Section 2. Résultats de
l'enquête de terrain
La réussite d'un schéma n'est envisageable
qu'à une des deux conditions suivantes :
-il existe une obligation règlementaire et/ou
-Il existe des besoins qui se traduisent par une demande du
marché.
Le premier objectif de l'enquête était de sonder la
sensibilisation des organisations, leurs besoins et leurs attentes en
matière de protection des DP alors même que la CNIL s'est
engagée dans une démarche de labellisation.
Le questionnaire comportait donc trois parties, les deux
premières ayant vocation à évaluer la gestion de la
sécurité des données et le management des DP tandis
que la dernière partie avait pour but de déterminer les
caractéristiques attendues d'un schéma de certification de
protection des DP.
21 entretiens semi-directifs ont été menés
auprès d'entreprises situées sur le territoire français,
à l'exception de 3, localisées au R.U., en Suisse et en
Belgique.
Les organisations concernées se caractérisent par
leur taille relativement importante :
? 500 salariés :..................... 2
entités
De 500 à 1000salariés :............3
entités
De 1000 à 5000 salariés :..........4
entités
De 5000 à 10 000 salariés :........3
entités
De 10 000 à 30 000 salariés : .....4
entités
?30 000 salariés :....................5
entités
Les résultats sont à interpréter à
la lumière de cette remarque. Il est évident que les
« caractéristiques propres à un label de
qualité » seraient différentes pour des TPME et PME de
moins de 500 salariés.
Comme nous avons pu le voir dans le titre I, plus que par la
qualité du schéma de certification, les petites entreprises sont
avant tout intéressées par acquérir une meilleure
visibilité grâce au label.
Le recours à des tiers a été clairement
exprimé en cas de mise en oeuvre de traitement particulièrement
complexe, pour tester ou évaluer niveau de conformité ou de
sécurité (test de vulnérabilité, d'intrusion...) ou
pour se situer par rapport à d'autres entreprises du secteur.
Les personnes interrogées sont majoritairement des
responsables informatiques ou responsables sécurité (10/21)
et des responsables juridiques (7/21) ; 4 exercent à temps plein
une fonction de responsable de la protection des DP et de la vie
privée.
Les trois secteurs les plus touchés par les failles de
sécurité aussi appelés les « big
three » sont la finance, les hôpitaux et la vente de
détail (33%, 23%, et 15% respectivement).
Il n'est donc pas inutile que le secteur financier/banque
/assurance soit majoritairement représenté : 8/21
entités.
Deux secteurs 2/21 ont deux représentants : le
ecommerce et la fabrication/distribution/vente directe de biens.
Les autres secteurs ont un seul représentant : vente
au détail ; Administration ; Enseignement public ;
Hôpital ; Opérateur téléphonie ;
pharmacie ; industrie ; aéronautique ;
Electricité/énergie ; investissement immobilier
Nationalité : 13 organisations sont françaises
tandis que 8 sont de nationalité étrangère
Toutes les personnes interviewées déclarent avoir
un DSI et un RSSI à l'exception d'une entité.
On note un cloisonnement entre les services juridique
et sécurité que le CIL n'est pas toujours en mesure
d'atténuer.
Les juristes interviewés ne se sentent pas
concernés par les questions traitant de la sécurité
informatique et considèrent comme un fait acquis qu'en présence
d'un RSSI, les DP sont forcément correctement
protégées.
Les responsables informatiques pour leur part, limitent la
protection des DP à la seule sécurité.
Référentiel de protection et sécurité
des données :
Une entreprise (USA) se distingue par son
référentiel de Corporate Governance Risk & Compliance et des
procédures de contrôle détaillées (audits internes
réguliers utilisés pour mesurer l'efficacité du programme,
guidelines, standards, audit system IT et processus sur la base d'une analyse
de risques).
Les personnes déclarent se référer à
des normes, standards ou règles internes pour mettre en place des
méthodes ad hoc. Un petit tiers des répondants indique avoir
mené une analyse de risques propre aux DP.
Figure Gestion des
risques
La moitié des personnes interrogées
déclarent bénéficier des ressources suffisantes pour
assurer la sécurité des données. L'autre moitié
estime manquer en priorité de ressources humaines.
Aucune entreprise ne classe ses données selon leur
valeur. Une seule déclare classer les données en fonction de leur
sensibilité, selon le contexte, leur utilisation, et surtout leur
association avec d'autres données
La sécurité des « données
personnelles » en tant que telle n'est pas perçue comme une
obligation forte de la loi de 1978.
La menace interne humaine semble d'ailleurs sous estimée
par rapport à la menace externe :
Figure perception des
menaces sur les données
La prise de mesures de protection des DP est en
priorité motivée par le risque juridique et financier. Les trois
quart des entreprises évoquent un risque de non-conformité aux
principes de protection des DP tout en tenant compte du faible nombre de
sanctions prononcées et de leur caractère peu dissuasif par
rapport à celles de l'AMF par exemple.
Les personnes interrogées méconnaissent les
obligations imposées par la loi et n'ont qu'une vague idée des
éventuelles sanctions encourues. Elles se limitent en
général à la déclaration de leurs traitements
à l'autorité indépendante ou à la nomination d'un
CIL et à l'information des personnes sur leur droit d'accès.
Moins de la moitié (8/21) pensent avoir une connaissance
totale des risques juridiques encourus.
Les projets de modification de la directive européenne sur
l'intégration d'un principe de PbD et sur de nouvelles obligations
relatives aux failles de sécurité sont mal connus des
interlocuteurs. Moins de la moitié a entendu parler de l'obligation de
déclaration des failles de sécurité tandis que le taux
atteint 20% seulement pour le PbD.
A la question « Quelle(s) raison(s) pourraient vous
motiver pour investir dans la protection des données à
caractère personnel ? » on constate que :
-la gestion des risques n'est qu'une priorité
moyenne alors même que le risque juridique et financier est
la principale préoccupation exprimée pour la mise en place
de mesures de protection des DP ;
-la conformité avec les textes
est la principale raison mais elle s'accompagne
généralement d'une recherche de meilleure image de marque et de
protection du patrimoine informationnel (on peut supposer qu'il
s'agit d'un besoin de sécurité). Enfin notons que certaines
organisations souhaitent s'inscrire dans une démarche
déontologique et éthique, alors que d'autres précisent
expressément que cela ne fait pas partie de leurs motivations.
Remarquons qu'en l'état actuel des textes, la
limitation des risques de non-conformité en cas de mise en place de
mesures de protections n'est pas expressément prévue.
Concernant le type de mesure de protection semblant les plus
appropriées à ce jour, les actions de formation et
d'accompagnement par un tiers sont les moins prisées. Cette tendance est
à nuancer par le fait qu'en raison de leur taille, les organisations
ciblées ont généralement déjà des plans de
formation interne.
L'analyse de conformité par un tiers arrive
en tête des attentes, devant le PIA. Cependant si on cumule les mesures
d'audit de sécurité propres aux DP et d'audit de
sécurité des données, l'audit est la première
mesure souhaitée par les personnes interrogées (fig.12).
Les organisations ont une approche très pragmatique du
sujet et ne semblent pas juger qu'un positionnement éthique justifie
à lui seul de s'engager dans une démarche de labellisation. Ils
en attendent des bénéfices concrets.
Figure Mesures de protection
des données souhaitées
Très peu de personnes interrogées ont
entendu parler de mesures de certification de protection des DP (6/21).
Les seuls cas cités concernent l'action en cours de la CNIL et
deux personnes appartenant à des entreprises américaines
associent la labellisation aux BCR et au Safe Harbor (mesures de co
régulation).
L'écart d'opinion sur le domaine sur lequel devra
porter le label et les commentaires reflètent une relative
difficulté à imaginer le label. Les grandes entreprises le
conçoivent avant tout sectoriel (plus de 70% des répondants). On
peut néanmoins voire émerger des souhaits pour un label sur des
procédures mises en place au sein d'un organisme pour la grande
majorité des répondants, les avis se partageant sur le reste des
options.
Figure choix des types de
labels
Trois réponses d'interlocuteurs salariés de
groupes internationaux méritent d'être rapportées :
-intérêt pour une certification de mesures
portant sur les flux transfrontières;
-la certification pourrait permettre une harmonisation des
règles au sein du groupe et entre les services juridiques et
informatiques ;
- « Encore très fréquemment les
applications (progiciels, ...) existantes sur le marché et que nous
pouvons acheter ne possèdent pas un niveau suffisant de prise en compte
des obligations posées par la loi de 1978. Les coûts lorsque l'on
souhaite faire évoluer ses applications sont extrêmement
élevés d'où un achat en l'état. Une certification
viendrait donc renforcer la conformité du produit »
Les entreprises sont favorables à un label à
reconnaissance européenne ou à moindre mesure
nationale.
Figure
Périmètre de reconnaissance géographique
Le coût n'est pas un critère
prépondérant pour qualifier un bon label. Selon les grandes
entreprises, son coût doit se faire en fonction du rapport à la
limitation du risque juridique et financier. Ce choix se justifie notamment par
le fait que la motivation invoquée pour entamer une démarche de
labellisation est réglementaire. La problématiques des
données personnelles n'ont pas encore d'impact sur les critères
d'achat des consommateurs selon les entreprises, il n'y donc pas de notion de
retour sur investissement marketing, qui aurait pu être comparé
aux coûts.
La durée de validité souhaitée est
de trois ans. Notons que la question ne distinguait pas entre les
produits et les systèmes de gestion, les premiers pouvant justifier un
délai plus court en raison des progrès technologiques.
Pour la durée d'obtention, une durée d'un an est
souhaitée par la majorité. Les avis divergent davantage que pour
le délai de validité (3 trimestres en moyenne - déviation
standard plus importante que pour le délai de validité) mais on
peut conclure que les grandes entreprises admettent que la durée
d'obtention pourra être relativement longue.
Figure durée de
validité
Quant au statut de l'organisme de délivrance du
label et de l'instance d'évaluation, un organisme
institutionnel comme la CNIL ou un organisme reconnu par la CNIL sont les
entités de délivrance préférées des grandes
entreprises (sur ce point, des commentaires se sont exprimés sur un
éventuel conflit d'intérêt entre le pouvoir de sanction de
la CNIL et la possibilité pour cette autorité d'émettre un
label)
L'instance d'évaluation
préférée est un organisme ou un professionnel
compétent reconnu par la CNIL pour la quasi totalité des
grandes entreprises interrogées.
Le niveau d'exigence du référentiel est en
majorité « élevé » et
éventuellement moyen ;
Le niveau d'exigence des mesures de contrôle et de
sanction/révocation est d'abord moyen et dans une moindre
mesure élevé. Ce dernier point marque une nette
préférence pour une démarche sérieuse et reconnue,
loin d'un concept de « privacy washing ».
Un label sectoriel délivré sur un cahier
des charges exigeant, par un organisme privé reconnu par la CNIL, est la
démarche qui semble la plus pertinente. Une durée
d'évaluation courte ou un coût faible ne sont pas des
critères de décisions décisifs pour les grosses
entreprises.
| 
