La faisabilité des schémas de certification de protection de la vie privée( Télécharger le fichier original )par Florence BONNET Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010 |
(3) Les normes du Comité de Standard Européen (CEN)Le Comité Européen de Standardisation est la seule organisation reconnue par l'Europe au titre de la Directive 98/34/EC pour créer des standards toutes activités économiques confondues à l'exception de CENELEC en électro-technologie et ETSI pour les télécommunications. Le CEN propose plusieurs outils pour aider à la protection des DP. (*)REF _Ref278271812 \r \h \* MERGEFORMAT Dans ce cas comme dans les précédents, l'idée de prévention est très présente ; d'autre part, notons avec intérêt que ces bonnes pratiques portent expressément sur la protection de la vie privée et sur les obligations de sécurité. Cadre pour un audit standard : Le CEN propose un cadre unique basé sur la directive 95/46 et pouvant servir de base dans les pays européens, tout en étant adaptable en fonction du secteur d'activité et de la législation applicable. La standardisation des éléments doit laisser assez de souplesse au cadre d'audit pour qu'il puisse être utilisé par tout type d'organisation, indépendamment de la motivation, de la cause, de la finalité de l'audit de « privacy » ou de sa portée. L'avantage d'établir un standard est de permettre un comparatif au-delà des frontières, une application plus efficace et plus facile à vérifier donc moins coûteuse Bonnes pratiques relatives aux DP : Le groupe de travail a fourni un guide de bonnes pratiques pour aider les PME à se conformer aux principes généraux de la directive et aux lois nationales adoptées en application de celle-ci L'objectif est de permettre aux organisations de démontrer qu'elles ont mis en oeuvre un système de management de protection des données, des technologies appropriées et pris des mesures proactives. L'usage de ces bonnes pratiques associé aux outils d'audit devrait permettre aux PME de démontrer leur engagement à respecter les exigences de la directive. Il définit une série de bonnes pratiques pour des mesures de protection opérationnelle et un usage approprié des PETs conformément à la directive 95/46. · Les bonnes pratiques sur la prévention des pertes de données comprennent : Le développement d'une politique de protection et sécurité des DP ; Le développement d'un usage acceptable de la politique de sécurité ; La création d'une section sur les utilisation/activités inacceptables ; Le développement d'une politique de classification et de catégorisation des données ; La conduite d'un PIA : les PIAs comprennent des tests des PETS et OPMs pour apporter la preuve que les principes de protection des DP sont remplis (les autorités de contrôle (Nationale ou d'entreprise) ne devraient pas accepter une application de traitement de données à moins d'être sûres que les mesures de sauvegarde soient en place). Le développement d'une mise en conformité des DP et d'un Programme d'audit. · Les bonnes pratiques sur le traitement de données d'identifications portent sur : La légitimité du traitement ; Les données sensibles ; Le principe de proportionnalité ; La qualité des données ; Les décisions automatiques ; La conservation des données ; Les contrats de sous traitant ; Le choix d'un processeur de données. · Les bonnes pratiques sur les mesures opérationnelles de protection portent sur : Les personnes/organisations ; Le Privacy Impact Assessment (PIA) ; L'utilisation du cadre d'audit de protection de la vie privée (indiqué ci-dessus) et de l'outil d'autoévaluation ; Les accords de confidentialité ; Les processus et procédures que les responsables de traitement devraient émettre en support des politiques et procédures de gestion d'incident de vie privée / failles / violations / traitement des plaintes ; La politique de gestion des incidents ; L'information des utilisateurs sur les contrôles et sur l'explication des objectifs ; Le traitement avec respect les droits de réponse ; La définition des responsabilités au sein de l'organisation ; La prévention des atteintes à la vie privée. * REF _Ref278271812 \r \h \* MERGEFORMAT http://www.cen.eu/CEN/sectors/sectors/isss/activity/Pages/wsdpp.aspx |
|