Titre IV. Résumé

Dans le cadre de la globalisation et du progrès des technologies de l'information sans mesure commune, les instruments législatifs et de normalisation pour la protection des données et de la vie privée font face à de nouveaux défis auxquels il est urgent d'apporter des réponses.

Dans le cadre de la globalisation et du progrès des technologies de l'information sans mesure commune, les instruments législatifs et de normalisation pour la protection des données et de la vie privée font face à de nouveaux défis auxquels il est urgent d'apporter des réponses.

La règlementation européenne est considérée comme la plus protectrice de la vie privée dans le monde mais en pratique son application dans l'Union européenne est loin d'être satisfaisante : manque d'harmonisation, conflits de loi applicable, disparité des mises en oeuvre et sanctions, inapplicabilité de principes...

Bien que l'article 27 de la directive 95/46 encourage l'autorégulation et la Co-régulation, ces moyens ont été considérés comme des outils complémentaires afin de rendre la règlementation plus efficace.

Dans la majorité des pays où il n'y a aucune loi générale de protection des DP ou de la vie privée, mais où on trouve des lois ou des dispositions sectorielles, l'autorégulation et en particulier la certification cherche à combler un manque pour répondre à la demande du marché.

Récemment, entre le modèle pur du marché et le modèle pur de règlementation par la loi, on note une triple tendance :

Les pays ardents défenseurs de l'autorégulation expriment la nécessité de recourir à une loi générale de protection de la vie privée pour l'harmonisation des pratiques (voir les Etats-Unis).

De plus, bien qu'en Europe on ait généralement considéré que ce sujet dépendait de la seule loi, de plus en plus de voix s'élèvent pour encourager la sensibilisation des organisations et pour améliorer la protection des données grâce aux actions de Co-régulation. La certification peut alors être considérée comme la meilleure manière de mettre en application et de compléter la législation.

Enfin la certification se développe dans les pays en cours de transformation politique, légale et économique où l'état de droit n'est pas encore arrivé à maturité (Cf Amérique du Sud, Asie), sous l'influence d'alliances et d'accords de reconnaissance mutuelle entre les systèmes de certification (voir l'APEC).

Dans ce contexte sont apparus de nouveaux outils et concepts à la fois en Europe et sur les continents américain, asiatique, ou au niveau international (OIN, CEN) visant à améliorer la protection des données. La majorité de ces outils sont basés sur des étapes volontaires d'autorégulation ou de Co-régulation et ont pour objectif d'encourager une gestion globale et en continu des données tout au long du cycle de vie.

La certification semble l'un des moyens pouvant garantir la bonne application et l'efficacité de ces outils, en certifiant la conformité des produits ou des procédures à un cadre de référence.

Le concept même de certification couvre une grande disparité de schémas de qualité inégale.

Cette étude entreprise dans le cadre d'une thèse et d'un projet professionnels se veut à la fois pratique, approfondie et comparative tant des les systèmes qu'au sujet de la répartition géographique.

Afin de déterminer la faisabilité d'un schéma de certification au sujet de la protection des DP, l'analyse se base sur le recensement des schémas, de leurs caractéristiques et sur l'analyse du contexte légal et culturel de leur développement.

Nous abordons ensuite l'état de maturité du marché, en particulier les lacunes ou les barrières de nature psychologique, politique, technologique ou économique liées au concept de protection des DP qui pourraient empêcher le succès d'un schéma de certification dans ce domaine.

En complément à cette étude, nous avons effectué une enquête de terrain parmi des professionnels de la certification en France et auprès d'organisations potentiels candidats à un label de protection des données.

Nous croyons fermement que si nous souhaitons délivrer des certifications aux organisations, leurs besoins et leurs attentes doivent être prises en compte.

Sur la base de ces analyses et de toutes les données comparatives, nous faisons quelques recommandations et suggestions qui pourraient augmenter les chances de succès d'un schéma de certification.

Le succès dépendra dans une certaine mesure des caractéristiques propres au schéma :

Qualité du cadre de référence ; possible certification par étape ; statuts du corps de certification; 'implication des DPA ; Caractère européen ou international du certificat ; indépendance et compétence des experts ; contrôles et sanctions efficaces ; harmonisation des évaluations et des mises en oeuvre.

De même, le cadre de référence du schéma devrait être conçu selon une approche holistique de la protection des données et de la vie privée (PbD, "Accountability", responsabilité) et permettre ainsi d'en améliorer son efficacité. Enfin, la démarche de certification devrait être une étape facile et rapide.

Mais la faisabilité et la viabilité d'un tel schéma dépendront de la participation de tous les acteurs privés et publics dans un « projet de société » et de la capacité des institutions politiques à soutenir une conception européenne de la protection des données et de la vie privée, à l'image notamment du « principe de précaution » défini à la conférence de Rio pour la protection de l'environnement.

Les diverses méthodes d'évaluation des coûts liés aux DP et du retour-sur-investissement lié aux mesures de protection ont montré leurs limites.

Ces méthodes ne suffisent pas à convaincre les décideurs de l'intérêt d'investir dans la protection des DP qui sont plutôt tournés vers la recherche d'une satisfaction immédiate.

En outre, un schéma de certification devrait être accompagné d'incitations économiques ou même de dispositions de normalisation quand cela est possible.

Pour finir, le succès sera très étroitement lié à celui de la révision de la directive et plus généralement à l'évolution des textes européens, à leur application efficace et harmonieuse dans la totalité des Etats membres.