La faisabilité des schémas de certification de protection de la vie privée

(III) La prise en charge du coût d `une atteinte aux données

a) Est que indépendamment des failles de sécurité la violation de DP ont un coût ? (*)REF _Ref278271812 \r \h \* MERGEFORMAT

Messieurs Acquisti et Friedman se penchent sur les réactions différentes selon qu'on se trouve en présence d'une violation de vie privée ou d'une faille de sécurité.

Les DP sont un actif de l'organisation; Cet actif a une valeur qui elle-même reflète ce qui pourrait être perdu en cas d'information perdue ou inutilisable ainsi que les dommages qui pourraient être causés aux personnes et à la société en cas de violation de vie privée.

La valeur peut se concevoir de quatre points de vue différents. Celui de l'organisation, de la personne concernée, des autres acteurs économique ou de la société.

Il existerait un impact négatif et statistiquement important des violations de données personnelles sur la valeur marchande d'une compagnie le jour d'annonce de l'infraction et le jour suivant mais un tel impact serait inférieur à celui observé en cas de failles de sécurité. De plus l'impact varie en fonction de l'activité et de la notoriété de l'entreprise.

Les économistes ont essayé de donner une valeur standard de base à la DP.

Mrs Acquisti Friedman et Telang l'évaluent entre £10 et £100, et un peu moins vis-à-vis de ceux qui n'y ont pas d'intérêt, de quelques pences à £ 100.

La valeur peut varier selon le point de vue individuel ou de l'organisation.

En cas de fraude financière par exemple, la perte totale moyenne par personne est estimée entre £500 et £1100 soit 575 € à 1265 € au total.

D'autres études estiment le coût d'une faille à €35-150 par donnée (Bojana Bellamy Accenture) tandis que l'enquête Ponemon Institute « cost of a data breach 2009 » parle d'un coût de violation de données compris entre 60£ et 64£ soit entre 69 € et 73 €.

Par exemple selon un sondage de Ponemon, 1/5 consommateur cesserait d'entretenir des relations avec une organisation qui aurait compromis ses données. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Les sondages suggèrent que les plus grosses organisations ont au moins une faille de sécurité par an et beaucoup en ont deux ou plus voire une douzaine.

Les failles rapportées ne sont qu'une partie de ce qui se passe réellement.

Les failles de sécurité ne sont qu'une partie des violations de vie privée et on peut penser que ces dernières connaissent la même évolution.

Si on considère les valeurs indiquées ci-dessus, sous toute réserve des écarts d'estimations, un des principaux bénéfices que les organisations pourraient retirer d'actions préventives de protection des DP et de la vie privée serait de réduire leurs coûts liés aux violations de vie privée et aux failles de sécurité.

Sachant que les conséquences directes d'une violation de vie privée et d'une faille de sécurité sont plus visibles, plus facilement identifiables et plus onéreuses en cas d'obligation de déclaration de faille de sécurité et/ou de violation de DP, une telle obligation serait indiscutablement favorable au développement de schémas de certification. (Cf. coût de notification estimé entre 90$ et 350$/consommateur). ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Un investissement dans la protection de la vie privée et des DP (tel qu'une démarche de certification) reste largement perçu comme un coût. Les organisations imaginent dans le meilleur des cas une partie des bénéfices qu'elles pourraient en retirer sans toutefois être en mesure de les évaluer.

* REF _Ref278271812 \r \h \* MERGEFORMAT
Is there a cost to privacy breachs? An event study Alessandro Acquisti, Allan Friedman, Rahul Telang, 2006

* REF _Ref278271812 \r \h \* MERGEFORMAT
Ponemon Instiute 2008 Annual Study: Cost of a Data Breach

* REF _Ref278271812 \r \h \* MERGEFORMAT
The economics of personal data and the economics of privacy by Alessandro Acquisti, Heinz College, Carnegie Mellon University, December 2010, OECD