La faisabilité des schémas de certification de protection de la vie privée

(2) Principe de « Accountability »

a) Principe fondateur d'un schéma de certification de protection des DP

Titre XVI. On entend par « Accountability » une obligation de rendre compte ; ce principe met l'accent sur la manière dont la responsabilité est assumée et sur la manière de le vérifier. Le terme anglo-saxon n'ayant pas de traduction précise, il a délibérément été choisi d'utiliser le terme anglais dans les commentaires ci-après.

A la lecture des prises de position des divers acteurs européens, tout laisse à penser que les textes vont évoluer vers une obligation de « management » de la protection des DP.

Titre XVII. Le principe de « Accountability », principe de gouvernance éthique, n'est pas nouveau. On le trouve dès 1980 dans les lignes directrices de l'OCDE.

Bien qu'il n'apparaisse pas expressément dans les directives européennes, des dispositions requièrent par exemple des organisations qu'elles évaluent la finalité des traitements et le niveau de protection nécessaire pour assurer la sécurité des DP.

Le G29 s'est prononcé en faveur d'un tel principe en 2009 ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} et dans son avis de juillet 2010, ainsi que la conférence des commissaires à Madrid. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

L'APEC y fait explicitement référence en tant que principe de protection de la vie privé

Titre XVIII. Le principe de « Accountability » se focalise sur la capacité d'une entreprise à démontrer son aptitude à atteindre des objectifs de protection de la vie privée. Il peut se résumer ainsi :

-Responsabilisation des entreprises tout en gardant une certaine flexibilité. La responsabilité repose essentiellement sur les organisations et moins sur la diligence des individus.

-Les vérifications sont faites par des tierces parties qui sont des agents qualifiés ; le système doit rester abordable sur un plan financier et opérationnel. Si les individus et les autorités de protection leur font confiance la crédibilité des agents doit être assurée au travers d'un processus solide et expérimenté selon des critères à définir entre représentants des gouvernements, des entreprises, des experts et des avocats.

Dans son avis du 13/07/2010, le G29 précise qu'un principe général de responsabilité devrait être inclus dans un nouveau cadre législatif complet.

L'«architecture juridique» des mécanismes de responsabilité prévoirait deux niveaux: le premier niveau consisterait en une exigence légale fondamentale contraignante pour tous les responsables du traitement des données, et un second niveau de responsabilité volontaire allant au-delà des exigences juridiques minimales.

Le G29 précise dans son avis du 12 juillet 2010 « qu'à plus long terme, la disposition relative à la responsabilité pourrait favoriser la mise en place de programmes de certification ou de labels. De tels programmes contribueraient à prouver qu'un responsable du traitement des données a bien respecté la disposition, qu'il a défini et mis en oeuvre des mesures appropriées et que celles-ci ont fait l'objet d'un audit périodique. »

Dans son communiqué au Parlement Européen du 04/11/10 la commission encourage les démarches d'auto régulation et dit explorer les schémas de certification européens. Elle réitère sa confiance dans les initiatives d'autorégulation des responsables de traitement (RT).

La commission entend explorer la possible création d'un schéma de certification européen

(i.e. `privacy seals') pour des procédures de conformité, pour des technologies et des produits et services. Elle précise que cette démarche serait à mettre en relation avec la responsabilité des responsables de traitements : le choix de technologies, services ou procédures certifiées pourrait aider à prouver que le RT a rempli ses obligations. Ces labels devraient être dignes de confiance et être compatibles avec les obligations légales et les standards internationaux.

Au R.U. la Financial Services Authority (FSA) prend en compte la conduite de la personne après la faille, les enregistrements antérieurs et les états de conformité de l'organisation pour prononcer des sanctions.

La certification pourrait servir de ligne de conduite pour les Corporate Governance Code -

et aider à des « Privacy Reporting/Accounts » ; il pourrait être imposé à certaines organisations à hauts risques de publier régulièrement des rapports de leurs politiques de traitement des DP ou d'incidents relatifs aux pertes, violations et failles de sécurité.

On pourrait imaginer des obligations semblables aux actions de prévention du risque en droit du travail en France. A titre d'exemple, citons le cas du document unique ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} (ou Document unique d'évaluation des risques) qui est l'affirmation écrite du principe d' évaluation des risques, imposé à tout employeur par le code du travail. Il est obligatoire pour toutes les entreprises et associations de plus de un salarié et doit faire l'objet de réévaluations régulières.

Ou bien à l'image des lois Grenelles en France qui renforcent les devoir des entreprises et les exigences de publication en matière de RSE, en l'étendant aux sociétés non-cotées, avec une volonté de transparence, vérifiabilité, certification par un « tiers indépendant ». La loi vise aussi une comparabilité des rapports par des méthodes communes de calcul et d'évaluation.

* REF _Ref278271812 \r \h \* MERGEFORMAT
«The Future of Privacy,» G29 décembre 2009

* REF _Ref278271812 \r \h \* MERGEFORMAT
http://www.privacyconference2009.org/dpas_space/space_reserved/documentos_adoptados/index-iden-idphp.php

* REF _Ref278271812 \r \h \* MERGEFORMAT
décret n° 2001-1016 du 5 novembre 2001