La faisabilité des schémas de certification de protection de la vie privée( Télécharger le fichier original )par Florence BONNET Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010 |
(II) Les standards de protection de la vie privéeA l'occasion d'un communiqué daté du 4 novembre 2010, la commission européenne a précisé son intention de suivre avec attention le développement de standards internationaux tels que ceux du CEN et de l'ISO pour s'assurer de la prise en compte des exigences fondamentales des principes européens de protection des DP. En Europe, un changement de comportement a été observé à partir du moment où la conscience s'est fait jour de la nécessité de dépasser le niveau strictement national en matière de standardisation dans un marché concurrentiel et international. D'un point de vue commercial, c'est aussi le résultat de ce qu'il est constaté aujourd'hui à savoir que les standards nationaux sont des barrières techniques potentielles, voire réelles, aux échanges. (*)REF _Ref278271812 \r \h \* MERGEFORMAT Aujourd'hui les entités nationales de certification des pays européens représentent 1/5ème des membres de l'ISO. Le système de standardisation européenne doit faire face à des facteurs conflictuels : - Le consensus recherché et les exigences de transparence demandent un minimum de temps tandis que la production de standards doit être de plus en plus rapide. - La principale source de revenus des standards nationaux est la vente de leurs documents. Excepté le besoin de traduction des standards internationaux (qui est très important en Europe pour l'accès des PME aux standards), les entités nationales perçoivent moins de ressources. -La participation des entités nationales dans l'élaboration de standards internationaux n'est pas suivie de retombées financières souhaitées par celles-ci, d'autant plus que le corps législatif européen fait de multiples références aux standards internationaux et influence d'autant leur développement. Les coûts de fonctionnement de l'ISO sont essentiellement assurés par les entités membres qui gèrent le développement de standards avec la participation des experts. Le statut de la normalisation est régi en France par le décret 84-74 du 26 janvier 1984 et 93- 1235 du 15 novembre 1993. Il a été confié à l'AFNOR et subdivisé en 31 bureaux de normalisation sectoriels composés de plus de 20 000 experts. L'AFNOR est membre du CEN et de l'ISO. À ce titre, AFNOR est tenue de conférer à ces normes, le statut de norme nationale, soit par publication d'un texte identique, soit par entérinement et de retirer les normes nationales en contradiction. Les standards évoqués ci-dessous, comme les procédures d'audit évoquées plus haut, reviennent de manière récurrente sur cinq points: Prévention, sécurité, sensibilisation, responsabilité et « Accountability ». (1) BSI 10012 Protection des données en ligneCet outil a été mis à disposition de l'auteur du présent rapport pour un essai gratuit de 15 jours. BSI 10012 est un standard de système de management d'informations personnelles (Privacy Management System Information). Il prend pour référence les grands principes de la directive européenne et le Data Protection Act de 1998. Sa structure est la même que celle de beaucoup de standards de système de management, le cycle de vie du Plan Do Check Act que l'on retrouve dans les normes ISO 9000, 14001 ou 27001. Il introduit la notion d'« informations personnelles à haut risque » qui peuvent être des informations relatives aux comptes bancaires, le numéro d'identifiant national, les informations personnelles propres aux personnes vulnérables et aux enfants et autres détails de profils individuels. Le niveau de risque peut augmenter en fonction de la quantité de données traitées. La notion d'« informations personnelles » correspond aux données personnelles relatives à un individu vivant. Ce standard met l'accent sur les actions de sensibilisation et de formation au sein de l'organisation ; Il traite de responsabilité et de « Accountability » ; Il impose une évaluation du risque, des audits internes, des actions préventives et correctives. L'évaluation du risque renvoie au PIA proposé sur le site de l'ICO. BSI 10012 fournit un cadre pour un management effectif des informations personnelles plutôt que d'imposer des règles à suivre ; Il peut être adapté à tout type de système de management dans des secteurs comme la formation et la sensibilisation, le partage de données, la conservation et la divulgation des données. En l'état actuel il n'est cependant pas adapté à la législation et à la jurisprudence française; il n'est d'ailleurs pas dans les projets de BSI de le faire mais le concept pourrait être un excellent outil pratique au profit des C.I.L. ou autres responsables de protection des DP. L'outil propose des études de cas très concrets et une approche complète pour chaque principe à respecter (avec illustration de cas jurisprudentiels) afin d'avoir une vue globale des situations auxquelles les décideurs sont confrontés ; les étapes à respecter sont mises en exergue pour définir une stratégie aussi efficace que possible distinguant les obligations et les pratiques recommandées. L'accent est mis sur la responsabilisation du personnel. Divers modèles de documents établissant des procédures sont mis à disposition : sécurité des données, protection et sécurité des DP, e-mails, RH, marketing, gestion du droit d'accès, audit des données... L'outil permet l'émission de rapports standards ou customisés (*)REF _Ref278271812 \r \h \* MERGEFORMAT et envoie automatiquement les mesures planifiées à prendre sur la boite e-mail des utilisateurs en fonction des éléments remplis. Le coût de la licence est relativement modeste : 495 £/an 3 niveaux d'adhésion sont proposés: or, argent, bronze * REF _Ref278271812 \r \h \* MERGEFORMAT Au sein de l'U.E.les états ont l'obligation de notifier les lois nationales pour vérifier qu'ils n'introduisent pas de standards restrictifs (Dir. 98/34 et 98/48) * REF _Ref278271812 \r \h \* MERGEFORMAT Annexe 3 rapport BSI |
|