. Les campagnes indiquées en italique au bas du tableau sont celles des nouveaux candidats depuis la publication de l’audit original. Sur la base de cette liste actualisée de 20 campagnes, 10 ont rejoint le tableau d’honneur alors que 10 ont échoué dans un ou plusieurs domaines, créant ainsi une division équitable 50/50.
Point sur les pratiques en matière de protection de la vie privée
Trois campagnes ont mis à jour leurs déclarations de confidentialité, et toutes les trois ont apporté des changements qui leur ont permis d’obtenir une note de passage en matière de confidentialité (avec un score minimum de 60), ce qui leur a permis de décrocher une place au tableau d’honneur. Toutefois, il s’agissait de changements mineurs (ajout d’un timbre dateur, prise en compte de l’utilisation du site par les enfants, stratification de l’énoncé pour en faciliter la navigation). Aucune n’abordait les questions de partage des données de base mises en évidence dans le rapport de l’audit initial.
Quant aux nouveaux candidats, l’un n’avait pas de déclaration de confidentialité (De La Fuente), l’autre avait une déclaration de confidentialité dont le score n’atteignait pas 60 (Bloomberg), et l’un d’entre eux avait une déclaration de confidentialité avec une note passable, qui abordait directement les questions de partage des données (Patrick).
Point sur la sécurité de site
Des changements mineurs ont été notés dans les aspects relatifs à la sécurité de site selon l’audit et aucun n’était suffisamment important pour entraîner un changement au classement du tableau d’honneur. Deux campagnes présentent maintenant des logiciels obsolètes (ce qui réduit leur score), et l’une d’entre elles a ajouté la prise en charge de TLS 1.3.
Les scores en matière de sécurité de site des nouveaux venus étaient élevés, ce qui est conforme avec d’autres campagnes, et toutes prennent en charge la fonction « toujours sur SSL » ou des sessions Web entièrement cryptées.
Point sur la protection des consommateurs
Quelques changements ont été notés dans les campagnes existantes – l’une a ajouté la prise en charge du DNSSEC et une autre celle du DMARC conjointement à une politique de rejet (la meilleure pratique recommandée en matière de sécurité des communications électroniques). Cela a amélioré les scores des campagnes, mais n’a pas affecté le classement au tableau d’honneur. Les deux campagnes qui à l’origine avaient échoué à cause de l’authentification des e-mails ont été suspendues et ne sont donc plus sur la liste.
Concernant les nouveaux participants, l’authentification des e-mails de l’un d’entre eux n’est pas suffisante (ce qui le fait échouer dans les domaines de la protection des consommateurs et de la protection de la vie privée), et tandis que les deux autres bénéficient d’une forte protection SPF et DKIM, un seul utilise DMARC conjointement à une politique de rejet. Un prend en charge le DNSSEC.
Conclusion
L’interaction avec plusieurs campagnes a été constructive et a mené à des améliorations qui leur ont permis d’obtenir leur place au tableau d’honneur. Nous constatons que, pour la plupart des organisations, la question porte davantage sur la sensibilisation aux pratiques exemplaires et à leur incidence sur la confiance générale que sur le refus de suivre ces pratiques exemplaires. Toutefois, les formulations linguistiques utilisées pour aborder le sujet du partage des données dans toutes les déclarations de confidentialité, sauf une, sont préoccupantes. Par exemple, la plupart des campagnes utilisaient un language indiquant qu’elles pouvaient partager des données avec des « organisations partageant les mêmes idées ». Une formulation de ce type permet aux campagnes de partager à leur discrétion les données des utilisateurs. Nous encourageons les équipes des campagnes (et les partis politiques avec lesquels elles travaillent) à envisager d’améliorer les formulations linguistiques utilisées en matière de partage afin d’accroître la transparence sur la façon dont les données sont partagées et de donner aux utilisateurs plus de contrôle sur leurs données.
Sites de campagne et déclarations de confidentialité
Retrouvez la liste des URL des sites des campagne et les déclarations de confidentialité associées, réévaluées, dans le Supplément à l’Audit de confiance en ligne – Campagnes présidentielles 2020.
Ce supplément a été achevé avant que Kamala Harris n’abandonne la course à la présidence américaine le 3 décembre 2019.