La faisabilité des schémas de certification de protection de la vie privée( Télécharger le fichier original )par Florence BONNET Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010 |
Titre VI. Contexte général des schémas de certification de protection des DP et de la vie privéeSection 1. Environnement juridique et culturelLe schéma de certification peut soit relever d'un régime d'autorégulation, soit de co-régulation ou enfin plus rarement du seul système règlementaire. L'environnement juridique et culturel d'un pays, est un des éléments essentiels à la bonne compréhension des facteurs de réussite ou d'échec d'un schéma de certification et par la même à sa faisabilité. (I) Contexte règlementaireIl se dessine deux grandes tendances parmi les schémas de certification. Les démarches qualifiées de « sérieuses »: Ce peut être soit une certification officielle telle
qu'elle existe en France, par un organisme accrédité selon la
norme ISO 17024 .C'est l'exemple du COFRAC; Les démarches jugées « obscures » : elles contribuent à rendre floue la perception du consommateur des marques de confiance sur internet. Elles relèvent souvent d'auto proclamation et font plus ou moins l'objet de contrôles réguliers pour vérifier le contenu des allégations présentées au consommateur et sanctionner tout manquement. Les visées des intervenants sont variables: -Ce peuvent être des nouveaux prestataires: il s'agit clairement de l'apparition d'un métier lié à de nouvelles formes d'intermédiation (tiers de confiance), -L'objectif est souvent de gagner la confiance des consommateurs mais dans un but purement commercial, rassurer pour vendre mieux et plus (c'est le cas de la plupart des labels de sites web) ; -Ce sont aussi parfois des associations de protection des consommateurs qui agissent en faveur d'une démarche de co-régulation de l'Internet (participation des différents acteurs de l'Internet à son bon fonctionnement). Les démarches plus sérieuses visent à instaurer une relation de confiance par la conformité à un référentiel fondée sur des exigences, l'indépendance, la transparence et le contrôle de la démarche (propos recueillis auprès de P.Chour, ANSSI). Ajoutons que le schéma peut viser à avoir des vertus plus pédagogiques de sensibilisation, comme ce pourrait être le cas d'un schéma initié ou encadré par une autorité administrative nationale ou européenne. Sur le terrain des démarches « sérieuses », il reste encore à arbitrer entre le choix d'un label officiel et celui d'une certification d'organismes : -On peut laisser au seul secteur privé (en particulier aux organismes de certification) le rôle de créer des certificats que des organismes seront autorisés à utiliser, en règle générale contre paiement d'une redevance. La règlementation ne règle alors que les exigences concernant l'accréditation d'organismes et le processus de certification. Il peut être prévu par les textes qu'aucun label ne pourra être utilisé sans que les exigences propres au processus de certification ne soient remplies. Il s'agit de l'exemple Suisse. -L'option peut se porter sur l'instauration d'un certificat de qualité officiel, qui peut être utilisé par les organismes certifiés sans autre condition. Les certifications peuvent être opérées par un organisme étatique ou par l'autorité indépendante de protection des DP. Il peut aussi s'agir d'une sorte de prestation de base qui pourrait coexister avec d'éventuels labels de qualité privés. La première solution présente l'avantage de limiter l'intervention de l'état à la reconnaissance de professionnels dans un domaine qui relève aujourd'hui en grande partie du secteur privé. Elle suppose néanmoins que les textes de loi prévoient les conditions d'accréditation (dans l'hypothèse où on envisage l'accréditation d'organismes professionnels). L'accréditation est sensée assurer un niveau de compétence et de professionnalisme qui pourrait également être garantis par une procédure ad hoc mise en place par la DPA par exemple. La démarche de certification pouvant aboutir à la délivrance du certificat, doit être suffisamment détaillée dans la loi et/ou par l'autorité indépendante pour s'assurer d'une uniformité des démarches de certification. (1) Au sein de l'Union EuropéennePlusieurs textes se réfèrent au sujet de la protection de la vie privée et des DP. Au sein de l'Union Européenne, la directive 95/46 traite de « la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données », tandis que les directives 2002/58 et 2006/24 en font état dans les communications électroniques. La directive 95/46 est le premier texte abordant « la protection des données personnelles » à un niveau européen. Elle reprend et développe les principes de la convention 108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. La Charte des droits fondamentaux de l'Union européenne du 18/12/2000 consacre le droit à la protection des données personnelles dans son article 8 ; sa valeur constitutionnelle a depuis été renforcée par le traité de Lisbonne entré en vigueur en décembre 2009. La Directive 2002/58/EC fait partie des cinq textes qui doivent être mis à jour et modifiés dans le paquet télécom, par le biais des deux directives 2009/136/CE et 2009/140/CE, dites du nouveau « paquet télécom », votées par la Parlement européen le 18 décembre et dont la transposition dans les états européens doit se faire avant le 25 mai 2011. Ces directives concernent les fournisseurs de réseaux de communications publics ou des services publics de communications électroniques accessibles au public (tels les FAI). Le « Paquet Télécom » vise notamment à assurer le renforcement de la sécurisation des réseaux et des services de communication électronique. Il existe enfin des règles spéciales applicables à la protection des données à caractère personnel dans les domaines de la coopération policière et de la coopération judiciaire en matière pénale (décision cadre 2008/977/JHA). Dans de nombreux pays de l'UE, les DPA ne sont pas en mesure d'accomplir la totalité de leurs missions, en raison des ressources économiques et humaines limitées dont elles disposent. Quand bien même les textes prévoient des mesures de réparation pour les individus victimes d'un dommage, ceci est loin d'être le cas en pratique. (*)REF _Ref278271812 \r \h \* MERGEFORMAT Dans le secteur des communications électroniques le principe de subsidiarité de la loi communautaire signifie notamment que : La commission doit éviter de légiférer quand d'autres moyens permettent d'atteindre les objectifs publics fixés, laissant au secteur privé le choix de la voie à emprunter pour y parvenir. On parle de co-régulation, mais elle doit apporter une valeur ajoutée pour l'intérêt général (cela repose sur le fait que les mécanismes sont plus adaptés, plus rapides, plus efficaces dans l'application cf. labels, accréditations, standardisation, mécanismes alternatifs de résolution de litiges). En France le traitement des données est généralement règlementé par la loi, les décrets et autorisations de façon assez détaillée. Bien que la loi lui donne l'opportunité d'approuver des codes sectoriels, les seuls que la CNIL ait adoptés sont relatifs au secteur du marketing. (*)REF _Ref278271812 \r \h \* MERGEFORMAT La loi française est détaillée et a inspiré la directive européenne sur bien des points mais paradoxalement quelques sujets pourtant cruciaux sont traités de manière trop vague pour trouver à s'appliquer efficacement en pratique. Aussi, qu'elle que puisse être la bonne volonté des organisations, la « mise en conformité avec la loi informatique et libertés » recouvre un certain nombre d'inconnues auxquelles ni la loi ni le décret d'application ne sont en mesure d'apporter de réponse précise (ex. art. 34 de la loi sur la sécurité). D'autre part, malgré la révision législative de 2004, la mise en oeuvre de certains principes tels qu'édictés par la loi s'avère tout simplement impossible face aux nouveaux défis technologiques et au contexte globalisé de l'économie. La règlementation européenne est considérée comme la plus protectrice de la vie privée et des données personnelles dans le monde mais son application relève plus de la bonne volonté que de la loi car jusqu'à présent les sanctions sont trop faibles et trop rares pour être dissuasives et les dispositions de la directive trop vagues sur certains sujets. Les sujets de protection des DP et de la vie privée ont été règlementés par la loi (tout particulièrement en France) et ceci a généralement été considéré comme suffisant. Mais en pratique on constate que la loi ne s'auto-exécute pas seule sans mesures incitatives et procédures internes de mise en conformité qui relèvent de choix stratégiques de l'organisation. Sur le vieux continent, les textes considèrent l'autorégulation et la co-régulation comme un encouragement plutôt que comme un substitut à la loi (Article 27 de la Directive 95/46) ; c'est un moyen de rendre les exigences de la règlementation plus efficaces et légitimes. Mais malgré l'attitude positive des autorités européennes les schémas de certification sont rares. * REF _Ref278271812 \r \h \* MERGEFORMAT cf. Agence des droits fondamentaux de l'Union européenne MÉMO/7 mai 2010 * REF _Ref278271812 \r \h \* MERGEFORMAT
|
|