La faisabilité des schémas de certification de protection de la vie privée( Télécharger le fichier original )par Florence BONNET Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010 |
Section 3. Protection des DP : vers une approche globale(I) Encouragements pour une démarche holistique et proactive de protection-Une loi (au sens de mesure) proactive se comprend comme une disposition légale combinée avec une série de compétences, pratiques et procédures qui aident les organisations et les individus à identifier les opportunités à temps et à repérer les problèmes potentiels tant que les actions préventives sont encore possibles. L'idée est que le savoir juridique est meilleur quand il est appliqué avant que les risques ne se transforment en problèmes judiciaires. Les aspects de la loi, exprimés en termes juridiques doivent être intégrés le plus tôt possible dans les systèmes et processus ; les outils et méthodes purement techniques ont souvent des conséquences juridiques. Il a été constaté qu'en matière de protection de la vie privée et de confidentialité, les organisations les moins matures tendent à se focaliser essentiellement sur la conformité tandis que les plus matures investissent dans la gouvernance. Nous devons dépasser la seule « conformité à la lettre » avec la loi en implémentant et en appliquant des mesures basées sur les principes généralement acceptés, les meilleures pratiques correspondant à l'état de l'art et les mesures d'auto régulation sectorielles. La certification est un des moyens préconisés par la commission pour améliorer la protection des DP. (*)REF _Ref278271812 \r \h \* MERGEFORMAT Les standards de Madrid : Lors de la Conférence des commissaires à la protection des données et à la vie privée (2009) de Madrid, 50 pays prenant en compte les législations des cinq continents ont émis une série de standards selon une approche qu'ils ont qualifié d' « universelle » dans le but de garantir une protection internationale des DP et de la vie privée. Parmi une série de propositions citons celles visant à encourager : - Les mesures proactives telles que l'implémentation de procédures pour prévenir et détecter les failles, basées sur des standards de gouvernance de sécurité de l'information et/ou de management ; - Des audits réguliers par des professionnels indépendants pour vérifier la conformité aux lois et aux procédures de l'entreprise ; - la prise en compte des exigences dès la phase de détermination des spécifications, durant le développement et la mise en oeuvre -La mise en oeuvre de PIA avant toute installation de nouveau système ou technologie d'information ; - L'adoption de codes de conduite contraignants permettant de mesurer l'efficacité, la conformité et le niveau de protection des DP -les mesures de sécurité en fonction des risques -les actions de sensibilisation et de formation. Avis du G29 : L'avis du G29 du 13/07/2010 accorde une place importante à la réduction des risques dans le cadre d'une bonne gouvernance. Pour définir les modalités permettant de garantir l'efficacité des mesures, le groupe de travail «article 29» suggère d'appliquer les mêmes critères que ceux indiqués à l'article 17 de la directive 95/46/CE pour prendre les mesures de sécurité (risques des traitements et de la sensibilité des données). -en exigeant des mesures d'évaluation (audit) et des mesures complémentaires fonction de la sensibilité des données et de leur contexte ; -en proposant des principes complémentaires tels que celui de « la collecte minimum » * REF _Ref278271812 \r \h \* MERGEFORMAT
|
|