Memoire Online - La faisabilité des schémas de certification de protection de la vie privée

Faisabilité d'un schéma de certification de protection des données personnelles et de la vie privée

Denis Beautier, responsable du Mastère gestion et protection des données à caractère personnel de l'ISEP ;

Alain Esterle, Consultant indépendant en sécurité des systèmes d'information et en protection des données à caractère personnel.

La diffusion et la reproduction de ce document sont soumises à l'accord de l'auteur

En premier lieu et tout particulièrement, je tiens à remercier mon tuteur de thèse Alain Esterle en tant qu'expert européen en cyber-sécurité et en protection des données personnelles, pour ses conseils avisés, pour ses contacts qu'il m'a aimablement fait partager et pour sa très grande disponibilité.

Conjointement, je remercie Gwendal Legrand et Mathieu Gral (CNIL) pour les entretiens et l'attention qu'ils m'ont accordés;

Alain Ducass, directeur international à l'économie numérique de l'ADETEF qui m'a accueillie dans le cadre de mon stage professionnel portant sur le développement des échanges euro-méditerranéens dans le domaine des TIC ;

Armelle Trottin (LSTI), Pascal Chour (responsable du centre de certification de l'ANSSI) et Philippe Montigny (Ethic Intelligence) pour leurs précieuses observations en tant que professionnels de la certification.

L'ensemble des personnes interrogées dans le cadre de l'enquête de terrain mais qui pour des raisons de confidentialité ne seront pas citées,

Enfin, les professionnels avec lesquels j'ai eu le plaisir de correspondre et d'échanger des informations via Linkedin.

Sommaire

Titre I. Acronymes

Titre II. Définitions

Accréditation : Attestation délivrée par une tierce partie, ayant rapport à un organisme d'évaluation de la conformité, constituant une reconnaissance formelle de l'impartialité et de la compétence de ce dernier à réaliser des activités spécifiques d'évaluation de la conformité ».

Bien que normalement la démarche soit volontaire, elle tend de plus en plus fréquemment à se développer dans le domaine règlementaire. Elle peut être exigée par les Pouvoirs Publics comme un préalable à un futur agrément (dans la plupart des cas) pour l'application d'une réglementation nationale ou en vue d'une notification dans le cadre d'une directive européenne.

L'accréditation porte sur des organismes de contrôle et vise à vérifier qu'ils exercent leur activité selon une déontologie et des règles de l'art internationalement acceptées. Peuvent faire l'objet d'accréditation :

Certification : La certification consiste en la délivrance d'une assurance écrite (le certificat) réalisée par une tierce partie relative à des produits, des processus, des systèmes ou des personnes grâce à des audits, des essais, des examens et toute autre activité de surveillance.

Les certifications garantissent la conformité de produits/services, de systèmes de management ou de personnels (par exemple : auditeurs, diagnostiqueurs immobiliers...) par rapport à des exigences spécifiées.

La certification recouvre un large spectre de démarches dont l'objet peut être le suivant :

-la certification de qualification technique ex. certification pour la qualification de prestataires de services de certification électronique

-Les personnes : ex. certification d'auditeurs de système de management de SI (ISO 27001)

La certification est notamment régie par l'application de standards internationaux

ISO CEI 17021 pour la certification de systèmes de management d'entreprise,

EN 45011 (équivalent du guide ISO/CEI 65) pour la certification de produits et services.

Corégulation : mécanisme par lequel un acte législatif communautaire confère la réalisation des objectifs définis par l'autorité législative aux parties concernées reconnues dans le domaine (notamment les opérateurs économiques, les partenaires sociaux, les organisations non gouvernementales ou les associations).

Données à caractère personnel (DP): toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou social (directive 95/46)

Information personnellement identifiante (PII): toute information pouvant assurer la traçabilité vis à vis d'un individu

Information personnelle: toute information qui 1) se rapport à un individu et 2) identifie ou peut être utilisée pour identifier un individu (adresse e-mail, numéro de téléphone, numéro de Sécurité Sociale, ou autre identifiant unique).

Label : Le terme « label » est très souvent utilisé et peut prêter à confusion : il n'a pas la même signification en France où son utilisation est réglementée (dans le secteur agroalimentaire) et dans les autres pays de l'Union européenne notamment où il est employé dans son acception anglo-saxonne auquel cas il est le corollaire logique de la certification.

Un label (ou une marque de confiance ou un sceau), se matérialise par des signes distinctifs (nom, logo,..). Un label est un engagement de qualité conforme à un cahier des charges mais il n'offre aucune garantie de qualité. Il peut soit résulter d'un processus d'auto-régulation soit être délivré par un tiers indépendant.

Privacy : Pour des raisons pratiques et conformément à la démarche adoptée par la commission européenne, ce terme sera traduit par « protection de la vie privée ».

En 1967, A.Westin, évoquait « le droit de déterminer quand, comment, et dans quelle mesure des informations sur la personne sont communiquées à d'autres. »

Selon The American Institute of Certified Public Accountants (AICPA)/CICA il s'agit des « droits et obligations des individus et des organisations relativement à la collecte, l'usage, la divulgation et la conservation d'informations personnelles ».

Régulation : Imposition de règles par un gouvernement dont l'application est garantie par des pénalités et l'autorité de l'état.

Schéma de certification : en raison des différences de sémantique portant notamment sur le terme de « label », mais aussi parce qu'en pratique, on observe une certaine confusion entre les différents schémas, l'expression « schéma de certification »sera utilisée lorsque les propos concerneront tant des schémas de certification que de labellisation ou de marques de confiance

Standard : Un standard est un document technique servant de ligne directrice, règle ou définition, élaboré au sein d'un consortium regroupant des industriels, des régulateurs, des consommateurs.

La standardisation implique non seulement une norme commune mais aussi une procédure d'évaluation de conformité.

Titre III. Executive summary

In the context of the globalization and progress of information technologies without common measurement, the legislative and regulatory instruments for data protection and privacy are facing new challenges to which it is urgent to bring answers.

The European regulation is regarded as most protective of the privacy in the world but in practice its application within the European Union is far from being satisfactory: lack of harmonization, conflicts of applicable law, disparity of controls and sanctions, principles inapplicability...

Although article 27 of directive 95/46 encourages self-regulation and Co-regulation, these means were regarded as complementary tools in order to make the regulation more effective.

In the majority of countries where there are no general law of privacy or data protection, but sectoral laws or provisions, self-regulation and in particular certification seeks to meet and to answer the demand of the market.

Recently, between the pure market model and the pure enforcement model, one notes a triple tendency:

The countries fervent supporters of the self regulation express the need to resort to a general law of privacy for the harmonization of the practices (see the USA).

In addition, although in Europe it was generally considered that this subject concerned the law, more and more voices rise to encourage the sensitizing of the organizations and to improve data protection thanks to actions of Co-regulation. Certification may then be considered as the best way to implement and to supplement legislation.

Finally certification is blossoming in the wake of political, legal and economic transformation in countries where rules of law did not become ripe yet (cf South America, Asia), under the influence of alliances and agreements of mutual recognition between certification schemes (see the APEC).

It is in this context that appeared new tools and concepts both in Europe and on the American continent, in Asia, or at the international level (ISO, CEN) aiming at improving the data protection. The majority of these tools are based on voluntary steps of self-regulation or Co-regulation and aim at encouraging a total and continuous data management throughout their life cycle.

Certification seems one of the means being able to guarantee the good application and the effectiveness of these tools, by attesting conformity of the products or procedures to a reference framework.

The very concept of certification covers a great disparity of diagrams of unequal quality.

This study undertaken within the framework of a thesis and a professional project wants to be at the same time practical, exhaustive and comparative as well as systemic concerning the geographical distribution.

In order to determine the feasibility of a diagram of certification concerning the DP protection, the analysis relates to the census of the schemes, of their characteristics and of their legal and cultural context of development.

We approach then the state of maturity of the market, in particular the gaps or barriers of psychological, political, technological or economic nature related to the concept of protection of the personal data which could prevent the success of a scheme of certification in this field.

Complementary to this study, we conducted a ground investigation of amongst professionals of certification and companies potentially candidate to a label of data protection.

We believe firmly that if we aim at delivering certifications to organizations, their needs and their expectations must be taken into account.

On the base of these analyses and of all the comparative data, we make some recommendations and suggestions which could increase the chances of success of a certification schemes.

Success will depend to some extent on the characteristics suitable for the diagram:

Quality of the reference framework; certification by stage; Statutes of the certification body and implication of DPA; European character of the certificate; independence and competence of the evaluators; effective controls and sanction; harmonization of the evaluations and implementations.

At the same time, the framework of the scheme should be embedded into a holistic approach of data protection and privacy (PbD, accountability, responsibility) and thus make it possible to improve its effectiveness. At least, undertaken certification should be an easy and fast step.

But the feasibility and the viability of such a scheme will be dependent on the involvement of all private and public actors in a "society project" and of capacity of the political institutions to support a European design of the data protection and privacy. One might take the «precautionary principle «which has been defined at the conference of Rio for the environmental protection as an example.

The various methods of compromising data cost evaluation and the return-on-investment related to DP protection showed their limits.

It is not enough to convince the organizations who seek to profit from an immediate gratification.

Also, a scheme of certification should be accompanied by economic incentives or even regulatory provisions when feasible.

Lastly, its success will be very closely related to that of the revision of the directive and more generally to the evolution of the European texts, depending of their enforcement and of their effective and harmonious application in the whole of the Member States.

Titre IV. Résumé

Dans le cadre de la globalisation et du progrès des technologies de l'information sans mesure commune, les instruments législatifs et de normalisation pour la protection des données et de la vie privée font face à de nouveaux défis auxquels il est urgent d'apporter des réponses.

La règlementation européenne est considérée comme la plus protectrice de la vie privée dans le monde mais en pratique son application dans l'Union européenne est loin d'être satisfaisante : manque d'harmonisation, conflits de loi applicable, disparité des mises en oeuvre et sanctions, inapplicabilité de principes...

Bien que l'article 27 de la directive 95/46 encourage l'autorégulation et la Co-régulation, ces moyens ont été considérés comme des outils complémentaires afin de rendre la règlementation plus efficace.

Dans la majorité des pays où il n'y a aucune loi générale de protection des DP ou de la vie privée, mais où on trouve des lois ou des dispositions sectorielles, l'autorégulation et en particulier la certification cherche à combler un manque pour répondre à la demande du marché.

Récemment, entre le modèle pur du marché et le modèle pur de règlementation par la loi, on note une triple tendance :

Les pays ardents défenseurs de l'autorégulation expriment la nécessité de recourir à une loi générale de protection de la vie privée pour l'harmonisation des pratiques (voir les Etats-Unis).

De plus, bien qu'en Europe on ait généralement considéré que ce sujet dépendait de la seule loi, de plus en plus de voix s'élèvent pour encourager la sensibilisation des organisations et pour améliorer la protection des données grâce aux actions de Co-régulation. La certification peut alors être considérée comme la meilleure manière de mettre en application et de compléter la législation.

Enfin la certification se développe dans les pays en cours de transformation politique, légale et économique où l'état de droit n'est pas encore arrivé à maturité (Cf Amérique du Sud, Asie), sous l'influence d'alliances et d'accords de reconnaissance mutuelle entre les systèmes de certification (voir l'APEC).

Dans ce contexte sont apparus de nouveaux outils et concepts à la fois en Europe et sur les continents américain, asiatique, ou au niveau international (OIN, CEN) visant à améliorer la protection des données. La majorité de ces outils sont basés sur des étapes volontaires d'autorégulation ou de Co-régulation et ont pour objectif d'encourager une gestion globale et en continu des données tout au long du cycle de vie.

La certification semble l'un des moyens pouvant garantir la bonne application et l'efficacité de ces outils, en certifiant la conformité des produits ou des procédures à un cadre de référence.

Le concept même de certification couvre une grande disparité de schémas de qualité inégale.

Cette étude entreprise dans le cadre d'une thèse et d'un projet professionnels se veut à la fois pratique, approfondie et comparative tant des les systèmes qu'au sujet de la répartition géographique.

Afin de déterminer la faisabilité d'un schéma de certification au sujet de la protection des DP, l'analyse se base sur le recensement des schémas, de leurs caractéristiques et sur l'analyse du contexte légal et culturel de leur développement.

Nous abordons ensuite l'état de maturité du marché, en particulier les lacunes ou les barrières de nature psychologique, politique, technologique ou économique liées au concept de protection des DP qui pourraient empêcher le succès d'un schéma de certification dans ce domaine.

En complément à cette étude, nous avons effectué une enquête de terrain parmi des professionnels de la certification en France et auprès d'organisations potentiels candidats à un label de protection des données.

Nous croyons fermement que si nous souhaitons délivrer des certifications aux organisations, leurs besoins et leurs attentes doivent être prises en compte.

Sur la base de ces analyses et de toutes les données comparatives, nous faisons quelques recommandations et suggestions qui pourraient augmenter les chances de succès d'un schéma de certification.

Le succès dépendra dans une certaine mesure des caractéristiques propres au schéma :

Qualité du cadre de référence ; possible certification par étape ; statuts du corps de certification; 'implication des DPA ; Caractère européen ou international du certificat ; indépendance et compétence des experts ; contrôles et sanctions efficaces ; harmonisation des évaluations et des mises en oeuvre.

De même, le cadre de référence du schéma devrait être conçu selon une approche holistique de la protection des données et de la vie privée (PbD, "Accountability", responsabilité) et permettre ainsi d'en améliorer son efficacité. Enfin, la démarche de certification devrait être une étape facile et rapide.

Mais la faisabilité et la viabilité d'un tel schéma dépendront de la participation de tous les acteurs privés et publics dans un « projet de société » et de la capacité des institutions politiques à soutenir une conception européenne de la protection des données et de la vie privée, à l'image notamment du « principe de précaution » défini à la conférence de Rio pour la protection de l'environnement.

Les diverses méthodes d'évaluation des coûts liés aux DP et du retour-sur-investissement lié aux mesures de protection ont montré leurs limites.

Ces méthodes ne suffisent pas à convaincre les décideurs de l'intérêt d'investir dans la protection des DP qui sont plutôt tournés vers la recherche d'une satisfaction immédiate.

En outre, un schéma de certification devrait être accompagné d'incitations économiques ou même de dispositions de normalisation quand cela est possible.

Pour finir, le succès sera très étroitement lié à celui de la révision de la directive et plus généralement à l'évolution des textes européens, à leur application efficace et harmonieuse dans la totalité des Etats membres.

Titre V. Introduction

« La règle, c'est que le Général qui triomphe est celui qui est le mieux informé » Sun-Tzu

La protection des DP et de la vie privée est un sujet d'actualité et universel quels qu'en soient d'ailleurs les fondements philosophiques ou plus pragmatiques qui en sont à l'origine.

La protection des DP et de la vie privée est étroitement liée à l'usage d'internet et des nouvelles technologies. A l'heure de la globalisation des échanges, alors que de nouveaux risques liés à l'usage des TIC voient le jour et que les systèmes de protection juridique des DP montrent leurs limites, l'heure est au questionnement et à la remise en cause des outils et principes existants.

Bien qu'ils expriment un manque de confiance dans l'usage d'internet et trahissent une méconnaissance des enjeux et des risques liés aux données personnelles, paradoxalement, les individus livrent quotidiennement et sans aucun contrôle un grand nombre de DP. Nous évoluons dans un univers d'informations asymétriques qui ne nous permet plus d'assurer la confidentialité et la sécurité des DP.

Le manque de confiance dans l'environnement numérique nuit sérieusement au développement de l'économie en ligne en Europe. Les principales raisons des personnes qui n'ont fait aucun achat en ligne en 2009 avaient trois causes: problèmes de sécurité des paiements, problèmes de respect de la vie privée et problèmes de confiance.^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Plus qu'un droit individuel, la protection des DP est l'affaire de tous, acteurs publics et privé ; c'est un enjeu philosophique, économique et politique qui mérite une approche globale et sociétale.

Face à ces problèmes cruciaux, diverses pistes émises au fil du temps se sont multipliées très récemment. L'une d'elle consiste à améliorer la protection des DP et de la vie privée en s'appuyant sur des schémas de labellisation ou de certification.

Aussi, le sujet sera délibérément traité de façon large afin de donner du marché une vue d'ensemble de tous les types de schéma de certification, de label ou autre marque de confiance. Cette façon d'aborder le sujet est également due au manque de clarté, de règlementation uniforme et de transparence du marché de la qualification.

Le sujet a été choisi dans le cadre d'un projet professionnel portant sur le développement et la viabilité économique d'un schéma de certification, avant même que la CNIL ne déclare au printemps 2010 son intention de faire usage de son pouvoir de labellisation. Aussi est-ce la raison pour laquelle ce travail est à la fois détaillé et plus conséquent que le travail requis dans le cadre de cette thèse professionnelle. L'étude revêt un caractère pratique et se veut comparative tant sur un plan sectoriel que géographique et systémique. La culture est comme nous le verrons un des éléments clefs à considérer dans la faisabilité d'un schéma de certification.

Le pouvoir de labellisation de la DPA française sera un des points de comparaison évoqués mais il ne constituera pas le fil directeur de cette étude.

Afin de faire le lien avec un stage professionnel suivi au pôle numérique d'ADETEF^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} sur un avant projet de plateforme de signature électronique dans la zone Méditerranéenne, il sera fait un parallèle entre les schémas de certification de produits et les standards de signature électronique.

Sans chercher à « réinventer la roue », nous essayerons de tirer les enseignements pertinents de diverses expériences.

La faisabilité d'un projet s'entend dans un sens plus large que celui de la recherche d'un modèle économique. L'objet de cette étude n'est pas d'élaborer un modèle économique ce qui d'une part demanderait des compétences mathématiques que l'auteur n'a pas, d'autre part a déjà fait l'objet de quelques analyses.

La faisabilité est ici définie comme l'évaluation et l'analyse de l'impact d'un projet sur le plan technique, juridique, économique, culturelle et opérationnel (en quoi la certification permettra-t-elle d'atteindre les objectifs fixés). Il s'agit de vérifier l'opportunité commerciale d'une telle démarche, de réfléchir à sa viabilité à long terme, de déterminer la maturité, les besoins et la capacité du marché européen dont le marché français

Il n'allait pas de soi d'envisager une certification dans le domaine de la protection des DP alors même que la certification des systèmes de management ou des produits et services du domaine des TIC connait un succès très mitigé dans notre pays en dehors de certification des systèmes sécurisés de transaction.

De plus nous manquons de recul sur les certifications dans ce domaine. Il existe plusieurs exemples de part le monde mais d'une part les schémas purement commerciaux les plus répandus forment un type particulier de certification, d'autre part nous manquons de recul vis-à-vis des autres schémas relativement peu nombreux.

Les schémas relèvent parfois de systèmes d'autorégulation ou de co-régulation voir enfin d'accréditation.

Ces systèmes ont pour objectif d'évaluer un service, un produit, une procédure ou des personnes, soit de manière autonome, soit avec l'intervention d'un tiers plus ou moins indépendant selon le schéma.

La distinction entre les schémas est en pratique moins marquée qu'il n'y parait, non seulement en raison de similitudes entre eux mais aussi parce que les systèmes d'autorégulation ont été forcés d'évoluer en réponse aux critiques sur leur manque d'indépendance et l'absence de contrôle et de sanctions. Les schémas de certification (par un tiers externe) recouvrent quant à eux des situations variables.

Ainsi qu'il a été précisé plus haut, l'expression « schéma de certification » sera utilisée pour tous les systèmes visant à exprimer un niveau de qualité pour les organisations s'engageant dans une démarche de labellisation, d'octroi de marque de confiance et de certification.

Après une analyse descriptive des divers types de schémas de certification, de leurs caractéristiques et de leur contexte de développement, seront évoqués les challenges que devrait relever un schéma de certification de protection des DP.

Enfin, nous proposerons une série de recommandations et de suggestions souhaitables en vue d'augmenter les chances de succès d'un certificat de protection des DP et de la vie privée.

Le présent document a été réalisé en fonction de la méthodologie suivante:

-Recensement en ligne des différents schémas de certification de part le monde et étude détaillée de certains d'entre eux ;

-Quelques entretiens avec des professionnels de la certification : ANSSI, LSTI, Ethic Intelligence

-Echanges en ligne via linkedin avec Ann Cavoukian (Ambassadeurs du PrivacybyDesign), Kato Takeshi (PrivacyMark), Rudolf Schmid (GoodPriv@cy), Gail Magnuson (Nymity), Alessandro Acquisti et Allan Friedman ...

Titre VI. Contexte général des schémas de certification de protection des DP et de la vie privée

Section 1. Environnement juridique et culturel

Le schéma de certification peut soit relever d'un régime d'autorégulation, soit de co-régulation ou enfin plus rarement du seul système règlementaire. L'environnement juridique et culturel d'un pays, est un des éléments essentiels à la bonne compréhension des facteurs de réussite ou d'échec d'un schéma de certification et par la même à sa faisabilité.

(I) Contexte règlementaire

Ce peut être soit une certification officielle telle qu'elle existe en France, par un organisme accrédité selon la norme ISO 17024 .C'est l'exemple du COFRAC;
Soit une démarche reposant sur des chartes/codes contrôlés par des auditeurs indépendants et compétents.
La clarté est indispensable. En tout état de cause, le respect de la réglementation est un préalable et il doit exister des « plus » qualitatifs allant au-delà de la réglementation qui constitue le corps de règles. Par ailleurs, le contrôle régulier des engagements par un tiers indépendant et compétent doit être assuré.

Les démarches jugées « obscures » : elles contribuent à rendre floue la perception du consommateur des marques de confiance sur internet. Elles relèvent souvent d'auto proclamation et font plus ou moins l'objet de contrôles réguliers pour vérifier le contenu des allégations présentées au consommateur et sanctionner tout manquement.

-Ce peuvent être des nouveaux prestataires: il s'agit clairement de l'apparition d'un métier lié à de nouvelles formes d'intermédiation (tiers de confiance),

-L'objectif est souvent de gagner la confiance des consommateurs mais dans un but purement commercial, rassurer pour vendre mieux et plus (c'est le cas de la plupart des labels de sites web) ;

-Ce sont aussi parfois des associations de protection des consommateurs qui agissent en faveur d'une démarche de co-régulation de l'Internet (participation des différents acteurs de l'Internet à son bon fonctionnement).

Les démarches plus sérieuses visent à instaurer une relation de confiance par la conformité à un référentiel fondée sur des exigences, l'indépendance, la transparence et le contrôle de la démarche (propos recueillis auprès de P.Chour, ANSSI).

Ajoutons que le schéma peut viser à avoir des vertus plus pédagogiques de sensibilisation, comme ce pourrait être le cas d'un schéma initié ou encadré par une autorité administrative nationale ou européenne.

Sur le terrain des démarches « sérieuses », il reste encore à arbitrer entre le choix d'un label officiel et celui d'une certification d'organismes :

-On peut laisser au seul secteur privé (en particulier aux organismes de certification) le rôle de créer des certificats que des organismes seront autorisés à utiliser, en règle générale contre paiement d'une redevance. La règlementation ne règle alors que les exigences concernant l'accréditation d'organismes et le processus de certification. Il peut être prévu par les textes qu'aucun label ne pourra être utilisé sans que les exigences propres au processus de certification ne soient remplies. Il s'agit de l'exemple Suisse.

-L'option peut se porter sur l'instauration d'un certificat de qualité officiel, qui peut être utilisé par les organismes certifiés sans autre condition. Les certifications peuvent être opérées par un organisme étatique ou par l'autorité indépendante de protection des DP. Il peut aussi s'agir d'une sorte de prestation de base qui pourrait coexister avec d'éventuels labels de qualité privés.

La première solution présente l'avantage de limiter l'intervention de l'état à la reconnaissance de professionnels dans un domaine qui relève aujourd'hui en grande partie du secteur privé.

Elle suppose néanmoins que les textes de loi prévoient les conditions d'accréditation (dans l'hypothèse où on envisage l'accréditation d'organismes professionnels).

L'accréditation est sensée assurer un niveau de compétence et de professionnalisme qui pourrait également être garantis par une procédure ad hoc mise en place par la DPA par exemple.

La démarche de certification pouvant aboutir à la délivrance du certificat, doit être suffisamment détaillée dans la loi et/ou par l'autorité indépendante pour s'assurer d'une uniformité des démarches de certification.

(1) Au sein de l'Union Européenne

Plusieurs textes se réfèrent au sujet de la protection de la vie privée et des DP.

Au sein de l'Union Européenne, la directive 95/46 traite de « la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données », tandis que les directives 2002/58 et 2006/24 en font état dans les communications électroniques.

La directive 95/46 est le premier texte abordant « la protection des données personnelles » à un niveau européen. Elle reprend et développe les principes de la convention 108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. La Charte des droits fondamentaux de l'Union européenne du 18/12/2000 consacre le droit à la protection des données personnelles dans son article 8 ; sa valeur constitutionnelle a depuis été renforcée par le traité de Lisbonne entré en vigueur en décembre 2009.

La Directive 2002/58/EC fait partie des cinq textes qui doivent être mis à jour et modifiés dans le paquet télécom, par le biais des deux directives 2009/136/CE et 2009/140/CE, dites du nouveau

« paquet télécom », votées par la Parlement européen le 18 décembre et dont la transposition dans les états européens doit se faire avant le 25 mai 2011.

Ces directives concernent les fournisseurs de réseaux de communications publics ou des services publics de communications électroniques accessibles au public (tels les FAI).

Le « Paquet Télécom » vise notamment à assurer le renforcement de la sécurisation des réseaux et des services de communication électronique.

Il existe enfin des règles spéciales applicables à la protection des données à caractère personnel dans

les domaines de la coopération policière et de la coopération judiciaire en matière pénale (décision cadre 2008/977/JHA).

Dans de nombreux pays de l'UE, les DPA ne sont pas en mesure d'accomplir la totalité de leurs missions, en raison des ressources économiques et humaines limitées dont elles disposent. Quand bien même les textes prévoient des mesures de réparation pour les individus victimes d'un dommage, ceci est loin d'être le cas en pratique.^{(*)REF _Ref278271812 \r
\h \* MERGEFORMAT}

Dans le secteur des communications électroniques le principe de subsidiarité de la loi communautaire signifie notamment que :

La commission doit éviter de légiférer quand d'autres moyens permettent d'atteindre les objectifs publics fixés, laissant au secteur privé le choix de la voie à emprunter pour y parvenir. On parle de co-régulation, mais elle doit apporter une valeur ajoutée pour l'intérêt général (cela repose sur le fait que les mécanismes sont plus adaptés, plus rapides, plus efficaces dans l'application cf. labels, accréditations, standardisation, mécanismes alternatifs de résolution de litiges).

En France le traitement des données est généralement règlementé par la loi, les décrets et autorisations de façon assez détaillée. Bien que la loi lui donne l'opportunité d'approuver des codes sectoriels, les seuls que la CNIL ait adoptés sont relatifs au secteur du marketing. ^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

La loi française est détaillée et a inspiré la directive européenne sur bien des points mais paradoxalement quelques sujets pourtant cruciaux sont traités de manière trop vague pour trouver à s'appliquer efficacement en pratique. Aussi, qu'elle que puisse être la bonne volonté des organisations, la « mise en conformité avec la loi informatique et libertés » recouvre un certain nombre d'inconnues auxquelles ni la loi ni le décret d'application ne sont en mesure d'apporter de réponse précise (ex. art. 34 de la loi sur la sécurité).

D'autre part, malgré la révision législative de 2004, la mise en oeuvre de certains principes tels qu'édictés par la loi s'avère tout simplement impossible face aux nouveaux défis technologiques et au contexte globalisé de l'économie.

La règlementation européenne est considérée comme la plus protectrice de la vie privée et des données personnelles dans le monde mais son application relève plus de la bonne volonté que de la loi car jusqu'à présent les sanctions sont trop faibles et trop rares pour être dissuasives et les dispositions de la directive trop vagues sur certains sujets.

Les sujets de protection des DP et de la vie privée ont été règlementés par la loi (tout particulièrement en France) et ceci a généralement été considéré comme suffisant. Mais en pratique on constate que la loi ne s'auto-exécute pas seule sans mesures incitatives et procédures internes de mise en conformité qui relèvent de choix stratégiques de l'organisation.

Sur le vieux continent, les textes considèrent l'autorégulation et la co-régulation comme un encouragement plutôt que comme un substitut à la loi (Article 27 de la Directive 95/46) ; c'est un moyen de rendre les exigences de la règlementation plus efficaces et légitimes.

Mais malgré l'attitude positive des autorités européennes les schémas de certification sont rares.

(2) Hors de l'Union Européenne

La protection de la vie privée est une notion très large qui inclut notamment la protection des informations personnelles.

Bien qu'il n'existe pas de loi générale au niveau fédéral, la règlementation US est riche de dispositions protectrices de la vie privée dans les divers états et selon les secteurs d'activité.

Qu'il s'agisse de la loi Payment Card Industry (PCI) Data Security Standard, de l'acte Health Insurance Portability and Accountability Act (HIPPA), ou du Gramm-Leach-Bliley Act (GLBA), tous ces textes ont été créés avec un même objectif de protection des données sensibles, mais en se focalisant sur leur seul domaine.

Il existe environ 120 lois soit au niveau des états soit au niveau fédéral qui requièrent une notification des failles de sécurité aux personnes concernées. La dernière en date étant intervenue dans le secteur des soins de santé.

En octobre 2003, l'État de la Californie a adopté le Online Privacy Protection Act.

Une prochaine loi fédérale, actuellement en discussion (DATA pour Data Accountability and Trust Act), devrait obliger toute entité privée ou publique manipulant des données personnelles sensibles à mettre en place des mesures de gestion de risques, de traçabilité aux données, de sécurisation et de notification des violation de données personnelles.

La certification est un des moyens d'autorégulation permettant de pallier à l'absence de règlementation et/ou aux lacunes dans l'application de la loi.

Les organisations sont libres de choisir entre de nombreux schémas d'autorégulation et de co-régulation pour lesquels elles déterminent elles mêmes les moyens d'atteindre les objectifs fixés.

A titre d'exemple, l'accord SAFE HARBOR consiste pour les organisations américaines à s'auto-certifier auprès du Département du Commerce en s'engageant à respecter et à mettre en pratique les principes de base posés par la directive 95/46 vis-à-vis des DP transférées par des entreprises situées sur le territoire européen.

Il est difficile de connaitre l'efficacité des schémas d'autorégulation. Selon certains la peur de poursuites par le gouvernement ou par le privé a un effet préventif mais rien ne permet de l'affirmer avec certitude car en pratique les poursuites sont rares et les amendes minimes tandis que les actions engagées au niveau privé sont onéreuses.

Au Canada, l'auto régulation s'est fortement développée sous la forme de codes de conduite sectoriels (banque, santé, assurance ...) inspirés des lignes directrices de l'OCDE, notamment avant l'adoption de la loi de protection des informations personnelles (PIPEDA) en 2000. Cette loi a elle-même intégré les codes de conduites déjà en vigueur.

Sous l'égide du Canadian Standards Association (CSA), fut adopté en 1996 le « Standard National Canadien » qui bien qu'utilisant les termes distinctifs de « devrait » et « doit » fut considéré comme une démarche volontaire.

En Australie, c'est le Commissaire à la protection de la vie privée qui en 1998 a défini une série de principes, semblables à ceux du CSA au Canada. Bien qu'il n'y ait pas de schéma explicite de certification, l'objectif affiché était d'amener les organisations à suivre une démarche formalisée et harmonisée.

La Nouvelle Zélande s'est servi des « guidelines » comme support « éclairant » en soutien à l'acte de protection des données.

En Asie, il n'existe pas de définition de la « protection de la vie privée » mais c'est probablement la région où l'influence des principes directeurs de l'OCDE a été la plus forte.

Dans ce pays la loi se résume à une série d'exigences minimum que les ministres complètent par des lignes directrices. Les plaintes relatives aux informations personnelles sont traitées par quatre entités :

Les organisations de protection des informations personnelles autorisées (APIPO), les représentants locaux du gouvernement, les organisations professionnelles et le conseil de la consommation (NCACJ). Cependant nous n'avons pas de preuve de l'efficacité du système de résolution des plaintes par les APIPO.

Quelque soit la région du monde, il se dégage un consensus favorable au développement de modes de co-régulation, parmi lesquels s'inscrit la certification.

(II) Influence culturelle

Titre VII. La culture d'un pays détermine la conception « philosophique » de protection de la vie privée et des DP qui influence par ailleurs le choix des systèmes juridiques de régulation.

La volonté et la capacité de l'industrie à s'engager dans une démarche de protection des DP et de la vie privée dépend à la fois du degré de conscience et de sensibilisation de sa population et des ressources disponibles.

Dans la plupart des anciens états de l'UE, le niveau d'intérêt a baissé ou est resté stable entre 2003 et 2008, à l'exception d'une progression notable en Espagne et au Portugal.

Une majorité de citoyens européens se sentent en insécurité quand ils transmettent des données via internet et très peu connaissent les droits et obligations énoncés par les textes de protection des DP.

Seules 39% des personnes interrogées en 2009 connaissent l'existence de la CNIL en France sans toutefois toujours connaitre son rôle et ses pouvoirs.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

De récentes études pointent le fait que les décideurs français ont une des perceptions des risques la moins alarmiste ; notre pays occupe également la dernière place en ce qui concerne les démarches proactives (60% du temps passé à essayer de réparer les dégâts plutôt que de les prévenir).^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Ces chiffres ne sont d'ailleurs pas démentis par les résultats de l'enquête de terrain menée au cours de cette étude

Les français font part d'une certaine réticence vis-à-vis des schémas de certification entièrement privés ne bénéficiant pas d'une accréditation ou d'une reconnaissance d'une autorité administrative.

Les certifications ISO 27001 connaissent une légère augmentation. Au 30/05/2009 on comptait 5314 certificats ISO 27001 délivrés dans le monde dont à titre d'exemples :

Jusqu'à présent en France, la certification n'est pas apparue comme un élément indispensable alors qu'elle l'est devenue dans certains pays plus enclins à satisfaire les attentes de leurs partenaires et de leurs clients.

Le formidable essor des schémas de certification en Asie nous a poussés à essayer de comprendre quelles pouvaient en être les raisons culturelles.

Dans la culture japonaise, la notion de protection de la vie privée est une idée importée. Le groupe occupe une place primordiale au contraire de la faible valeur attribuée à la sphère individuelle distincte du groupe. Autrui bénéficie d'une présomption de bonne foi, ce qui explique que le droit de contrôler la circulation de ses propres informations personnelles serait vécu comme un excès de défiance.

Le Japon a été fortement influencé par les lignes directrices de l'OCDE de 1980 mais aussi par les lois allemandes et françaises.

Le JAPON n'a pas de loi générale sur la protection de la vie privée mais il existe des lois de protection des informations personnelles dans le privé et le public comprenant des principes pour lesquels les ministères et tout particulièrement le METI (Ministère du commerce et de l'industrie) dispensent des guidelines. Environ 40 guidelines et pas moins de 24 mesures sectorielles ont été émis depuis 1989 par les ministères des divers secteurs d'activité.

Le concept de « données personnelles » doit son succès à l'extraordinaire développement des TIC qui a donné l'occasion aux entreprises de collecter, conserver et partager de grandes quantités de DP.

Le Japon se caractérise aussi par un lien très étroit entre le Ministère du Commerce et de l'Industrie (METI) et les associations professionnelles

Les autorités publiques ont considéré la protection de la vie privée et des DP comme une valeur sociétale indispensable à la reprise de l'économie. C'est désormais un courant politique à part entière comparé à celui de la protection de l'environnement.

Une majorité de dirigeants japonais considèrent la législation de protection des DP comme un simple risque à prendre en compte tant vis-à-vis du marché national que dans un environnement international.

Les exigences des clients, la conquête de marchés internationaux et la valeur patrimoniale des données sont au coeur des préoccupations des organisations asiatiques.

Les dépenses de sécurité y sont une priorité.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Les asiatiques pensent avoir une meilleure compréhension de l'influence des incidents de sécurité sur leurs capitaux. Cet avantage de connaissances leur permet de cibler de manière optimale les actions préventives et correctives dans leur gestion du risque sécurité donc d'espérer un ROI plus rapide.

75% des personnes asiatiques interrogées considèrent que le renforcement des capacités de gouvernance, de risque et de conformité sont une priorité « top , très importante ou importante », alors qu'elles sont 70% en Amérique du Sud ( tout en indiquant une baisse ou un différé des dépenses de sécurité) , 66% en Amérique du Nord et seulement 56% en Europe. En Europe il persiste une faible visibilité sur les évènements à incidents de sécurité ce qui ne permet pas de connaitre le véritable impact sur l'activité.

Tableau Différences régionales dans les pratiques de sécurité de l'information

	ASIE	AMERIQUE DU NORD	AMERIQUE DU SUD	EUROPE
Les raisons de vos dépenses : conditions économiques	53	55	51	41
Les raisons de vos dépenses : continuité de l'activité	50	42	35	29
Les raisons de vos dépenses : réputation de l'organisation	41	33	37	28

Une des justifications déterminantes de la sécurité : exigences légales ou règlementaires	45	55	35	35
Une des justifications déterminantes de la sécurité : responsabilité ou exposition potentielle	45	50	32	25
Une des justifications déterminantes de la sécurité : Exigences des clients	52	37	39	29

Ont un inventaire pertinent du lieu où sont stockées les données sensibles	42	40	33	24

Nombre d'incidents de sécurité inconnus au cours des 12 derniers mois	14	37	19	29
Sources inconnues des incidents de sécurité des 12 derniers mois	26	44	31	41

Conduite d'une évaluation de risques au cours des 2 dernières années	41	28	42	33

A l'image des asiatiques, les personnes d'Amérique du Sud pensent avoir une meilleure connaissance du nombre, du type et de la source des attaques. Ils mettent également en avant « les exigences client » comme facteur décisif de leurs dépenses de sécurité alors que les européens sont guidés par les exigences légales et règlementaires.

-On note tout de même de manière générale, une légère évolution des consciences :

A la question : comment justifiez-vous les dépenses de sécurité dans votre organisation ? 41 % des répondants (soit +21% en 3 ans) ont répondu « la satisfaction des clients ». Plus que jamais semble-t-il, la fonction sécurité est orientée vers le client, vers la construction d'une stratégie de valeur ; un élément de maturité à prendre en compte dans un schéma de certification.

Sur un plan régional, le cadre de l'APEC pour la protection de la vie privée comprend l'application de plans d'actions par 14 pays, et la création d'un groupe d'étude dans le sous groupe de protection de la vie privée (DPS) pour analyser et identifier les meilleures pratiques et le rôle des labels dans la promotion des flux transfrontières d'informations personnelles (tableau des certifications dans les pays de l'APEC annexe 1).

Aux U.S.A, la protection de la vie privée est traitée au travers du prisme de l'économie de marché. La protection de la vie privée est un droit inhérent à chaque individu qui est libre d'en faire le commerce et d'en tirer profit.

La culture juridique est basée sur le « déclaratif » qui en principe implique pour les entreprises de respecter leurs engagements dans un système largement dominé par l'auto régulation.

Les industriels et les professionnels sont fortement impliqués dans les schémas d'autorégulation. L'avantage en termes de ressources est considérable, puisque le secteur privé est la principale source de financement des schémas étudiés mais l'indépendance des évaluateurs et des auditeurs peut prêter à discussion.

En Asie et en Amérique du sud dans une moindre mesure, les organisations ont eu recours à la certification pour assurer et par la même rassurer leurs partenaires et leurs clients sur un certain niveau d'exigence de sécurité et de protection des DP.

En Europe et tout spécialement en France, on constate la conviction bien ancrée que la protection des DP et de la vie privée relève de la compétence et des devoirs de l'Etat envers ses citoyens

Les modèles d'autorégulation et de co-régulation se sont essentiellement développés dans les pays :

- où il n'existait pas encore de loi règlementant la protection de la vie privée de manière générale (fonction supplétive)

-ou en voie de transformation économique et politique (fonction supplétive et complétive).

Pourraient s'y ajouter demain, les pays où les législations ne suffisent plus à répondre aux besoins soulevés par les évolutions technologiques et économiques.

Section 1. Recensement des schémas de certification

La certification peut parfois être liée à une accréditation, sans que cela soit toujours le cas.

L'obtention d'une certification n'est pas forcément un gage de la qualité des produits ou des services offerts par l'entreprise puisqu'elle constate la conformité à des «exigences spécifiées» qui peuvent être fixées à un niveau différent de celui attendu par les consommateurs ou utilisateurs.

Les organismes de certification par tierce partie utilisent soit leurs propres auditeurs (qu'ils qualifient), soit des auditeurs certifiés (dont les compétences sont reconnues par un certificat).

On trouve plusieurs normes ISO relatives à la certification mais l'ISO n'effectue pas elle-même de certification selon ses normes, elle ne délivre pas de certificats et ne contrôle pas la certification réalisée indépendamment de l'ISO par d'autres organismes accrédités ou pas.
L'ISO/CASCO, Comité pour l'évaluation de la conformité, élabore des normes d'application volontaire et des guides pour encourager les bonnes pratiques et la cohérence dans le monde en matière d'accréditation, de certification et d'activités connexes.

(I) L'accréditation

L'accréditation est l'attestation de la compétence, de l'impartialité et de l'indépendance d'un organisme certificateur, d'un laboratoire ou d'un organisme d'inspection au regard des normes en vigueur (par exemple, la norme NF EN 45011 pour les organismes certificateurs de produits ; ex. ISO 17024.

L'accréditation implique le recours non seulement à des évaluateurs qualiticiens mais aussi à des experts techniques. Outre la reconnaissance de la conformité elle assure la compétence des évaluateurs.

Une des conséquences non négligeable est d'augmenter le coût de l'évaluation et du niveau d'exigence du certificat.

Il existe des organisations mondiales et des organisations régionales d'accréditation ; pour des raisons d'efficacité et pour limiter le coût de la confiance, l'objectif est d'être « certifié une seule fois et reconnu partout ».

L'utilisation par le plus grand nombre de référentiels identiques et internationalement reconnus permet une harmonisation des pratiques et la mise en place de contrôles entre accréditeurs portant sur l'effectivité de l'utilisation des référentiels.

Les organismes d'accréditation détiennent un mandat du gouvernement qui garantit leur indépendance vis-à-vis d'un marché concurrentiel et permet à l'utilisateur d'un produit ou service certifié d'avoir confiance dans la qualité de l'évaluation.

Un organisme national d'accréditation est organisé de manière à être impartial et indépendant des organismes d'évaluation de la conformité qu'il évalue.

Le règlement établit les règles concernant l'organisation et le fonctionnement de l'accréditation des organismes d'évaluation chargés d'accomplir des tâches d'évaluation de la conformité.

Au plan européen, les organismes nationaux d'accréditation ont mis en place un système d'audits « croisés » afin d'assurer la reconnaissance mutuelle de leurs prestations. Sa mise en oeuvre est assurée par l' European cooperation for Accreditation (EA)^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}, organisme qui regroupe tous les organismes d'accréditation européens.

En France, c'est le comité français d'accréditation (COFRAC) qui est désigné par le décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité

Le groupe de travail «article 29» note que la législation en vigueur en matière d'accréditation des produits peut s'appliquer aux services de certification dans le domaine de la protection des données. L'accréditation concerne les organismes en charge de l'évaluation de la conformité qui revient à démontrer que « des exigences spécifiées relatives à un produit, processus, service, système, personne ou organisme ont été respectées ».

Le règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} prévoit, au plus, un organisme d'accréditation par Etat membre, sans concurrence entre les organismes européens qui ne pourront exercer que sur leur propre territoire, sauf exceptions dument cadrées en accord avec l'organisme de l'autre Etat membre.

Pour un exemple d'organisation mondiale voir IAF (International Accreditation Forum) ~~http://www.iaf.nu/~~

(II) Certification de personnes

Elle donne le moyen à un professionnel de faire attester par une tierce partie (organisme certificateur) l'aptitude de son personnel à réaliser des tâches normalisées. Elle a pour objectif de garantir aux clients la capacité de la personne à assurer la mission qui lui est confiée.

Souvent, l'organisme certificateur est lui-même accrédité et doit suivre un programme de certification ce qui permet de d'assurer un niveau d'assurance et de définir des exigences de compétence.

(III) Certification de produits et services

Elle permet à un client de s'assurer par l'intervention d'un professionnel indépendant, compétent et contrôlé, appelé organisme certificateur, de la conformité d'un produit à un cahier des charges ou à une spécification technique.

En France, l'Agence nationale des Systèmes de Sécurité de l'Information (ANSSI) est chargée de la certification de produits de sécurité des systèmes d'information.

L'agence gouvernementale assure la mission d'autorité nationale en matière de sécurité des systèmes d'information ; elle est notamment chargée de délivrer des labels aux produits de sécurité.

Elle accrédite des laboratoires, les CESTI, seuls qualifiés pour faire les évaluations suivant le schéma arrêté. Chaque CESTI est une tierce partie indépendante des développeurs de produits et des commanditaires. L'ANSSI contrôle régulièrement les CESTI.

Par exemple les CESTI sont chargés de l'évaluation des dispositifs sécurisés de création de signature électronique.

(IV) Certification de procédure

Fondées sur une évaluation continue des processus, les plus fréquentes portent soit sur le management de la qualité, de l'environnement, de la sécurité de la santé ou de la sécurité des systèmes d'information (SMSI) et plus rarement sur le système de management de la protection de la vie privée (PIMS).

Il existe de nombreux standards internationaux portant sur les systèmes de management dont ISO (9001, 14001, 27001) ou OHSAS 18001 par exemple.

Les exigences de certification peuvent aussi être décrites dans la loi avec le support d'un cahier des charges comme c'est le cas en Suisse. (cf.annexe 3).

La certification valide la mise en oeuvre des exigences générales d'une norme (standard, règlementation, cahier des charges) et son amélioration continue selon le modèle PDCA de la roue de Deming (fig. 2). Elle atteste d'une gestion efficace et efficiente du Système de Management au travers de sa politique et de l'atteinte des objectifs qu'elle fixe.

Titre VIII. Eléments de comparaison des schémas existants

Section 1. Critères de comparaison

Certains auteurs ont défini les critères propres à un label de qualité.^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Face au risque de prolifération de labels et marques de confiances et constatant qu'il y avait une confusion chez les consommateurs sur le contenu, la valeur et la fiabilité des labels, la commission européenne a décidé en 2001 de mener une réflexion avec les professionnels (UNICE) et les organisations de consommateurs (BEUC) pour mettre en place le projet « e-confidence ». Une liste de critères (European Trustmark Requirements) a été dressée par ces deux parties car il ne s'agissait pas pour la commission de produire « un label » de plus au niveau européen mais d'avoir un système qui permettrait de comparer les labels existants ou à créer à une liste comparative de critères de fiabilité (ETR).^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Les ETR visent à définir un haut standard de protection du consommateur dans le commerce électronique et à encourager les ventes sur internet pouvant servir de benchmark aux schémas de certification dans le B2C.

Les labels de sites web ne sont qu'un type de schéma de certification parmi d'autres.

Pour la présente étude il a été choisi de regrouper les critères de comparaison de l'ensemble des schémas, qu'il s'agisse de labels de sites web, de certification de produits, services ou procédures, sous formes d'objectifs fondamentaux visant à améliorer la protection des DP et de la vie privée.

(I) Règles et principes objet du référentiel

Le référentiel est un document dans lequel sont décrites les exigences d'un produit, d'un service ou d'une procédure et les modalités du contrôle de la conformité à ces exigences.

Pour assurer la crédibilité du schéma, le référentiel doit s'appuyer sur des principes de protection de la vie privée et des DP suffisants mais non dissuasifs.

Le référentiel constitue le noeud gordien d'un schéma ; en effet, selon les systèmes et cultures juridiques, les critères diffèrent tant dans leur contenu que dans leur interprétation.

(II) Contrôles effectifs, réguliers impartiaux et résolution des litiges

ï un mécanisme de vérification de la conformité des adhérents aux critères du schéma de certification (périmètre du contrôle);

ï contrôles effectifs, réguliers et impartiaux (recours à une tierce partie et mesurabilité) ;

Selon la culture juridique, une obligation de rendre compte « accountability » ou ce qui s'apparente au « Feedback » ;

ï une procédure efficace et gratuite de gestion des litiges (suivi des plaintes, facilité d'accès au système de résolution des litiges, degré d'exigence et de précision du cahier des charges et l'impartialité du contrôle).

ï Un système d'exécution prévoyant des sanctions dont un possible retrait du label

Concernant le commerce électronique, les contrôles devraient non seulement porter sur le site internet mais également sur l'(les) entreprise(s) responsable(s) du site marchand. ^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

(III) Indépendance et compétence des évaluateurs et de l'organisme délivrant le label ou le certificat

Pour la délivrance, le renouvellement et le retrait du label, on observera l'éventuelle mise en place

d'une instance spécifique présentant des garanties d'indépendance et de compétence suffisantes (par exemple par le biais de la représentation d'associations de consommateurs agréées ou de la société civile, indépendance de l'instance d'évaluation).

Derrière ces critères se cachent de grandes disparités fonction des motivations purement commerciales ou pas du schéma et du statut des organismes de délivrance et d'évaluation.

(IV) Accessibilité, information et transparence

Le schéma (les principes, le code de conduite, les règles de fonctionnement...) doit être facile d'accès, compréhensible, sans barrière de langue (multilinguisme), sans barrière de coût.

-Les règles de transparence portent sur :
      - l'identité du gestionnaire du schéma et sa domiciliation ;
      -la nature de la démarche (certification, habilitation, ...) ;
      -les modalités d'attribution, notamment sur la qualité de l'auditeur (auditeur accrédité ou non, et si oui, par quel organisme) ;
      -la nature du label ou de la certification : B to C, sécurisation des paiements, organisation, processus, produit etc. ;
      - les modalités de contrôle et la date de celui-ci ;

(V) Reconnaissance géographique, loi applicable et juridiction compétente

La reconnaissance se définit comme l'acte par lequel on admet l'existence d'une obligation.

En dehors des frontières, la reconnaissance du certificat ou du label tant entre les parties que vis-à-vis des juridictions pose problème.

Comme le rappelle la CNIL dans son avis du 22 octobre 2003, les obligations de la loi de protection des DP s'appliquent aux sites dont « le responsable du site est établi en France ou lorsqu'il dispose d'un représentant en France alors qu'il est établi hors de l'Union européenne ».

Alors que se développe la globalisation des échanges via internet, la protection des DP dépend du lieu du responsable de traitement des données, ce qui n'est pas sans poser de graves problèmes liés au droit applicable avec le risque bien réel que se développent des « paradis de DP», à l'instar des paradis fiscaux (cf. titre III section 2).

(VI) Valeur ajoutée de la certification

Un schéma de certification doit apporter une valeur ajoutée au-delà du seul respect des obligations légales.

L'adhérent devrait bénéficier de services au moins équivalents aux contraintes estimées (réelles et supposées) dues à l'engagement dans une démarche de certification.

Les services sont de l'ordre du conseil, de la recherche, de l'assurance, de démarches marketing, de mise en réseau...

Section 2. Recensement des schémas de protection de la vie privée et des DP

« Bien conçu, votre énoncé de protection de la vie privée est un outil de communication précieux qui peut contribuer à la confiance que vos clients placent en vous. Cette confiance vous aidera à protéger votre marque de commerce et à soutenir la concurrence féroce des marchés en ligne.» Bennie Smith, chef de la protection des renseignements personnels de Doubleclick.

(I) Les labels de sites Web

De nombreuses initiatives de certification sont déjà opérationnelles dans les échanges en ligne. Parmi celles-ci, on trouve notamment:

L'étude porte dans un premier temps sur les labels de sites de e-commerce considérant la protection de la vie privée comme « une de » leurs exigences à respecter ; puis sur les schémas focalisés sur la protection de la vie privée sur les sites web.

(1) Exemples de labels de sites de commerce électronique traitant accessoirement de la protection de la vie privée ou des DP

Face à la multiplication des schémas de certification, les individus ne sont pas en mesure de distinguer les labels de qualité, à la fois gage de confiance et de sécurité.

Le Parlement Européen a annoncé au printemps 2010 la nécessité de créer un schéma européen qui devrait se baser sur les directives européennes, supervisé par la commission et assuré par des standards de contrôles ou d'application au niveau national. Cependant il a également été indiqué que ce schéma devrait être mis en oeuvre en coopération avec les labels existants.

Il ne semble pas exister de schéma dans les pays suivants : Suède, Roumanie, Estonie, Bulgarie, Chypre, Finlande, Islande, Slovaquie, Slovénie, Lettonie.

Le tableau ci-dessous recense une partie des schémas dans l'Union Européenne et Hors U.E. Il existe un certain nombre d'autre labels non référencés soit en raison de leur nombre de licenciés particulièrement faible, soit parce que les organismes ont cessé d'émettre des labels (cf. TrustUK ; Labelsite France, Italie et Espagne).

Bien que non spécifiquement dédiés aux sites web, certains schémas de certification de protection des données dans l'entreprise ont été listés dans le tableau ci-dessous.

Depuis une dizaine d'année de nombreux schémas sont apparus pour les uns axés sur la protection de la vie privée pour les autres tournés vers la sécurité.

Il n'existe pas de législation propre à la certification aux USA d'où une grande confusion entre les schémas qui pour la plupart communiquent sur une « image » plus qu'ils n'assurent une réelle protection de la vie privée.

· garantir la solvabilité des clients et de fournir des services aux vendeurs (ex.FIANET)

· garantir le sérieux et la qualité des vendeurs et de fournir des services aux consommateurs

Tableau certifications de protection des DP et de la vie privée applicables aux sites web

Certificat

Label

Statut de l'organisme

Caractéristiques des schémas

Hors U.E.

Squaretrade

(USA)

Compagnie privée

Partnership avec un assureur

Leader de la garantie qualité des vendeurs et ODR (online dispute resolution)

9.50 usd/mois (soit 114 usd/an)

3 millions d'adhérents

Création 1999

Verisign

(USA)

Compagnie privée

solution sécurité données

le prix dépend des produits

750 000 membres

Création 1995

Plusieurs filiales et affiliées dans 20 pays

BBBOnLine (USA)

Initiative du conseil de Better Business Bureaus.

Service fourni par les Better Business Bureaus locaux (128 bureaux aux USA, Canada et Puerto Rico)

Pratique éthique des affaires

Excellence, Intégrité, travail d'équipe, confiance, respect

« L'Accréditation BBB est un honneur - et toutes les organisations ne sont pas éligibles».

39500 membres

Lancé en avril1997

Large série de services : information, rapports sur les sociétés et oeuvres de charité, traitement des plaintes, publicité, éducation.

BBB EU Safe Harbor ; National Advertising Review Council's (NARC)

Système de résolution de litige par Better Business Bureaus.

Cotisation annuelle

PrivacyMark (Japon)

13000 membres

Ce schéma concerne le système de management des organisations (PDCA)

Partenariat avec BBBOnline

Accords de reconnaissance mutuelle

Webassured

(USA)

Compagnie privée

Ethique des affaires

8000 membres

Création 1995

Security Verification

(USA)

Accès à une liste de sites testés

création 2000

coût : 298 usd/ an ou 989 usd selon la liste

4500 membres

TRUSTe

(USA)

Organisation à but non lucratif lors de sa création ;

Compagnie privé depuis 2008

partenariat stratégique avec BuySafe

création 1997

liens très étroits avec la FTC

membre ATA

environ 3000 licences

Deux types d'abonnements :

Standard: 499 $/an et Professionnel 1499 $/an

Nombreux services

«Click to verify»

Watchdog

Programme d'affiliation

Nouvelles recommandations sur la sécurité

BuySafe seal

(USA)

compagnie privée

coût : gratuit

Garantie les achats jusqu'à 25000 usd

Environ 3000 membres

Partenariat avec TRUSTe

WebTrust (USA/NL)

Initiative du American Institute of Certified Public Accountants (AICPA)

CPAs licenciés par l' AICPA pour délivrer des certificats

les associations nationales des agents « accountable » payent une cotisation annuelle à l'ACPA

Lancé le 1 juin 1999

Large éventail de services: lobbying, organisation d'évènements, informations, recherche, évaluations..

Pratique des affaires, sécurité des transactions et protection de la vie privée en ligne

Le coût pour l'organisation dépend de la complexité de l'évaluation

Les sites payent une cotisation aux CPA

Trust Guard

(USA)

Division de Global Marketing Strategies LLC, compagnie privée

3 labels : protection vie privée, sécurité et Business

Comprend un générateur de politique gratuit

ADR

Approbation en 24h sur simple déclaration

19 usd/mois

MultiSeal de 37 à 67 USD/mois selon performances.

Calculateur de ROI

Scann de vulnérabilité

Programme d'affiliation

Guardian Ecommerce

(Canada)

Tiers de confiance

Création 2002

Sécurité en ligne + protection vie privée

Ethique du commerce en ligne

Vérification des sites de confiance en fonction des plaintes des consommateurs

« le plus économique » : 19.99 usd/an (prix unique)

Trust Sg (Singapour)

créé par le conseil national de confiance

organisation non gouvernementale sans but lucratif

création 2001

1050 membres

cotisation annuelle de 200 à 1200 usd

PIPA Mark System

(Chine)

Dalian Software Industry Association (DSIA)

Accord de reconnaissance mutuelle avec Privacy Mark

Ce schéma concerne le système de management des organisations (PDCA)

20 certificats en 2008

eTrust (USA)

Electronic Trust Foundation

Protection de la vie privée sur internet

+ Safe Harbor + Safe to shop

Guide de conseil utilisation de Facebook

1 an renouvelable

250$/an

Union Européenne

TrustedShop

(Allemagne)

Société à responsabilité limitée

Initiative D21 de la commission européenne

Création 1999

2000 adhérents

Connexion avec une compagnie d'assurance

Garantie de remboursement pour les clients

59 à 99 euros/an

Traitement de cas hors frontières

Intervention d'un Ombudsmann pour le règlement des litiges

SafeBuy (U.K.)

Compagnie privée

1200 adhérents

Création 2003

130 euros/an-

Recours à l'arbitrage

alliance possible uniquement en cas de ADR indépendant et code de conduite émis par un organisme indépendant outre un soutien gouvernemental.

Existe maintenant aux USA ;

Financé par les seules cotisations des membres

Fia Net (France)

Département de la Française Inter professionnelle d'Assurance (FIA) qui a adopté le statut de filiale du courtier d'assurance

Création 1999

Environ 1000 adhérents

Se focalise sur la solvabilité des acteurs :

Système de récompenses sous forme de logos d'or décernés aux sites marchands jugés les plus fiables par les internautes ;

Système de ReceiveAndPay qui garantit l'acheteur contre la non-livraison ou la non-conformité de la marchandise ;

Système de scoring pour repérer les fraudes à la carte bancaire et système d'assurance pour les recouvrements des clients débiteurs.

DMA Direct Marketing Agency (UK)

organisation à but non lucratif

Nombreux outils et services au profit de l'industrie du marketing

Positionnement exigeant :

«demonstrate your company's commitment to excellence and best practice»;

«Brand positioning alongside the most ...of the year»

cf. les « DMA Awards » les plus difficiles à obtenir

890 membres

Cotisation minimum 1900 euros/an ou 0.3% du C.A.

Member de la Federation of Direct Marketing Associations (IFDMA) et de la FEDMA Federation of European Direct and Interactive Marketing)

Depuis le 27 Janvier 2010, DMA collabore avec BSI Management Systems

Thuiswinkel (NL)

Initiative professionnelle du secteur du commerce de détail

Lancé le 20 Décembre 2001

Environ 500 membres

Service parmi beaucoup d'autres: lobbying, organisation d'évènements, information, recherche, Networking, éducation et services juridiques.

Résolution de litige + association avec autres labels pour litiges transfrontières

Evaluation basée sur C.A. de 150 à 29000 euros

Cotisation 450 euros/an

Confianza Online (Espagne)

Initiative conjointe de l'entité de régulation des communications

Et de l'association espagnole de e-commerce

Lancé en 2003

Code éthique de la publicité en ligne et de protection des données

Résolution de litiges et protection des mineurs

Conforme à la loi espagnole 34/2002 (LSSI) et EU Directive 2000/31/EC.

+ 500 membres

Confiança Online Trust

(Portugal)

Collaboration de l'Association portugaise de e-commerce et des auditeurs indépendants

Création 2003

L'adhésion est soumise à un audit indépendant du site conformément à un guide de conformité portant sur la protection de la vie privée et des DP, sécurité, propriété intellectuelle, plaintes et résolution de litiges, droit ecommerce, protection de smineurs...

BeCommerce label

( Belgique)

Fondée par l'association de marketing direct

450 adhérents (Belgique)

Création 2006

pratique éthique des affaires dont protection de la vie privée

500 euros/an

Euro-label

Initiative coordonnée par EuroCommerce basée sur le code de conduite européen

Réseau d'entités de certifications nationales euro-label

Création :1 novembre 1999

290 membres dont 240 en Autriche et 30 en France (LabelSite créé par la FEVAD) mais seuls les sites de l'Allemagne, Autriche et de la Pologne sont encore actifs.

Service parmi d'autres dont information, lobbying, recherche

ADR par entités membres de European Extra Judicial Network (EEJ-Net).

Cotisation annuelle ex. 800 euros/an en Autriche

Charte qualité FEVAD

Les membres français de la FEVAD peuvent adhérer à une charte qualité

Charte de 34 points sur une pratique éthique du e-commerce comprenant un engagement de respecter la loi sur la protection des DP

Gütesiegel & Qualitätssiegel (Autriche)

Créé par l'association de commerce de détail autrichienne Handelsverband

Création en 2000

Audit qualité dont vérification de la conformité à la loi de protection de la vie privée et des DP

Label pour 1 an reconductible après audit annuel

GoodPriv@cy

(Suisse)

SQS accréditée par la SAS

Schéma de certification de système de management des organisations (PDCA)

50 labels attribués

-ils ne garantissent pas l'effectivité ni l'efficacité des contrôles sauf pour les schémas avec audit ;

-ils n'assurent pas de sanctions dissuasives en pratique (à l'exception des schémas avec audit indépendant) ;

-ils comportent un système alternatif de résolution de litige dont l'efficacité et l'indépendance ne sont pas démontrées ;

-ils proposent de nombreux services annexes à l'attention des clients et utilisateurs ;

-ils ont pour certains d'entre eux noué des accords de reconnaissance mutuelle ou de coopérations entre labels

-ils se basent sur une cotisation annuelle (parfois mensualisée) généralement modeste et basée sur le C.A. Les schémas nécessitant une démarche d'évaluation ou d'audit par un tiers indépendant sont par conséquent beaucoup plus onéreuses (cf.WebTrust ci-dessous);

- Certains schémas s'assurent les services de compagnies d'assurance, à l'instar de WebAssured décrit ci-dessous.

Un des réels dangers réside dans le fait que ne sachant pas ce que recouvre la certification de ces labels, les individus se méprennent sur la signification d'un label. Ainsi les certificats délivrés par BBB ou TRUSTe certifient les politiques basées sur l'Opt out.

Les schémas portant sur la certification des systèmes de management font quant à eux l'objet de développements ultérieurs ( PrivacyMark et GoodPrivacy).

(2) La protection de la vie privée, un des critères des labels de pratiques éthiques des affaires

a) Webassured

Ce label créé en 1995 comprend 8000 licenciés et se veut le « Le Standard Universel d'Ethique » et assure faire appliquer ses règles au moyen de la « pression de la publicité ».

Le label protège les acheteurs en ligne et les vendeurs dignes de confiance qui acceptent les critères du standard basé sur les points règlementaires suivants :

Webassured se distingue en ce que ce schéma propose un programme d'achat garanti sur internet.

Le risque pour le client est éliminé et le remboursement est couvert à hauteur de 200 $/transaction pour les membres qui n'ont pas eu de problème pendant au moins une année (possibilité de souscrire à une couverture supérieure).

Ce schéma propose au consommateur la sécurisation de ses achats en lui assurant une relation de confiance avec des professionnels garantis.

Depuis lors, un certain nombre de marques de confiance se basant sur une pratique éthique des affaires, tout particulièrement dans les pays européens, ont vu le jour (cf. tableau ci-dessus).

b) BBBOnline

Organisation professionnelle à but non lucratif financée par le secteur privé, BBB a été fondé en 1912 aux USA et en 1966 au Canada ; aujourd'hui il existe 122 entités aux USA couvrant 3 millions d'adhérents et 2.3 millions au Canada.

Aujourd'hui cet organisme émet des labels relatifs à l'éthique et à la confiance mais n'est plus focalisé sur la protection de la vie privée.

Le message est très clair : BBB se doit d'être le chef de file de la confiance sur le marché

« L'Accréditation BBB est un honneur - et toutes les organisations ne sont pas éligibles».

Valeurs mises en avant : Excellence, Intégrité, travail d'équipe, confiance, respect

Cet organisme assure une présence sur l'ensemble du territoire d'Amérique du Nord grâce à un réseau national et local.

Pour BBB la confiance se traduit dans les deux facteurs suivants: l'intégrité et la mesure de la performance.

-BBBOnline : ce label créé en 1997, traite du respect de la vie privée et des DP (adresses e-mails) et compte environ 39500 membres.

-BBB EU Safe Harbor : coût modéré entre 300 $ et 7000 $/an ( au dessus de 2 billions de C.A).

-un service de plaintes relative à la publicité, y compris pour les non adhérents ou pour le commerce traditionnel et les organisations caritatives ;

Il est à noter que BBB a développé sa politique de communication sur les réseaux sociaux tels que Facebook, Youtube, Twitter, LinkedIn, Myspace, etc....

c) WebTrust (*)REF _Ref278271812 \r \h \* MERGEFORMAT

WebTrust nécessite un audit d'évaluation externe in situ, de la qualité des procédures de protection de la vie privée, des critères de design, d'implémentation, de management des infrastructures fonction des principes généraux (GAPP).

Ce label est le fruit d'une initiative de l'American Institute of Certified Public Accountants (AICPA) qui a identifié 6 catégories de prestations d'un potentiel de revenus annuels total compris entre 500 M$ et 5 Md$, dont quatre sont particulièrement dédiées aux systèmes d'information.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Webtrust a été développé dans le cadre plus global de SysTrust permettant d'évaluer la fiabilité d'un système spécifique au travers des critères de sécurité, disponibilité et intégrité.

Les services sont définis comme une série de garanties professionnelles et de conseils basés sur un cadre pour traiter les risques et les opportunités comme suit :

· L'évaluation du risque (« risk assessment ») : cette catégorie de prestations doit permettre de

garantir aux directions et/ou aux investisseurs, que le profil de risques établi est complet et que

l'entreprise a mis en place les dispositifs appropriés pour gérer ces risques.

· La mesure de la performance de l'entreprise (« business performance measurement »)

· La fiabilité des systèmes d'information (« information system reliability »)

· Le commerce électronique (certification WebTrust) : L'objectif de cette catégorie de prestations est d'évaluer la fiabilité, la confidentialité, la protection de la vie privée, des pratiques commerciales saines et l'intégrité des données des systèmes d'information.

Ces catégories ne sont pas indépendantes et s'influencent les unes, les autres.

Ce schéma a connu des débuts difficiles qui s'expliqueraient par le fait que les développeurs se sont focalisés sur la sécurité (notamment vis-à-vis des hackers) et sur l'audit de management sans prise en compte des attentes de protection des informations personnelles.

A partir de 2001, une nouvelle version a permis aux fournisseurs de WebTrust de nouer des partenariats avec des associations professionnelles et d'offrir des services protecteurs de la vie privée. En France la délivrance du label a été confiée en 2002 à l'Ordre des Experts Comptables mais aujourd'hui on ne trouve plus trace de cette collaboration sur le web.

Alors que le programme WebTrust comprenait trois critères avant 2001, il en contient désormais six. Le sceau WebTrust confère une garantie de transparence des pratiques commerciales, de confidentialité des informations et de sécurité des transactions.

La vérification concerne le respect d'un, de plusieurs, voire de tous les principes.

Le label de certification WebTrust est géré par un tiers de confiance : Verisign.

WebTrust, présent dans 21 pays sur tous les continents, est mis en oeuvre de manière identique dans tous ces pays par des professionnels de l'audit. En janvier 2010 son arrivée a été annoncée en Inde, par l'intermédiaire de Bennett Gold of Canada qui détient une licence globale.

(3) TRUSTe

TRUSTe fut créé en 1998 sous la forme d'une organisation à but non lucratif par EFF (Electronic Frontier Fundation), CommerceNet, et un certain nombre d'entreprises agissant dans le secteur de l'internet (Microsoft, Intel, IBM, AOL, Excite).

Dès l'origine, TRUSTe n'a pas caché son intention première, à savoir éviter l'intervention d'une législation nationale ; l'organisme se dit avant tout au service des entreprises.

a) Objectifs de TRUSTe

Ce schéma est axé sur l'information et le consentement des personnes. TRUSTe vérifie la politique de protection de la vie privée de l'entreprise et la destination des données personnelles d'après les déclarations de l'organisation. Cette dernière s'engage à respecter sa propre politique de protection de la vie privée.

Divers services sont disponibles tels que la consultation de lignes directrices émises par les autorités ou des « best practices », un test en ligne, un système ADR et un générateur de politique de protection de la vie privée.

TRUSTe détermine les cotisations en fonction du C.A. mais propose deux types d'abonnement:

-Standard: 499 $/an avec une autoévaluation en ligne et une politique de privacy standardisée

-Professionnel: 1499 $/an, le site est «certifié et la politique de protection de la vie privée est adaptée au cas de l'organisation/process en one to one avec un consultant.

En cas de non respect de la politique, TRUSTe n'est pas allé jusqu'à dénoncer le contrevenant aux autorités mais en 2008 la société a créé un forum des plaintes pour dénoncer une violation de la politique de vie privée affichée, un usage abusif du label ou tout autre problème lié à la vie privée autrement appelée « Watchdog ». Quatre licenciés se sont vus retirer le label.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

b) Une démarche commerciale et marketing

Le site relate divers témoignages de satisfaction d'entreprises faisant part de leurs ROI, de l'avantage concurrentiel acquis grâce au label.

D'après les témoignages référencés sur le site, le label procure un avantage concurrentiel en amplifiant les conversions à la page accueil. L'augmentation est estimée entre 8 et 29%, la plus forte touchant les sites les moins connus du public. Toutefois aucun élément ne permet de juger de la véracité de ces affirmations

Une hotline, un live chat, des vidéos, essai gratuit permettant d'analyser l'évolution des ventes.

TRUSTe a un programme d'affiliation en ligne, très facile d'accès et compréhensible qui permet à l'affilié de recevoir 20% des ventes de tout produit et service TRUSTe opérées à partir du lien présent sur son propre site.

c) Evolution de TRUSTe

Le nombre de labels délivrés depuis 1998 parait « modeste » comparé au développement des labels ayant une portée plus large (Ethique des affaires, sécurité du commerce électronique) : 3440 sites Web sont labellisés par TRUSTe dont « Privacy Seal » Web sites (2,468) et « EU Safe Harbor Seal » Web sites (619).

D'après la firme de capital risques ACCEL, qui a soutenu TRUSTe, la compagnie génère un C.A. annuel de 10 millions de dollars et croît de 50 à 75% par an.

TRUSTe développé une stratégie d'alliance et de partenariat avec NYMITY, fournisseur d'une base de connaissances sur la protection de la vie privée et des DP et de services d'alerte disponible dans le monde entier. C'est aussi un des partenaires très actifs de l'APEC.

TRUSTe a étendu son champ d'intervention en découpant de manière judicieuse les domaines certifiés :

- « TRUSTe's Translation Services » est un service de traduction en 35 langues des politiques de protection de la vie privée, des ADR et des programmes de certification.
-TRUSTe's Service Provider Evaluation (SPE) propose une évaluation de risque du système de management, de la sécurité et des politiques de protection de la vie privée des fournisseurs.

Signalons également que TRUSTe a récemment annoncé la création d'un label propre aux sites web et applications sur mobile, entendant notamment prévenir toute géo-localisation abusive. Le choix du mobile comme nouveau support devrait assurer une nouvelle phase de développement au label.

Enfin TRUSTe prête d'avantage attention à la sécurité dans sa nouvelle version qui traite de la sécurité des applications Web et sur les appareils mobiles.

TRUSTe a consacré deux nouvelles sections à la préparation en vue d'aider les entreprises à mieux faire face à d'éventuelles brèches dans la protection des données.

Les organisations auto-évaluent leurs besoins de sécurité en jugeant le caractère fondamental, facultatif ou inutile des directives suggérées.

TRUSTe est le seul label dédié à la protection des DP sur les sites web et celui qui offre la panoplie la plus complète de services y afférant.

d) Les limites du modèle TRUSTe

Ce label peut donner une illusion de protection de la vie privée car il n'y a pas de standard commun et les auditeurs se basent sur les propres standards de la compagnie auditée

L'un des points faibles de TRUSTe réside dans le manque de notoriété de sa propre marque; en conséquence, des entreprises comme Google et MySpace ne sont pas licenciées et d'autre part les sanctions imposées n'ont pas d'effet dissuasif .

Aujourd'hui TRUSTe ou BBB Online doivent affronter la concurrence des compagnies d'auditeurs (voir CA/CPA ; voir alliance de DMA Marketing UK et BSI) qui bénéficient d'une réputation d'indépendance, d'expertise de garantie et d'un savoir faire dans le développement de standards de qualité.

Dans une étude datant de 2000 et portant sur les trois principaux labels de protection de la vie privée, BBBOnLine, TRUSTe et WebTrust, les commissaires de l'Ontario et d'Australie constataient que les méthodes de résolution de litiges n'étaient pas d'égale efficacité et trouvaient rapidement leurs limites si aucune solution amiable n'était trouvée.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Les auteurs concluaient alors qu'aucun des labels étudiés ne pouvait être qualifié de complètement satisfaisant et qu'aucun n'exigeait de ses adhérents un total respect des principes OCDE.

Benjamin Edelman^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} va plus loin et démontre que les sites certifiés par TRUSTe sont deux fois moins dignes de confiance que les sites sans certification.

Néanmoins, le fait que TRUSTe refuse un nombre non négligeable de demandes de certification laisse à penser que les labels ont un rôle à jouer dans la sensibilisation des organisations à une meilleure protection des DP.

Une des principales critiques des schémas de certification de sites web porte sur le fait qu'ils sont généralement basés sur un auto engagement à respecter des exigences très vaguement définies. Sans strictes mesures d'application, de contrôle, de suivi et application de sanctions, ils ne garantissent pas une bonne protection des DP et de la vie privée. Ce d'autant plus que les organismes émetteurs des labels sont financés par les cotisations annuelles des adhérents dont ils défendent parfois ostensiblement les intérêts. La faible notoriété de ces labels ne leur confère pas de caractère dissuasif ou incitatif vis-à-vis d'entreprises connues.

Les modèles basés sur des standards (exemple de WebTrust) assurent une meilleure garantie professionnelle mais le succès de tels schémas à la fois plus exigeants et plus onéreux, ne peut dépendre de la seule demande du marché. Toute mesure de protection des DP doit être soutenue par des mesures politiques incitatives et des contraintes règlementaires susceptibles de peser sur les organisations.

(II) Schémas de certification de procédure ou de système de gestion

Les schémas de certification de systèmes de management existant font l'objet de critiques car la certification de procédures ne garantit pas l'implémentation et la mise en oeuvre; ils assurent une conformité apparente sans finalement garantir l'efficacité.

Monsieur Eric Gheur^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} émet un avis critique sur les certifications d'approches systémiques qui n'apportent qu'un niveau de confiance mais pas une garantie. Ses travaux de recherche en cours portent sur une méthode d'évaluation partant du postulat que l'organisation a une obligation de résultat. On ne doit pas mesurer la seule existence d'une procédure mais l'efficacité des processus selon des critères objectifs. Il serait alors possible de préciser des niveaux d'exigences et des labels partiels. Il pense que le marché ne serait pas mûr pour une certification de systèmes de management.^{(*)REF _Ref278271812
\r \h \* MERGEFORMAT}

Tous les systèmes étudiés ci-après, aussi différents soient-ils, se caractérisent par :

On note aussi avec intérêt l'émergence de nouveaux principes allant au-delà des obligations imposées par les textes (« Accountabilty », économie des données, mesures proactives, PbD ...) ou focalisés sur certains points qui ont pris une importance particulière (cf. sécurité).

(1) L'audit de système de management

a) Caractéristiques de l'audit de système de management

L'Audit de protection des données se définit comme l'examen systématique et indépendant visant à déterminer si des activités impliquant des traitements de données personnelles sont réalisées suivant des politiques et procédures de l'entreprise et conformément aux exigences règlementaires applicables.

-L'audit encourage la prise de conscience au sein de l'organisation ; il permet la sensibilisation de ses clients, de ses partenaires et du personnel.

-L'audit assure une garantie professionnelle en exigeant un certain niveau de conformité avec la loi ou avec les règles d'entreprise ;

-Il mesure et aide à améliorer la conformité au système de protection des DP;

-Il améliore la satisfaction des clients en réduisant la probabilité d'erreurs pouvant conduire à une plainte.

Ses règles sont généralement définies par rapport à un standard : citons le SAS 70 créé par l'American Institute of Certified Public Accountants (AICPA) pour définir les méthodes des organismes chargés du contrôle interne et des audits financiers sur les sociétés . Comme tout système d'audit pouvant déboucher sur une certification, le cheminement peut être long et lourd pour envisager la certification. Il s'agit de lignes directrices génériques pour la préparation d'un rapport d'audit mais rien ne garantit que la mise en oeuvre soit conforme.

En Europe, l'ISO/CEI 17021:2006 (Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification de systèmes de management), définit des exigences rigoureuses pour la compétence et l'impartialité des organismes qui proposent l'audit et la certification, notamment selon des normes ISO 9001:2000 (management de la qualité) et ISO 14001:2004 (management environnemental).

L'ISO/CEI 17021:2006 forme la base commune en cas de nécessité de faire vérifier l'application d'une norme de système de management par un audit et une certification indépendants («par tierce partie») comme pour l'ISO 27001 par exemple. Elle est désormais l'unique standard ISO relatant les exigences pour accréditer les organismes qui procèdent à la certification.

Les exigences d'impartialité couvrent notamment la nécessité, pour l'organisme de certification, d'apporter la preuve que les conflits d'intérêts entre la certification et les services de conseil, de formation et d'audit interne sont évités; elles s'appliquent aussi à la commercialisation des services de certification et à la sous-traitance des audits.

L'ISO 19011:2002 constitue la référence en matière de guide d'audit de systèmes de management ; elle consiste en des lignes directrices relatives aux audits de systèmes de management de la qualité et/ou de management environnemental.

La norme ISO 19011 devant servir de cadre de référence à la procédure de labellisation de la CNIL, il a délibérément été choisi de l'aborder en détails ci-dessous.

L'ISO 19011:2002 remplace six normes plus anciennes dans les séries ISO 9000 (qualité) et ISO 14000 (environnement).

En ce qui concerne les audits réalisés par des organismes externes, l'ISO 19011 fournit aux organismes de certification et d'enregistrement une approche uniformisée, qui facilitera l'évaluation externe combinée des systèmes de management.

Une amélioration importante de ces nouvelles lignes directrices concerne les qualifications des auditeurs. La norme insiste davantage sur le fait que la compétence de l'équipe d'audit et de chaque auditeur varie selon la nature, l'étendue et la complexité de l'audit et qu'il n'est pas possible d'établir des critères uniformes de compétence applicables à toutes les situations.

Conformément à ISO 19011, les auditeurs doivent respecter les principes suivants :

2- Image fidèle: obligation de rendre compte avec fidélité et précision (y compris des obstacles et opinions divergentes rencontrés)

4-Indépendance : l'auditeur doit être libre de tout préjugé et de conflit d'intérêt

Compétences des auditeurs: qualités personnelles et connaissances + savoir

Le savoir et les compétences propres au leader : planifier, représenter, diriger, conduire, prévenir et résoudre les conflits...

Education, expérience, formation aux techniques d'audit : expérience de management (communication, conduite d'équipe, technique ...) ; entrainements à l'audit en interne ou en externe ; expérience de l'audit sous la direction d'un auditeur

Perfectionnement professionnel continu et participation régulière à des audits

L'évaluation se fait à trois occasions, l'évaluation initiale ; l'évaluation pour participer à l'équipe ; l'évaluation régulière de perfectionnement.

Etape 1 identifier les qualités et compétences personnelles au regard des besoins de l'audit

Etape 4 conduire l'évaluation (documents, interviews, feedback, tests, examen post audit).

L'ISO/CEI 17021:2006 définit des exigences rigoureuses pour la compétence et l'impartialité des organismes qui proposent l'audit et la certification.

L'ISO 19011:2002 est un outil d'amélioration continue destiné à aider les organisations à optimiser leurs systèmes de management en permettant un audit unique applicable aux deux systèmes permettant d'économiser de l'argent.

En conséquence, l'ISO 19011 constitue un cadre qui permet aux organismes d'établir leurs propres exigences de compétence et les processus d'évaluation correspondants des auditeurs.

L' ISO/CEI 27001:2005, est un standard d'audit de système de management de la sécurité de l'information, Technologies de l'information -Techniques de sécurité :

Cette norme spécifie les exigences et les processus qui permettent à une entreprise d'établir, de mettre en oeuvre, de revoir et de surveiller, de gérer et d'actualiser une sécurité de l'information qui soit efficace. Comme ISO 9001, elle est construite sur le modèle du cycle de processus Planifier-Déployer-Contrôler-Agir (PDCA) et sur l'exigence d'une amélioration continue.

La norme est conçue pour prendre en charge les aspects de sécurité de la gestion des informations dans l'entreprise, la protection des biens d'information, les obligations légales et contractuelles, mais aussi l'analyse des risques qui pèsent sur les systèmes TIC (technologies de l'information et de la communication) d'un organisme et sur ses processus.

Partant du postulat qu'un système de gestion de la protection des données (SGPD) doit être appréhendé comme tout « système de management », rien ne s'oppose à ce qu'il soit intégré dans un système de management existant et standardisé (par ex. un système de management de la qualité) comme l'illustrent les exemples suivants.

i) Le schéma de certification Suisse et l'exemple GoodPriv@cy

L'audit prévu par les textes suisses relatifs à la protection des données se focalise sur le respect de la loi et la sécurité des données.

La Suisse a préféré renoncer à un label officiel de protection des DP au profit de schémas de certifications privées. Pour en éviter la multiplication désordonnée, la loi prévoit les modalités d'accréditation des organismes habilités à évaluer et certifier les systèmes de gestion de DP et à créer des labels propres aux procédures certifiées.

L'Article 11 de la loi fédérale suisse du 19 juin 1992 traite de l'évaluation de systèmes, procédures et organisations de protection des DP par des organismes de certification agréés et indépendants.

Le Conseil fédéral édicte les dispositions déterminant la reconnaissance des procédures de certification et les conditions d'émission de certificats de protection des données.

L'article 4 de l'ordonnance du Conseil fédéral suisse du 28 septembre 2007 est ainsi rédigé:

« le préposé émet des directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir. Il tient compte des normes internationales relatives à l'installation, l'exploitation, la surveillance et l'amélioration de systèmes de gestion dont en particulier les normes ISO 9001 et ISO 27001 ».

La mesure 15.1.4 sur la «Protection des données et confidentialité des informations relatives à la vie privée» est détaillée et subdivisée en objectifs, eux-mêmes réalisables par une vingtaine de mesures concrètes de protection. Ceci est prévu dans le cadre d'un «Guide d'implémentation» ou encore «Code de pratique pour la gestion de la protection des données», annexé aux «Directives sur les exigences minimales qu'un SGPD doit remplir», qui est le pendant pour la protection des données de la norme 27002 (code de pratique pour la sécurité de l'information), associée à la norme 27001. Parmi les 133 mesures de sécurité proposées par ISO 27002, une présélection pour la protection des données a été effectuée. A la différence de ISO 27002, le code de bonnes pratiques du système de gestion de PD (CBPGPD), formule les mesures de manière impérative car elles découlent de la loi et font suite à une analyse de non-conformité.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

A l'instar de l'OCDE et d'autres pays tels l'Australie, le Canada et la Grande-Bretagne, le dispositif Suisse se fonde sur des principes généraux de protection des données.

Une analyse de non-conformité complète l'analyse de risques prévue par 27001 et porte sur les 9 principes suivants :

Ces dispositions doivent être complétées par la législation en vigueur dans les différents secteurs (santé, télécommunication, statistiques...).

S'il n'est bien sûr pas question d'imposer une certification du système de gestion du système d'information(SGSI) pour obtenir une certification SGPD, le niveau de reconnaissance d'une certification SGSI préexistante, notamment par rapport aux exigences de «Sécurité des données», devra être évalué et décidé par le certificateur au cas par cas.

S'agissant de l'accréditation effectuée par le Service d'accréditation suisse (SAS), il est par contre probable que l'accréditation SGPD soit prévue comme une extension de l'accréditation SGSI (ISO 27001), étant donné la référence étroite et explicite aux exigences de cette norme.

L'ordonnance sur les certifications en matière de protection des données (OCPD) est entrée en vigueur le 1er janvier 2008.

La certification porte soit sur l'ensemble des procédures de l'organisation soit sur des procédures déterminées de traitement ; sa durée de validité est de 3 ans

-les dispositions techniques et organisationnelles pour atteindre les objectifs et notamment les mesures correctives.

La directive du préposé fédéral (PFPDT) fixe les exigences minimales d'un SGPD, autrement dit un modèle de mise en oeuvre, de fonctionnement, de surveillance, de réexamen, de mise à jour et d'amélioration de la protection des DP

En choisissant de se référer de manière étroite aux normes internationales ISO 9001, ISO 27001 et 27002, sans oublier les futures normes 27003, 27004, 27005, 27006 et 27007, la Suisse a fait un choix stratégique et pratique, non seulement en raison de leur importante reconnaissance et pénétration sur le marché mondial, mais aussi du fait de leur apport terminologique, structurel et systématique.

La loi Suisse prévoit d'autre part une certification des produits abordée ci-après.

Conformément à l'ordonnance Suisse du 17/06/1996 règlementant l'accréditation, sont concernés les organismes qui procèdent à des essais (laboratoires d'essais) ou à des évaluations de la conformité (organismes de certification et les organismes d'inspection) de produits ou qui exercent des activités analogues à l'égard de personnes, de services ou en matière de procédures.

Le Secrétariat d'Etat à l'économie (SECO) gère le Service d'accréditation suisse (SAS).

Les organismes de certification doivent disposer d'une organisation et d'une procédure de certification avec notamment :

-Les modalités du déroulement de la procédure et les mesures à prendre en cas de manquements

Le SAS associe le PFPDT à la procédure d'accréditation, de contrôle et de révocation des organismes de certification.

La qualification du personnel des organismes de certification répondent à la norme ISO 17021 (système de management) et ISO/CEI-Guide 65 (Produits / Systèmes).^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

-Les textes prévoient la possibilité de suspendre et de révoquer la certification en cas de manquements graves ou d'utilisation du certificat de manière trompeuse.

-C'est le PFPDT qui alerte l'organisme de certification accrédité (ex. SQS) qui lui-même met l'entreprise en demeure en l'invitant à prendre les mesures nécessaires afin de remédier à la situation dans un délai de 30 jours. Si l'entreprise n'est pas en mesure d'y donner suite dans le délai fixé, l'organisme de certification suspend la certification (al. 3). Une fois le délai de 30 jours écoulé, il révoque la certification si l'organisme certifié n'est pas en mesure de remédier à la situation dans un délai convenable. Par délai convenable, on entend une durée maximale de trois mois.

Si l'organisme au bénéfice d'une certification ne remédie pas à la situation dans le délai fixé et si l'organisme de certification ne suspend ni ne révoque la certification, le préposé établit une recommandation au sens des art. 27, al. 4, et 29, al. 3, LPD. La recommandation est adressée à l'organisme de certification ou à l'organisme certifié, selon que la responsabilité des défauts incombe à l'un ou à l'autre. Si la recommandation est adressée à l'organisme de certification, le SAS doit en être informé en tant qu'autorité de surveillance.

Il convient de relever que les concurrents concernés, les clients, ainsi que certaines organisations, en particulier les organisations de défense des consommateurs, pourraient également, en vertu des articles 9 et 10 de la loi fédérale du 19 décembre 1986 contre la concurrence déloyale, intenter une action, lorsque des certificats ou des labels de qualité sont utilisés sans que les exigences correspondantes ne soient satisfaites.

-Droit de la protection des données : 2 ans de pratique ou diplôme haute école spécialisé (1 an minimum).

L'organisme doit disposer de personnel qualifié pour chacun des domaines qu'il couvre.

Finalement, le seul point qu'il ne nous a pas été possible d'évaluer pour les besoins de cette étude est celui de la mesurabilité des actions engagées pour la mise en oeuvre des exigences.

A ce jour le SAS décompte 7 certifications conformes à l'ordonnance et au guide de conduite suisses, outre les certifications délivrées sous le label GoodPriv@cy .

· Good Priv@cy, première certification Suisse de système de management de la protection des DP

Le SAS (service accréditation suisse) a accrédité l'Association Suisse pour Systèmes de Qualité et de Management (SQS) partenaire du réseau international IQNet)

La SQS, fondée en 1983, est l'une des premières organisations mondiales de ~~certification et d'évaluation~~ de système de management de la qualité. Elle intervient sur le plan international et est leader en Suisse.

La SQS est une association Suisse à but non lucratif, intervenant de manière neutre et indépendante. Elle exerce une activité d'audit dans tous les domaines de l'industrie et des services et propose une vaste palette de prestations.

Conformément à la règlementation Suisse, GoodPriv@cy® est le premier certificat de protection des DP délivré par un organisme de certification accrédité.

Il atteste du maintien d'un système de gestion des DP, conforme aux exigences règlementaires et contractuelles et selon un processus d'amélioration continue compris et effectif.

«Nous vérifions seulement la conformité aux exigences, pas l'application des guidelines»

A ce jour, 49 labels GoodPriv@cy ont été attribués en Suisse française et germanique, avec une forte demande pour des services de certification selon notre interlocuteur chez SQS.

ii) Le schéma japonais et l'exemple de PrivacyMark

Il n'existe pas d'autorité centrale chargée de veiller à l'application de la règlementation.

Le Japan Information Processing Development Corporation(JIPDEC), a instauré un système de certification dans le domaine de la protection de la vie privée et des DP (System for Granting Marks of Confidence for Privacy and Personal Data Protection).

JIPDEC est une organisation à capitaux mixtes et à but non lucratif de recherche et de promotion des technologies de l'information.

Alors que la législation de protection des données personnelles en vigueur ne traitait que du secteur public, la création de PrivacyMark a répondu à une demande des entreprises du privé et comblé un vide avant que la loi ne soit révisée en 2005.

Le système de PrivacyMark comprend un comité et un corps de 17 entités d'évaluation

En 2007 JIPDEC a créé un système d'enregistrement des évaluateurs à 3 niveaux : évaluateur Senior, évaluateur, et assistant évaluateur, chacun devant remplir certains critères établis par JIPDEC.

Les évaluateurs assistants doivent suivre des cours pendant 5 jours au centre de formation de PrivacyMark et passer un examen. Pour passer au niveau supérieur l'assistant doit avoir une certaine expérience et obtenir les recommandations d'au moins deux Seniors assistants avant d'être contrôlé par le comité d'évaluation de PrivacyMark.

Les évaluateurs et les évaluateurs sénior doivent contracter soit avec JIPDEC soit avec l'une des 17 entités d'évaluation.

Il s'agit d'un système décentralisé dans lequel les entités d'évaluation sont des associations ou des organisations industrielles à but non lucratif prévues par la loi et accréditées par JIPDEC ou bien JIPDEC elle-même.

Les entités font une double évaluation, sur la base des documents et sur place (idem ISO 27001).

· l'affectation d'un responsable à la protection des DP avec un rôle et des responsabilités clairement définis

· les performances des sessions de sensibilisation et de formation au moins une fois par an pour le personnel concerné ;

· les rapports d'audit au moins une fois par an en lien avec l'état de la gestion et protection des DP ;

· un service de traitement des demandes de renseignement et des requêtes des clients ;

· la présence de mesures de sécurité appropriées, assurant la confidentialité et les contrôles d'accès non autorisés ainsi que la prévention des fuites ;

· la présence de mesures de protection appropriées et de responsabilité en cas de sous-traitance ou d'externalisation.

En cas de refus de certification, l'organisation peut dans les 3 mois demander une nouvelle évaluation après avoir pris les mesures nécessaires.

A noter que le schéma de certification ne semble pas avoir de système de traitement de plainte individuelle mais les organisations certifiées sont censées rapporter les incidents.

Un comité d'évaluation décerne les récompenses et a le pouvoir de retirer le label mais le site n'y faisant pas référence nous ne disposons pas d'information sur l'application des mesures de sanction.

Les entreprises du secteur privé doivent être établies sur le territoire japonais et avoir au moins un système de management de la protection des traitements d'information (PIMS) basé sur le standard JIS Q 15001 et les guidelines et avoir la capacité à maintenir un système sur ces bases.

On retrouve une certaine similitude avec l'autorégulation mais l'accent est mis sur l'amélioration du processus continu. Le standard est basé sur une approche de gestion des risques et sur l'incitation de démarches proactives.

Il a été conçu pour que même en cas de faille, celle-ci puisse être immédiatement rapportée.

JIS Q 15001 est un standard japonais de système de management créé en 1999 pour implémenter une protection des informations personnelles (PI). Ce standard couvre toutes les PI, quelle que soit la façon dont elles ont été obtenues, qu'il s'agisse de données clients ou de salariés.

Pour chaque exigence est défini un objectif, le lien avec l'article de loi, puis sont mis en lumière les points à considérer plus en détail (documents à préparer et actions correspondantes).

Exemple de mesure : l'éducation s'adresse à tous les employés, même s'ils ne participent pas directement au traitement de l'information mais pourraient entrer en contact avec des informations personnelles.

Les dirigeants et les employés sont sensibilisés à la gestion du risque; une démarche d'anticipation qui permet de prendre les mesures appropriées en cas d'urgence.

Depuis 2008, il est possible d'obtenir la certification d'organismes de formation.

La certification est de 2 ans et la durée d'obtention est de 4 à 6 mois après envoi des documents.

Pour 2 ans, sur la base de 1000 JPY = 9.38 €) le coût varie de 2800 euros pour les petites organisations (Maxi 20 salariés) à 5600 euros pour les organisations moyennes (capital et nombre de salariés pris en compte en fonction du secteur) et jusqu'à 11200 euros pour les grandes entreprises (au-delà des critères des entreprises moyennes).

Le tarif de renouvellement équivaut respectivement à 2050 euros, 4250 euros ,8450 euros

PrivacyMark a contracté des programmes de reconnaissance mutuelle avec BBBOnLine, DSIA (Dalian Software Industry Association) et Korean Association Information Technology (KAIT).

Les accords de reconnaissance mutuelle permettent aux entreprises japonaises d'externaliser en confiance et sans besoin d'investigation leurs activités auprès de sociétés de Dalian qui utilisent le système de PrivacyMark mais avec leur propre label PIPA-Mark.

Le Japon se caractérise par une forte sensibilisation des organisations au sujet de la protection des DP, comme le confirment les chiffres : 13218 entreprises étaient certifiées au 31/03/2010 alors qu'elles étaient 1356 en 2003avant l'adoption de la loi sur la protection des données en 2005. ^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

La progression est très nette dans les secteurs de l'industrie des services d'informations à forte sous-traitance ainsi que dans les instituts de sondage (40% du total). Il n'est pas exagéré d'affirmer que le certificat est devenu indispensable à la pratique des affaires.

(2) L'audit, un outil d'amélioration de la protection de la vie privée proposé par les DPA

Dans certains pays, le Commissaire à la Protection des Données est l'auditeur.

Il peut s'agir d'une inspection. Ainsi le commissaire espagnol dispose d'une unité d'inspection traitant d'inspections « pour déterminer l'état de l'art dans un secteur donné » par rapport à la conformité à la loi de protection des DP.

L'audit peut aussi servir de cadre à une éventuelle certification ultérieure mais aucune DPA ne définit le schéma de certification.

a) L'Australie

Le modèle d'audit du Commissaire à la protection des données s'accompagne de divers « guidelines » sur des sujets transversaux (ex. archives).

L'auditeur « doit se faire un jugement sur ce qu'il est raisonnable » dans les circonstances qui prévalent.

L'audit a vocation à être un exercice de conseil et d'enseignement sur les changements nécessaires et la mise en oeuvre à planifier.

Dans ce cas, l'audit n'est pas soumis à des standards particuliers d'industrie ou de gouvernement.

Il demandera à ce que des actions de mise en conformité soient appliquées dans un délai raisonnable mais si l'organisation n'en est pas capable, il passera un accord pour que les changements soient implémentés.

Le cadre de l'audit fait appel à la notion de risque, Privacy Audit Risk (PAR) i.e. que l'auditeur n'identifie pas un traitement incorrect; de part sa nature qui demande un jugement, l'audit de protection de la vie privée nécessitera de se faire un avis sur les différents facteurs de risques en fonction de la nature, de l'étendue et du timing de la procédure.

Les risques liés à l'absence de mise en oeuvre des mesures et procédures et/ ou à leur suivi déficient (2) ; Enfin les risques liés aux contrainte de la procédure même d'audit (3).

(1) Le risque inhérent (IR) se définit comme le risque que le traitement ne soit pas conforme en raison de facteurs environnementaux. Ceux-ci doivent toujours être considérés en premier par l'auditeur qui doit y porter une attention particulière à :

-la mise en oeuvre de politiques et procédures par le management pour protéger les informations du personnel

(2)Les risques liés aux contrôles de protection de la vie privée (PCR) : risques que des contrôles mis en place dans l'organisation n'aient pas permis une mise en conformité.

Deux éléments sont à considérer : la mise en place de mesures et procédures et leur application et suivi effectifs. Ces mesures doivent être appliquées de manière continuelle.

Titre IX. (3)Risques liés à la conformité de l'audit (CAR) : Il s'agit du fait que les procédures de confirmation d'audit puissent échouer dans la détection de non-conformité en raison des risques dus à la procédure tels que le temps limité de l'audit ou bien la méthode d'échantillon.

a) Pays Bas

Plusieurs produits ont été développés par le « Co-operation Group Audit Strategy » pour que des organisations soient en mesure de vérifier par elles mêmes leur propre situation vis-à-vis du Data Protection Act, de manière plus ou moins profonde selon leurs objectifs. Ces outils s'adressent à la fois aux auditeurs et aux audités : un « quick scan », une auto-évaluation et enfin un cadre d'audit.

Le cadre d'audit proposé en ligne par l'autorité de protection des données est un outil proactif, non intrusif, ayant pour objectif de développer la conscience et de préparer un audit (sur la sécurité ou autre).

Le cadre pour audit de protection de la vie privée est un outil complet rédigé pour des auditeurs responsables de la mise en oeuvre de l'audit.

Bien qu'il soit prévu de définir les critères d'un standard, rien n'a encore été précisé à ce jour. Les règles énoncées restent donc à l'état de principes et mesures très détaillées à la fois pour les DP basiques et pour les DP sensibles.

Signalons enfin que le commissaire de la protection des données peut aussi déclencher des « PETs Scan » et des « Privacy Site Visits ».

b) Royaume Uni

Il distingue d'une part un « audit d'adéquation », d'autre part un « audit de conformité ».

L'audit d'adéquation porte sur la conformité des documents de l'organisation (codes de pratiques, guidelines, procédures) au Data Protection Act. Cette première partie peut être conduite en dehors du site ou de manière interne à l'organisation.

L'audit de conformité vise à vérifier, en pratique et sur place, les règles décrites dans les documents.

Certaines catégories de personnes sont à risque en raison de leur insécurité physique :

- Personnes vulnérables (ex. mineurs ; sans abris ; anciens prisonniers ; réfugiés...).

L'outil de l'ICO est très pédagogique, facile à comprendre et à utiliser y compris pour les PME. Il comprend des parties sur les caractéristiques de l'audit, la procédure et un guide pratique de conseils et assistance.

En prévoyant une première étape avec un audit d'adéquation, les organisations ont la possibilité de s'auto-évaluer avant de s'engager dans un audit de conformité, ce qui devrait limiter le coût total de l'évaluation.

c) L'Allemagne

Dès 1997, la loi allemande sur la protection des données de téléservices, ou Teledienstedatenschutzgesetz (TDDSG) a inclus le principe « révolutionnaire » selon lequel les produits technologiques utilisés par les fournisseurs de services ne doivent pas traiter de DP ou doivent aboutir à un traitement minimum des données; ces politiques doivent être prises en considération dès la conception. La loi fédérale de protection des données a adopté par la suite un amendement incluant le principe dit de l'« économie de données ».

L'essence même de l'audit de protection des données régulé par l'autorité fédérale allemande, est de fournir un outil pour les fabricants et utilisateurs de produits et procédures de traitement des DP afin notamment de respecter le principe d' « économie des données ».

Elle suit l'exemple des audits relatifs à la protection de l'environnement qu'on peut trouver dans la législation européenne.

Les entreprises ont la possibilité par la suite de faire appel à des certifications privées généralement axées sur les points de sécurité.

(II) Les standards de protection de la vie privée

A l'occasion d'un communiqué daté du 4 novembre 2010, la commission européenne a précisé son intention de suivre avec attention le développement de standards internationaux tels que ceux du CEN et de l'ISO pour s'assurer de la prise en compte des exigences fondamentales des principes européens de protection des DP.

En Europe, un changement de comportement a été observé à partir du moment où la conscience s'est fait jour de la nécessité de dépasser le niveau strictement national en matière de standardisation dans un marché concurrentiel et international. D'un point de vue commercial, c'est aussi le résultat de ce qu'il est constaté aujourd'hui à savoir que les standards nationaux sont des barrières techniques potentielles, voire réelles, aux échanges.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Aujourd'hui les entités nationales de certification des pays européens représentent 1/5^ème des membres de l'ISO.

Le système de standardisation européenne doit faire face à des facteurs conflictuels :

- Le consensus recherché et les exigences de transparence demandent un minimum de temps tandis que la production de standards doit être de plus en plus rapide.

- La principale source de revenus des standards nationaux est la vente de leurs documents. Excepté le besoin de traduction des standards internationaux (qui est très important en Europe pour l'accès des PME aux standards), les entités nationales perçoivent moins de ressources.

-La participation des entités nationales dans l'élaboration de standards internationaux n'est pas suivie de retombées financières souhaitées par celles-ci, d'autant plus que le corps législatif européen fait de multiples références aux standards internationaux et influence d'autant leur développement.

Les coûts de fonctionnement de l'ISO sont essentiellement assurés par les entités membres qui gèrent le développement de standards avec la participation des experts.

Le statut de la normalisation est régi en France par le décret 84-74 du 26 janvier 1984 et 93- 1235 du 15 novembre 1993. Il a été confié à l'AFNOR et subdivisé en 31 bureaux de normalisation sectoriels composés de plus de 20 000 experts.

L'AFNOR est membre du CEN et de l'ISO. À ce titre, AFNOR est tenue de conférer à ces normes, le statut de norme nationale, soit par publication d'un texte identique, soit par entérinement et de retirer les normes nationales en contradiction.

Les standards évoqués ci-dessous, comme les procédures d'audit évoquées plus haut, reviennent de manière récurrente sur cinq points:

Prévention, sécurité, sensibilisation, responsabilité et « Accountability ».

(1) BSI 10012 Protection des données en ligne

Cet outil a été mis à disposition de l'auteur du présent rapport pour un essai gratuit de 15 jours.

BSI 10012 est un standard de système de management d'informations personnelles (Privacy Management System Information).

Il prend pour référence les grands principes de la directive européenne et le Data Protection Act de 1998. Sa structure est la même que celle de beaucoup de standards de système de management, le cycle de vie du Plan Do Check Act que l'on retrouve dans les normes ISO 9000, 14001 ou 27001.

Il introduit la notion d'« informations personnelles à haut risque » qui peuvent être des informations relatives aux comptes bancaires, le numéro d'identifiant national, les informations personnelles propres aux personnes vulnérables et aux enfants et autres détails de profils individuels. Le niveau de risque peut augmenter en fonction de la quantité de données traitées.

La notion d'« informations personnelles » correspond aux données personnelles relatives à un individu vivant.

Ce standard met l'accent sur les actions de sensibilisation et de formation au sein de l'organisation ;

Il impose une évaluation du risque, des audits internes, des actions préventives et correctives.

BSI 10012 fournit un cadre pour un management effectif des informations personnelles plutôt que d'imposer des règles à suivre ; Il peut être adapté à tout type de système de management dans des secteurs comme la formation et la sensibilisation, le partage de données, la conservation et la divulgation des données.

En l'état actuel il n'est cependant pas adapté à la législation et à la jurisprudence française; il n'est d'ailleurs pas dans les projets de BSI de le faire mais le concept pourrait être un excellent outil pratique au profit des C.I.L. ou autres responsables de protection des DP.

L'outil propose des études de cas très concrets et une approche complète pour chaque principe à respecter (avec illustration de cas jurisprudentiels) afin d'avoir une vue globale des situations auxquelles les décideurs sont confrontés ; les étapes à respecter sont mises en exergue pour définir une stratégie aussi efficace que possible distinguant les obligations et les pratiques recommandées.

Divers modèles de documents établissant des procédures sont mis à disposition : sécurité des données, protection et sécurité des DP, e-mails, RH, marketing, gestion du droit d'accès, audit des données... L'outil permet l'émission de rapports standards ou customisés ^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT} et envoie automatiquement les mesures planifiées à prendre sur la boite e-mail des utilisateurs en fonction des éléments remplis.

(2) Iso 29100 et 29101

En 2003, l'ISO a lancé le groupe de travail sur les technologies de la protection de la vie privée pour identifier les besoins de standardisation qui s'intitule aujourd'hui : Privacy Standardization ISO/IEC JTC 1/SC 27/WG 5 «Privacy & Identity ManagementTechnologies» (fig.3)

Après évolution, les thèmes de travail sont les suivants^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT} :

Les normes ISO 29100 et 29101 (stade draft) ne traitent pas de DP mais de « données identifiant les individus » (PII) et propose de les classer en trois catégories :

-informations qui pourraient être utilisées pour discriminer le sujet (ex.race, religion, ethnie, idées philosophiques, idées politiques et syndicales, vie sexuelle, santé )

-informations qui pourraient entrainer une usurpation d'identité ou des conséquences financières

Ainsi il est proposé de baser la classification sur le besoin de protection (tableau ci-dessous) ou autre (ex. le niveau d'impact : BAS/ MEDIUM/HAUT)

La politique et les procédures de protection des PII, dépendent de trois facteurs :

· Secteur, domaine (politique contractuelle ; politique de l'organisation ; pratiques du secteur d'activité...)

La sensibilité des données s'étend à toutes les PII desquelles les PII sensibles peuvent être déduites selon le secteur. De plus des lois locales peuvent juger de la sensibilité de certaines données. Enfin la sensibilité est à considérer de manière globale, c'est-à-dire une sensibilité augmentée si deux PII sont traitées ensemble.

1. Consentement libre, éclairé, opt in, information accessible, facilement compréhensible

2. Légitimité du traitement et finalité : communiqué au plus tard au moment de la collecte ; base légale, nom des destinataires, durée conservation

5. Limitation des interactions, des liaisons entre données et si possible le suivi, l'observabilité, détruire si finalité atteinte

10. Information sur les contrôles de sécurité : intégrité, disponibilité, confidentialité tout au long du cycle de management ; les mesures sont basées sur les exigences légales; implémentation en fonction de la probabilité et de la sévérité des conséquences ;

12. Conformité : contrôles internes appropriés ; développer et maintenir des processus de maintien de conformité

Elle prescrit la prise en compte de la protection des données dès la conception (PbD), des évaluations et audits réguliers.

Les points relatifs à la sécurité des données sont à titre d'illustration, mis en parallèle avec les articles correspondants de l'ISO 27002 :

Tableau principes de protection des données et leur correspondance en sécurité de l'information

-ISO 29101 Implémentation: architecture pour planifier et construire un système de TIC traitant des PII (voir fig.5)

Il s'agit de bonnes pratiques fondées sur les principes énoncés dans l'ISO 29100, dont les principales caractéristiques sont : la mise en oeuvre d'un processus d'amélioration continue, la mise en place d'un système de gouvernance, la gestion des risques, un principe de collecte et de traitement minimum de PII ; un rôle primordial accordé à la sensibilisation, à l'éducation, et à la communication proactive, sur les obligations règlementaires, légales, contractuelles et sur les exigences du secteur d'activité pour la gestion et protection des PII.

Tableau cadre de référence des principaux éléments de l'architecture de protection de la vie privée (source ISO 29101)

-Le modèle de maturité ISO/IEC NP 29190 Privacy capability maturity model (modèle de maturité de possibilités) :
Ce document encore au stade de draft, consiste en une série de lignes directrices devant permettre aux organisations d'évaluer la maturité de leur processus de traitement des informations personnelles, c'est-à-dire leur capacité à manager et à atteindre des résultats liés à la protection de la vie privée. Cela revient à considérer que divers acteurs sont concernés et que les exigences varient en fonction du niveau d'intervention de chacun.
Le document pourrait aussi être utilisé par des tierces parties.

Le CMP semble faire un retour en force dans le secteur de la protection de la vie privée puisqu'on le retrouve tant au niveau du standard ISO que du PMM de l'AICPA ou par exemple du modèle de gouvernance de Microsoft.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

La maturité d'une organisation est le degré auquel celle-ci a déployé explicitement et de façon cohérente des processus qui sont documentés, gérés, mesurés, contrôlés et continuellement améliorés.

Un niveau de maturité (Maturity Level) correspond à l'atteinte d'un niveau de capacité uniforme pour un groupe de processus.

Un niveau de ~~capacité~~ (Capability Level) mesure l'atteinte des objectifs d'un processus pour le niveau donné.

(3) Les normes du Comité de Standard Européen (CEN)

Le Comité Européen de Standardisation est la seule organisation reconnue par l'Europe au titre de la Directive 98/34/EC pour créer des standards toutes activités économiques confondues à l'exception de CENELEC en électro-technologie et ETSI pour les télécommunications.

Le CEN propose plusieurs outils pour aider à la protection des DP.^{(*)REF _Ref278271812 \r
\h \* MERGEFORMAT}

Dans ce cas comme dans les précédents, l'idée de prévention est très présente ; d'autre part, notons avec intérêt que ces bonnes pratiques portent expressément sur la protection de la vie privée et sur les obligations de sécurité.

Le CEN propose un cadre unique basé sur la directive 95/46 et pouvant servir de base dans les pays européens, tout en étant adaptable en fonction du secteur d'activité et de la législation applicable.

La standardisation des éléments doit laisser assez de souplesse au cadre d'audit pour qu'il puisse être utilisé par tout type d'organisation, indépendamment de la motivation, de la cause, de la finalité de l'audit de « privacy » ou de sa portée.

L'avantage d'établir un standard est de permettre un comparatif au-delà des frontières, une application plus efficace et plus facile à vérifier donc moins coûteuse

Le groupe de travail a fourni un guide de bonnes pratiques pour aider les PME à se conformer aux principes généraux de la directive et aux lois nationales adoptées en application de celle-ci

L'objectif est de permettre aux organisations de démontrer qu'elles ont mis en oeuvre un système de management de protection des données, des technologies appropriées et pris des mesures proactives.

L'usage de ces bonnes pratiques associé aux outils d'audit devrait permettre aux PME de démontrer leur engagement à respecter les exigences de la directive.

Il définit une série de bonnes pratiques pour des mesures de protection opérationnelle et un usage approprié des PETs conformément à la directive 95/46.

· Les bonnes pratiques sur la prévention des pertes de données comprennent :

Le développement d'une politique de classification et de catégorisation des données ;

La conduite d'un PIA : les PIAs comprennent des tests des PETS et OPMs pour apporter la preuve que les principes de protection des DP sont remplis (les autorités de contrôle (Nationale ou d'entreprise) ne devraient pas accepter une application de traitement de données à moins d'être sûres que les mesures de sauvegarde soient en place).

Le développement d'une mise en conformité des DP et d'un Programme d'audit.

· Les bonnes pratiques sur le traitement de données d'identifications portent sur :

· Les bonnes pratiques sur les mesures opérationnelles de protection portent sur :

L'utilisation du cadre d'audit de protection de la vie privée (indiqué ci-dessus) et de l'outil d'autoévaluation ;

Les processus et procédures que les responsables de traitement devraient émettre en support des politiques et procédures de gestion d'incident de vie privée / failles / violations / traitement des plaintes ;

L'information des utilisateurs sur les contrôles et sur l'explication des objectifs ;

(4) AICPA/CICA (Canada) : les principes généraux de la vie privée (GAPP) et la référence au modèle de maturité

L'American Institute of Certified Public Accountants (AICPA) et le Canadian Institute

of Chartered Accountants (CICA) ont conjointement mis en place un groupe de travail sur la protection de la vie privée.

Ce groupe de travail a développé un cadre « pédagogique » pour comparer les bonnes pratiques et propose toute une série d'outils d'analyses de risques, de mesures de performance, de vérifications indépendantes, de conseils, d'évaluations...

Le référentiel de base comprend 10 principes généraux (Generally Accepted Privacy Principles ou GAPP) dont l'objectif est d'assurer que les « Informations personnelles soient collectées, utilisées, détenues, divulguées conformément aux engagements de la politique de vie privée de l'organisation et aux GAPP arrêtés par l'AICPA/CICA».

Chaque principe est soutenu par les critères objectifs et mesurables qui forment la base pour la gestion efficace du risque et de la conformité des organisations.

L'outil 1 Chacun des 73 critères de GAPP est évalué contre les risques suivants :

L'outil 1-b est configuré pour mettre à jour automatiquement jusqu'à 10 PRA-template

Cet outil permet de mesurer le niveau de protection de la vie privée atteint dans l'organisation et de le faire évoluer en mode projet.

Il assure un processus d'amélioration continue et permet d'optimiser le niveau de protection souhaité selon les objectifs, les besoins et le contexte de l'organisation.

L'outil se structure autour des 10 principes (GAPP) et du modèle de maturité de possibilités (Capability Maturity Model (CMM)).^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Le PMM n'est envisageable que s'il existe déjà un système de protection de la vie privée.

Ce modèle peut faire l'objet d'adaptation (voir ci-après le modèle de gouvernance de Microsoft à 4 niveaux).

(5) Exemple de formations certifiées

Le sujet est d'actualité en France où la CNIL entend labelliser des formations courant 2011.

Ce point très particulier ne sera cependant abordé que de manière anecdotique par rapport au thème principal de la faisabilité des schémas de certification.

a) Le « certified Information Privacy Professional » ou CIPP de l'IAPP

Rappelons que l'Iapp est un organisme entièrement privé. La formation a été mise en place avec la collaboration de l'Institut de recherche privée Ponemon, lui-même comprenant divers responsables de grandes compagnies (Hewlett-Packard Company, Microsoft Corporation, Nationwide Insurance Company, Procter & Gamble, General Electric, Walt Disney Company, eBay, Intuit, Privacy and Information Management Services P.C. et Corporate Privacy Group). La formation est en partie financée avec le soutien de HP et Microsoft.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Le certificat de professionnel de protection de la vie privée atteste d'une formation en droit et sur les techniques de l'information, sanctionnée par un double examen :

· Un test obligatoire portant sur les connaissances de base elles mêmes portant sur trois grands domaines :

Examen de 2 heures, avec des questionnaires à choix multiple et une étude de cas avec 10 questions vrai/faux soit au total 120 questions.

· Un examen de spécialisation portant sur les législations et les bonnes pratiques de protection de la vie privée aux USA.

La spécialisation peut par exemple concerner les agents de l'administration Gouvernementale ou celui pour le développement et l'audit de produits IT. Il s'agit également d'un questionnaire à choix multiple.

La certification exige une formation permanente sous forme de crédit d'heures fonction de la participation à divers modules (networking, conférences, rencontres, lectures soumises à contrôle etc...).

b) Les auditeurs certifiés de l'AICPA (American Institute Certified Accountants)

Ils garantissent une « assurance » professionnelle de part leur intégrité et leur expertise.

La qualité des auditeurs est déterminée selon l'ISO 19100 (Qualités personnelles, savoir et connaissances, savoir et compétences propres au leader, savoir et compétences propres à l'ISO 27001 ou autre, éducation, expérience et formation continue à l'audit et au management)^1(*).

Certains états exigent un examen portant sur l'éthique et une conformité aux règles professionnelles.

Section 2. Certification des produits de protection de la vie privé et des DP

(I) Parallèle avec les problèmes rencontrés par les standards de signature électronique

Ce chapitre fait suite au stage suivi à l'ADETEF comme indiqué plus haut et ayant pour objet l'étude de la mise en place d'une plateforme de signature électronique dans la zone méditerranéenne.

Nous évoquons ci-dessous certains des problèmes auxquels se heurte la standardisation des produits de signature électronique et qu'il nous semble pertinent de mettre en avant dans le cadre plus général de la certification de produits issus des technologies de l'information et des communications.

De même nous évoquerons le modèle économique de la signature électronique dont les résultats ne peuvent encore être qualifiés à ce jour de franc succès.

Les régimes d'accréditation ou de certification pour l'authentification électroniques sont généralement « volontaires » ; dans l'U.E. chaque état établit un système adéquat de contrôle des prestataires et de vérification des systèmes sécurisés. Il est nécessaire que les prestataires de service de certification respectent la législation sur la protection des données et qu'ils respectent la vie privée.

Dans les transactions avec le gouvernement, il est souvent imposé l'utilisation de la certification des fournisseurs de services accrédités ("CSP"), ce qui peut avoir un rôle incitatif pour les entreprises.

Alors que la majeure partie des lois reconnaissent la validité juridique à la signature électronique de base et ce indépendamment de la technologie utilisée, très souvent les effets juridiques les plus importants dépendent de l'existence d'un certificat issu d'un fournisseur agréé ou certifié ou répondent à certains standards. Telle est la cas de l'approche dite des 2/3 en Europe : selon l'approche minimaliste la directive interdit de denier tout effet juridique à la signature électronique du seul fait qu'elle ne remplisse pas les standards de la signature avancée basés sur le certificat qualifié et créée par un système de signature sécurisée. Mais les signatures sécurisées sont présumées intègres.

De même une certification de protection des DP et de la vie privée pourrait octroyer un avantage de « présomption de conformité ».

En pratique, la multiplication des signatures électroniques et de leurs modalités d'implémentation n'ont pas permis une optimisation de l'utilisation de la signature électronique.

La majorité des pays ont au moins initié un système d'accréditation ou certification ou standardisation pour les produits et services, ce qui à ce jour ne permet pas l'interopérabilité internationale.

Les standards adoptés au niveau national et basés sur les normes internationales, sont rarement complètement conformes et ont souvent des variantes nationales.

Une grande partie des divergences viennent du fait que les technologies doivent encore évoluer et les politiques doivent tenir compte de la future utilisation plutôt que de réagir à la façon dont elles sont utilisées pour le moment.

D'après une enquête^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} menée sur la standardisation de la signature électronique, les réponses exprimées par les personnes interviewées font état des insuffisances du système :

- La documentation relative aux guidelines et à l'implémentation ne sont pas suffisants ;

Les résultats du sondage font apparaitre que les standards souffrent des inconvénients suivants :

-Trop de possibilités d'implémentations ce qui réduit les chances d'interopérabilité;

-Pas assez de description directe et explicite de niveau élevé pour aider les nouveaux venus dans l'exécution ;

D'après cette enquête, les standards idéaux devraient fournir les lignes directrices d'implémentation techniques et économiques afin d'obtenir une bonne qualité d'application (pas la plus haute mais appropriée au regard des coûts et bénéfices et de la limitation des risques dans le domaine d'activité concerné) avec un niveau maximum d'interopérabilité.

Besoins des professionnels par secteur + cadre légal général et sectoriel = spécifications techniques (standards).

Il s'agit certes selon nous d'une équation à résoudre pour tout schéma de certification, encore faut-il que le marché soit en mesure d'exprimer ses besoins.

(II) La certification des produits et services dans la règlementation suisse

Elle est prévue par l'Art. 5 de l'OCPD pour « les produits servant principalement au traitement de données personnelles ou générant, lors de leur utilisation, des données personnelles concernant notamment l`utilisateur ».

-la confidentialité, l'intégrité, la disponibilité, l'authenticité au regard des finalités ;

-la prévention de la génération, de l'enregistrement ou de tout autre traitement de données personnelles inutiles au vu des finalités;

-les mesures techniques permettant à l'utilisateur de respecter d'autres principes.

Le SAS désigne les organismes d'évaluation et les organismes de certification de service.

La certification de produit utilise le standard international constitué des critères communs (CC 2.1/ISO 15408) et des profils de protection pour des catégories spécifiques de produits, qui définissent certaines exigences en matière de sécurité.

Les exigences seront définies en fonction du cercle des utilisateurs pour lesquels le produit est conçu; elles seront par conséquent plus élevées pour un produit réalisé pour un large spectre d'utilisateurs.

Le préposé peut aussi s'inspirer de la grille d'évaluation élaborée par le centre de protection des données du Land de Schleswig-Holstein (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein).

-conception technique : économie des données, « dépersonnification » précoce des données par

-droits de la personne concernée : transparences, rectification, restriction, blocage, mention du litige.

Il est prévu un profil séparé d'exigences pour les données accessoires (logdata). Ces dernières constituent en effet des « sous-fichiers », dont les finalités et conditions de traitement sont en principe différentes de celles du fichier principal.

La certification de services IT répond aux critères de l'ISO 20000-1/2 :2005 (base ITIL). On exige du prestataire de service qu'il fournisse des services bien gérés et de qualité acceptable pour ses clients (bénéficiaires).La certification se déroule selon le PDCA. (Fig.4)

Différents processus de surveillance/amélioration de la QdS (Qality Data System):

- Fourniture (capacité, continuité et disponibilité, niveaux de service, reporting, sécurité de l'information, budget)

Le code de bonne pratique pour la gestion des services pourrait être étendu aux exigences de la protection des données.

-des connaissances spécialisées dans le domaine de la certification des produits (ISO/CEI 65).

(I) Europrise, un schéma de certification de produits et services IT

(1) Origine et fondements d'Europrise

Europrise fut créé au cours du programme de recherche EU's e-services TransEuropean Networks (eTEN) lancé en 2007 et conduit par le Centre Indépendant pour la protection de la vie privée allemand, l'ULD.

Neuf pays européens ont participé au projet conduit par l'ULD. Le projet inclut des acteurs professionnels de l'industrie et des auditeurs tells que TÜViT et Ernst & Young.

La tâche consistait à promouvoir au niveau européen, l'initiative développée sur un plan local dans le Land du Schleswig Holstein (Guetesiegel), en s'appuyant sur les forces du marché plutôt que sur la seule régulation de l'Etat.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Le référentiel de Guetesiegel est essentiellement basé sur l'acte de protection des données du Schleswig Holstein (LDSG-SH) et son décret d'application traitant des sujets de sécurité des données ainsi que sur la loi allemande de protection des données (BDSG).

Dans le land du Schleswig Holstein, deux schémas de certification ont été créés :

-Un audit de système de protection de la vie privée dont le label est valable 3 ans (Datenschutzaudit);

Ces schémas ne concernent que les administrations du land, ce qui n'exclut pas son utilisation dans tous le pays.

Le site de ce schéma est en allemand, ce qui en limite considérablement la compréhension.

Le certificat d'Europrise peut être délivré à des produits et services IT ainsi qu'à des applications spécifiques telles que les registres ou les modules SAP. Il n'est pas adapté à l'évaluation de procédures.

Les termes de « protection de la vie privée » y ont été préférés à ceux de « protection des DP » car le but n'était pas de protéger les données en soi mais plutôt les droits individuels ou personnels.

La protection des données s'était jusqu'alors résumée à l'autorisation ou à l'interdiction de traitements de DP, ce qui n'incitait pas les organisations à engager une démarche de mise en place des bonnes pratiques.

De plus, la volonté du Centre de Protection de la Vie Privée (ICPP) était de casser l'idée répandue selon laquelle la protection de la vie privée est affaire de bureaucratie et un obstacle au développement des nouvelles technologies.

Objectif visé : faire de la protection de la vie privée un modèle gagnant, un projet plaisant et « sexy » grâce à de nouveaux instruments tels que les PETs, une plateforme de protection de la vie privée (ex. ~~www.privacyoffice.org~~ ), des moyens légaux (cf. audit ; label de qualité).

A l'évidence, il ne semble pas que le projet se soit doté des moyens commerciaux et marketing pour espérer atteindre les objectifs affichés.

Le schéma se focalise sur la collecte évitée et minimum, la sécurité, la révision des données et les droits des sujets.

Le système se finance au travers du paiement de droits par les entreprises qui sollicitent le label (elles paient également les experts mais de façon séparée, suivant des arrangements individuels).

(2) Le référentiel d'Europrise

- la législation européenne traitant des sujets de protection de la vie privée (2006/24/EC).

Comme beaucoup de dispositions de la directive sont formulées de manière large, les règles de la cour européenne et en particulier les opinions du G29 sont également prises en compte; enfin les lois des pays pilotes ont également été considérées (Autriche, Allemagne, RU, Slovaquie, Espagne, et Suède ainsi que les dispositions propres à la sécurité de la Pologne et de l'Espagne).

Concernant la sécurité, mis à part les législations espagnole et polonaise faisant état de niveaux de sécurité (bas, medium et haut), les législations restent très imprécises.

Europrise s'appuie donc sur les critères de sécurité de l'information, à savoir les critères communs ISO 15 408:2005 et IT Security Management (ISO 27000 séries).

La dernière version tient compte de la révision en cours du paquet Télécom (ex. notification de faille).

La classe de fonctionnalité de protection de la vie privée des Critères Communs définit 4 types d'exigences :

Anonymat, la possibilité d'agir sous un pseudonyme, l'impossibilité d'établir un lien, la non-observabilité de l'exécution d'une opération encours.

Il est enfin tenu compte des évaluations et des certifications existantes pour un produit selon ces normes.

Tableau Les quatre ensembles du catalogue de critères Europrise ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} :

Vue d'ensemble des sujets fondamentaux : Eviter et minimiser les données et transparence

Titre XI. (1) La procédure d'évaluation et de certification

Titre XII. L'évaluation du produit ou du service est faite par des experts en technologies de l'information et en droit puis la validation du rapport d'évaluation est faite par l'entité indépendante de certification.

Les experts ou les centres d'évaluation doivent avoir une double expertise.

La procédure peut par exemple être telle que prévue par le standard du CEN, CWA-15499 (Personal Data Protection Audit Framework) ou l'ISO 27001.

Il importe de définir dans un premier temps la « cible d'évaluation » d'un commun accord entre le commanditaire, l'évaluateur et le certificateur. C'est cette cible qui précise le périmètre du système à évaluer, des informations à protéger et du « niveau de profondeur » de l'évaluation.

Les évaluateurs sont surtout formés à des analyses de « services » mais le niveau de sécurité peut beaucoup varier en fonction des modes d'implantation. Il est donc très difficile de valider un produit de façon générique.

L'évaluation du produit se fait sur la base du mode d'emploi accompagnant le produit. L'évaluation peut même imposer des restrictions d'emploi pour que le certificat puisse être considéré comme valide.

Les tests techniques ne font pas explicitement partie des critères listés dans le référentiel, mais rien n'empêche d'en faire si commanditaire, évaluateur et certificateurs en sont d'accord.

La certification du produit ou du service ne certifie pas que l'implémentation et la configuration sont conformes, mais que le produit peut être utilisé de façon à favoriser une bonne protection des de la vie privée.

Cependant il est exigé que les étapes pour la mise en oeuvre et la configuration soient stipulées dans la documentation ce qui augmente la probabilité d'une utilisation conforme sans toutefois la garantir.

Dans le meilleur des cas, le rapport d'évaluation apporte des réponses à toutes les questions qu'une autorité de protection des données demanderait.

Les questions spécifiques au sujet du produit, son utilisation prévue et le champ des applications peuvent être posées pendant le processus de certification.

Le certificat n'empêche pas des changements mineurs sur le produit tant que cela ne remet pas en cause la certification. Un changement majeur tel qu'une nouvelle interface utilisateur demanderait une nouvelle évaluation. Le certificat comprend un identifiant et un lien ou un document imprimable récapitulant le rapport.

Il a été considéré que les autorités indépendantes de protection des données pouvaient être les mieux placées pour vérifier la conformité et délivrer les labels mais aussi que d'autres entités publiques pourraient être accréditées comme émetteurs de certificats.

(1) Evolution du schéma Europrise

Le schéma a été créé depuis trop peu de temps pour évaluer son éventuel succès ou échec, ce qui n'empêche pas de faire les observations comme suit.

On notera tout d'abord un multilinguisme du site internet très limité pour un schéma « européen »sur lequel les documents sont disponibles en anglais, en allemand et en espagnol pour certains d'entre eux.^{(*)REF _Ref278271812 \r \h
\* MERGEFORMAT}

D'après le site internet, 16 certificats dont une re-certification ont été délivrés à ce jour depuis 2008.

Les secteurs d'activité des produits et services sont le suivants : 2 Hôpital-Médical, 3 banque-finance, 1 CRM Chauffage, 1 Association des avocats Espagnols, 2 Marketing comportemental, 1 vidéosurveillance, 1 moteur de recherche, 1 traitement d'image, 1 imagerie médicale, 1 plateforme de gestion des failles de sécurité Microsoft, 1 échange de données cryptées (Société Uruguayenne).

Ce projet implique des pays très engagés dans la protection des DP et de la vie privée tels que la France, l'Allemagne, l'Espagne et les Pays Bas. Il inclut aussi le R.U.dont l'approche du sujet diffère par divers points.

Malgré ces différences de vues, un consensus a pu être dégagé autour d'un schéma de certification.

On pourrait dès lors raisonnablement envisager le ralliement d'autres pays de l'UE.

Le concept prend en compte le modèle économique pour les évaluateurs et l'équilibre financier pour l'entité de certification.

Le coût reste supportable, à partir de 5000 € environ, le contrat avec les évaluateurs étant négocié individuellement en fonction du temps passé.

Europrise présente la force de se référer à la règlementation européenne à la différence des modèles qui existent déjà et d'être conduit par une organisation à la solide réputation en matière de protection de la vie privée et sans intérêt commercial.

Europrise pourrait tirer avantage à servir de cadre à des certificats nationaux plus adaptés aux caractéristiques locales mais ce modèle a aussi l'avantage de ne pas dépendre de l'existence de schémas de certification nationaux. En effet, le cadre européen du référentiel couvre déjà un certain nombre de sujets juridiques et techniques critiques. C'est pourquoi, même en l'état, l'évaluation et la certification Europrise confèrent une réelle plus value.

Pourtant, à ce jour, malgré les objectifs affichés, seules les autorités espagnoles et allemandes sont autorisées à délivrer le label.

Ces deux autorités coopèrent de manière assez proche pour le moment mais il faudrait mettre en place une meilleure coordination dans l'hypothèse où d'autres pays collaboreraient. Sans comité de direction européen (dont les règles de fonctionnement restent à définir), l'interprétation uniforme des critères dans l'ensemble des pays membres relève de la gageure.

Autre point de questionnement non résolu à ce jour : la participation des membres d'Europrise au financement du schéma.

L'influence de la culture allemande particulièrement marquée pourrait être perçue comme une entrave au positionnement européen du schéma, surtout si l'ULD entendait garder la mainmise sur la direction du projet. Faute d'entente entre les divers partenaires initiaux et à venir sur la gestion du schéma, le développement d'Europrise pourrait être limité et rapidement se trouver en concurrence avec l'émergence de nouveaux schémas nationaux dans les pays de l'Union Européenne.

L'absence d'intérêt commercial de l'ULD a été présentée comme la garantie de l'indépendance de ce schéma.

On objectera toutefois que les politiques de communication et de marketing n'ont pas été à la hauteur des objectifs déclarés devant faire d'Europrise un modèle séduisant et attrayant.

Lors de l'enquête menée en parallèle à cette étude, aucune des personnes interrogées pourtant en charge des questions de conformité à la loi française du 06/01/78, ne connaissait le label Europrise.^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Les divergences politiques sont un sérieux frein dans le développement d'un schéma européen de certification sans oublier les divergences juridiques d'interprétation des principes.

Une révision de la directive européenne gagnerait à détailler ses principes.^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Enfin, le référentiel d'Europrise ne couvre que partiellement le champ de protection de la vie privée et des DP même si la référence aux critères communs a été rajoutée depuis l'origine.

Section 2. Etude du cas français

(I) La certification dans les TIC en France

La certification des produits et services présente l'avantage d'être règlementée en France ; le dispositif suscite une certaine confiance en assurant la transparence et en exigeant une accréditation mais il présente aussi l'inconvénient d'être onéreux et plus lourd à mettre en place.

Le sujet est traité dans le code de la consommation à la Section 5 du chapitre V du titre Ier du livre Ier : certification des services et des produits autres qu'agricoles, forestiers, alimentaires ou de la mer

Aux termes de l'Art. L. 115-27 : « - Constitue une certification de produit ou de service (...) l'activité par laquelle un organisme, distinct du fabricant, de l'importateur, du vendeur, du prestataire ou du client, atteste qu'un produit, un service ou une combinaison de produits et de services est conforme à des caractéristiques décrites dans un référentiel de certification ».

D'après l'Art. L. 115-28. -« Peuvent seuls procéder à la certification de produits ou de services les organismes qui bénéficient d'une accréditation délivrée par l'instance nationale d'accréditation, ou l'instance nationale d'accréditation d'un autre État membre de l'Union européenne, membre de la coopération européenne pour l'accréditation et ayant signé les accords de reconnaissance mutuelle multilatéraux couvrant la certification considérée. Un organisme non encore accrédité pour la certification considérée peut, dans des conditions définies par décret, effectuer des certifications, sous réserve d'avoir déposé une demande d'accréditation...».

- Implique les acteurs socio-économiques, consommateurs, utilisateurs et pouvoirs publics lors des phases d'élaboration et de validation des référentiels ;

- Offre des garanties pour le consommateur : compétence et impartialité de l'organisme certificateur, mention de l'existence des référentiels au Journal Officiel, possibilité de consultation gratuite des référentiels auprès de l'organisme certificateur, obligation d'informations claires sur la nature et l'étendue des caractéristiques certifiées.

Les organismes certificateurs peuvent demander à être accrédités par le Comité français d'accréditation (COFRAC), association loi 1901 à but non lucratif dont les membres représentent l'ensemble des partenaires concernés.

Le COFRAC procède à l'accréditation, conformément aux normes françaises, européennes ou internationales, de tous les organismes intervenant dans l'évaluation de la conformité à un référentiel, et dans tous les domaines où une accréditation est utile.

Près de 70 organismes de certification de produits, services, entreprises et personnels sont accrédités par le COFRAC.

Le COFRAC a également pour objet de développer la confiance du marché dans les organismes accrédités, de faire reconnaître aux échelons européen et international le système français d'accréditation, de négocier des accords de coopération ou de reconnaissance.

-La certification des produits de sécurité des systèmes d'information relève de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). L'agence délivre deux types de certificats :

ï La certification dite tierce partie basée sur les Critères Communs (CC)

Titre XIII. C'est la certification de plus haut niveau ; l'Agence délivre un label appelé « certificat » qui atteste de la qualité de l'évaluation, de la compétence, de l'impartialité et de l'indépendance de l'évaluateur.

Le certificat se conforme à la norme internationale des critères communs (ISO/IEC 15408).

Afin de permettre la qualification de produits moins exigeants en termes de sécurité, un label de premier niveau a été mis en place sous l'impulsion du gouvernement : la « ~~certification de sécurité de premier niveau » (CSPN)~~ est délivrée au terme d'une expertise plus légère que celle des Critères Communs et dont la charge est limitée à 25 jours hommes.

L'accord « ~~Common Criteria Mutual Recognition Arrangement~~ » permet la reconnaissance, par les pays signataires de l'accord, des certificats délivrés dans le cadre des schémas de certification selon les Critères Communs.

Figure Evaluation et certification des dispositifs de création de signature électronique

Figure Qualification et contrôles des prestataires de services de certifications électroniques

(I) L'article 11 de la loi informatique et libertés du 06/01/1978

La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel a inséré un article 11 à la loi « informatique et liberté » du 6 janvier 1978 aux termes duquel la CNIL détient le pouvoir de délivrer un label à des produits ou à des procédures.

Après l'adoption de la loi, le ministère de la Justice a estimé que cette procédure devait être précisée par décret.

En 2008 Mme la garde des sceaux prenant acte que la CNIL avait « estimé ne pas être en mesure de procéder elle-même aux expertises et évaluations nécessaires » et avait ainsi « exprimé le voeu de recourir à des centres d'évaluation agréés », a répondu qu'une telle externalisation des expertises ne pouvait être envisagée qu'en modifiant la loi « informatique et libertés ».

Aussi, le législateur, à l'initiative de la commission des lois du Sénat, a-t-il inscrit, à l'article 105 de la loi n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures, une disposition modifiant la loi de 1978 comme suit:

« A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements :

Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l'instruction préalable à la délivrance du label par la commission.

Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label. »

-la CNIL agit à la demande d'organisations professionnelles ou d'institutions regroupant des responsables de traitements ;

-le recours à des évaluateurs indépendants qualifiés est envisagé uniquement en cas de « complexité du produit ou de la procédure »;

- Le coût de cette évaluation en cas de complexité est pris en charge « par l'entreprise » qui demande le label.

(II) Le pouvoir de labellisation de la CNIL

-L'article 11 n'exclut pas la coexistence de labels délivrés par la CNIL avec d'autres schémas de certification de protection des DP;

-La CNIL a énoncé qu'elle procéderait par étape en commençant par la labellisation de « procédures d'audit » initiées par des professionnels de la protection des DP et de « formations » au cours de l'année 2011.

-L'article fait expressément référence à la prise en charge du coût de l'éventuelle évaluation « par l'entreprise ».

Après avoir longtemps fait débat, il semble aujourd'hui reconnu que les avocats peuvent exercer une activité économique au travers de conseils. Rien ne s'oppose donc à ce que la CNIL labellise des procédures d'audit proposées par un avocat. On s'interrogera tout de même sur l'esprit de la lettre prévoyant que le coût de l'évaluation soit pris en charge par « l'entreprise ». D'après les comptes rendus des débats au Sénat, l'intention du législateur était de modifier la loi de 1978 afin « d'ouvrir la possibilité pour le président de la CNIL de recourir aux services d'un expert indépendant, dont le rapport sera transmis à la commission qui décidera ou non de délivrer le label ».^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

La labellisation de procédures d'audit présentées par des cabinets d'audit et des avocats s'apparente en pratique à la reconnaissance officieuse des personnes morales auteurs des procédures labellisées.

On rappellera la nécessaire condition d'impartialité de l'organisme certificateur et les risques de conflit d'intérêts avec des activités de conseil et de formation (cf. ISO 17021).

Il devrait en aller de même pour l'instance d'évaluation afin d'éviter le risque de collision. Dans le cas contraire, l'évaluateur pourrait difficilement remettre en cause les mesures appliquées par l'entreprise et préconisées par ses soins.

- La CNIL pourrait choisir d'émettre une procédure d'audit standard labellisée ;

-Si la CNIL entendait s'arrêter à la labellisation de procédures proposées par des professionnels, sur quel fondement pourrait-elle refuser d'étudier la labellisation de procédures mises en place au sein d'entreprises? Les personnes interrogées lors de l'enquête de terrain ont en effet manifesté leur intérêt pour ce type de démarche.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

-Pour assurer la qualité des évaluateurs, la CNIL entend décider elle-même de la qualification des évaluateurs reconnus en fonction de critères conformes à l'ISO 19011 ;

-Rappelons qu'ès qualité d'autorité administrative, la CNIL veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi informatique et libertés. A ce titre elle dispose d'un pouvoir de vérification et de sanction (Art. 44 et 45 de la loi).

Par ordonnance de référé rendue 19 février 2008, elle a été qualifié d'autorité judiciaire par le Conseil d'État précisant que la Commission, « eu égard à sa nature, à sa composition et à ses attributions » doit « être qualifiée de tribunal au sens de l'article 6-1 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ». Elle lui impose notamment qu'elle agisse comme un tribunal indépendant et impartial et que ses audiences soient - sous certaines conditions - rendues publiques.

La délivrance d'un label pourrait s'avérer problématique si lors d'un contrôle de la CNIL celle-ci était amenée à relever des éléments de non-conformité passibles de sanction.

-De plus, si une organisation s'engage dans une démarche de certification elle s'attend à un gain en retour qui peut être celui d'une meilleure image de marque, de moindres formalités ou d'une présomption de conformité; elle doit donc pouvoir communiquer sur cette démarche et l'afficher. Au travers du label, l'organisation affiche « un choix et un engagement». En labellisant des procédures d'audit de professionnels des protections des DP, la CNIL autorisera bien ces derniers à utiliser son label mais qu'en sera-t-il de l'entreprise évaluée et pour laquelle le coût de la procédure engagée n'aura pas de contrepartie « visuelle » d'un logo extrêmement importante en termes d'image selon le secteur d'activité.

Selon un sondage de Ponemon^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}, la perception de la protection de la vie privée et des DP par les individus dépend d'un certain nombre de facteurs et la confiance accordée ne reflète pas forcément les pratiques et les efforts entrepris par les entreprises.

Parmi les facteurs d'influence de la perception par les individus, l'image de marque est importante ainsi que la façon dont sont perçus les messages publicitaires notamment s'ils font référence à la protection des DP.

Titre XIV. Etat de maturité du marché et affirmation de nouvelles tendances

Section 1. Freins et barrières liés à la difficile appréhension des DP dans les théories économiques (coûts estimés, espérances de gains)

(I) Approche juridique versus approche économique

Les théories économiques et juridiques diffèrent sur l'évaluation des dommages dus aux failles de sécurité.

Pour les économistes la différence entre un dommage actuel et possible est affaire de probabilité et d'incertitude.

Juridiquement, en revanche, les plaignants doivent démontrer un dommage personnel ou une atteinte à la propriété. Par conséquent, l'approche économique prend en compte le risque juridique mais aussi les autres risques sous forme d'abstractions alors que l'approche juridique s'en tient aux faits susceptibles de sanction et au dommage susceptible d'évaluation. Cette approche juridique est largement répandue et tout particulièrement en France.

L'analyse d'Alessandro Acquisti et Sasha Romanosky^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT} se focalise sur les failles de sécurité et présente une étude de 3 approches législatives utilisées pour limiter le risque de dommage à la vie privée:

Les règles préventives de sécurité ; la responsabilité postérieure ; l'obligation de divulgation d'information des failles.

Elles visent à prévenir un dommage en se conformant préventivement à des standards minimum ou à des règles de conformité (ex. l'auto régulation).

Les sanctions peuvent être imposées dès la constatation du non respect des règles sans qu'il soit besoin d'un dommage. Citons à titre d'exemple, le standard « Payment Card Industry Data Security Standard » (PCI DSS), pré-requis pour tout commerçant souhaitant faire des transactions par carte ; voir également, au Nevada, où il est prévu une exonération de responsabilité de l'entreprise conformes aux standards PCI à l'exception d'une grosse négligence.

L'investissement dans les actions préventives est censé réduire la vulnérabilité mais l'entreprise doit en contre partie faire face à un coût ;

De plus, sauf contrôle régulier et en continu, les entreprises sont généralement protégées contre les problèmes courants mais pas contre un incident plus important. Elles se contentent de respecter les exigences minimum du standard en vue de s'assurer une couverture de leur éventuelle responsabilité. Dans ce cas le standard est inadapté et onéreux.

Ce mode peut finalement être utile si le risque de dommage est très bas ou si l'incertitude est très grande comme dans le cas d'une nouvelle loi dont on ne connait pas les conséquences mais dont on sait qu'elles pourraient être catastrophiques. Ce sont des actions relativement faciles à mettre en oeuvre et dont les modalités peuvent se combiner à un régime de responsabilité pour plus d'efficacité.

Les actions préventives paraissent tout à fait recommandées pour améliorer la protection des DP et de la vie privée.

Selon une l'enquête de Ponemon 2009, les personnes interrogées déclarent prévenir les futures failles par les mesures suivantes: 41% concernent les guides pratiques, 38% les actions de formations et de sensibilisations. Les certifications de sécurité et les audits augmentent de 6% et représentent 19% des mesures.

Elle s'exerce après que le dommage soit survenu. Pour être indemnisé d'une négligence les victimes doivent démontrer un lien de causalité direct entre le dommage et le non respect d'une obligation légale par l'organisation.

L'entreprise devrait chercher à prévenir le risque de responsabilité en augmentant ses investissements en sécurité et notamment ses actions de suivi et de contrôle.

L'objectif est d'informer les individus afin qu'ils prennent les mesures pour limiter le dommage (droit de savoir) et/ou inciter les organisations à prendre les mesures préventives.

Les résultats de recherches comportementales montrent que les individus sont incapables d'évaluer toutes les conséquences et tous les risques liés à une faille de sécurité. Cela demande un certain niveau de connaissance, d'expertise, d'éveil et de conscience qu'ils n'ont pas.

A la fois la nature de l'activité impactée et le type de faille sembleraient influencer la façon dont les investisseurs voient l'évènement.

Finalement, tout reste affaire de stratégie pour l'organisation, sachant qu'aucune action prise isolément ne sera jamais satisfaisante ni pour garantir une protection optimale des DP ni pour assurer un résultat optimum à l'organisation.

Mais quelque soit l'approche juridique, si la non-conformité à la loi est sanctionnée de manière dissuasive, les mesures préventives s'imposeront de toute façon pour limiter le risque de sanction et de publicité.

(II) Les limites des modèles économiques

Il y a encore peu de travaux sur le coût des violations de vie privée comparativement aux analyses économiques portant sur le coût des failles de sécurité et sur les modèles économiques liés aux dépenses de sécurité.

Les décisions d'investissement dans la protection des DP et de la vie privée restent relativement faibles en raison de l'incertitude sur la nature et la sévérité des menaces et des vulnérabilités mais aussi du fait de l'incertitude sur l'efficacité des mesures de sécurité et de protection.

Modèles économiques de cyber sécurité : divers modèles ont cherché à aider les décideurs dans l'allocation des ressources de sécurité

Des modèles macro-économiques « input- output» afin d'évaluer la sensibilité de l'économie nationale aux cyber-attaques, des analyses plus traditionnelles sur la perte de capitalisation après un incident de sécurité, des modèles « comptables » cherchant à déterminer le taux marginal de retour sur investissement en sécurité «return on security investment» (Geer 2001; Gordon and Loeb 2005; Willemson 2006) ; des approches réalistes basées sur des études de cas concrets ; des modèles d'allocation de ressources fonction des coûts, bénéfices et stratégies de risques (Gal-Or and Ghose 2005; Gordon, Loeb, and Sohail 2003). Partant du postulat qu'entreprises et attaquants potentiels sont adversaires, les chercheurs se sont aussi inspiré de la « théorie des jeux » (Gal-Or and Ghose 2005; Horowitz and Garcia 2005; Irvine and Thompson; Irvine, Thompson, and Allen 2005).

Mais aucun modèle économique ne suffit à lui seul pour guider les choix des décideurs, d'autant plus que la manière d'appliquer en pratique un modèle n'est pas très claire.

La base d'une politique de protection de sécurité et d'une politique de protection des données personnelles dépend des objectifs stratégiques, de l'approche, de la taille et de l'environnement, ainsi que de l'urgence de la prise de mesures de chaque organisation.

Les modèles simplifient les hypothèses de travail et raisonnent selon une linéarité théorique.

Mais quel doit être le critère d'évaluation ? Gordon and Loeb suggèrent que cela aurait un sens de diviser l'information en valeur basse, moyenne et haute.

Mais quels critères utiliser pour évaluer la vulnérabilité, le degré de menace ou bien d'accessibilité ?

La vulnérabilité dépend de facteurs multiples. Une des critiques récurrente aux modèles économiques dans ce domaine est que si les investissements en sécurité peuvent réduire la vulnérabilité ils ne permettent pas de maitriser le degré de la menace ou l'apparition de nouvelles menaces.

Fonction selon laquelle toute augmentation des dépenses de sécurité engendrerait une augmentation de la sécurité .C'est en fait une simplification non fondée. L'augmentation des dépenses de sécurité n'augmente pas forcément le niveau de sécurité. L'environnement de la sécurité est un élément changeant qui demande de s'adapter en permanence ce qui empêche toute planification des dépenses sur le long terme.

Lors de la divulgation de DP, l'information est incomplète sur les possibilités d'action de chacun, les gains résultants de ces actions, les motivations des autres joueurs. Avec les TIC, l'invasion de la vie privée est souvent invisible et partout. De plus, les hypothèses économiques font des estimations à partir de l'environnement connu à un instant « t » alors que l'environnement des TIC est trop dynamique pour connaitre la nature et l'ampleur des risques futurs.

Quand bien même l'individu disposerait de toutes les informations, l'auteur considère qu'un individu qui diffuse des DP en perd immédiatement le contrôle pour un temps indéterminé ; se retrouvant dans une position asymétrique, il est alors obligé de prendre des décisions à partir d'évaluations stochastiques.

S'ajoutent aussi des distorsions psychologiques qui affectent non seulement les individus « naïfs » mais aussi les plus « sophistiqués » qui deviennent « privacy myopic » (cf.sous estimation hyperbolique des coûts et des bénéfices, biais de self contrôle, satisfaction immédiate, biais optimiste « cela n'arrive qu'aux autres », sous assurance...).

Les individus se heurtent à des difficultés d'appréciation du risque cumulatif. Ainsi, une fois que des DP sont libérées par une personne, elles peuvent rester disponibles pendant un temps suffisamment long pour être mises en corrélation avec d'autres données. Le risque est plus élevé que la somme des DP collectées.

Le coût de protection est immédiat mais les résultats peuvent se révéler soit invisibles (absence d'intrusion) soit étalés dans le futur.

C'est aussi la métaphore du « chèque en blanc » qui peut revenir un jour sous forme de Spam, de simple gêne ou de vol d'identité (Knight 1921), ainsi que l'illustre A.Acquisti.

Tout au contraire, les individus pourraient avoir tendance à se sous protéger quand ils perçoivent un risque et à fournir d'avantage de DP même s'ils en devinent le risque ;

La gravité « ressentie » d'une situation augmente la vision que l'individu a d'un risque selon qu'il se considère plus ou moins concerné. Le risque estimé est comparé avec un « ~~risque acceptable~~» : sachant que le « ~~risque zéro~~ » n'existe pas d'une part, et d'autre part qu'un bénéfice ne peut s'acquérir qu'en courant un risque, chaque personne évalue implicitement un risque acceptable, qui est le danger qu'elle accepte de courir, l'incident qu'elle trouve normal de subir, par exemple comme fatalité. Cette notion de risque acceptable comporte des dimensions sociales et psychologiques. Cette double source d'irrationalité interfère avec la prise de risque : irrationalité de l'estimation du risque et irrationalité de la référence (risque acceptable).

Fournir plus d'information et augmenter la sensibilisation ne suffit pas dans un système d'auto régulation. Les technologies pourront surement aider mais A.Acquisti préconise aussi de trouver des réponses tournées vers les comportements humains pour espérer protéger la vie privée.

Protection de la vie privée et théories de la gratification immédiate : l'individu éprouve des difficultés à s'auto contrôler (biais de self contrôle) face à la poursuite d'une gratification immédiate (théories basées sur la consistance du temps). Protéger son intimité peut parfois signifier de prendre une assurance contre un risque futur et hypothétique.

En outre, même en présence de coûts immédiats, les individus incohérents avec le temps tendent à temporiser. Ils ont une vision à court terme.

Malheureusement, « la valeur de l'intimité est réellement appréciée une fois perdue ».^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Enfin, Samuelson (2003) avance également des coûts liés aux pertes sociales dues aux « politiques incohérentes en matière de protection de la vie privée » parmi un choix complexe d'initiatives législatives et autorégulatrices, les consommateurs et les sociétés sont incertains au sujet du niveau de protection permis ou exigé selon les circonstances.

On le voit, la contestation des hypothèses de départ de ces modèles remet en cause les résultats qui en découlent. ^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

La question de savoir si d'un point de vue économique la protection des DP vaut la peine, reste ouverte. Mais la valeur de la vie privée et des DP doit être appréhendée au-delà du raisonnement économique et de l'analyse coûts-bénéfices, par rapport à ses propres conceptions de la liberté et de la société.

Même si, du seul point de vue économique, le coût de l'atteinte à la vie privée est élevé et croissant (spam, vol d'identité, perte de C.A., intrusions).

(III) La prise en charge du coût d `une atteinte aux données

a) Est que indépendamment des failles de sécurité la violation de DP ont un coût ? (*)REF _Ref278271812 \r \h \* MERGEFORMAT

Messieurs Acquisti et Friedman se penchent sur les réactions différentes selon qu'on se trouve en présence d'une violation de vie privée ou d'une faille de sécurité.

Les DP sont un actif de l'organisation; Cet actif a une valeur qui elle-même reflète ce qui pourrait être perdu en cas d'information perdue ou inutilisable ainsi que les dommages qui pourraient être causés aux personnes et à la société en cas de violation de vie privée.

La valeur peut se concevoir de quatre points de vue différents. Celui de l'organisation, de la personne concernée, des autres acteurs économique ou de la société.

Il existerait un impact négatif et statistiquement important des violations de données personnelles sur la valeur marchande d'une compagnie le jour d'annonce de l'infraction et le jour suivant mais un tel impact serait inférieur à celui observé en cas de failles de sécurité. De plus l'impact varie en fonction de l'activité et de la notoriété de l'entreprise.

Mrs Acquisti Friedman et Telang l'évaluent entre £10 et £100, et un peu moins vis-à-vis de ceux qui n'y ont pas d'intérêt, de quelques pences à £ 100.

En cas de fraude financière par exemple, la perte totale moyenne par personne est estimée entre £500 et £1100 soit 575 € à 1265 € au total.

D'autres études estiment le coût d'une faille à €35-150 par donnée (Bojana Bellamy Accenture) tandis que l'enquête Ponemon Institute « cost of a data breach 2009 » parle d'un coût de violation de données compris entre 60£ et 64£ soit entre 69 € et 73 €.

Par exemple selon un sondage de Ponemon, 1/5 consommateur cesserait d'entretenir des relations avec une organisation qui aurait compromis ses données.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Les sondages suggèrent que les plus grosses organisations ont au moins une faille de sécurité par an et beaucoup en ont deux ou plus voire une douzaine.

Les failles de sécurité ne sont qu'une partie des violations de vie privée et on peut penser que ces dernières connaissent la même évolution.

Si on considère les valeurs indiquées ci-dessus, sous toute réserve des écarts d'estimations, un des principaux bénéfices que les organisations pourraient retirer d'actions préventives de protection des DP et de la vie privée serait de réduire leurs coûts liés aux violations de vie privée et aux failles de sécurité.

Sachant que les conséquences directes d'une violation de vie privée et d'une faille de sécurité sont plus visibles, plus facilement identifiables et plus onéreuses en cas d'obligation de déclaration de faille de sécurité et/ou de violation de DP, une telle obligation serait indiscutablement favorable au développement de schémas de certification. (Cf. coût de notification estimé entre 90$ et 350$/consommateur).^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Un investissement dans la protection de la vie privée et des DP (tel qu'une démarche de certification) reste largement perçu comme un coût. Les organisations imaginent dans le meilleur des cas une partie des bénéfices qu'elles pourraient en retirer sans toutefois être en mesure de les évaluer.

Titre XV. a) La protection de la vie privée et des DP a valeur d'enjeu de société

Les actions de sensibilisation et les actions incitatives, sont nécessaires mais insuffisantes en l'état actuel de maturité du marché.

Bien que les conséquences d'une violation de DP soient significatives pour une organisation, le coût pour les consommateurs ne devrait pas être entièrement pris en compte par l'organisation en tant qu'élément du risque. Dans ce cas une atteinte à la vie privée et aux DP est une externalité que les incitations naturelles ne corrigent pas.

L'absence de certitudes quantitatives sur les coûts et bénéfices que pourraient générer des mesures de protection des DP ne doit pas être un obstacle au développement d'actions préventives. Les autorités étatiques pourraient s'inspirer des actions menées pour la protection de l'environnement au nom du principe de précaution. Ce principe né à l'occasion de la conférence de Rio prévoit que « l'absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l'adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l'environnement à un coût économiquement acceptable ». Une telle disposition serait tout à fait d'actualité face au « risque de dommage grave et irréversible pour les individus et la société ».

Les organisations n'ont pas à supporter seules le coût d'un investissement dans la protection des DP, qui a valeur de projet de société.

De plus et pour les raisons évoquées ci-dessus, les mesures d'autorégulation ou de co-régulation seront inopérantes sans mesures d'incitation et d'accompagnement des dirigeants politiques.

Section 2. Défis technologiques et politiques, la nouvelle donne

Face à la globalisation des échanges et aux développements technologiques, les modèles de protection des DP et de la vie privée doivent relever de nouveaux challenges, possibles entraves à une démarche de certification.

La commission européenne en a relevé un certain nombre dans son rapport émis en janvier 2010:^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

- l'omniprésence croissante des données à caractère personnel et de leur collecte;

-la puissance et les capacités croissantes des ordinateurs et autres dispositifs de traitement des données;

-les nouvelles technologies spéciales telles que la RFID, la biométrie, les reconnaissances faciale et autres, etc.;

-l'utilisation accrue des données à caractère personnel à des fins autres que celles auxquelles elles ont été collectées, en particulier dans le cadre de la sécurité nationale et de la lutte contre le crime organisé et le terrorisme.

(I) Défis technologiques

Les règles de protection des DP ont été édictées avant que l'usage d'internet et des nouvelles technologies connaissent ses premiers bouleversements début 2000' (création de Thefacebook 2004). La loi Informatique et liberté en France date de 1978, même si elle fit l'objet d'une révision en 2004.

La démarche a consisté à transposer les règles de droit classiques aux traitements de données. Il en va ainsi par exemple du principe de neutralité technologique selon lequel les mêmes règles protectrices doivent s'appliquer quelles que soient les technologies employées. N'est-ce pas faire fit de l'apparition de nouvelles technologies encore inconnues à ce jour ou de nouveaux risques non imaginés ?

En 2010 les données ont changé : la vitesse, l'échelle, le lieu, la quantité des informations échangées semblent désormais incontrôlables. Les moyens de collecte sont de plus en plus nombreux et invisibles. Avec l'émergence de nouvelles technologies sont apparus d'autres risques de traitements illégaux de DP (cf.RFID). Les risques d'atteinte à la vie privée sont de moins en moins maitrisables.

Sauf à trouver des moyens adaptés pour garantir la protection des données, « la prolifération attendue des réseaux de capteurs - ayant pour rôle de collecter des informations sur la vie quotidienne des individus - risque de mettre à rude épreuve notre capacité à faire appliquer ces principes.»^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Selon la directive européenne 95/46, ses dispositions s'appliquent aux « traitements automatisés et aux fichiers de données à caractère personnel, soit aux traitements portant sur toute information concernant une personne physique identifié ou identifiable (personne concernée) directement ou indirectement ».

On parle désormais d'une troisième génération des droits de protection des données.

« La prise en considération des nouveaux réseaux et des utilisations dont on perçoit seulement aujourd'hui les premiers développements amène à devoir considérer un élargissement de la protection des données au-delà des principes mis en place par la directive 95/46/CE ».^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

En l'état actuel, les textes européens ne sont pas suffisamment clairs et précis pour assurer l'application des principes dans les nouvelles technologies.

Le plus gros risque semble être celui du cloud computing en raison de l'incapacité de s'assurer de l'application des politiques de sécurité par les fournisseurs et de l'inadéquation des politiques d'entrainement et d'audit IT.

Dans certains cas, le commissaire européen à la protection des données précise qu'il peut s'avérer nécessaire pour certains types de produit/technologie de définir des mesures de protection dès la conception, plus explicites et spécifiques. Le CEPD a identifié trois domaines : la RFID, les réseaux sociaux et les applications de navigation.

-les nouvelles technologies sont loin d'être fiables et les spécialistes s'inquiètent des nombreux faux positifs

-Pour des raisons politiques de lutte contre la délinquance et la criminalité, ou dans un souci de gestion l'interconnexion des fichiers augmente dans tous les domaines notamment entre pays. La collecte des donnés se mondialise. Ainsi que cela a été souligné dans le programme de Stockholm, la difficulté consistera à garantir le respect des libertés et des droits fondamentaux et l'intégrité, tout en assurant la sécurité en Europe.^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

-Dans l'agenda digital de la commission européenne sont mis en exergue les défis sur l'U.E. doit absolument relever si elle veut voir sa stratégie numérique 2020 couronnée de succès : manque d'interopérabilité des dispositifs, des applications, des référentiels de données, des services et réseaux ; augmentation de la cybercriminalité et risque de défiance vis-à-vis des réseaux.

Il y est également fait état des occasions manquées de relever des défis sociétaux.

L'agenda digital propose diverses solutions pratiques dont le renforcement de la protection des DP.^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

(II) Défis politiques

« Il est absolument indispensable d'améliorer, de clarifier et de préciser les règles relatives au droit applicable (...) Les définitions de nombreux concepts de base mentionnés dans la directive laissent sans réponse de nombreuses questions cruciales ».^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

-Les conflits de lois au sein de l'U.E. mais surtout par rapport aux responsables du traitement dans les pays non membres de l'U.E.vont s'accentuer;

- Les différences d'interprétation au niveau de l'application et de l'interprétation des concepts et règles de base en matière de protection des données y compris au sein de l'U.E. pourraient rendre la définition d'un référentiel commun d'autant plus difficile;

- Le rapport précité constate que les délocalisations des traitements et les flux transfrontaliers profitent d'une « faille du système ».

-La commission constate aussi une multiplication de lois sectorielles traitant de DP mais sans garanties de protection.

-L'énoncé de certains principes mérite d'être révisé et adapté aux nouveaux modes de traitement de données ;

-De nouveaux principes (économie des données) et de nouvelles procédures (audit) sont apparus dans la littérature puis dans le domaine règlementaire afin d'encadrer les technologies ;

- Le traitement des données sensibles est appelé à se généraliser ce qui ne sera pas sans créer des risques pour la protection des DP.

L'article 8 de la directive interdit (sauf exception) le traitement de « données particulières » limitativement énumérées mais le degré de sensibilité des DP n'est pas évoqué.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Dans sa communication du 4 novembre 2010, la Commission précise que dans certaines situations des DP spécifiques pourraient nécessiter des mesures complémentaires ex. Data Mining, croisements de données, besoin de confidentialité et d'intégrité...

La commission examinera aussi si d'autres données doivent être considérées comme sensibles comme par exemple les données génétiques.

On remarquera aussi que de nombreuses législations en dehors de l'U.E. ou en en son sein, considèrent les données financières et de crédit comme des données sensibles ou à risque plus élevé que les données de base (cf. Espagne )^{(*)REF _Ref278271812
\r \h \* MERGEFORMAT}

Les standards de Madrid^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} traitent des « Donnée sensibles » en tant que :

Section 3. Protection des DP : vers une approche globale

(I) Encouragements pour une démarche holistique et proactive de protection

-Une loi (au sens de mesure) proactive se comprend comme une disposition légale combinée avec une série de compétences, pratiques et procédures qui aident les organisations et les individus à identifier les opportunités à temps et à repérer les problèmes potentiels tant que les actions préventives sont encore possibles.

L'idée est que le savoir juridique est meilleur quand il est appliqué avant que les risques ne se transforment en problèmes judiciaires. Les aspects de la loi, exprimés en termes juridiques doivent être intégrés le plus tôt possible dans les systèmes et processus ; les outils et méthodes purement techniques ont souvent des conséquences juridiques.

Il a été constaté qu'en matière de protection de la vie privée et de confidentialité, les organisations les moins matures tendent à se focaliser essentiellement sur la conformité tandis que les plus matures investissent dans la gouvernance.

Nous devons dépasser la seule « conformité à la lettre » avec la loi en implémentant et en appliquant des mesures basées sur les principes généralement acceptés, les meilleures pratiques correspondant à l'état de l'art et les mesures d'auto régulation sectorielles.

La certification est un des moyens préconisés par la commission pour améliorer la protection des DP.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Lors de la Conférence des commissaires à la protection des données et à la vie privée (2009) de Madrid, 50 pays prenant en compte les législations des cinq continents ont émis une série de standards selon une approche qu'ils ont qualifié d' « universelle » dans le but de garantir une protection internationale des DP et de la vie privée.

- Les mesures proactives telles que l'implémentation de procédures pour prévenir et détecter les failles, basées sur des standards de gouvernance de sécurité de l'information et/ou de management ;

- Des audits réguliers par des professionnels indépendants pour vérifier la conformité aux lois et aux procédures de l'entreprise ;

- la prise en compte des exigences dès la phase de détermination des spécifications, durant le développement et la mise en oeuvre

-La mise en oeuvre de PIA avant toute installation de nouveau système ou technologie d'information ;

- L'adoption de codes de conduite contraignants permettant de mesurer l'efficacité, la conformité et le niveau de protection des DP

L'avis du G29 du 13/07/2010 accorde une place importante à la réduction des risques dans le cadre d'une bonne gouvernance. Pour définir les modalités permettant de garantir l'efficacité des mesures, le groupe de travail «article 29» suggère d'appliquer les mêmes critères que ceux indiqués à l'article 17 de la directive 95/46/CE pour prendre les mesures de sécurité (risques des traitements et de la sensibilité des données).

-en exigeant des mesures d'évaluation (audit) et des mesures complémentaires fonction de la sensibilité des données et de leur contexte ;

-en proposant des principes complémentaires tels que celui de « la collecte minimum »

(II) Emergence de nouveaux concepts et de nouveaux outils

(1) Privacy by Design (PbD)

a) Le concept de PbD

Le PbD signifie qu'il est nécessaire d'intégrer la protection des données et de la vie privée dès la conception de nouvelles technologies de l'information et de la communication (respect de la vie privée dès la conception).

Le risque zéro ne peut exister mais des mesures peuvent et doivent être prises pour limiter les risques à un niveau acceptable.

La directive 95/46 n'érige pas le PbD au rang de principe, néanmoins on peut légitimement penser que le concept est indirectement consacré dans les lignes de l'article 17 précisant que : «Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite». D'autre part, le considérant 45 complète l'article 17: «... la protection des droits et libertés des personnes concernées à l'égard du traitement de données à caractère personnel exige que des mesures techniques et d'organisation appropriées soient prises tant au moment de la conception qu'à celui de la mise en oeuvre du traitement, en vue d'assurer en particulier la sécurité et d'empêcher ainsi tout traitement non autorisé».

Le responsable de traitement de DP est directement concerné mais pas les concepteurs et fabricants de TIC. Paradoxalement, certains responsables de traitement de DP avouent ne pas trouver d'outils satisfaisants et correspondants à leurs attentes sur le marché (voir enquête Titre III section 4).

L'article 14, paragraphe 3 de la directive «Vie privée et communications électroniques», y fait référence sans que le concept soit rendu obligatoire : «Au besoin, des mesures peuvent être adoptées afin de garantir que les équipements terminaux seront construits de manière compatible avec le droit des utilisateurs de protéger et de contrôler l'utilisation de leurs données à caractère personnel, conformément à la directive 1999/5/CE et à la décision 87/95/CEE du Conseil du 22 décembre 1986 relative à la normalisation dans le domaine des technologies de l'information et des télécommunications». Cette disposition n'a jamais été appliquée.

Le droit européen n'impose pas précisément que la conception des TIC soit conforme au principe de respect de la vie privée dès la conception.

Dans son avis du 18.03.2010, le commissaire européen à la protection des DP (CEPD) recommande quatre mesures à la Commission:

a)Intégrer une disposition générale sur le respect de la vie privée dès la conception dans les textes juridiques relatifs à la protection des données.

Cette recommandation ne fait que suivre l'avis n°168 du groupe de travail article 29 (G29) sur l'avenir de la protection de la vie privée du 01/12/2009 dans lequel il indiquait que : le principe de PbD «(...)devrait être contraignant pour les concepteurs et producteurs de technologies ainsi que pour les responsables du traitement des données chargés de l'achat et de l'utilisation des TIC(.... )Les fournisseurs de tels systèmes ou services et les responsables du traitement des données devraient démontrer qu'ils ont pris toutes les mesures requises pour remplir ces obligations».

b) Formuler cette disposition générale sous forme de dispositions spécifiques lorsque différents instruments juridiques sont proposés, dans différents secteurs.

c) Inclure le principe de respect de la vie privée dès la conception dans le Programme numérique européen, en tant que principe directeur.

d) Introduire le principe de respect de la vie privée dès la conception en tant que principe dans d'autres initiatives communautaires (principalement des initiatives non législatives), notamment: eSanté, eApprovisionnement, eSécurité sociale, eLearning, etc...

Le CEPD souligne l'importance d'adopter des mesures de sécurité appropriées à chaque étape du traitement des données à caractère personnel, y compris pendant la phase de destruction des appareils contenant des données personnelles. Le principe du "privacy by design" ou, dans ce cas précis, de "security by design", devrait également être inclus dans la proposition afin de s'assurer que des garanties en matière de vie privée et de sécurité soient intégrées par défaut dans la conception des équipements électriques et électroniques.

-intègre "par défaut" la vie privée et la protection des données dans la conception des équipements électriques et électroniques afin de permettre aux utilisateurs de supprimer - de manière simple et gratuite - les données personnelles pouvant se trouver dans les appareils dans le cas où ceux-ci devraient être détruits;

-interdise la commercialisation d'appareils utilisés qui n'ont pas fait l'objet de mesures de sécurité appropriées, en conformité avec les normes techniques les plus avancées, afin d'effacer toutes les données personnelles qu'ils contiennent.

On pourrait très bien imaginer que les Organisations Européennes de Normalisation, CEN, CENELEC ou ETSI incluent un principe de PbD dans les normes européennes. La norme européenne devant obligatoirement être implémentée au niveau national en contrepartie du retrait des normes nationales conflictuelles.

La 32 ème conférence des commissaires à la protection des données et à la vie privée à Jérusalem (2010), a consacré le principe du PbD du professeur A.Cavoukian comme principe fondamental de protection.

Les commissaires et les autorités sont invités à promouvoir le PbD aussi largement que possible à travers la distribution de matériels d'éducation et des recommandations et à développer la prise en compte des principes du PbD dans les politiques de protection des DP et dans les lois nationales.

Les commissaires et autorités de protection des données font preuve d'un large consensus sur un nécessaire principe de PbD.

La certification par un tiers indépendant pourrait être le seul moyen d'évaluer et d'assurer le respect du principe de PbD dès la conception du système/produit/technologie mais aussi lors de l'implémentation et dans la mise en oeuvre....à condition de s'accorder sur un référentiel sur un plan européen et international.

b) Les Ambassadeurs du PbD (Golden Standard) (*)REF _Ref278271812 \r \h \* MERGEFORMAT

Le Professeur Ann Cavoukian, à l'origine du concept de PbD désigne les 7 principes fondamentaux du PbD :

4. Fonctionnalité complète - somme positive « win win », vie privée ET sécurité

7. Respect de l'utilisateur: garder l'utilisateur au centre des préoccupations

Le concept de PbD se fonde sur les principes de l'OCDE mais le Gold Standard va au-delà et cherche à relever la barre en étant le plus haut standard global possible.

Bien que le programme des ambassadeurs du PbD ne soit pas un régime de certification il avance les mêmes objectifs en reconnaissant les personnes qui contribuent de manière significative au concept de démarche proactive. De même les organisations qui mettent en place les 7 Principes fondamentaux du PbD peuvent être reconnues en tant qu'Ambassadeurs. Il n'est pas question de remplir un standard mais de démontrer comment les principes ont été mis en oeuvre. Les ambassadeurs sont des exemples récompensés par le commissaire de l'Ontario pour avoir réellement et avec succès sensibilisé le public au concept de PbD. Il n'y a pas vraiment de critères d'évaluation.

Il s'agit d'une démarche gratuite aboutissant à la reconnaissance d'un travail bien fait. Le commissaire de l'Ontario, A.Cavoukian, précise n'avoir pas les ressources financières et humaines suffisantes pour mettre en place un programme de certification. Deloitte & Touche aurait mis en place un programme d'évaluation basé sur ces 7 principes de PbD.

Pour prétendre à la qualification d'Ambassadeur, l'organisation doit répondre aux trois questions suivantes :

2. Comment avez-vous mis en place les principes de PbD au sein de votre organisation ?

Quelles que soient les critiques qui pourraient être faites aux «Golden Standard », on retiendra plusieurs idées intéressantes :

(2) Principe de « Accountability »

a) Principe fondateur d'un schéma de certification de protection des DP

Titre XVI. On entend par « Accountability » une obligation de rendre compte ; ce principe met l'accent sur la manière dont la responsabilité est assumée et sur la manière de le vérifier. Le terme anglo-saxon n'ayant pas de traduction précise, il a délibérément été choisi d'utiliser le terme anglais dans les commentaires ci-après.

A la lecture des prises de position des divers acteurs européens, tout laisse à penser que les textes vont évoluer vers une obligation de « management » de la protection des DP.

Titre XVII. Le principe de « Accountability », principe de gouvernance éthique, n'est pas nouveau. On le trouve dès 1980 dans les lignes directrices de l'OCDE.

Bien qu'il n'apparaisse pas expressément dans les directives européennes, des dispositions requièrent par exemple des organisations qu'elles évaluent la finalité des traitements et le niveau de protection nécessaire pour assurer la sécurité des DP.

Le G29 s'est prononcé en faveur d'un tel principe en 2009^{(*)REF _Ref278271812 \r \h
\* MERGEFORMAT} et dans son avis de juillet 2010, ainsi que la conférence des commissaires à Madrid.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

L'APEC y fait explicitement référence en tant que principe de protection de la vie privé

Titre XVIII. Le principe de « Accountability » se focalise sur la capacité d'une entreprise à démontrer son aptitude à atteindre des objectifs de protection de la vie privée. Il peut se résumer ainsi :

-Responsabilisation des entreprises tout en gardant une certaine flexibilité. La responsabilité repose essentiellement sur les organisations et moins sur la diligence des individus.

-Les vérifications sont faites par des tierces parties qui sont des agents qualifiés ; le système doit rester abordable sur un plan financier et opérationnel. Si les individus et les autorités de protection leur font confiance la crédibilité des agents doit être assurée au travers d'un processus solide et expérimenté selon des critères à définir entre représentants des gouvernements, des entreprises, des experts et des avocats.

Dans son avis du 13/07/2010, le G29 précise qu'un principe général de responsabilité devrait être inclus dans un nouveau cadre législatif complet.

L'«architecture juridique» des mécanismes de responsabilité prévoirait deux niveaux: le premier niveau consisterait en une exigence légale fondamentale contraignante pour tous les responsables du traitement des données, et un second niveau de responsabilité volontaire allant au-delà des exigences juridiques minimales.

Le G29 précise dans son avis du 12 juillet 2010 « qu'à plus long terme, la disposition relative à la responsabilité pourrait favoriser la mise en place de programmes de certification ou de labels. De tels programmes contribueraient à prouver qu'un responsable du traitement des données a bien respecté la disposition, qu'il a défini et mis en oeuvre des mesures appropriées et que celles-ci ont fait l'objet d'un audit périodique. »

Dans son communiqué au Parlement Européen du 04/11/10 la commission encourage les démarches d'auto régulation et dit explorer les schémas de certification européens. Elle réitère sa confiance dans les initiatives d'autorégulation des responsables de traitement (RT).

La commission entend explorer la possible création d'un schéma de certification européen

(i.e. `privacy seals') pour des procédures de conformité, pour des technologies et des produits et services. Elle précise que cette démarche serait à mettre en relation avec la responsabilité des responsables de traitements : le choix de technologies, services ou procédures certifiées pourrait aider à prouver que le RT a rempli ses obligations. Ces labels devraient être dignes de confiance et être compatibles avec les obligations légales et les standards internationaux.

Au R.U. la Financial Services Authority (FSA) prend en compte la conduite de la personne après la faille, les enregistrements antérieurs et les états de conformité de l'organisation pour prononcer des sanctions.

La certification pourrait servir de ligne de conduite pour les Corporate Governance Code -

et aider à des « Privacy Reporting/Accounts » ; il pourrait être imposé à certaines organisations à hauts risques de publier régulièrement des rapports de leurs politiques de traitement des DP ou d'incidents relatifs aux pertes, violations et failles de sécurité.

On pourrait imaginer des obligations semblables aux actions de prévention du risque en droit du travail en France. A titre d'exemple, citons le cas du document unique^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT} (ou Document unique d'évaluation des risques) qui est l'affirmation écrite du principe d' ~~évaluation des risques~~, imposé à tout employeur par le code du travail. Il est obligatoire pour toutes les entreprises et associations de plus de un salarié et doit faire l'objet de réévaluations régulières.

Ou bien à l'image des lois Grenelles en France qui renforcent les devoir des entreprises et les exigences de publication en matière de RSE, en l'étendant aux sociétés non-cotées, avec une volonté de transparence, vérifiabilité, ~~certification~~ par un « tiers indépendant ». La loi vise aussi une comparabilité des rapports par des méthodes communes de calcul et d'évaluation.

a) Le projet de Paris : Accountability (*)REF _Ref278271812 \r \h \* MERGEFORMAT

Les participants au projet « accountability » ont proposé neuf principes directeurs qu'une organisation pourrait suivre en totalité ou pour certains d'entre eux seulement selon la sensibilité des données :

1 Existence de politique écrite et de procédures engageantes et applicables, reflétant les textes de loi, les règles d'entreprises et les standards ;

3 Allocation de ressources pour disposer d'un personnel suffisant et entrainé ;

Le processus de »Accountability» pourrait comprendre plusieurs étapes telles que :

1. L'organisation prend les mesures et procédures pour appliquer sa politique de protection de la vie privée et des DP. Elle mène une étude d'analyse et de minimisation des risques basée sur sa compréhension de ses obligations. A ce stade l'organisation devrait consulter l'autorité supérieure de protection des DP ou des agents « Accountable ». On est dans le schéma d'une auto-évaluation ;

2. L'organisation certifie qu'elle respecte les exigences de »Accountability»;

3. L'autorité de protection des DP ou un agent reconnu révise les traitements et fournit une sorte d'agrément de certification ;

4. L'organisation se soumet à l'autorité d'un agent reconnu ou de l'autorité de protection des DP. Ce ou cette dernière entend et résolve les plaintes individuelles. Il ou elle conduit des actions de vérification sur place pour s'assurer du respect des engagements pris.

5. Les acteurs concernés s'engagent à développer la sensibilisation des organisations quant à leurs obligations en tant qu'entreprises « accountable » et les bénéfices qu'elles peuvent tirer.

Les agents peuvent être reconnus et en charge de certifier que l'analyse de risques de l'organisation est bonne et que son programme est capable de maintenir un processus effectif de « accountability ».

Ils peuvent aussi être accrédités pour évaluer et approuver les applications qui doivent être certifiées. Ils pourraient jouer un rôle dans la résolution des litiges, les vérifications sur place et l'application.

Pour les organisations souhaitant s'engager dans des activités pouvant entrainer des risques importants vis-à-vis des DP, la certification pourrait être nécessaire.

Sur la base de ce principe on pourrait imaginer la mise en place de modèles de maturité, à l'image du système développé par Microsoft.

b) Mesurabilité du principe d' « Accountability »

i) Modèle de gouvernance

Microsoft a développé un modèle de gouvernance de la confidentialité et de la protection des DP qui s'inspire fortement du modèle de maturité CMM (quatre niveau de maturité).

Le modèle permet de dresser un état des lieux de la protection des DP et de la vie privée dans l'organisation :

L'objectif est de souligner pour chaque section (personnes, processus et technologie) les points sur lesquels l'organisation devra se focaliser pour passer d'un niveau à un autre (Basique, Standard, Rationnel, Dynamique) voir fig.9.

L'organisation n'est pas forcément au même niveau de maturité selon qu'il s'agisse des personnes, de la technologie ou des processus.

Chaque section est elle-même divisée en fonction de composants ou de groupes de capacités ;

La section « personnes » est divisée en 3 groupes: Direction ; organisation de la gouvernance des données ; main d'oeuvre et partenaires

La section « processus » comprend 4 contrôles : contrôle de l'organisation du modèle ; contrôle des exigences ; contrôle de la stratégie et des politiques ; contrôle de l'environnement

La « technologie » se scinde en 3 : cycle de vie de l'information ; domaines ; matrice d'analyse d'écarts et de risques

Afin de mesurer les progrès, on utilise le vocabulaire suivant : Planifié, en cours, prêt (à être implémenté), adopté (implémenté et en fonctionnement).

Figure DGPC (data governance for privacy and confidentiality) modèle de maturité de capacité.

On pourrait suggérer de s'inspirer de ce type de modèle pour définir des niveaux de certification en fonction des objectifs de l'entité.

ii) Système de notation

Certains auteurs estiment que le seul moyen de gagner la confiance est d'en être digne. Ainsi, une fois la confiance des consommateurs acquise, ces derniers seront plus enclins à partager leurs données qu'ils sauront protégées. Ils suggèrent alors un système de notation du risque, à la fois simple et solide qui de préférence pourrait dépendre de cadres de régulation déjà existants cf.les taux de notation de risques crédit de Standard and Poors ou Moody's et des règles de gouvernance applicables dans le secteur de l'information financière.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

La notation pourrait être délivrée par des organisations accréditées par l'autorité de protection des DP voire par un système d'auto-évaluation.

Privacy Risk Rating = [risque inhérent à l'utilisation] x [Ó notations des principes] x [l'approche Implémentation/conformité/accountability ].

Les auteurs proposent d'inclure un nouveau concept de « comportement inacceptable ».

· le non respect des standards et exigences inclues dans les BCR et/ou les dispositions relatives à l'implémentation, la conformité et l'obligation de rendre compte qui sont pris en compte pour la notation;

· les déclarations de failles de sécurité et éventuellement les notifications individuelles sous certaines conditions.

Le concept est intéressant mais d'une part se poserait le problème de la responsabilité des auditeurs engagés dans une démarche de notation ; d'autre part, il nous semblerait plus opportun d'y associer des organismes de régulation des marchés tels que l'AMF comme nous le suggérons ci-après.

On observe l'émergence de notations par des tiers extérieurs des organisations sur la base d'informations non financières dans le domaine de la responsabilité sociétale et environnementale des entreprises.^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

La norme ISAE 3000 (IFAC) s'applique à la vérification des données non financières de l'entreprise.

Le commissaire aux comptes rend un rapport dans lequel il indique son degré d'assurance compris entre :

-un niveau faible qui est un avis sur l'application des procédures mais ne comporte pas d'appréciation sur la qualité des données.

L'AMF avait indiqué être favorable à une certification RSE à la condition qu'elle intègre une évaluation de l'impact financier des données RSE sur le patrimoine et l'activité de l'entreprise.

La protection des DP et de la vie privée relève plus généralement de comportements responsables et de ce fait pourrait être comprise dans une démarche de responsabilité sociétale.

Prenons par exemple le standard AA1000 dont sont issus une série de principes devant aider les organisations à devenir plus « Accountable », responsables et durables. Il traite des sujets de gouvernance, de stratégie et procure des lignes directrices. L'auditeur doit assurer l'étendue de la conformité aux principes. ^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

L'idée d'une certification globale de responsabilité sociétale comprenant une série de principes propres à la protection des DP et de la vie privée doit nous inciter à réfléchir à la complémentarité des schémas au même titre qu'il existe une complémentarité avec l'ISO 27001 pour la gestion de la sécurité des systèmes d'informations par exemple.

(II) Obligation de sécurité renforcée : la protection des DP étendue à la sécurité des réseaux

De récents sondages^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} confirment l'augmentation du rôle et de l'importance de la fonction sécurité dans un contexte de réduction des coûts.

La menace sur la sécurité de leur patrimoine informationnel est perçue par les entreprises comme étant plus présente pendant la crise économique, ce qui laisse présumer d'un réel besoin de mesures de protection dans ce domaine.

L'évolution des textes laisse entrevoir une importance croissante du poste sécurité et des obligations y étant associées pour les responsables de traitement de données personnelles.

La sécurité des données est non seulement un principe déterminant de protection des DP mais c'est aussi un « avantage préférentiel » que pourrait garantir un schéma aux candidats à une certification portant sur la protection des DP (augmentation du bénéfice retiré).

(1) Le « paquet Télécom »

Il prévoit une double offensive pour assurer le renforcement de la sécurisation des réseaux et des services d'accès, par le biais de mesures a priori (obligation d'évaluation de la sécurité des systèmes, etc.) mais aussi d'obligations a posteriori (obligations de notification).

La directive « cadre », qui s'applique aux fournisseurs des réseaux de communications publics ou

des services de communications électroniques accessibles au public tels que les fournisseurs d'accès

Le texte, fait état d'une atteinte portée à la sécurité ou une perte d'intégrité « ayant eu un impact significatif sur le fonctionnement des réseaux ou des services ».

Le FAI sera tenu de notifier à « l'autorité réglementaire concernée » qui informera, éventuellement, les autorités concernées des autres Etats membres et l'ENISA (l'Agence européenne chargée de la sécurité des réseaux et de l'information).

Le public est informé soit par l'autorité nationale soit si elle préfère, par le fournisseur victime de la faille, si et seulement si : il est relevé un impact significatif sur le fonctionnement, mais aussi, critère supplémentaire, s'il est « d'utilité publique » de divulguer les faits.

Il n'est pas prévu d'exonération à la notification. L'objectif est d'assurer la transparence et la visibilité au travers de statistiques devant servir de support à des actions concertées sur les règles de sécurité pour garantir la disponibilité, l'intégrité et la continuité du réseau dans un environnement convergent d'infrastructures fixes et mobiles.

Les états membres ont donc l'obligation de veiller à ce que ces fournisseurs prennent des mesures « techniques et organisationnelles adéquates [... qui] garantissent un niveau de sécurité adapté au risque existant » (cf.Art. 13 de la directive 2002/21/CE modifiée).

Les mesures techniques et la forme que doivent emprunter les notifications pourront être arrêtées par la suite en conformité avec la procédure européenne de « réglementation avec contrôle » qui permet de faire appel à l'avis d'experts tels que l'ENISA dont la commission est incitée à tenir « le plus grand compte » de l'avis. Elle devra aussi s'appuyer, « dans toute la mesure du possible », sur d'éventuelles normes européennes et internationales existantes.

La sécurité des réseaux est un sujet de préoccupation majeur dans le secteur des télécommunications qui implique des mesures préventives adaptées aux risques, des mesures de contrôle et une garantie de transparence des incidents.

Des schémas de certification pourraient attester de la conformité de ces mesures.

(2) La directive 95/46

Dans sa communication du 04/11/2010, la commission européenne précise qu'elle examinera les modalités d'introduction d'une notification des failles de sécurité en lien avec le principe d'économie des DP et de contrôle effectif par la personne concernée sur ses propres données.

En France, la proposition de loi du 6 novembre 2009 de M. Détraigne et Mme Escoffier, sénateurs vise « à mieux garantir le droit à la vie privée à l'heure du numérique » et propose également une obligation de notification des « atteintes aux traitements de données ».

La proposition de loi envisage la publication des « Atteintes aux traitements de données à caractère personnel ». Les termes d'« atteinte » et de « notification » pourraient respectivement être remplacés par ceux de « violation » et « information ».

Les auteurs de la proposition de loi Détraigne-Escoffier relèvent qu'en France, « La CNIL estime que le niveau de protection des données ne peut être jugé satisfaisant, comme en témoignent ses contrôles, tant auprès des entreprises que des administrations » et regrettent que « la sécurité des données ne constitue malheureusement pas encore une préoccupation majeure ».

Il est vrai que le concept de sécurité n'est pas détaillé dans l'article 17 de la directive 95/46, ce qui rend sa mise en oeuvre d'autant plus disparate selon les pays et les organisations.

(3) La directive vie privée et communication électronique

Elle porte sur la « violation » de données à caractère personnel « entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté » ;

« En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l'autorité nationale compétente de la violation.

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d'un abonné ou d'un particulier, le fournisseur avertit également sans retard indu (...) le particulier concerné.

La notification au particulier concerné n'est pas nécessaire si le fournisseur a prouvé, à la satisfaction de l'autorité compétente, qu'il a mis en oeuvre les mesures de protection technologiques appropriées rendant les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

Si le fournisseur n'a pas déjà averti l'abonné ou le particulier, l'autorité nationale compétente peut, après avoir examiné les effets éventuellement négatifs de la violation, exiger du fournisseur qu'il s'exécute.

Les autorités nationales compétentes peuvent adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission. Lors de la fixation de règles détaillées, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d'usurpation d'identité ou d'autres formes d'abus.

Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel et des mesures prises pour y remédier.

La directive « vie privée et communications électroniques » prévoit l'avertissement de l'autorité nationale de toute violation accidentelle ou illicite de données personnelles ; elle impose la notification aux particuliers sauf à ce que des mesures préventives de protection appropriée aient été mises en oeuvre.

En Europe la législation sur les failles de sécurité est déjà entrée en vigueur dans de nombreux pays.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Les considérants de la directive sur les télécommunications préconisent l'extension de l'obligation de déclaration des violations de sécurité à l'ensemble des secteurs, en soulignant que « l'intérêt des utilisateurs à être informés ne se limite pas, à l'évidence, au secteur des communications électroniques, et il convient dès lors d'introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs».

Le commissaire européen Peter Hustinx (CEPD) « prie instamment la Commission de faire des propositions multisectorielles sur les failles de sécurité » dans son rapport du 18/03/2010.

Signalons enfin qu'en France, conformément aux dispositions de l'article R1111-14 du code de la Santé Publique, les hébergeurs de santé doivent fournir à l'appui de leur demande d'agrément une présentation de leur politique de confidentialité comprenant « Les procédures de signalement des incidents graves, dont l'altération des données ou la divulgation non autorisée des données personnelles de santé.

Section 2. Résultats de l'enquête de terrain

La réussite d'un schéma n'est envisageable qu'à une des deux conditions suivantes :

Le premier objectif de l'enquête était de sonder la sensibilisation des organisations, leurs besoins et leurs attentes en matière de protection des DP alors même que la CNIL s'est engagée dans une démarche de labellisation.

Le questionnaire comportait donc trois parties, les deux premières ayant vocation à évaluer la gestion de la sécurité des données et le management des DP tandis que la dernière partie avait pour but de déterminer les caractéristiques attendues d'un schéma de certification de protection des DP.

21 entretiens semi-directifs ont été menés auprès d'entreprises situées sur le territoire français, à l'exception de 3, localisées au R.U., en Suisse et en Belgique.

Les organisations concernées se caractérisent par leur taille relativement importante :

Les résultats sont à interpréter à la lumière de cette remarque. Il est évident que les « caractéristiques propres à un label de qualité » seraient différentes pour des TPME et PME de moins de 500 salariés.

Comme nous avons pu le voir dans le titre I, plus que par la qualité du schéma de certification, les petites entreprises sont avant tout intéressées par acquérir une meilleure visibilité grâce au label.

Le recours à des tiers a été clairement exprimé en cas de mise en oeuvre de traitement particulièrement complexe, pour tester ou évaluer niveau de conformité ou de sécurité (test de vulnérabilité, d'intrusion...) ou pour se situer par rapport à d'autres entreprises du secteur.

Les personnes interrogées sont majoritairement des responsables informatiques ou responsables sécurité (10/21) et des responsables juridiques (7/21) ; 4 exercent à temps plein une fonction de responsable de la protection des DP et de la vie privée.

Les trois secteurs les plus touchés par les failles de sécurité aussi appelés les « big three » sont la finance, les hôpitaux et la vente de détail (33%, 23%, et 15% respectivement).

Il n'est donc pas inutile que le secteur financier/banque /assurance soit majoritairement représenté : 8/21 entités.

Deux secteurs 2/21 ont deux représentants : le ecommerce et la fabrication/distribution/vente directe de biens.

Les autres secteurs ont un seul représentant : vente au détail ; Administration ; Enseignement public ; Hôpital ; Opérateur téléphonie ; pharmacie ; industrie ; aéronautique ; Electricité/énergie ; investissement immobilier

Nationalité : 13 organisations sont françaises tandis que 8 sont de nationalité étrangère

Toutes les personnes interviewées déclarent avoir un DSI et un RSSI à l'exception d'une entité.

On note un cloisonnement entre les services juridique et sécurité que le CIL n'est pas toujours en mesure d'atténuer.

Les juristes interviewés ne se sentent pas concernés par les questions traitant de la sécurité informatique et considèrent comme un fait acquis qu'en présence d'un RSSI, les DP sont forcément correctement protégées.

Les responsables informatiques pour leur part, limitent la protection des DP à la seule sécurité.

Une entreprise (USA) se distingue par son référentiel de Corporate Governance Risk & Compliance et des procédures de contrôle détaillées (audits internes réguliers utilisés pour mesurer l'efficacité du programme, guidelines, standards, audit system IT et processus sur la base d'une analyse de risques).

Les personnes déclarent se référer à des normes, standards ou règles internes pour mettre en place des méthodes ad hoc. Un petit tiers des répondants indique avoir mené une analyse de risques propre aux DP.

La moitié des personnes interrogées déclarent bénéficier des ressources suffisantes pour assurer la sécurité des données. L'autre moitié estime manquer en priorité de ressources humaines.

Aucune entreprise ne classe ses données selon leur valeur. Une seule déclare classer les données en fonction de leur sensibilité, selon le contexte, leur utilisation, et surtout leur association avec d'autres données

La sécurité des « données personnelles » en tant que telle n'est pas perçue comme une obligation forte de la loi de 1978.

La menace interne humaine semble d'ailleurs sous estimée par rapport à la menace externe :

La prise de mesures de protection des DP est en priorité motivée par le risque juridique et financier. Les trois quart des entreprises évoquent un risque de non-conformité aux principes de protection des DP tout en tenant compte du faible nombre de sanctions prononcées et de leur caractère peu dissuasif par rapport à celles de l'AMF par exemple.

Les personnes interrogées méconnaissent les obligations imposées par la loi et n'ont qu'une vague idée des éventuelles sanctions encourues. Elles se limitent en général à la déclaration de leurs traitements à l'autorité indépendante ou à la nomination d'un CIL et à l'information des personnes sur leur droit d'accès.

Moins de la moitié (8/21) pensent avoir une connaissance totale des risques juridiques encourus.

Les projets de modification de la directive européenne sur l'intégration d'un principe de PbD et sur de nouvelles obligations relatives aux failles de sécurité sont mal connus des interlocuteurs. Moins de la moitié a entendu parler de l'obligation de déclaration des failles de sécurité tandis que le taux atteint 20% seulement pour le PbD.

A la question « Quelle(s) raison(s) pourraient vous motiver pour investir dans la protection des données à caractère personnel ? » on constate que :

-la gestion des risques n'est qu'une priorité moyenne alors même que le risque juridique et financier est la principale préoccupation exprimée pour la mise en place de mesures de protection des DP ;

-la conformité avec les textes est la principale raison mais elle s'accompagne généralement d'une recherche de meilleure image de marque et de protection du patrimoine informationnel (on peut supposer qu'il s'agit d'un besoin de sécurité). Enfin notons que certaines organisations souhaitent s'inscrire dans une démarche déontologique et éthique, alors que d'autres précisent expressément que cela ne fait pas partie de leurs motivations.

Remarquons qu'en l'état actuel des textes, la limitation des risques de non-conformité en cas de mise en place de mesures de protections n'est pas expressément prévue.

Concernant le type de mesure de protection semblant les plus appropriées à ce jour, les actions de formation et d'accompagnement par un tiers sont les moins prisées. Cette tendance est à nuancer par le fait qu'en raison de leur taille, les organisations ciblées ont généralement déjà des plans de formation interne.

L'analyse de conformité par un tiers arrive en tête des attentes, devant le PIA. Cependant si on cumule les mesures d'audit de sécurité propres aux DP et d'audit de sécurité des données, l'audit est la première mesure souhaitée par les personnes interrogées (fig.12).

Les organisations ont une approche très pragmatique du sujet et ne semblent pas juger qu'un positionnement éthique justifie à lui seul de s'engager dans une démarche de labellisation. Ils en attendent des bénéfices concrets.

Très peu de personnes interrogées ont entendu parler de mesures de certification de protection des DP (6/21). Les seuls cas cités concernent l'action en cours de la CNIL et deux personnes appartenant à des entreprises américaines associent la labellisation aux BCR et au Safe Harbor (mesures de co régulation).

L'écart d'opinion sur le domaine sur lequel devra porter le label et les commentaires reflètent une relative difficulté à imaginer le label. Les grandes entreprises le conçoivent avant tout sectoriel (plus de 70% des répondants). On peut néanmoins voire émerger des souhaits pour un label sur des procédures mises en place au sein d'un organisme pour la grande majorité des répondants, les avis se partageant sur le reste des options.

Trois réponses d'interlocuteurs salariés de groupes internationaux méritent d'être rapportées :

-intérêt pour une certification de mesures portant sur les flux transfrontières;

-la certification pourrait permettre une harmonisation des règles au sein du groupe et entre les services juridiques et informatiques ;

- « Encore très fréquemment les applications (progiciels, ...) existantes sur le marché et que nous pouvons acheter ne possèdent pas un niveau suffisant de prise en compte des obligations posées par la loi de 1978. Les coûts lorsque l'on souhaite faire évoluer ses applications sont extrêmement élevés d'où un achat en l'état. Une certification viendrait donc renforcer la conformité du produit »

Les entreprises sont favorables à un label à reconnaissance européenne ou à moindre mesure nationale.

Le coût n'est pas un critère prépondérant pour qualifier un bon label. Selon les grandes entreprises, son coût doit se faire en fonction du rapport à la limitation du risque juridique et financier. Ce choix se justifie notamment par le fait que la motivation invoquée pour entamer une démarche de labellisation est réglementaire. La problématiques des données personnelles n'ont pas encore d'impact sur les critères d'achat des consommateurs selon les entreprises, il n'y donc pas de notion de retour sur investissement marketing, qui aurait pu être comparé aux coûts.

La durée de validité souhaitée est de trois ans. Notons que la question ne distinguait pas entre les produits et les systèmes de gestion, les premiers pouvant justifier un délai plus court en raison des progrès technologiques.

Pour la durée d'obtention, une durée d'un an est souhaitée par la majorité. Les avis divergent davantage que pour le délai de validité (3 trimestres en moyenne - déviation standard plus importante que pour le délai de validité) mais on peut conclure que les grandes entreprises admettent que la durée d'obtention pourra être relativement longue.

Quant au statut de l'organisme de délivrance du label et de l'instance d'évaluation, un organisme institutionnel comme la CNIL ou un organisme reconnu par la CNIL sont les entités de délivrance préférées des grandes entreprises (sur ce point, des commentaires se sont exprimés sur un éventuel conflit d'intérêt entre le pouvoir de sanction de la CNIL et la possibilité pour cette autorité d'émettre un label)

L'instance d'évaluation préférée est un organisme ou un professionnel compétent reconnu par la CNIL pour la quasi totalité des grandes entreprises interrogées.

Le niveau d'exigence du référentiel est en majorité « élevé » et éventuellement moyen ;

Le niveau d'exigence des mesures de contrôle et de sanction/révocation est d'abord moyen et dans une moindre mesure élevé. Ce dernier point marque une nette préférence pour une démarche sérieuse et reconnue, loin d'un concept de « privacy washing ».

Un label sectoriel délivré sur un cahier des charges exigeant, par un organisme privé reconnu par la CNIL, est la démarche qui semble la plus pertinente. Une durée d'évaluation courte ou un coût faible ne sont pas des critères de décisions décisifs pour les grosses entreprises.

Titre XIX. Recommandations et suggestions

Les recommandations et suggestions abordées dans cette dernière section tiennent compte de:

- L'observation et l'analyse des expériences de certification de part le monde (dont l'avis de professionnels de la certification recueillis au cours d'interview) ;

-La prise en compte des facteurs d'influence et des éventuels freins ou barrières

-L' évaluation de la maturité du marché (dont une enquête de terrain auprès de 23 organisations).

Le but est de déterminer, en toute humilité, une sorte de minimum vital susceptible d'asseoir la réussite d'un schéma de certification de protection de la vie privée dans l'absolu (et non pas spécifiquement en France).

Enfin, nous verrons que l'aspect économique est un des points déterminants de la faisabilité d'un schéma, pouvant influencer les critères et le niveau d'exigences d'un schéma.

Section 1. Eléments de faisabilité d'un schéma de certification

(I) Définition de l'objectif et de la cible

Trois partenaires sont impliqués dans l'utilisation de la certification : l'entité qui demande la certification pour ses produits industriels et ses services, l'organisme certificateur et le consommateur ou client. Chacun se trouve concerné et doit de ce fait être pris en considération pour que le schéma soit adapté dans la mesure du possible à leurs besoins et pour éviter un rejet ou un désintérêt vis-à-vis d'un label de protection des données.

(1) L'organisation

Quel que soit le choix stratégique de l'organisation, cette dernière devrait être en mesure de percevoir les avantages d'une démarche de certification. Les bénéfices peuvent être les suivants :

Les attentes et les besoins du marché varient selon la taille et la notoriété de l'organisation ou en fonction de son secteur d'activité.

Les organisations bénéficiant déjà d'une certaine notoriété peuvent être plus connues que le label ; aussi le gain d'image de marque pourrait paraitre négligeable et ne pas susciter suffisamment d'intérêt si le label manquait de crédibilité (cf. TRUSTe). Beaucoup ont d'ailleurs leurs propres règles et standards internes. Elles pourraient alors souhaiter une certification avec des exigences relativement élevées (voir enquête de terrain titre III section 4).

Les petites et moyennes entités pourraient se montrer sensibles à une certification les faisant bénéficier d'une nouvelle visibilité en les plaçant sur un pied d'égalité avec les organisations les plus importantes du marché. La notoriété du certificat serait un élément moins déterminant pour les petites et moyennes entités sans pour autant être négligeable.

Nous ne pouvons en déduire que le niveau d'exigences soit négligeable pour autant, mais il devrait être moins élevé (notamment pour des raisons de coût) tout en restant crédible (sauf à en retirer un bénéfice sur l'image de marque pour un coût négligeable et au détriment de la protection effective des DP).

D'autre part la protection des DP répond à des enjeux universels et sociétaux fondamentaux et se doit donc d'être accessible à tous ; le coût ne doit pas être une barrière pour les PME.

Deux éléments entrent en jeu dans le calcul du coût : d'une part l'évaluation (analyse d'une procédure d'audit donnée au regard d'un référentiel, production d'un rapport d'évaluation) et d'autre part la certification (analyse d'un rapport d'évaluation, vérification que les évaluations sont effectuées dans de bonnes conditions, révision régulière du référentiel...).

Il faut aussi distinguer le « coût réel » (volume de travail X taux horaire) et le « coût achetable » par les acteurs du marché.

Rappelons d'autre part que la certification est une démarche volontaire ; l'organisation doit définir le niveau d'assurance qu'elle souhaite atteindre ; c'est ce niveau demandé qui engage l'intensité du travail d'évaluation. Un moindre niveau ne signifiera pas forcément un engagement insuffisant mais un engagement fonction du contexte de l'entreprise, de son analyse de risques et de sa stratégie.

Recommandation : Prévoir plusieurs niveaux de certification en fonction du niveau de maturité (lui-même fonction du contexte et de l'analyse de risques).

(2) Le consommateur ou le client

Nous savons que l'individu n'a pas un comportement rationnel. Divers facteurs psychologiques biaisent les perceptions et les décisions des personnes lorsque la protection des DP ou de la vie privée est en jeu.

Ainsi, les études montrent que l'individu est sensible à la présence d'un logo, même sans en connaitre la signification. C'est souvent perçu comme gage d'une démarche qualité.

Tant les consommateurs que les partenaires de l'organisation ont besoin de gages de confiance et de sécurité. Mais, les besoins se traduiront différemment. En raison des comportements irrationnels et du manque d'informations, leurs choix ne se porteront pas forcément sur le schéma garant d'une meilleure protection des DP et de la vie privée. Comme indiqué plus haut, les entreprises les plus vertueuses dans ce secteur ne sont pas forcément celles perçues comme telle par les individus. ^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Le secteur d'activité est aussi déterminant. La protection des données des consommateurs revêt un caractère primordial en raison du type d'informations traitées (données financières) tandis que les industries manufacturières prêtent une moindre importance à la protection de la vie privée.

Les individus sont plus à même de divulguer des DP sur des réseaux sociaux que sur des sites de santé.

Il existe une différence entre les efforts sur lesquels les organisations se focalisent et les sujets d'inquiétude des individus. Ceux-ci se disent d'abord concernés par la protection de leur intimité face aux risques de traçabilité alors que les organisations et les autorités s'intéressent majoritairement aux risques de vols d'identité.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Recommandation : Du fait des biais psychologiques affectant la perception et les décisions des individus, un schéma de certification de protection des DP doit s'inscrire dans le cadre d'une politique gouvernementale globale.

(3) L'organisme certificateur

Pour l'entité, le choix peut tout aussi bien porter sur un label de grande consommation, avec des marges réduites, ou au contraire sur une stratégie de différenciation avec un label de plus haute qualité et des marges importantes

Un acteur privé à but lucratif est avant tout animé par la recherche de rentabilité. Il aura l'avantage et l'inconvénient de pouvoir faire appel au soutien financier des entreprises. Il doit donc veiller à la satisfaction de ses adhérents, principale source de financement. Mais un acteur privé sera aussi celui qui aura une meilleure connaissance des attentes du marché dans le domaine de la certification, une plus grande souplesse d'intervention et d'adaptation.

En l'absence de barrières d'accès à la fonction de certificateur sur un marché concurrentiel, il ne sera pas possible de garantir la qualité du schéma.

- une sorte de numerus clausus soit sous forme d'accréditation soit d'une reconnaissance de personnes par les DPA, ce qui assurerait un certain niveau d'évaluation tout en en limitant le coût grâce à une limitation de la concurrence ;

-une intervention de l'autorité administrative dans le processus de délivrance et de retrait du certificat (cf. Suisse), afin de contrebalancer les éventuels effets pervers d'un soutien financier par le secteur privé.

Un acteur privé à but non lucratif peut s'avérer gage d'indépendance et de compétence. Cependant, sauf politique gouvernemental incitative et maturité du marché, un tel schéma risque de pêcher par son manque de politique de communication et de politique commerciale et marketing.

Un acteur public ou administratif au niveau national ne sera pas animé par la recherche de profit et pourra oeuvrer dans le seul intérêt de l'amélioration de la protection des DP et de la vie privée en fonction des objectifs qu'il juge prioritaires.

(II) Définition des caractéristiques du schéma de certification

(1) Portée du schéma

Les schémas de certification de protection des DP et de la vie privée analysés dans cette étude portent soit sur des sites webs, soit sur des systèmes de management ou plus rarement sur des produits. EUROPRISE , Gütesiegel et l'exemple Suisse sont les seuls schémas portant sur des produits et services (si on fait exception des standards ISO en cours de préparation).

Cependant, nous pensons qu'afin d'encadrer le développement exponentiel des TIC et des NTIC, la protection des DP et de la vie privée doit s'envisager globalement, d'un bout à l'autre de la chaîne dès la conception des produits jusque dans la gestion quotidienne de l'entreprise.

Nous recommandons une démarche de certification globale adaptée aux produits et aux procédures.

On pourrait envisager un schéma de certification fondé sur des principes ou critères de base, avec plusieurs déclinaisons possible de ces principes selon qu'il s'agisse de produits et services (avec exigences spécifiques pour certaines technologies), de procédures ou de formations, mais aussi en fonction des catégories de données concernées et du niveau de maturité (lui-même fonction du contexte et de l'analyse de risques).

La certification pourrait donner lieu à une démarche sous forme d'étapes à franchir en fonction du niveau de maturité atteint par l'organisation et de la réalisation d'un plan d'action (permettrait aussi d'en étaler le coût dans le temps).

Cette évaluation pourrait avoir lieu pour partie et en fonction du niveau d'évaluation (1^er niveau), sous forme d'auto-évaluation (pré-audit), au moyen d'outils standardisés proposés par l'autorité nationale ou européenne ou reconnus par ces autorités (cf. BSI Data Protection Online 10012).

(2) Détermination du périmètre du référentiel

a) Définition des référentiels

Un référentiel devrait être élaboré et validé en concertation avec des représentants des diverses parties intéressées : professionnels, consommateurs ou utilisateurs, administrations concernées.

Chaque référentiel de certification définit son propre champ d'application et comporte :

- Les caractéristiques retenues pour décrire les produits, les services ou procédures qui feront l'objet de contrôles, les valeurs limites des caractéristiques éventuellement exigées pour la certification et les modalités retenues pour les classer en fonction de leurs caractéristiques ;

- La nature et le mode de présentation des informations considérées comme essentielles et qui doivent être portées à la connaissance des consommateurs ou des utilisateurs ;

- Les méthodes d'essais, de mesure, d'analyse, de test ou d'évaluation utilisées pour la détermination des caractéristiques certifiées et qui, dans la mesure du possible, devront se référer aux normes homologuées existantes ;

- Les modalités des contrôles auxquels procède l'organisme certificateur et ceux auxquels s'engagent à procéder les fabricants, importateurs, vendeurs des produits ou prestataires des services ou organisations faisant l'objet de la certification ;

- Le cas échéant, les engagements pris par les fabricants, prestataires ou organisations concernant les conditions d'installation des produits, d'exécution des services et procédures certifiés, les conditions de la réparation des préjudices causés aux utilisateurs ou consommateurs par la non-conformité du produit, du service ou de la procédure aux caractéristiques certifiées.

Plusieurs référentiels sont à définir, selon l'objet du schéma de certification:

-Le référentiel procédure (système de management de la protection de la vie privée et des DP)

Evaluation : le sujet de la protection de la vie privée et des DP demande à n'en pas douter une double compétence à la fois juridique et IT comme le recommande le CEN.

Une attention particulière sera accordée à l'actualisation des connaissances et à la connaissance des règles de fonctionnement de l'entreprise en général, critère déterminant pour s'assurer d'une approche globale du sujet.

L'intervention d'une tierce partie distincte et indépendante de l'organisme certificateur est une condition essentielle à l'indépendance du schéma.

On pourrait exiger des évaluateurs un engagement sur le respect de règles déontologiques dans leur lettre de mission.

Un des points importants à clarifier dès le départ consiste à déterminer les règles de la responsabilité du professionnel :

-des standards internationaux de sécurité des produits IT et systèmes d'informations ;

-les actions allant au-delà d'un minimum requis par le référentiel qui pourraient être déterminées selon les avis du G29 et qui seraient susceptibles de certification en plusieurs étapes ou niveaux.

Il devrait prévoir la définition de niveaux d'évaluateurs (cf. PrivacyMark 3 niveaux),

b) Périmètre géographique du schéma

«With the flow of information becoming increasingly global, we also see a growing need to align U.S. law with current and emerging privacy standards in the rest of the world.» ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Au regard des exemples étudiés ci-dessus, on remarque que la portée des divers schémas de certification d'origine américaine s'est considérablement élargie jusqu'à tendre vers une reconnaissance internationale soit grâce à une stratégie d'alliance, au moyen d'accords de reconnaissances mutuelles entre schémas de certifications pourtant très différents de part leur objet et leur référentiel (cf. TRUSTe, BBBOnline et PrivacyMark).

Les divers schémas existants dans les pays européens ont un caractère national très marqué. Les essais de schémas européens ne sont pas un franc succès en termes de labels délivrés ; Eurolabel n'est plus présent que dans quelques pays, quant à Europrise créé courant 2008, nous manquons encore de recul pour en tirer la moindre conclusion ; les 16 labels indiqués sur le site web, ont été octroyés pour 5 d'entre eux à des entreprises espagnoles, 1 à une entreprise suédoise, 1 à une hollandaise, 1 à une irlandaise, récemment 1 à une entreprise uruguayenne et 7 à des organisations ayant leur siège en Allemagne.

- La commission européenne a récemment fait valoir son intention d'augmenter la coopération avec les pays hors UE et les organisations internationales dont l'OCDE, le Conseil de l'Europe, les N.U. et autres organisations régionales.

Des règlementations harmonieuses facilitent les échanges et l'accès aux différents marchés et réduisent le coût de production pour les organisations.

Un schéma de certification devrait assurer un référentiel commun reconnu du plus grand nombre.

Le référentiel se base sur les lois nationales ce qui de fait en rendra l'usage inadapté dans les autres pays. D'autre part pour susciter l'adhésion du plus grand nombre d'acteurs de pays différents, le schéma doit garantir une neutralité politique.

Cela n'empêche pas les accords de reconnaissance qui seront d'autant plus facile qu'il existera une solide base commune entre les référentiels.

On trouve plusieurs alliances régionales ou internationales de schémas de certification, tout particulièrement en Asie :

-Asia Trustmark Alliance (ATA), vise la confiance, la sécurité, la protection de la vie privée dans le e-commerce.

Des organisations d'autorégulation d'Asie, d'Europe et du continent américain, ainsi que trois entités pan-européennes ont annoncé la formation d'un comité international le Global Trustmark Alliance (GTA) dont l'objectif est de mettre en place un système de participation des juridictions pour un commerce électronique transfrontière de confiance. ^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

L'objectif à long terme serait d'imposer un seul label avec un système de co-branding avec l'ensemble des schémas nationaux.

-Au niveau de l'APEC, Le Data Privacy Sub-Group (DPS) est guidé par le plan «APEC Data Privacy Pathfinder Implementation Work Plan» créé en 2007^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}. Des groupes de travail ont mené des actions pour éduquer et créer un dialogue entre les régulateurs et les acteurs de marchés où l'économie est peu ou pas régulée.

Le système de l'APEC Cross Border Privacy Rules (CPBR) est basé sur la reconnaissance transfrontière d'agents devant rendre des comptes, «Accountability Agents» et sur le respect de critères.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Il est vrai que les schémas analysés sont des schémas nationaux : TRUSTe, Goodpriv@cy, PrivacyMark, BBBOnline...

Le label Suisse GoodPriv@cy émis par SQS bénéficie d'une reconnaissance internationale. En l'espèce il s'agit d'un label émis par une société privée membre du réseau international de certification IQNet.

Pour permettre la promotion de PrivacyMark a un moindre coût et afin de développer un cadre au-delà des frontières avec les US, le Canada et le Mexique, l'accord de reconnaissance mutuel avec BBBOnline autorisait l'utilisation des deux labels de 2001 à 2008.

Les représentants des trois labels TRUSTe® , PrivacyMark® et AMIPCI( Mexique) réfléchissent pour leur part à un moyen de reconnaissance mutuelle afin de construire la confiance en ligne, de promouvoir la sécurité et de résoudre les plaintes concernant les litiges dépassant le cadre des juridictions nationales.

Mais nous ne disposons pas d'éléments suffisants pour nous prononcer sur la viabilité à plus long terme de ces schémas dans l'hypothèse où nous risquons d'assister à une multiplication de schémas nationaux de qualité différente et de nuire à la cohérence du système ; plus le nombre d'acteurs est grand moins les critères d'exigence pour une reconnaissance mutuelle seront élevés.

Un schéma national doit impérativement se référer à des normes, principes et standards internationalement reconnus. Mais le caractère national d'un schéma ne nous semble pas répondre aux défis de la globalisation des flux d'information.

Il pourrait s'appuyer sur des principes communément admis et reconnus ainsi que sur les spécificités locales plus exigeantes sur certains points. C'est le cas du référentiel d'Europrise.

Initié par l'autorité européenne, il devrait prévoir la consultation d'acteurs privés.

Il faut certes éviter un référentiel trop précis requérant des mises à jour fréquentes (changements réglementaire, nouvelle attaques) mais il ne devrait pas laisser place à des interprétations divergentes selon les états. Un schéma de certification devrait permettre de pallier aux difficultés de transposition harmonieuse des directives

Un référentiel suffisamment précis (principe ou critère + objectif + lignes directrices et guides techniques d'implémentation pour certaines technologies) déterminé au sein d'un consensus à caractère européen que les pays pourraient compléter dans un sens plus exigeant par leur propre législation mais ...tout en gardant une certaine flexibilité (laisser la possibilité de faire évaluer de manière indépendante des modalités d'application non prévues).

La certification pourrait pallier aux problèmes d'harmonisation législative sur certains points et accompagner les entreprises évoluant dans des pays à protection non encore adéquate.

(3) Déterminer la qualité de l'organisme certificateur

- A ce jour, les agences gouvernementales sont les seules organismes certificateurs de la sécurité des produits IT en France et dans la plupart des pays.

Nous avons vu que la sécurité est un des aspects de la protection des DP qui en fonction de l'analyse de risques doit atteindre un niveau plus ou moins élevé. Cependant les DPA pourraient rapidement se heurter à leur manque de ressources financières et humaines. D'autre part, elles pourraient être confrontées à un conflit d'intérêts entre leur pouvoir de sanction et celui de délivrer des labels.

Ces inconvénients pourraient être résolus par la création d'une agence indépendante au niveau européen, comprenant notamment des représentants du G29 dans le comité définissant le référentiel, lui-même défini selon un processus de consultation auprès des DPA nationales et organisations professionnelles.

La proposition établie par le rapport bien que restant très vague nous parait tout à fait pertinente :

« Cet organisme ou bureau pourrait être chargé non seulement du Label européen de protection de la vie privée mais peut-être aussi de la préparation de codes de déontologie européens, ainsi que des règles d'entreprise contraignantes - les premiers travaux seraient laissés aux experts indépendants (mais évalués et dûment accrédités), l'évaluation finale et la certification étant effectuées par le bureau sur une base semi-commerciale (autofinancement). »

La certification émise par le bureau plutôt que par la DPA nationale devrait être gage d'indépendance et de neutralité.

-Organisme certificateur au niveau européen dont le G29 et l'ENISA pourraient membres (voir par exemple la possibilité de créer un organisme à capitaux mixtes pouvant fonctionner selon les règles d'organismes privés).

- Participation des DPA nationales, organisations professionnelles et de consommateurs au processus de consultation pour la définition du référentiel et des caractéristiques du schéma et la prise en compte des freins ou barrières culturelles par exemple ;

-Des règles de fonctionnement suffisamment souples pour ne pas tomber dans les travers de la bureaucratie avec une présidence indépendante des états ;

-Des moyens de contrôles effectifs et indépendants dans l'ensemble des pays membres.

(4) Conforter l'efficacité du schéma : responsabilité, contrôle, système de résolution des litiges

Les contrôles doivent être réguliers (procédure d'audit allégée) et indépendants.

Le schéma doit prévoir une possibilité de correction et de mise à niveau ;

La non-conformité au référentiel du schéma doit donner lieu à une sanction applicable et appliquée :

-A la publicité de la sanction, on préfèrera le retrait de la liste publique des organisations certifiées ;

Le schéma devrait comporter un système indépendant de traitement des requêtes et des plaintes permettant ainsi un exercice plus facile de leurs droits par les consommateurs et les citoyens en évitant de recourir immédiatement au système judiciaire. C'est une procédure utile dans les cas où les dommages sont limités qui pourrait servir de filtre avant la saisine du régulateur ou des tribunaux.

L'exemple coréen est souvent cité comme réussite^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}. En cas de violation manifeste, si l'organisation refuse de réparer, PICO avertit le ministre, la police et les services du procureur. Notons que la quasitotalité des plaintes sont résolues par médiation.

-Distinguer avec soin la portée du schéma et tout particulièrement si les acteurs visent une certification de processus ou bien une certification de résultats. Cette dernière pourrait être recommandée pour certaines technologies et/ou dans des activités déterminées.

-Prévoir des critères de mesurabilité de l'application des principes en lien avec le principe de « Accountability » dans le référentiel ;

- Etablir un système indépendant de traitement des requêtes et des plaintes.

(5) Envisager d'autres bénéfices potentiels à une démarche de certification

a) Une assurance pour couvrir le coût d'une violation de données

« la Cyber assurance pour le virtuel pourrait un jour (très proche) devenir un instrument dominant du transfert de risque dans le monde des affaires».^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Les compagnies d'assurance américaines pensent que le marché va croitre notamment du fait des services de réparation et de la couverture de l'obligation de notification.

Dans le dernier sondage annuel de PriceWaterhouseCooper précité, 40% des entreprises du R.U. affirment se tourner vers des assurances couvrant les failles de sécurité.

Un schéma de certification pourrait être lié à une couverture d'assurance spéciale comme cela existe déjà dans les pays anglo-saxons.

Pourrait on envisager que, dans le cadre d'un projet de société, l'assurance devienne un jour obligatoire comme elle peut l'être déjà dans certains domaines en France?

La société américaine Net Diligence^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT} propose un concept garantissant 3 types de couverture d'assurance:

- responsabilité pour une violation de sécurité ou de vie privée (coûts des frais de poursuite et de défense) ;

-réparations faisant suite à une faille: réponses, notifications, investigations, contrôles

-couverture des amendes/ou pénalités imposées par la loi ou les règles: dues à une faille du système; une perte causée par un employé; l'acte d'un tiers ; le vol d'un bien privé contenant des DP

L'assurance couvre les PII si elles n'ont pas été rendues publiques et les données non électroniques.

b) Services annexes proposés par le certificateur

La prise de conscience du risque et des moyens de s'en préserver constitue la première base de défense pour garantir la sécurité des réseaux.

Une attention tout particulière sera portée aux risques de conflits d'intérêts entre la certification et les services de conseil, de formation et d'audit interne. A cet effet, il ne parait pas souhaitable qu'un même professionnel puisse à la fois assurer des actions de formation (ou de toute autre activité de conseil ou de prestation d'avocat par exemple) et d'audit au sein d'une même organisation.

La formation à la protection des DP a un coût relativement modeste estimé selon l'étude de l'ICO à moins de £1 par salarié pour une très grande organisation et s'avère plus efficace que des investissements technologiques.

- le co-financement d'actions de sensibilisation au moyen du budget communautaire ;

-de cibler le groupe : employés, middle management, executive management, administrateur système, tierce partie ;

Elle doit s'accompagner d'une campagne de communication avec des messages ciblés en fonction du degré de sensibilisation, des attentes, des besoins.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Europrise impose des formations avancées pour les professionnels experts sur les sujets européens de protection de la vie privée et notamment concernant les évolutions des textes. Ce type de démarche apporte une réelle plus value à un schéma de certification.

Le Consortium EuroPriSe a été mené par le Centre Indépendant pour la Protection des Données Personnelles du Schleswig-Holstein (ICPP/ULD) en Allemagne.

Au Japon, le JIPDEC est un centre de recherche et de promotion dans le domaine des technologies de l'information.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

La recherche est un axe important pour asseoir la reconnaissance et la notoriété de l'organisme émetteur. Il permet à l'organisme de percevoir des financements publics et/ou privés. Le financement privé de la recherche est beaucoup plus développé aux USA par exemple où les grands groupes participent à la recherche sur la protection de la vie privée.

Les labels de sites web proposent toute une série de services à leurs adhérents qu'il s'agisse de Networking, de services promotionnels, de conseils dans le traitement des litiges, de marketing ou de services propres à la gestion des informations personnelles (cf. TRUSTe propose aux adhérents un service de management en ligne de leur politique : émission de rapports de conformité et de statistiques).

Les organismes offrent aussi la possibilité d'obtenir de meilleurs prix sur d'autres démarches de certification (voir SQS-IQNet).

-Nouer un partenariat avec des assureurs pour un certain niveau de certification ;

-Proposer des outils d'auto-évaluation et de suivi en ligne sur abonnement (cf. DSI 10012 data protection online) ;

-Newsletter gratuite, accès à une base de documentation et de recherche et abonnement annuel à un service de conseil juridique à distance ;

-Actions d'accompagnement et formations courtes et ciblées en entreprises avec mise en situation (séparation des fonctions avec l'activité d'audit).

Section 2. Esquisse d'une politique d'accompagnement d'une démarche de certification

Le succès d'un schéma européen de certification des DP dépendra d'abord de la capacité des instances politiques à relever les nouveaux défis.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

(I) Motivation et participation de l'ensemble des acteurs

(1) La faisabilité d'un schéma de certification dépend de l'engagement des pouvoirs publics dans un « projet de société »

Même si les conséquences d'une violation sont significatives pour une organisation, le coût pour les consommateurs ne peut être entièrement considéré par l'organisation en tant qu'élément de son risque. Dans ce cas, une violation de la vie privée est une extériorité négative que les incitations normales ne corrigent pas. De même, les précautions que devraient prendre les consommateurs pour éviter ou faire suite à un incident de sécurité coûtent cher et prennent du temps sans pour autant leur garantir une protection ou une réparation.

Aussi parait-il normal et souhaitable que les pouvoirs publics participent activement à la protection DP et de la vie privée.

A.Acquisti suggère de déplacer le débat, plutôt que de prouver que l'individu supporte un coût lorsque sa vie privée n'est pas protégée, on pourrait exiger des organisations qu'elles prouvent qu'elles ne peuvent fournir le même produit tout en protégeant les informations personnelles.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Pour inciter les organisations à respecter un règlement de sécurité et de protection des DP, on peut envisager de:

· introduire le principe de PbD dans les systèmes d'information de l'administration,^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} et encourager l'usage de technologies de protection (cf. nouveaux protocoles de cryptographie) ce qui devrait nous permettre d'atteindre un meilleur équilibre.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

· la technologie pourrait aider à réaliser des équilibres plus souhaitables, et l'intervention de normalisation pourrait pousser le marché pour adopter ces technologies.

· diminuer le coût de la mesure de prudence, par exemple en soutenant financièrement l'acquisition du dispositif de PbD;

· encourager les autorités gouvernementales à utiliser des produits certifiés à l'image des actions menées dans le Land du Schleswig Holstein ;

· mettre en place un plan d'action au sein de l'administration (cf. Plan Administration Exemplaire article 42 du projet de loi Grenelle 1 : L'Etat pourrait s'engager à être exemplaire dans la protection des DP comme il doit l'être en matière de développement durable);

· augmenter le bénéfice perçu de la mesure de prudence en accompagnant l'acquisition d'un « cadeau » (par exemple en diminuant le montant de la prime d'assurance);

· augmenter le coût et diminuer le gain de l'attitude imprudente (plus de sanctions par les DPA et autres régulateurs, prévoir des sanctions plus dissuasives, rendre la publicité des violations obligatoires...) ;

(2) Encourager la participation des organisations professionnelles et des associations de consommateurs

Ces acteurs sont les mieux placés pour sensibiliser leurs membres sur le sujet et sur le nécessaire engagement dans une démarche globale.

La commission européenne déclare envisager la possibilité d'étendre le pouvoir d'engager des actions devant les juridictions nationales aux associations professionnelles ou représentants les intérêts des personnes vis-à-vis de la protection des DP.

Ces acteurs devraient être impliqués dans un processus de certification tant au niveau de la concertation qu'éventuellement dans les dispositifs de résolution de litiges.

Ils ont aussi un rôle important à jouer dans la conception de codes sectoriels (cf.« Federation of European Direct and Interactive Marketing » (FEDMA) code de déontologie européen dans le marketing direct).^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

L'Allemagne a récemment engagé une concertation entre partenaires privés et publics ( Les Ministres de l'intérieur, de la justice, de la consommation et les représentants de diverses compagnies telles que Deutsche Telekom, Google, Microsoft, Apple Inc., OpenStreetMap et Panogate) sur un projet de code de protection des données de géo localisation proposé par le Ministre fédéral de l'intérieur. Ce projet devrait ensuite être accepté par le commissaire fédéral à la protection des données et par les autorités de protection de chaque état.

L'objectif sera de fournir une « voie éclairante » standard pour les cas impliquant les sociétés de profilage ou de croisement de données.

Au Japon, les associations de consommateurs sont les premières impliquées dans le schéma de certification.

Nous suggérons par exemple que l'AMF examine dans quelle mesure les conclusions de rapports de procédures d'audit labellisées par la CNIL constitueraient des données pouvant être intégrées dans sa règlementation de l'information des marchés financiers.

(II) Définir une nouvelle façon de communiquer

(1) Veiller au langage clair et incitatif

La commission européenne a indiqué dans son communiqué du 04/11/2010, envisager l'introduction d'un nouveau principe général de transparence et de créer un ou plusieurs standards de politique de protection des DP.

A l'évidence la forme et le langage des politiques mais plus généralement de la communication traitant de la protection des DP et de la vie privée doivent évoluer.

Le sujet est très souvent source de confusion, d'incompréhension et de méconnaissance. Plus de la moitié des individus interrogés en 2009 estiment que les politiques en ligne sont peu ou pas claires.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Il a été démontré que les individus ne lisent pas les politiques de protection de la vie privée et interprètent de manière erronée sa présence sur un site internet par exemple. Quand bien même les consommateurs seraient convaincus de lire les politiques de toutes les organisations avec lesquelles ils interagissent, il en coûterait 365 billions de dollars de perte de productivité à la communauté.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

Pire, les consommateurs ne croient pas qu'ils aient le pouvoir de faire quoique ce soit pour protéger leur vie privée et leurs DP. Enfin les personnes trouvent les informations ennuyeuses.

On peut donc craindre qu'une multiplication de labels participe à cette confusion et que les objectifs de la certification ne soient pas atteints.

On pourrait par exemple développer un standard de notice d'information en s'inspirant des étiquettes que l'on trouve dans l'industrie alimentaire^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} (fig. 16).

Il nous semble essentiel de replacer l'individu au centre des préoccupations et d'avoir une approche plus « friendly » et ludique, moins « bureaucratique ».

Une démarche de certification doit susciter l'intérêt des individus. Le jargon plus ou moins juridique et souvent abscons qui accompagne les mesures de protection des DP pourrait être adapté et « donner envie ». P. Gage Kelly propose de se servir de l'intensité visuelle, de couleurs et de termes appropriés à un message clair et compréhensible à destination d'une population cible habituée à de nouveaux codes sémantiques (voir à ce sujet les lacunes des informations des réseaux sociaux à l'attention des enfants et des teenagers).^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

-Besoin d'une démarche commerciale et marketing et d'une politique de communication:

L'équilibre économique d'un schéma de certification s'entend du financement de sa mise en place et de son coût de fonctionnement ; la mise en route peut être longue et impose la prudence avant que le schéma soit reconnu comme un élément de comparaison sur le marché.

Le label doit « faire parler de lui » ; les organisations doivent être informées de son existence, de son intérêt, de ses objectifs.

Comme nous l'avons indiqué BBBOnline ou TRUSTe ont su faire usage des nouveaux medias de communication comme les réseaux sociaux.^{(*)REF _Ref278271812 \r
\h \* MERGEFORMAT}

Goodpriv@cy pour sa part propose une plaquette commerciale attractive^{(*)REF _Ref278271812
\r \h \* MERGEFORMAT}.

Trust Guard propose des vidéos à ses adhérents pour communiquer sur leur label.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

On ne pourra que conseiller de s'inspirer des instruments de marketing proposés par l'AICPA^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} pour construire une politique interne dans les PME.

A contrario la présentation de Europrise est peu séduisante, beaucoup de texte, peu d'image et de couleurs.^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

(2) Motiver les décideurs et les individus au moyen d'un nouveau discours

-La sensibilisation des individus et des entreprises passe par une approche plus sophistiquée de la communication faisant appel à des outils prenant en compte les facteurs de complexité psychologique et mentale, tout particulièrement concernant les perceptions et les attitudes des individus vis-à-vis des risques (ex. le fait que cela ne m'arrivera jamais ou l'impression d'obtenir un bénéfice en échange de ses données).

-Changer de discours en impliquant les acteurs : sensibiliser, expliquer, intéresser pour mieux convaincre de la démarche

Certains auteurs proposent d'utiliser le concept d'optimisation du risque ou Privacy Risk Optimization Process (PROP)^{(*)REF _Ref278271812 \r \h \*
MERGEFORMAT}

La prise en compte des menaces et des vulnérabilités (risque négatif) peut être une opportunité d'amélioration (risque positif).Ce concept est intéressant dans le sens où il ne vérifie pas l'application de principes donnés mais il évalue les traitements, ce qui laisse une plus grande flexibilité à l'organisation dans l'application des règles de protection des DP.

Les organisations devraient être sensibilisées au défi économique majeur que pose l'utilisation croissante de NTIC et à ses conséquences sur la protection des DP. Alors que le nombre d'applications pour un même individu augmente sans cesse, le risque d'erreur dans l'utilisation des données s'accroît. Pour une bonne gestion de leurs risques mais aussi dans un souci d'amélioration de leur système de management les organisations sont amenées à gérer les identités. De même la biométrie est un formidable outil qui paradoxalement comporte autant de risques d'abus vis-à-vis de la vie privée que d'avantages en termes de sécurité.

Les individus veulent disposer de plus de contrôle sur leurs DP et connaitre l'usage qui en est fait.

Plus simplement, la démarche de certification devrait être perçue comme un outil ou un instrument de:

-sensibilisation des salariés à des enjeux vitaux pour le groupe, pour les personnes et pour la compétitivité de l'économie nationale,

Mais aussi comme un avantage concurrentiel, un moyen de gagner des marchés et un « permis d'exploiter des DP » dans le contexte d'échanges internationaux.

Titre XX. Conclusion

Beaucoup de pays placent une plus grande confiance dans l'autorégulation et dans la certification qu'en Europe.

Mais aujourd'hui, plus que jamais peut être, la certification a toutes les raisons de se développer en Europe.

Désormais ni les Autorité de Protection des Données (DPA) ni les gouvernements n'ont plus les moyens de garantir seuls le respect de la protection des DP face aux nouveaux défis technologiques et économiques.

La certification offre l'opportunité d'attester de la conformité de produits et de procédures à des référentiels techniques et pourraient être plus adaptés au domaine des TIC que l'instrument législatif.

C'est aussi le seul moyen à ce jour de fixer les règles d'un jeu qui se jouent à l'échelle globale de la planète, bien au-delà des modalités d'échanges économiques traditionnelles inter- nations.

La Commission européenne envisage l'adoption de nouveaux principes qui devront trouver à être implémentés dans les produits :

- un principe de « portabilité des données » pour permettre à la personne concernée d'effacer ses DP par l'intermédiaire d'un tiers.

La commission entend inclure l'obligation de mettre en place un PIA dans certains cas de données sensibles ou si le traitement implique des risques spécifiques y compris pour la vidéosurveillance ou le profilage.

Elle souhaite promouvoir l'usage des PETs' et la possibilité concrète de mettre en place l'obligation de PbD.

Après étude des schémas de certification traitant de la protection de la vie privée, partout semble se dessiner assez clairement un consensus sur les points suivants dont un schéma de certification doit tenir compte:

-de nouveaux principes à considérer (Accountability et responsabilité, PbD, formation et sensibilisation...),

-la nécessité de reconsidérer notre approche de la protection de la vie privée et des DP (gestion des risques, mesures proactives, approche holistique, encouragement des mesures d'autorégulation),

-un besoin d'harmonisation des principes et des pratiques au-delà des frontières

L'efficacité de ces principes dépendra des modalités « effectives » de mise en oeuvre. La certification pourrait jouer un rôle croissant en ce domaine.

Finalement la faisabilité d'un schéma de certification de protection des DP sera sensible aux conditions suivantes:

-les caractéristiques du schéma : non seulement le référentiel mais surtout les modalités de contrôles, son indépendance et son impartialité ;

-Que le sujet de protection des DP devienne un projet de société et un sujet de préoccupation d'intérêt européen et international au même titre que la protection de l'environnement afin de pouvoir bénéficier de mesures incitatives (voire obligatoire dans certains cas);

-Une politique de protection des DP s'inscrivant au contraire dans la durée et l'entièreté d'une démarche ;

-L'affirmation et la promotion de valeurs européennes au travers d'accords de reconnaissances ;

-La possibilité pour tous les acteurs liés par un échange de données de faire valoir leurs droits au titre d'un même référentiel et selon la même efficacité ;

-La mis en place d'outils garants de l'harmonisation du niveau des évaluations.

En ce qui concerne la certification de systèmes de management, Hendricks and Singhal (1997) ont montré que la mise en place d'un tel système améliorait significativement les performances financières, mais de manière plus ou moins prononcée en fonction du type de récompense octroyée. On peut donc en conclure que la qualité du schéma d'octroi de la récompense a une réelle influence.^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Une autre étude menée entre 1987 et 1997 portant sur les entreprises du secteur marketing certifiées ISO 9000, (ce qui implique la mise en place d'une procédure documentée), a démontré une nette amélioration dans les performances financières immédiates des organisations mais aussi trois ans plus tard.^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Peu de certifications ont eu jusqu'à présent pour seul thème la protection de la vie privée et/ou des DP à l'exception de :

· TRUSTe qui est un label pour les sites web et applications pour mobiles (qui a désormais une stratégie purement commerciale)

· EUROPRISE qui porte sur les produits et services IT mais qui ne connait pas de franc succès pour le moment

· PrivacyMark, certification de système de management qui connait un réel succès au Japon

· Goodpriv@cy, certification de système de management, pour lequel nous n'avons pas encore de chiffre

-Les schémas de certification de sites web visent à gagner la confiance des consommateurs en proposant une garantie allant au-delà de la seule protection de la vie privée. TRUSTe a renforcé son offre de sécurité, tandis que TrustGuard par exemple met expressément en avant une offre plus complète que ses concurrents (sécurité, vie privée et pratique des affaires). La protection des DP n'est dans la plupart des cas qu'un argument marketing dont il est difficile de vérifier la réelle application. Surtout, le caractère purement commercial des schémas a rapidement montré les limites d'un système motivé par le seul appât du lucre. Il semblerait que cela ait été jusqu'à présent le seul modèle économiquement viable avec tout de même une offre de service accrue en matière de sécurité des DP.

L'autorégulation se caractérise d'avantage par un « vernis » et se limite en général à « je dis ce que je fais » sans que nous soient donnés les moyens de vérifier que « je fais ce que je dis ».

-Concernant les procédures et systèmes de management, une foule d'outils sont mis à disposition des organisations et des professionnels, tout particulièrement de nombreux cadres d'audit pour certains émis par les DPA.

Les outils d'audit proposés varient selon leur référentiel, leur objectif, leur portée ou leur forme mais ils restent d'excellents instruments pour :

-préparer un audit de conformité par un tiers indépendant et une éventuelle certification ;

-améliorer la politique de protection des DP de l'organisation en révélant les insuffisances.

Selon les objectifs visés par l'organisme émetteur du certificat, la démarche de certification doit tenir compte de l'hétérogénéité du marché.

Les besoins et les moyens des acteurs diffèrent selon leur secteur d'activité, selon leur taille et leurs ressources.

C'est pourquoi nous préconisons que le schéma de certification puisse s'adapter à des niveaux de maturité déterminés et offrir à l'organisation la possibilité de gravir des échelons en fonction de l'atteinte d'objectifs déterminés. Par ce moyen, la démarche serait accessible à toutes les organisations quelque soit leur taille et leur permettrait d'étaler le coût de la démarche dans le temps.

Quant aux certifications de produits, il existe généralement très peu de schémas et il n'y a pas actuellement de fort développement à l'exception du milieu bancaire, selon notre interlocuteur à l'ANSSI.

Concernant la protection de la vie privée, nous avons relevé trois schémas seulement: Europrise, Gütesiegel du Schleswig Holstein et celui prévu par la loi Suisse mais qui à notre connaissance n'a pas encore accrédité d'organisme pour la certification des produits. Le schéma Europrise prévoit la possibilité pour les autorités nationales de délivrer le label mais il semblerait que jusqu'à présent seule l'ULD soit intervenue.

L'usage de son pouvoir de labellisation par la CNIL pourrait être une exception dans ce paysage.

On doutera cependant de sa capacité à assurer seule une certification des produits. Ce type de schéma nécessite des ressources humaines et financières très élevées que seuls les états sont à même de garantir aujourd'hui dans le domaine des TIC.

Pour ces raisons la commissaire de l'Ontario Ann Cavoukian déclare ne pas avoir reçu mandat de mettre en place une certification de son concept de PbD.

La CNIL pourrait alors envisager de collaborer avec l'ANSSI mais cette agence est d'abord spécialisée dans la sécurité et elle a un caractère avant tout national. Une telle collaboration pourrait être précisément prévue et déterminée pour certaines technologies.

Il existe par ailleurs un certain nombre de standards qui font l'objet d'un consensus international que les DPA pourraient intégrer dans leur référentiel (ex. Suisse) dans l'attente de nouveaux standards toujours en cours (ISO Privacy Framework).

La CNIL au même titre que d'autres DPA pourraient tirer avantage à s'impliquer dans le schéma d'Europrise à la condition de surmonter les divergences politiques et de s'accorder sur le fonctionnement d'un comité de direction.

Les DPA et autres autorités nationales pourraient trouver un intérêt à s'appuyer sur un système qui a le mérite :

- de se conformer à un référentiel relativement large mais consensuel en Europe et reconnu internationalement,

-de dépendre d'un organisme reconnu pour son indépendance et ses compétences en matière de protection de la vie privée ;

Enfin, une solution serait de créer un organisme européen à capitaux mixtes et fonctionnant sur le modèle d'organismes privés, pouvant s'inspirer du schéma d'Europrise, en privilégiant :

-la détermination des référentiels tout en respectant le principe de neutralité technologique;

Et en faisant de la certification une démarche économiquement attrayante pour les organisations.

Titre XXI. Annexes

Titre XXII. Bibliographie

The economics of personal data and the economics of privacy by Alessandro Acquisti, Heinz College, Carnegie Mellon University, December 2010, OECD

Privacy and security of personal information, Economic Incentives and Technological Solutions, Alessandro Acquisti 2004

Privacy costs and personal data protection: economic and legal perspectives Sasha Romanosky and Alessandro Acquisti 2009

Is there a cost to privacy breaches? Aa event study, Alessandro Acquisti, Allan Friedman, Raoul Tellang 2006

Privacy in Electronic Commerce and the Economics of Immediate Gratification, Alessandro Acquisti

A Framework for Classifying and Comparing Models of Cyber Security Investment to Support Policy and Decision-Making1 Rachel Rue, Shari Lawrence Pfleeger and David Ortiz, 2007

La sécurité des données personnelles enfin prise au sérieux ? par Bruno Rasle - Mars 2010

Obligation de notification des failles de sécurité : quand l'Union Européenne voit double...

Analysis and definition of common characteristics of trustmarks and web seals in the European Union, Dr. Ronald de Bruin (ECP.NL), Ewout Keuleers (CRID), Christophe Lazaro (CRID),

A pragmatic approach to privacy risk optimization: privacy by design for business practices, Terry McQuay & Ann Cavoukian Mai 2010

Designing a Privacy Label:Assisting Consumer Understanding of Online Privacy Practices, Patrick gage Kelly 2009

Nymity APEC Privacy and Data Protection Report, May 2010, Gail Magnuson, Research Alliances Director Nymity Inc.

Web Seals: A Review of Online Privacy Programs, A Joint Project of The Office of the Information and Privacy Commissioner/Ontario and The Office of the Federal Privacy Commissioner of Australia, Ann Cavoukian, Ph.D., Malcolm Crompton

A Possible Way Forward: Some Themes and an Initial Proposal for a Privacy and Trust Framework, 2007, Malcolm Crompton Christine Cowper, Martin Abrams

Défis induits par les technologies en matière de protection de la vie privée et des données en Europe , Rapport du groupe de travail ad hoc «Respect de la vie privée et technologies» de l'ENISA Juillet 2008

Étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques, commission européenne, janvier 2010

Comparative study on different approaches to new privacy challenges developments, country studies, France, by Douwe Korff, may 2010

Comparative study on different approaches to new privacy challenges developments, country studies, Japan, bY Graham Greenleaf, may 2010

Comparative study on different approaches to new privacy challenges developments, country studies

Study on the economic benefits of privacy-enhancing technologies (PETs), Final Report to The European Commission DG Justice, Freedom and Security, Juillet 2010

Handbook of Privacy and Privacy-Enhancing Technologies - The case of Intelligent Software

The new users' guide: How to raise information security awareness, ENISA juillet 2008

Data Protection Accountability: The Essential Elements A Document for Discussion 2009 et Demonstrating and Measuring Accountability The Accountability Project - Phase II 2010, Centre for Information Policy Leadership

Review of the European Data Protection Directive Neil Robinson, Hans Graux, Maarten Botterman, Lorenzo Valeri, 2009 RAND

Comparison of Privacy and Trust Policies in the Area of Electronic Communications, Rand 2007

Global Technology Audit Guide 5: Managing and Auditing Privacy Risks, 2006, Ulrich Hahn, Ph.D., Ken Askelson, JCPenney, Robert Stiles, Texas Guaranteed (TG)

Avis du contrôleur européen de la protection des données sur la promotion de la confiance dans la société d'information par des mesures d'encouragement de la protection des données et de la vie privée, 16/10/2010

Avis et rapport du CNC sur la protection des données personnelles des consommateurs 2010-11-17

Communication from the commission to the European parliament, the council, the economic and social committee and the committee of the regions

A comprehensive approach on personal data protection in the European Union, 04/11/2010

Guidelines for Personal Information Protection Management System Implementation based on JISQ 15001: 2006

Japan Information Processing Development Corporation (JIPDEC) Rules for the Establishment and Operation of the PrivacyMark System

Membres de l'APEC	Régulateur	Labels privacy	Nombre/coût	Date création
Japon	Ministère	PrivacyMark® JIPDEC, Japan	12,798 labels 300,000JPY à 1,200,000JPY	1998
Corée	Non	eTrust Korea	100 labels $130 petite $435 grande compagnie	1998
Mexique	Non	AMIPCI	387 labels $179-$447	1999
Philippines	Bientôt le dept du commerce et de l'industrie	SureSeal	45 labels $65-$366	2008
Singapour	non identifié	Case Trust	500 membres, 1200 boutiques $180-$800	1971
Singapour	non identifié	TrustSG National Trust Council, Singapore	1050 labels $200-$1200	2001
Chine Taïpe	non identifié	SOSA	150 labels $150-$315	1998
Thaïlande	non identifié	Verified	12 labels gratuit	2002
USA	Nombreux par secteur et par états	TRUSTe®	1500 clients pour 3000 sites web $650-$150,000	1997 ONG 2008 privé
Vietnam	Ministère du commerce	TrustVN	12 labels $200	2008

* REF _Ref278271812 \r \h \* MERGEFORMAT http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52010DC0245(01):EN:NOT

* REF _Ref278271812 \r \h \* MERGEFORMAT GIP Conseil et opérateur pour la coopération internationale des ministères de l'Economie, du Budget et du Développement durable. Le pôle économie numérique d'Adetef apporte son expertise aux partenaires institutionnels internationaux dans les domaines de l'internet, des systèmes d'information, des télécommunications, de l'administration électronique, de la monétique et du développement économique par les TIC. http://www.adetef.fr/adetef_01_global.html

* REF _Ref278271812 \r \h \* MERGEFORMAT cf. Agence des droits fondamentaux de l'Union européenne MÉMO/7 mai 2010

* REF _Ref278271812 \r \h \* MERGEFORMAT Eurobarometer survey on Data Protection measures Awareness, Attitudes and Views of Citizens of the EU 2008

* REF _Ref278271812 \r \h \* MERGEFORMAT 2011 Global State of Information Security Survey PWC

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.european-accreditation.org/content/home/home.htm

* REF _Ref278271812 \r \h \* MERGEFORMAT http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:218:0030:0047:fr:PDF

* REF _Ref278271812 \r \h \* MERGEFORMAT voir les 14 critères « must have » et 26 critères « nice to have » des labels de sites web, Yves Poullet, Ronald de Bruin, Christophe Lazaro, Ewout Keuleers, Marjolein Viersma, Analysis and definition of common characteristics of trustmarks and web seals in the European union, final report, February 2005, European Contract nr B5-1000/03/000381 (DG Sanco), 104 p.

* REF _Ref278271812 \r \h \* MERGEFORMAT http://econfidence.jrc.it, www.beuc.org, www.unice.org

* REF _Ref278271812 \r \h \* MERGEFORMAT Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy 2006 by American Institute of Certified Public Accountants

* REF _Ref278271812 \r \h \* MERGEFORMAT « New assurance service opportunities for information systems auditors » J. E. Hunton, C. Frownfelter-Lohrke, and G. L Holstrum, IS Audit & Control Journal, Vol IV, 1999

* REF _Ref278271812 \r \h \* MERGEFORMAT Comparative study on different approaches to new privacy challenges developments, country studies

* REF _Ref278271812 \r \h \* MERGEFORMAT Web Seals: a review of online privacy seals, Dr.A.Cavoukian et Malcolm Crompton

* REF _Ref278271812 \r \h \* MERGEFORMAT Benjamin Edelman, Adverse Selection in Online 'Trust' Certifications, Proceedings of ICEC'09

* REF _Ref278271812 \r \h \* MERGEFORMAT Propos recueillis auprès de Eric Gheur, membre du Comité sectoriel de la Banque-Carrefour des Entreprises de la Commission belge de la Vie Privée

* REF _Ref278271812 \r \h \* MERGEFORMAT Propos recueillis pas téléphone courant juillet 2010

* REF _Ref278271812 \r \h \* MERGEFORMAT Annexe 1 hiérarchie du référentiel Suisse

* REF _Ref278271812 \r \h \* MERGEFORMAT Annexe 2 schéma de l'accréditation/certification Suisse

* REF _Ref278271812 \r \h \* MERGEFORMAT Au sein de l'U.E.les états ont l'obligation de notifier les lois nationales pour vérifier qu'ils n'introduisent pas de standards restrictifs (Dir. 98/34 et 98/48)

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.cen.eu/CEN/sectors/sectors/isss/activity/Pages/wsdpp.aspx

* REF _Ref278271812 \r \h \* MERGEFORMAT Le modèle de maturité de possibilités (CMM) est une marque possédée par l'université de Carnegie Mellon (CMU) et créée en 1988

* REF _Ref278271812 \r \h \* MERGEFORMAT Study on the standardisation aspects of eSignature, By SEALED, DLA Piper and Across communications november 2007

* REF _Ref278271812 \r \h \* MERGEFORMAT Révision en cours voir COM (2010) 609/3

* REF _Ref278271812 \r \h \* MERGEFORMAT Question écrite n° 06628 de M. Alex Türk publiée dans le JO Sénat du 11/12/2008 - page 2478 ; réponse du Ministère de la Justice publiée dans le JO Sénat du 01/01/2009 - page 38.
La question et la réponse sont disponibles sur Internet : ~~http://www.senat.fr/questions/base/2008/qSEQ081206628.html~~

* REF _Ref278271812 \r \h \* MERGEFORMAT « Most Trusted Companies for Privacy: U.S. Consumers », Ponemon février 2010

* REF _Ref278271812 \r \h \* MERGEFORMAT «Privacy costs and personal dat protection: economic and legal perspectives, Sasha Romanosky and Alessandro Acquisti

* REF _Ref278271812 \r \h \* MERGEFORMAT Privacy in Electronic Commerce and the Economics of Immediate Gratification Alessandro Acquisti

* REF _Ref278271812 \r \h \* MERGEFORMAT A Framework for Classifying and Comparing Models of Cyber Security Investment to Support Policy and Decision-Making1, Rachel Rue, Shari Lawrence Pfleeger and David Ortiz

* REF _Ref278271812 \r \h \* MERGEFORMAT Is there a cost to privacy breachs? An event study Alessandro Acquisti, Allan Friedman, Rahul Telang, 2006

* REF _Ref278271812 \r \h \* MERGEFORMAT Ponemon Instiute 2008 Annual Study: Cost of a Data Breach

* REF _Ref278271812 \r \h \* MERGEFORMAT The economics of personal data and the economics of privacy by Alessandro Acquisti, Heinz College, Carnegie Mellon University, December 2010, OECD

* REF _Ref278271812 \r \h \* MERGEFORMAT Étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques, commission européenne, janvier 2010

* REF _Ref278271812 \r \h \* MERGEFORMAT Défis induits par les technologies en matière de protection de la vie privée et des données en Europe

Rapport du groupe de travail ad hoc «Respect de la vie privée et technologies» de l'ENISA

* REF _Ref278271812 \r \h \* MERGEFORMAT Pour une troisième génération de réglementations de protection des données, Yves Poullet 2005

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/fr/ec/111886.pdf

* REF _Ref278271812 \r \h \* MERGEFORMAT http://ec.europa.eu/information_society/newsroom/cf/pillar.cmf?pillar_id=45&pillar=Trust%20and%20Security

* REF _Ref278271812 \r \h \* MERGEFORMAT «Données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle ».

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.privacyconference2009.org/home/index-iden-idweb.html

* REF _Ref278271812 \r \h \* MERGEFORMAT ~~www.privacybydesign.ca~~ «Privacy by Design: The 7 Foundational Principles - Implementation and Mapping of Fair Information Practices»

* REF _Ref278271812 \r \h \* MERGEFORMAT «The Future of Privacy,» G29 décembre 2009

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.privacyconference2009.org/dpas_space/space_reserved/documentos_adoptados/index-iden-idphp.php

* REF _Ref278271812 \r \h \* MERGEFORMAT ~~décret~~ n° 2001-1016 du 5 novembre ~~2001~~

* REF _Ref278271812 \r \h \* MERGEFORMAT Demonstrating and Measuring Accountability, Accountability Phase II -The Paris Project October 2010, Centre for Information Policy, Hunton & Williams

* REF _Ref278271812 \r \h \* MERGEFORMAT Malcolm Crompton, Christine Cowper, Martin Abrams, sont les auteurs d'un article intitulé

* REF _Ref278271812 \r \h \* MERGEFORMAT Agences de notation extra financière : Agences de notation extra financières : CORE RATING, INNOVEST, ETHIBEL, VIGEO,ODE, SAM

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.accountability.org/standards/index.html

* REF _Ref278271812 \r \h \* MERGEFORMAT Voir : La sécurité des données personnelles enfin prise au sérieux ? par Bruno Rasle - Mars 2010

* REF _Ref278271812 \r \h \* MERGEFORMAT 2010 Most Trusted Companies for Privacy: U.S. Consumers, Ponemon Institute

* REF _Ref278271812 \r \h \* MERGEFORMAT Accenture, 2010 How global organizations approach the challenge of protecting personal data.

* REF _Ref278271812 \r \h \* MERGEFORMAT «Microsoft Lobbying for Data Privacy Laws,» Joe Lewis, WebProNews, March 21, 2007,

* REF _Ref278271812 \r \h \* MERGEFORMAT Ce projet reprend les recommandations du Global Business Dialogue for Electronic Commerce (GBDe) pour l'harmonisation des standards, la coopération entre les labels et la résolution des litiges.

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.apec.org/apec/apec_groups/committee_on_trade/electronic_commerce.html

* REF _Ref278271812 \r \h \* MERGEFORMAT Il faut répondre à des critères portant sur :

· des lignes de base, un Benchmark des standards de protection de la vie privée et des critères d'opérations;

· des standards d'application pour répondre aux failles, tels que des arrangements avant amendes;

· La reconnaissance transfrontalière entre les autorités chargées de l'application ;

· Des plateformes de communication pour les plaintes, Coordonner la Communication entre les agents responsables « Accountability Agents » et les autorités et coordonner les réparations ;

* REF _Ref278271812 \r \h \* MERGEFORMAT Le Personal Information Dispute Mediation Committee (PICO) mis en place par The Korea Information Security Agency (KISA), est une organisation administrative indépendante.

* REF _Ref278271812 \r \h \* MERGEFORMAT Drew Bartkiewicz of The Hartford 2009 au World Economic Forum`s Future of the Internet Council à Dubai

- de vérifier la conformité aux exigences de cybersécurité (GLBA 501b, NCUA's Rule 748, HIPAA, PIPEDA et autres règles étatiques et fédérales qui demandent l'application de bonnes pratiques).

-des tests de vulnérabilité du système par rapport à plus de 6000 exploits de hacker

* REF _Ref278271812 \r \h \* MERGEFORMAT The new users' guide: How to raise information security awareness, ENISA juillet 2008

* REF _Ref278271812 \r \h \* MERGEFORMAT Autorité administrative indépendante reconnue comme entité d'investigation conformément à la Loi sur les signatures électroniques et les affaires de certification.

* REF _Ref278271812 \r \h \* MERGEFORMAT The economics of personal data and the economics of privacy by Alessandro Acquisti, Heinz College, Carnegie Mellon University, December 2010, OECD

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.fedma.org/getfile.php/345600.1014.vdsqxxautb/FEDMACodeFR.pdf

* REF _Ref278271812 \r \h \* MERGEFORMAT McDonald, A, and Cranor, L. The Cost of Reading Privacy Policies

* REF _Ref278271812 \r \h \* MERGEFORMAT A «Nutrition Label» for Privacy, Patrick Gage Kelley

* REF _Ref278271812 \r \h \* MERGEFORMAT Rapport d'évaluation de la Commission sur la mise en oeuvre des principes de l'UE pour des réseaux sociaux plus sûrs: http://ec.europa.eu/ information_society/activities/social_networking/docs/final_report/ first_part.pdf

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.iqnet-ltd.com/userfiles/GoodPriv@cy/goodprivacy.pdf

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.trust-guard.com/Why-Choose-Trust-Guard-s/2.htm

* REF _Ref278271812 \r \h \* MERGEFORMAT http://www.aicpa.org/Career/Marketing/Pages/CPAmarketinghomepage.aspx

* REF _Ref278271812 \r \h \* MERGEFORMAT https://www.european-privacy-seal.eu/results/presentations/201003%20Building%20Trust.pdf

* REF _Ref278271812 \r \h \* MERGEFORMAT A pragmatic approach to privacy risk optimization: privacy by design for business practices, Terry McQuay & Ann Cavoukian Mai 2010

Titre I.
Hendricks, K.B. and V.R. Singhal. 1997. Does Implementing an Effective TQM Program

* REF _Ref278271812 \r \h \* MERGEFORMAT The Financial Impact of ISO 9000 Certification in the US: An Empirical Analysis, Charles J. Corbett, María J. Montes-Sancho, David A. Kirsch