La faisabilité des schémas de certification de protection de la vie privée( Télécharger le fichier original )par Florence BONNET Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010 |
Titre V. Introduction« La règle, c'est que le Général qui triomphe est celui qui est le mieux informé » Sun-Tzu La protection des DP et de la vie privée est un sujet d'actualité et universel quels qu'en soient d'ailleurs les fondements philosophiques ou plus pragmatiques qui en sont à l'origine. La protection des DP et de la vie privée est étroitement liée à l'usage d'internet et des nouvelles technologies. A l'heure de la globalisation des échanges, alors que de nouveaux risques liés à l'usage des TIC voient le jour et que les systèmes de protection juridique des DP montrent leurs limites, l'heure est au questionnement et à la remise en cause des outils et principes existants. Bien qu'ils expriment un manque de confiance dans l'usage d'internet et trahissent une méconnaissance des enjeux et des risques liés aux données personnelles, paradoxalement, les individus livrent quotidiennement et sans aucun contrôle un grand nombre de DP. Nous évoluons dans un univers d'informations asymétriques qui ne nous permet plus d'assurer la confidentialité et la sécurité des DP. Le manque de confiance dans l'environnement numérique nuit sérieusement au développement de l'économie en ligne en Europe. Les principales raisons des personnes qui n'ont fait aucun achat en ligne en 2009 avaient trois causes: problèmes de sécurité des paiements, problèmes de respect de la vie privée et problèmes de confiance. (*)REF _Ref278271812 \r \h \* MERGEFORMAT Plus qu'un droit individuel, la protection des DP est l'affaire de tous, acteurs publics et privé ; c'est un enjeu philosophique, économique et politique qui mérite une approche globale et sociétale. Face à ces problèmes cruciaux, diverses pistes émises au fil du temps se sont multipliées très récemment. L'une d'elle consiste à améliorer la protection des DP et de la vie privée en s'appuyant sur des schémas de labellisation ou de certification. Aussi, le sujet sera délibérément traité de façon large afin de donner du marché une vue d'ensemble de tous les types de schéma de certification, de label ou autre marque de confiance. Cette façon d'aborder le sujet est également due au manque de clarté, de règlementation uniforme et de transparence du marché de la qualification. Le sujet a été choisi dans le cadre d'un projet professionnel portant sur le développement et la viabilité économique d'un schéma de certification, avant même que la CNIL ne déclare au printemps 2010 son intention de faire usage de son pouvoir de labellisation. Aussi est-ce la raison pour laquelle ce travail est à la fois détaillé et plus conséquent que le travail requis dans le cadre de cette thèse professionnelle. L'étude revêt un caractère pratique et se veut comparative tant sur un plan sectoriel que géographique et systémique. La culture est comme nous le verrons un des éléments clefs à considérer dans la faisabilité d'un schéma de certification. Le pouvoir de labellisation de la DPA française sera un des points de comparaison évoqués mais il ne constituera pas le fil directeur de cette étude. Afin de faire le lien avec un stage professionnel suivi au pôle numérique d'ADETEF (*)REF _Ref278271812 \r \h \* MERGEFORMAT sur un avant projet de plateforme de signature électronique dans la zone Méditerranéenne, il sera fait un parallèle entre les schémas de certification de produits et les standards de signature électronique. Sans chercher à « réinventer la roue », nous essayerons de tirer les enseignements pertinents de diverses expériences. La faisabilité d'un projet s'entend dans un sens plus large que celui de la recherche d'un modèle économique. L'objet de cette étude n'est pas d'élaborer un modèle économique ce qui d'une part demanderait des compétences mathématiques que l'auteur n'a pas, d'autre part a déjà fait l'objet de quelques analyses. La faisabilité est ici définie comme l'évaluation et l'analyse de l'impact d'un projet sur le plan technique, juridique, économique, culturelle et opérationnel (en quoi la certification permettra-t-elle d'atteindre les objectifs fixés). Il s'agit de vérifier l'opportunité commerciale d'une telle démarche, de réfléchir à sa viabilité à long terme, de déterminer la maturité, les besoins et la capacité du marché européen dont le marché français Il n'allait pas de soi d'envisager une certification dans le domaine de la protection des DP alors même que la certification des systèmes de management ou des produits et services du domaine des TIC connait un succès très mitigé dans notre pays en dehors de certification des systèmes sécurisés de transaction. De plus nous manquons de recul sur les certifications dans ce domaine. Il existe plusieurs exemples de part le monde mais d'une part les schémas purement commerciaux les plus répandus forment un type particulier de certification, d'autre part nous manquons de recul vis-à-vis des autres schémas relativement peu nombreux. Les schémas relèvent parfois de systèmes d'autorégulation ou de co-régulation voir enfin d'accréditation. Ces systèmes ont pour objectif d'évaluer un service, un produit, une procédure ou des personnes, soit de manière autonome, soit avec l'intervention d'un tiers plus ou moins indépendant selon le schéma. La distinction entre les schémas est en pratique moins marquée qu'il n'y parait, non seulement en raison de similitudes entre eux mais aussi parce que les systèmes d'autorégulation ont été forcés d'évoluer en réponse aux critiques sur leur manque d'indépendance et l'absence de contrôle et de sanctions. Les schémas de certification (par un tiers externe) recouvrent quant à eux des situations variables. Ainsi qu'il a été précisé plus haut, l'expression « schéma de certification » sera utilisée pour tous les systèmes visant à exprimer un niveau de qualité pour les organisations s'engageant dans une démarche de labellisation, d'octroi de marque de confiance et de certification. Après une analyse descriptive des divers types de schémas de certification, de leurs caractéristiques et de leur contexte de développement, seront évoqués les challenges que devrait relever un schéma de certification de protection des DP. Enfin, nous proposerons une série de recommandations et de suggestions souhaitables en vue d'augmenter les chances de succès d'un certificat de protection des DP et de la vie privée. Le présent document a été réalisé en fonction de la méthodologie suivante: -Analyse bibliographique de nombreux textes cités en référence ; -Recensement en ligne des différents schémas de certification de part le monde et étude détaillée de certains d'entre eux ; -Quelques entretiens avec des professionnels de la certification : ANSSI, LSTI, Ethic Intelligence -Echanges en ligne via linkedin avec Ann Cavoukian (Ambassadeurs du PrivacybyDesign), Kato Takeshi (PrivacyMark), Rudolf Schmid (GoodPriv@cy), Gail Magnuson (Nymity), Alessandro Acquisti et Allan Friedman ... -Entretiens avec des représentants de la CNIL en charge de la labellisation ; -Enquête de terrain auprès de 21 organisations ; -participations au groupe de travail de l'AFCDP sur la labellisation. * REF _Ref278271812 \r \h \* MERGEFORMAT http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52010DC0245(01):EN:NOT * REF _Ref278271812 \r \h \* MERGEFORMAT GIP Conseil et opérateur pour la coopération internationale des ministères de l'Economie, du Budget et du Développement durable. Le pôle économie numérique d'Adetef apporte son expertise aux partenaires institutionnels internationaux dans les domaines de l'internet, des systèmes d'information, des télécommunications, de l'administration électronique, de la monétique et du développement économique par les TIC. http://www.adetef.fr/adetef_01_global.html |
|