Les bonnes pratiques du Digital Trust & Safety Partnership (DTSP), qui vise à développer et promouvoir les bonnes pratiques du secteur, sont devenues cet été (juillet 2025) la norme ISO/IEC 25389.

Un des points d’intérêt de la démarche, me semble-t-il, c’est qu’elle contourne le problème des contenus proprement dit, et des débats particulièrement complexes sur les valeurs (tel contenu devrait être interdit, tel autre autorisé, etc.), pour proposer une approche complémentaire, plus modeste d’apparence et purement procédurale. La spécification fournit donc un ensemble flexible de recommandations et une méthodologie d’évaluation structurée pour aider les organisations à évaluer et à améliorer leurs opérations de “confiance et sécurité”.

Vous me direz que la norme est l’œuvre d’une coalition d’entreprises technologiques elles-mêmes, mais d’abord c’est un peu le principe des normes ISO que d’être produites en grande partie par les acteurs du secteur concerné. Ensuite, c’est un peu comme les accords d’Helsinki de 1975 : l’URSS les ayant signé sans avoir l’intention de respecter la partie “droits de l’homme” a pu être “monitorée” par des organisations tierces qui pouvaient au moins mesurer la réalité par rapport aux engagements. La norme, ici, donne aussi une échelle commune pour comparer les plateformes et services en ligne entre eux.

Le cadre décrit dans la norme iso 25389 repose sur cinq engagements fondamentaux qu’une organisation devrait intégrer dans ses opérations, qui rassemblent 35 bonnes pratiques identifiées.

  1. Développement de produit : Les organisations doivent identifier, évaluer et atténuer les risques liés au contenu et au comportement tout au long du cycle de vie du développement du produit. Cela inclut l’analyse des schémas d’abus, la réalisation d’évaluations de risques, l’intégration des retours d’utilisateurs et la mise à disposition de contrôles pour les utilisateurs, comme le blocage ou la mise en sourdine dès la conception du produit.
  2. Gouvernance des produits : Cela implique d’établir des processus clairs et explicables pour la création et la mise à jour des règles, telles que les directives communautaires et les conditions d’utilisation. Les bonnes pratiques incluent la rédaction de politiques en langage clair, la sollicitation de l’avis des utilisateurs et la consultation d’experts externes (groupes de la société civile par exemple).
  3. Application des règles relatives aux produits : Les organisations doivent investir dans du personnel et dans la technologie nécessaires pour respecter leurs propres politiques de gouvernance. Cela comprend la constitution d’équipes spécialisées, la mise en œuvre de mécanismes de signalement, l’investissement dans le bien-être des modérateurs de contenu et la collaboration avec des partenaires du secteur pour partager des informations sur les risques.
  4. Amélioration des produits : Les processus liés aux risques de contenu et de comportement doivent être régulièrement évalués et améliorés. Cet objectif est atteint en testant l’efficacité des politiques, en alignant les opérations sur les engagements, en allouant les ressources en fonction des évaluations des risques et en établissant des mécanismes de recours pour les utilisateurs affectés par les décisions de modération.
  5. Transparence des produits : Les politiques de confiance et de sécurité doivent être accessibles au public, et les organisations doivent rendre compte périodiquement de leurs actions d’application. Les pratiques clés incluent la publication de rapports de transparence réguliers, la notification aux utilisateurs lorsqu’une mesure est prise à l’encontre de leur contenu et le soutien à la recherche universitaire lorsque cela est possible.

Le document de la norme fournit aussi un cadre d’évaluation détaillé pour aider les organisations à évaluer leurs propres pratiques de confiance et de sécurité. L’évaluation se déroule en trois phases : cadrage, adaptation et exécution.

Le cadre est adapté pour être proportionné aux risques spécifiques et le niveau d’évaluation approprié (N1, N2 ou N3) est déterminé par un processus qui prend principalement en compte deux facteurs :

  • l’impact de l’organisation, qui est classée comme « faible », « moyen » ou « élevé » en fonction de son chiffre d’affaires et de son nombre total d’employés
  • l’impact du produit/service, classé comme « faible », « moyen » ou « élevé » en fonction de son volume d’utilisateurs (utilisateurs actifs mensuels enregistrés en moyenne) et de son profil de risque, déterminé par un questionnaire qui identifie le public cible, l’ensemble des fonctionnalités (par exemple, diffusion en direct, contenu généré par les utilisateurs) ou encore le marché cible.

Une fois le niveau déterminé, l’évaluation est réalisée en cinq étapes :

  1. Découvrir : Impliquer les parties prenantes et recueillir des informations initiales par le biais d’ateliers et de l’examen de la documentation pour établir une compréhension de base du paysage opérationnel.
  2. Identifier : Analyser les informations collectées pour identifier et hiérarchiser les risques et les domaines d’intérêt pour l’évaluation. Cela peut impliquer la création d’une « carte de chaleur » des risques pour les stratifier.
  3. Évaluer : Évaluer les pratiques, processus et outils identifiés par rapport à une échelle de maturité à cinq niveaux : ad hoc, répétable, défini, géré et optimisé.
  4. Tester : Pour les évaluations plus approfondies de niveau 2 et 3, tester la conception et l’efficacité opérationnelle des contrôles. Cela implique souvent l’examen d’un échantillon de données pour voir comment les pratiques fonctionnent, comme le suivi des taux de violation des politiques.
  5. Rapport : Compiler toutes les conclusions et observations dans un rapport final. Cela inclut l’identification des possibilités d’amélioration et l’élaboration d’une feuille de route de solutions avec des indicateurs de performance clés (KPI) pour suivre les progrès futurs.

Encore une fois, les questions de modération des contenus et de confiance et sécurité en ligne à l’échelle globale sont d’une extrême complexité et ce document ne résoud rien à proprement parler. Mais il est intéressant de voir émerger un outil normatif et procédural dans ce secteur. Il est aussi intéressant que les législations, nationales ou supranationales, disposent d’une référence de ce type, dont elles peuvent s’inspirer pour réfléchir aux règles qu’elles édictent et éviter ainsi autant que faire se peut de poser des obligations irréalistes ou des demandes si particulières qu’elles contribueraient à la fragmentation d’internet, ou encore de faire peser sur des acteurs petits, nouveaux ou aux statuts particuliers des obligations pensées pour les Meta de ce monde.

Le point n’est pas trivial : en ce moment même, la Wikimedia Foundation traine le gouvernement britannique devant les tribunaux, considérant que le récent Online Safety Act qui classerait l’encyclopédie dans la “catégorue 1” des sites, lui imposerait des coûts technologiques et en personnel déraisonnables. En conséquence, wikipedia envisage de volontairement limiter les consultations depuis le Royaume Uni à environ 1/4 de leur volume actuel pour pouvoir passer en catégorie 2.

Dernier point d’intérêt, plus anecdotique : contrairement à la pratique habituelle de l’ISO, cette norme est gratuite. 🥳