|
Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
2.5 L'approche géographique qui sous-tend la régulation est dépasséeC. Kuner, chercheur à l'université néerlandaise de Tilburg, démontre dans une étude publiée en octobre 2010 que l'approche géographique qui sous-tend actuellement la régulation des flux transfrontières est remise en cause par les plus récents développements technologiques. L'internet et le cloud computing font transiter les données d'un endroit à un autre sans que l'on sache toujours où elles se trouvent géographiquement à un instant donné. Une approche organisationnelle243 , centrée sur la régulation des processus, serait selon lui bien mieux adaptée. 3. Des questions en suspendsLa certification n'est surement pas une panacée. Les exemples dans le domaine de la contrôle qualité et du marquage CE ont montré qu'elle n'était pas exempte de défauts notamment quant au contrôle de compétence des évaluateurs et la qualité des évaluations. 240 Livre Blanc : La gestion des données à caractère personnel dans les projets d'externalisation Offshore European Outsourcing Association http://www.eoafrance.com/project-updates livreblanclagestiondesdonneesacaracterepersonneldanslesprojetsdexternalisationoffshore 241 «The new EU Model Clauses: One step forward, two steps back» Boris Wojtan. http://idpl.oxfordjournals.org/content/1/1/71.full 242 Binding corporate rules now a more attractive option for Europe-to-US data transfer Heidi C. Salow - DLA Piper http://www.dlapiper.com/binding corporate rules now a more attractive option for europe-to-us data transfer/ 243 in Regulation of Transborder Data Flows under Data Protection and Privacy Law- Past, Present, and Future Christopher Kuner Un certain nombre de questions essentielles restent également à étudier comme le fait de savoir par exemple si la certification doit être envisagée comme une alternative ou un complément par rapport aux procédures actuelles ? Et si tel est le cas, quel doit être l'articulation entre un mode de régulation juridique et un mode de régulation normatif ? Il conviendrait également de s'interroger sur les contours du référentiel de certification. Celui-ci doit-il être intégré au texte de la Directive ? Quel forme devrait-il prendre dans ce cas ? Doit-il au contraire faire l'objet d'un texte à part ? Quelle forme devrait prendre ce texte ? Est-il envisageable de s'appuyer sur les textes normatifs en cours de validation ? Faudrait-il envisager d'élaborer un texte normatif spécifique aux flux transfrontières ? Enfin, la question de savoir à quel moment il faut certifier la procédure de transfert nous apparait comme une question essentielle à laquelle il convient d'apporter une réponse ? La certification doit-elle être obtenue préalablement à la mise en place de la procédure de transfert ? Cette éventualité pourrait présenter l'avantage de favoriser une démarche de « privacy by design » dont A. Cavoukian à rappelé récemment244 sa volonté de la voir diffusée plus amplement. Cependant, l'intérêt de la procédure de certification consiste dans le fait qu'elle garantit la conformité d'une organisation en place par rapport un référentiel théorique. Raison pour laquelle elle ne peut être obtenue sans évaluation de la procédure dans son environnement. La question reste donc entière de savoir à quel moment certifier. Nous nous proposons d'étudier ces questions et toutes celles qui pourraient apparaître au cours du débat actuel dans le cadre de ce travail de recherche pour lequel nous recherchons une université susceptible de l'accueillir. Décembre 2010 118 244 Privacy by Design Resolution 32nd International Conference of Data Protection and Privacy Commissioners http://www.privacybydesign.ca/content/uploads/2010/11/pbd-resolution.pdf 119 |
|
