, La procédure d'évaluation permet d'apprécier la concordance entre les critères définis dans le référentiel et les pratiques de l'entité qui souhaite être labellisée. Lorsqu'elle est effectuée par une entité privée, elle donne généralement lieu à la conclusion d'un contrat de service entre le labellisateur et le candidat à la labellisation. La particularité juridique de ce contrat est que sa réalisation demeure incertaine

, De manière générale, l'appréciation d'une politique de protection des données personnelles prend la forme soit d'une auto-évaluation

, L'auto-évaluation, consiste simplement pour l'entreprise candidate à faire part de ses démarches en matière de protection des données personnelles, par exemple en répondant à des questions : l'organisme dit ce qu'il fait. Le label est attribué si la déclaration correspond aux exigences du référentiel, ce qui n'est pas sans poser question lorsqu'il n'existe pas de vérification (cf. «L'effet potentiellement trompeur, p.126

. ?-cette-forme-«-souple, de signe de confiance est très présente dans les labels américains à l'instar du label TRUSTe Privacy Seal (désormais délivré par TrustArc) ou de BBBOnline. L'European Interactive Digital Advertising Alliance (EDAA) propose également une auto-certification aux entreprises participant au programme d'auto-régulation de l, Online Behavioural Advertising (OBA), p.22

, Union européenne et les États-Unis, qu'il s'agisse du Safe Harbor invalidé par la Cour de l'Union européenne ou du Privacy Shield, reposent également sur une auto-évaluation, ce qui ne manque pas de faire l

. Le, Sur le Privacy Shield, voir Lettre n°5 de la Chaire Valeurs et Politiques des Informations Personnelles, décembre 2016 : Privacy Shield : un bouclier à peine brandi déjà ébréché ?