WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

La faisabilité des schémas de certification de protection de la vie privée

( Télécharger le fichier original )
par Florence BONNET
Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

(II) Schémas de certification de procédure ou de système de gestion

Les schémas de certification de systèmes de management existant font l'objet de critiques car la certification de procédures ne garantit pas l'implémentation et la mise en oeuvre; ils assurent une conformité apparente sans finalement garantir l'efficacité.

Monsieur Eric Gheur (*)REF _Ref278271812 \r \h \* MERGEFORMAT émet un avis critique sur les certifications d'approches systémiques qui n'apportent qu'un niveau de confiance mais pas une garantie. Ses travaux de recherche en cours portent sur une méthode d'évaluation partant du postulat que l'organisation a une obligation de résultat. On ne doit pas mesurer la seule existence d'une procédure mais l'efficacité des processus selon des critères objectifs. Il serait alors possible de préciser des niveaux d'exigences et des labels partiels. Il pense que le marché ne serait pas mûr pour une certification de systèmes de management. (*)REF _Ref278271812 \r \h \* MERGEFORMAT

Tous les systèmes étudiés ci-après, aussi différents soient-ils, se caractérisent par :

- la définition d'un cadre d'audit pour une éventuelle certification;

-l'émission d'un guide de conseils pratiques,

Et pour la plupart d'entre eux proposent des outils en ligne.

On note aussi avec intérêt l'émergence de nouveaux principes allant au-delà des obligations imposées par les textes  (« Accountabilty », économie des données, mesures proactives, PbD ...) ou focalisés sur certains points qui ont pris une importance particulière (cf. sécurité).

(1) L'audit de système de management

a) Caractéristiques de l'audit de système de management

L'Audit de protection des données se définit comme l'examen systématique et indépendant visant à déterminer si des activités impliquant des traitements de données personnelles sont réalisées suivant des politiques et procédures de l'entreprise et conformément aux exigences règlementaires applicables.

Avantages de l'audit :

-L'audit encourage la prise de conscience au sein de l'organisation ; il permet la sensibilisation de ses clients, de ses partenaires et du personnel.

-L'audit assure une garantie professionnelle en exigeant un certain niveau de conformité avec la loi ou avec les règles d'entreprise ;

-Il mesure et aide à améliorer la conformité au système de protection des DP;

-Il améliore la satisfaction des clients en réduisant la probabilité d'erreurs pouvant conduire à une plainte.

Ses règles sont généralement définies par rapport à un standard : citons le SAS 70 créé par l'American Institute of Certified Public Accountants (AICPA) pour définir les méthodes des organismes chargés du contrôle interne et des audits financiers sur les sociétés . Comme tout système d'audit pouvant déboucher sur une certification, le cheminement peut être long et lourd pour envisager la certification. Il s'agit de lignes directrices génériques pour la préparation d'un rapport d'audit mais rien ne garantit que la mise en oeuvre soit conforme.

En Europe, l'ISO/CEI 17021:2006 (Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification de systèmes de management), définit des exigences rigoureuses pour la compétence et l'impartialité des organismes qui proposent l'audit et la certification, notamment selon des normes ISO 9001:2000 (management de la qualité) et ISO 14001:2004 (management environnemental).

L'ISO/CEI 17021:2006 forme la base commune en cas de nécessité de faire vérifier l'application d'une norme de système de management par un audit et une certification indépendants («par tierce partie») comme pour l'ISO 27001 par exemple. Elle est désormais l'unique standard ISO relatant les exigences pour accréditer les organismes qui procèdent à la certification.

Les exigences d'impartialité couvrent notamment la nécessité, pour l'organisme de certification, d'apporter la preuve que les conflits d'intérêts entre la certification et les services de conseil, de formation et d'audit interne sont évités; elles s'appliquent aussi à la commercialisation des services de certification et à la sous-traitance des audits.

L'ISO 19011:2002 constitue la référence en matière de guide d'audit de systèmes de management ; elle consiste en des lignes directrices relatives aux audits de systèmes de management de la qualité et/ou de management environnemental.

La norme ISO 19011 devant servir de cadre de référence à la procédure de labellisation de la CNIL, il a délibérément été choisi de l'aborder en détails ci-dessous.

L'ISO 19011:2002 remplace six normes plus anciennes dans les séries ISO 9000 (qualité) et ISO 14000 (environnement).

En ce qui concerne les audits réalisés par des organismes externes, l'ISO 19011 fournit aux organismes de certification et d'enregistrement une approche uniformisée, qui facilitera l'évaluation externe combinée des systèmes de management.

Une amélioration importante de ces nouvelles lignes directrices concerne les qualifications des auditeurs. La norme insiste davantage sur le fait que la compétence de l'équipe d'audit et de chaque auditeur varie selon la nature, l'étendue et la complexité de l'audit et qu'il n'est pas possible d'établir des critères uniformes de compétence applicables à toutes les situations.

Conformément à ISO 19011, les auditeurs doivent respecter les principes suivants :

1-Ethique : confiance, intégrité, discrétion, confidentialité

2- Image fidèle: obligation de rendre compte avec fidélité et précision (y compris des obstacles et opinions divergentes rencontrés)

3-Conscience professionnelle: diligence et jugement dans l'audit 

4-Indépendance : l'auditeur doit être libre de tout préjugé et de conflit d'intérêt

5-Une approche basée sur les preuves

Compétences des auditeurs: qualités personnelles et connaissances + savoir

Tableau qualités personnelles d'un auditeur selon ISO 19011

 

Qualités personnelles

Compléments

Intégrité

Juste, attaché à la vérité, sincère, honnête, discret.

Ouverture d'esprit

Soucieux de prendre en considération des idées ou des points de vue différents.

Diplomatie

Faisant preuve d'esprit.

Sens de l'observation

Activement attentif aux activités et à leur environnement.

Perspicacité

Appréhendant instinctivement et capable de comprendre les situations.

Polyvalence

Facilité à s'adapter à différentes situations.

Ténacité

Persévérant, concentré sur l'atteinte des objectifs.

Capacité de prise de décision

Capable de tirer en temps voulu des conclusions fondées sur un raisonnement et une analyse logique.

Autonomie

Agit et travaille de son propre chef tout en établissant des relations efficaces avec les autres.

Le savoir et les connaissances doivent porter sur :

Les principes, procédures et techniques d'audit ; 

Les systèmes de management et les documents de référence ;

L'organisation (structure, culture, terminologie ...) ;

Les lois et les règles applicables ;

Le savoir et les compétences propres au leader : planifier, représenter, diriger, conduire, prévenir et résoudre les conflits...

Le savoir et les compétences propres à l'ISO 27001 ou autre.

Education, expérience, formation aux techniques d'audit : expérience de management (communication, conduite d'équipe, technique ...) ; entrainements à l'audit en interne ou en externe ; expérience de l'audit sous la direction d'un auditeur

Perfectionnement professionnel continu et participation régulière à des audits

Evaluations de l'auditeur :

L'évaluation se fait à trois occasions, l'évaluation initiale ; l'évaluation pour participer à l'équipe ; l'évaluation régulière de perfectionnement.

Processus d'évaluation :

Etape 1 identifier les qualités et compétences personnelles au regard des besoins de l'audit

Etape 2 établir les critères d'évaluation

Etape 3 Choisir la méthode d'évaluation appropriée

Etape 4 conduire l'évaluation (documents, interviews, feedback, tests, examen post audit).

L'ISO/CEI 17021:2006 définit des exigences rigoureuses pour la compétence et l'impartialité des organismes qui proposent l'audit et la certification.

L'ISO 19011:2002 est un outil d'amélioration continue destiné à aider les organisations à optimiser leurs systèmes de management en permettant un audit unique applicable aux deux systèmes permettant d'économiser de l'argent.

En conséquence, l'ISO 19011 constitue un cadre qui permet aux organismes d'établir leurs propres exigences de compétence et les processus d'évaluation correspondants des auditeurs.

L' ISO/CEI 27001:2005, est un standard d'audit de système de management de la sécurité de l'information, Technologies de l'information -Techniques de sécurité :

Cette norme spécifie les exigences et les processus qui permettent à une entreprise d'établir, de mettre en oeuvre, de revoir et de surveiller, de gérer et d'actualiser une sécurité de l'information qui soit efficace. Comme ISO 9001, elle est construite sur le modèle du cycle de processus Planifier-Déployer-Contrôler-Agir (PDCA) et sur l'exigence d'une amélioration continue.

La norme est conçue pour prendre en charge les aspects de sécurité de la gestion des informations dans l'entreprise, la protection des biens d'information, les obligations légales et contractuelles, mais aussi l'analyse des risques qui pèsent sur les systèmes TIC (technologies de l'information et de la communication) d'un organisme et sur ses processus.

Partant du postulat qu'un système de gestion de la protection des données (SGPD) doit être appréhendé comme tout « système de management », rien ne s'oppose à ce qu'il soit intégré dans un système de management existant et standardisé (par ex. un système de management de la qualité) comme l'illustrent les exemples suivants.

i) Le schéma de certification Suisse et l'exemple GoodPriv@cy

L'audit prévu par les textes suisses relatifs à la protection des données se focalise sur le respect de la loi et la sécurité des données.

La Suisse a préféré renoncer à un label officiel de protection des DP au profit de schémas de certifications privées. Pour en éviter la multiplication désordonnée, la loi prévoit les modalités d'accréditation des organismes habilités à évaluer et certifier les systèmes de gestion de DP et à créer des labels propres aux procédures certifiées.

L'Article 11 de la loi fédérale suisse du 19 juin 1992  traite de l'évaluation de systèmes, procédures et organisations de protection des DP par des organismes de certification agréés et indépendants.

Le Conseil fédéral édicte les dispositions déterminant la reconnaissance des procédures de certification et les conditions d'émission de certificats de protection des données.

L'article 4 de l'ordonnance du Conseil fédéral suisse du 28 septembre 2007 est ainsi rédigé:

« le préposé émet des directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir. Il tient compte des normes internationales relatives à l'installation, l'exploitation, la surveillance et l'amélioration de systèmes de gestion dont en particulier les normes ISO 9001 et ISO 27001 ».

Analyse de risques :

La mesure 15.1.4 sur la «Protection des données et confidentialité des informations relatives à la vie privée» est détaillée et subdivisée en objectifs, eux-mêmes réalisables par une vingtaine de mesures concrètes de protection. Ceci est prévu dans le cadre d'un «Guide d'implémentation» ou encore «Code de pratique pour la gestion de la protection des données», annexé aux «Directives sur les exigences minimales qu'un SGPD doit remplir», qui est le pendant pour la protection des données de la norme 27002 (code de pratique pour la sécurité de l'information), associée à la norme 27001. Parmi les 133 mesures de sécurité proposées par ISO 27002, une présélection pour la protection des données a été effectuée. A la différence de ISO 27002, le code de bonnes pratiques du système de gestion de PD (CBPGPD), formule les mesures de manière impérative car elles découlent de la loi et font suite à une analyse de non-conformité. (*)REF _Ref278271812 \r \h \* MERGEFORMAT

A l'instar de l'OCDE et d'autres pays tels l'Australie, le Canada et la Grande-Bretagne, le dispositif Suisse se fonde sur des principes généraux de protection des données.

Une analyse de non-conformité complète l'analyse de risques prévue par 27001 et porte sur les 9 principes suivants :

-licéité

-transparence

-proportionnalité

-finalité

-exactitude des données

-flux transfrontières

-sécurité (DIC + tiers)

-formalités d'enregistrement des fichiers

-droit d'accès et de procédures

Ces dispositions doivent être complétées par la législation en vigueur dans les différents secteurs (santé, télécommunication, statistiques...).

S'il n'est bien sûr pas question d'imposer une certification du système de gestion du système d'information(SGSI) pour obtenir une certification SGPD, le niveau de reconnaissance d'une certification SGSI préexistante, notamment par rapport aux exigences de «Sécurité des données», devra être évalué et décidé par le certificateur au cas par cas.

S'agissant de l'accréditation effectuée par le Service d'accréditation suisse (SAS), il est par contre probable que l'accréditation SGPD soit prévue comme une extension de l'accréditation SGSI (ISO 27001), étant donné la référence étroite et explicite aux exigences de cette norme.

L'ordonnance sur les certifications en matière de protection des données (OCPD) est entrée en vigueur le 1er janvier 2008.

Elle traite les points suivants :

· La certification des procédures de gestion des DP

La certification porte soit sur l'ensemble des procédures de l'organisation soit sur des procédures déterminées de traitement ; sa durée de validité est de 3 ans

La certification de l'ensemble des procédures exonère de la déclaration.

L'évaluation porte sur le système de gestion de protection des DP soit :

-la charte de protection des DP

-la documentation sur les objectifs et les mesures

-les dispositions techniques et organisationnelles pour atteindre les objectifs et notamment les mesures correctives.

La directive du préposé fédéral (PFPDT) fixe les exigences minimales d'un SGPD, autrement dit un modèle de mise en oeuvre, de fonctionnement, de surveillance, de réexamen, de mise à jour et d'amélioration de la protection des DP

En choisissant de se référer de manière étroite aux normes internationales ISO 9001, ISO 27001 et 27002, sans oublier les futures normes 27003, 27004, 27005, 27006 et 27007, la Suisse a fait un choix stratégique et pratique, non seulement en raison de leur importante reconnaissance et pénétration sur le marché mondial, mais aussi du fait de leur apport terminologique, structurel et systématique.

La loi Suisse prévoit d'autre part une certification des produits abordée ci-après.

· Accréditation des organismes délivrant la certification :

Conformément à l'ordonnance Suisse du 17/06/1996 règlementant l'accréditation, sont concernés les organismes qui procèdent à des essais (laboratoires d'essais) ou à des évaluations de la conformité (organismes de certification et les organismes d'inspection) de produits ou qui exercent des activités analogues à l'égard de personnes, de services ou en matière de procédures.

Le Secrétariat d'Etat à l'économie (SECO) gère le Service d'accréditation suisse (SAS).

Les organismes de certification doivent disposer d'une organisation et d'une procédure de certification avec notamment :

-Un schéma d'évaluation ou d'essai

-Les modalités du déroulement de la procédure et les mesures à prendre en cas de manquements

Le SAS associe le PFPDT à la procédure d'accréditation, de contrôle et de révocation des organismes de certification.

La qualification du personnel des organismes de certification répondent à la norme ISO 17021 (système de management) et ISO/CEI-Guide 65 (Produits / Systèmes). (*)REF _Ref278271812 \r \h \* MERGEFORMAT

· Sanctions :

-Les textes prévoient la possibilité de suspendre et de révoquer la certification en cas de manquements graves ou d'utilisation du certificat de manière trompeuse.

-C'est le PFPDT qui alerte l'organisme de certification accrédité (ex. SQS) qui lui-même met l'entreprise en demeure en l'invitant à prendre les mesures nécessaires afin de remédier à la situation dans un délai de 30 jours. Si l'entreprise n'est pas en mesure d'y donner suite dans le délai fixé, l'organisme de certification suspend la certification (al. 3). Une fois le délai de 30 jours écoulé, il révoque la certification si l'organisme certifié n'est pas en mesure de remédier à la situation dans un délai convenable. Par délai convenable, on entend une durée maximale de trois mois.

Si l'organisme au bénéfice d'une certification ne remédie pas à la situation dans le délai fixé et si l'organisme de certification ne suspend ni ne révoque la certification, le préposé établit une recommandation au sens des art. 27, al. 4, et 29, al. 3, LPD. La recommandation est adressée à l'organisme de certification ou à l'organisme certifié, selon que la responsabilité des défauts incombe à l'un ou à l'autre. Si la recommandation est adressée à l'organisme de certification, le SAS doit en être informé en tant qu'autorité de surveillance.

Il convient de relever que les concurrents concernés, les clients, ainsi que certaines organisations, en particulier les organisations de défense des consommateurs, pourraient également, en vertu des articles 9 et 10 de la loi fédérale du 19 décembre 1986 contre la concurrence déloyale, intenter une action, lorsque des certificats ou des labels de qualité sont utilisés sans que les exigences correspondantes ne soient satisfaites.

· Qualification du personnel des organismes de certification :

Accréditation des certificateurs pour 5 ans.

Qualités et compétences des évaluateurs de systèmes de gestion :

-Droit de la protection des données : 2 ans de pratique ou diplôme haute école spécialisé (1 an minimum).

-Sécurité informatique : idem

-Formation d'auditeur de système de management

L'organisme doit disposer de personnel qualifié pour chacun des domaines qu'il couvre.

Finalement, le seul point qu'il ne nous a pas été possible d'évaluer pour les besoins de cette étude est celui de la mesurabilité des actions engagées pour la mise en oeuvre des exigences.

A ce jour le SAS décompte 7 certifications conformes à l'ordonnance et au guide de conduite suisses, outre les certifications délivrées sous le label GoodPriv@cy .

· Good Priv@cy, première certification Suisse de système de management de la protection des DP

Le SAS (service accréditation suisse) a accrédité l'Association Suisse pour Systèmes de Qualité et de Management (SQS) partenaire du réseau international IQNet)

La SQS, fondée en 1983, est l'une des premières organisations mondiales de certification et d'évaluation de système de management de la qualité. Elle intervient sur le plan international et est leader en Suisse.

La SQS est une association Suisse à but non lucratif, intervenant de manière neutre et indépendante. Elle exerce une activité d'audit dans tous les domaines de l'industrie et des services et propose une vaste palette de prestations.

Conformément à la règlementation Suisse, GoodPriv@cy® est le premier certificat de protection des DP délivré par un organisme de certification accrédité.

Le certificat est valable 3 ans et reconnu internationalement.

Il atteste du maintien d'un système de gestion des DP, conforme aux exigences règlementaires et contractuelles et selon un processus d'amélioration continue compris et effectif.

Les limites de la certification sont clairement énoncées :

«Nous vérifions seulement la conformité aux exigences, pas l'application des guidelines»

A ce jour, 49 labels GoodPriv@cy ont été attribués en Suisse française et germanique, avec une forte demande pour des services de certification selon notre interlocuteur chez SQS.

* REF _Ref278271812 \r \h \* MERGEFORMAT Propos recueillis auprès de Eric Gheur, membre du Comité sectoriel de la Banque-Carrefour des Entreprises de la Commission belge de la Vie Privée


* REF _Ref278271812 \r \h \* MERGEFORMAT Propos recueillis pas téléphone courant juillet 2010


* REF _Ref278271812 \r \h \* MERGEFORMAT Annexe 1 hiérarchie du référentiel Suisse


* REF _Ref278271812 \r \h \* MERGEFORMAT Annexe 2 schéma de l'accréditation/certification Suisse


précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Entre deux mots il faut choisir le moindre"   Paul Valery