INSTITUT SUPERIEUR D ELECTRONIQUE DE PARIS

Transcription

1 INSTITUT SUPERIEUR D ELECTRONIQUE DE PARIS Mastère gestion et protection des données personnelles Florence BONNET Faisabilité d un schéma de certification de protection des données personnelles et de la vie privée Feasibility of a scheme of certification of data protection and privacy Thèse dirigée par Alain ESTERLE, Soutenue le 06 décembre 2010 Membres du jury : Denis Beautier, responsable du Mastère gestion et protection des données à caractère personnel de l ISEP ; Alain Esterle, Consultant indépendant en sécurité des systèmes d information et en protection des données à caractère personnel, Bruno Rasle, Délégué Général de l'afcdp (Association Française des Correspondants à la Protection des Données à Caractère Personnel). 1

2 La diffusion et la reproduction de ce document sont soumises à l accord de l auteur Remerciements En premier lieu et tout particulièrement, je tiens à remercier mon tuteur de thèse Alain Esterle en tant qu expert européen en cyber-sécurité et en protection des données personnelles, pour ses conseils avisés, pour ses contacts qu il m a aimablement fait partager et pour sa très grande disponibilité. Conjointement, je remercie Gwendal Legrand et Mathieu Gral (CNIL) pour les entretiens et l attention qu ils m ont accordés; Alain Ducass, directeur international à l économie numérique de l ADETEF qui m a accueillie dans le cadre de mon stage professionnel portant sur le développement des échanges euro-méditerranéens dans le domaine des TIC ; Armelle Trottin (LSTI), Pascal Chour (responsable du centre de certification de l ANSSI) et Philippe Montigny (Ethic Intelligence) pour leurs précieuses observations en tant que professionnels de la certification. L ensemble des personnes interrogées dans le cadre de l enquête de terrain mais qui pour des raisons de confidentialité ne seront pas citées, Enfin, les professionnels avec lesquels j ai eu le plaisir de correspondre et d échanger des informations via Linkedin. 2

3 Sommaire Acronymes... 5 Définitions... 5 Executive summary... 7 Résumé... 9 Introduction Titre I. Contexte général des schémas de certification de protection des DP et de la vie privée Section 1.01 Environnement juridique et culturel (I) Contexte règlementaire (II) Influence culturelle Section 1.02 Recensement des schémas de certification (I) L accréditation (II) Certification de personnes (III) Certification de produits et services (IV) Certification de procédure Titre II. Eléments de comparaison des schémas existants Section 2.01 Critères de comparaison (I) Règles et principes objet du référentiel (II) Contrôles effectifs, réguliers impartiaux et résolution des litiges (III) Indépendance et compétence des évaluateurs et de l organisme délivrant le label ou le certificat (IV) Accessibilité, information et transparence (V) Reconnaissance géographique, loi applicable et juridiction compétente (VI) Valeur ajoutée de la certification Section 2.02 Recensement des schémas de protection de la vie privée et des DP (I) Les labels de sites Web (II) Schémas de certification de procédure ou de système de gestion (III) Les standards de protection de la vie privée Section 2.03 Certification des produits de protection de la vie privé et des DP (I) Parallèle avec les problèmes rencontrés par les standards de signature électronique (II) La certification des produits et services dans la règlementation suisse (III) Europrise, un schéma de certification de produits et services IT Section 2.04 Etude du cas français (I) La certification dans les TIC en France

4 (II) L article 11 de la loi informatique et libertés du 06/01/ (III) Le pouvoir de labellisation de la CNIL Titre III. Etat de maturité du marché et affirmation de nouvelles tendances Section 3.01 Freins et barrières liés à la difficile appréhension des DP dans les théories économiques (coûts estimés, espérances de gains) (I) Approche juridique versus approche économique (II) Les limites des modèles économiques (III) La prise en charge du coût d une atteinte aux données Section 3.02 Défis technologiques et politiques, la nouvelle donne (I) Défis technologiques (II) Défis politiques Section 3.03 Protection des DP : vers une approche globale (I) Encouragements pour une démarche holistique et proactive de protection (II) Emergence de nouveaux concepts et de nouveaux outils (III) Obligation de sécurité renforcée : la protection des DP étendue à la sécurité des réseaux 89 Section 3.04 Résultats de l enquête de terrain Titre IV. Recommandations et suggestions Section 4.01 Eléments de faisabilité d un schéma de certification (I) Définition de l objectif et de la cible (II) Définition des caractéristiques du schéma de certification Section 4.02 Esquisse d une politique d accompagnement d une démarche de certification (I) Motivation et participation de l ensemble des acteurs (II) Définir une nouvelle façon de communiquer Conclusion Annexes Bibliographie

5 Acronymes CNIL : commission informatique et libertés CEPD : commissaire européen à la protection des données DP : Donnée à caractère personnel DPA : autorités de protection des données RFID : Radio Frequency Identification (identification par radiofréquence) UE : union européenne ULD : Centre de Protection de la vie privée du Schleswig-Holstein Définitions Accréditation : Attestation délivrée par une tierce partie, ayant rapport à un organisme d évaluation de la conformité, constituant une reconnaissance formelle de l impartialité et de la compétence de ce dernier à réaliser des activités spécifiques d évaluation de la conformité». Bien que normalement la démarche soit volontaire, elle tend de plus en plus fréquemment à se développer dans le domaine règlementaire. Elle peut être exigée par les Pouvoirs Publics comme un préalable à un futur agrément (dans la plupart des cas) pour l application d une réglementation nationale ou en vue d une notification dans le cadre d une directive européenne. L accréditation porte sur des organismes de contrôle et vise à vérifier qu ils exercent leur activité selon une déontologie et des règles de l'art internationalement acceptées. Peuvent faire l objet d accréditation : -les laboratoires -les corps d inspection -les corps de certification : Systèmes de management Produits et services Personnes Auto régulation : Régulation d'un système, d'un produit, d'un processus par lui-même. Certification : La certification consiste en la délivrance d'une assurance écrite (le certificat) réalisée par une tierce partie relative à des produits, des processus, des systèmes ou des personnes grâce à des audits, des essais, des examens et toute autre activité de surveillance. 5

6 Les certifications garantissent la conformité de produits/services, de systèmes de management ou de personnels (par exemple : auditeurs, diagnostiqueurs immobiliers ) par rapport à des exigences spécifiées. La certification recouvre un large spectre de démarches dont l objet peut être le suivant : -les systèmes de management : ex. les systèmes d information. -la certification de qualification technique ex. certification pour la qualification de prestataires de services de certification électronique -les produits et services -Les personnes : ex. certification d auditeurs de système de management de SI (ISO 27001) La certification est notamment régie par l application de standards internationaux ISO CEI pour la certification de systèmes de management d'entreprise, ISO CEI pour la certification de personnes, EN (équivalent du guide ISO/CEI 65) pour la certification de produits et services. Corégulation : mécanisme par lequel un acte législatif communautaire confère la réalisation des objectifs définis par l'autorité législative aux parties concernées reconnues dans le domaine (notamment les opérateurs économiques, les partenaires sociaux, les organisations non gouvernementales ou les associations). Données à caractère personnel (DP): toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou social (directive 95/46) Information personnellement identifiante (PII): toute information pouvant assurer la traçabilité vis à vis d un individu Information personnelle: toute information qui 1) se rapport à un individu et 2) identifie ou peut être utilisée pour identifier un individu (adresse , numéro de téléphone, numéro de Sécurité Sociale, ou autre identifiant unique). Label : Le terme «label» est très souvent utilisé et peut prêter à confusion : il n a pas la même signification en France où son utilisation est réglementée (dans le secteur agroalimentaire) et dans les autres pays de l Union européenne notamment où il est employé dans son acception anglo-saxonne auquel cas il est le corollaire logique de la certification. Un label (ou une marque de confiance ou un sceau), se matérialise par des signes distinctifs (nom, logo,..). Un label est un engagement de qualité conforme à un cahier des charges mais il n offre aucune garantie de qualité. Il peut soit résulter d un processus d auto-régulation soit être délivré par un tiers indépendant. Privacy : Pour des raisons pratiques et conformément à la démarche adoptée par la commission européenne, ce terme sera traduit par «protection de la vie privée». En 1967, A.Westin, évoquait «le droit de déterminer quand, comment, et dans quelle mesure des informations sur la personne sont communiquées à d'autres.» Ce mot recouvre plusieurs aspects et peut être lié à/aux : -informations personnelles; -la personne; -comportement; 6

7 - les communications personnelles Selon The American Institute of Certified Public Accountants (AICPA)/CICA il s agit des «droits et obligations des individus et des organisations relativement à la collecte, l usage, la divulgation et la conservation d informations personnelles». Régulation : Imposition de règles par un gouvernement dont l'application est garantie par des pénalités et l'autorité de l'état. Schéma de certification : en raison des différences de sémantique portant notamment sur le terme de «label», mais aussi parce qu en pratique, on observe une certaine confusion entre les différents schémas, l expression «schéma de certification»sera utilisée lorsque les propos concerneront tant des schémas de certification que de labellisation ou de marques de confiance Standard : Un standard est un document technique servant de ligne directrice, règle ou définition, élaboré au sein d un consortium regroupant des industriels, des régulateurs, des consommateurs. La standardisation implique non seulement une norme commune mais aussi une procédure d évaluation de conformité. Executive summary In the context of the globalization and progress of information technologies without common measurement, the legislative and regulatory instruments for data protection and privacy are facing new challenges to which it is urgent to bring answers. The European regulation is regarded as most protective of the privacy in the world but in practice its application within the European Union is far from being satisfactory: lack of harmonization, conflicts of applicable law, disparity of controls and sanctions, principles inapplicability Although article 27 of directive 95/46 encourages self-regulation and Co-regulation, these means were regarded as complementary tools in order to make the regulation more effective. In the majority of countries where there are no general law of privacy or data protection, but sectoral laws or provisions, self-regulation and in particular certification seeks to meet and to answer the demand of the market. Recently, between the pure market model and the pure enforcement model, one notes a triple tendency: The countries fervent supporters of the self regulation express the need to resort to a general law of privacy for the harmonization of the practices (see the USA). In addition, although in Europe it was generally considered that this subject concerned the law, more and more voices rise to encourage the sensitizing of the organizations and to improve data protection thanks to actions of Co-regulation. Certification may then be considered as the best way to implement and to supplement legislation. Finally certification is blossoming in the wake of political, legal and economic transformation in countries where rules of law did not become ripe yet (cf South America, Asia), under the influence of alliances and agreements of mutual recognition between certification schemes (see the APEC). It is in this context that appeared new tools and concepts both in Europe and on the American continent, in Asia, or at the international level (ISO, CEN) aiming at improving the data protection. 7

8 The majority of these tools are based on voluntary steps of self-regulation or Co-regulation and aim at encouraging a total and continuous data management throughout their life cycle. Certification seems one of the means being able to guarantee the good application and the effectiveness of these tools, by attesting conformity of the products or procedures to a reference framework. The very concept of certification covers a great disparity of diagrams of unequal quality. This study undertaken within the framework of a thesis and a professional project wants to be at the same time practical, exhaustive and comparative as well as systemic concerning the geographical distribution. In order to determine the feasibility of a diagram of certification concerning the DP protection, the analysis relates to the census of the schemes, of their characteristics and of their legal and cultural context of development. We approach then the state of maturity of the market, in particular the gaps or barriers of psychological, political, technological or economic nature related to the concept of protection of the personal data which could prevent the success of a scheme of certification in this field. Complementary to this study, we conducted a ground investigation of amongst professionals of certification and companies potentially candidate to a label of data protection. We believe firmly that if we aim at delivering certifications to organizations, their needs and their expectations must be taken into account. On the base of these analyses and of all the comparative data, we make some recommendations and suggestions which could increase the chances of success of a certification schemes. Success will depend to some extent on the characteristics suitable for the diagram: Quality of the reference framework; certification by stage; Statutes of the certification body and implication of DPA; European character of the certificate; independence and competence of the evaluators; effective controls and sanction; harmonization of the evaluations and implementations. At the same time, the framework of the scheme should be embedded into a holistic approach of data protection and privacy (PbD, accountability, responsibility) and thus make it possible to improve its effectiveness. At least, undertaken certification should be an easy and fast step. But the feasibility and the viability of such a scheme will be dependent on the involvement of all private and public actors in a "society project" and of capacity of the political institutions to support a European design of the data protection and privacy. One might take the precautionary principle which has been defined at the conference of Rio for the environmental protection as an example. The various methods of compromising data cost evaluation and the return-on-investment related to DP protection showed their limits. It is not enough to convince the organizations who seek to profit from an immediate gratification. Also, a scheme of certification should be accompanied by economic incentives or even regulatory provisions when feasible. Lastly, its success will be very closely related to that of the revision of the directive and more generally to the evolution of the European texts, depending of their enforcement and of their effective and harmonious application in the whole of the Member States. 8

9 Résumé Dans le cadre de la globalisation et du progrès des technologies de l'information sans mesure commune, les instruments législatifs et de normalisation pour la protection des données et de la vie privée font face à de nouveaux défis auxquels il est urgent d'apporter des réponses. Dans le cadre de la globalisation et du progrès des technologies de l'information sans mesure commune, les instruments législatifs et de normalisation pour la protection des données et de la vie privée font face à de nouveaux défis auxquels il est urgent d'apporter des réponses. La règlementation européenne est considérée comme la plus protectrice de la vie privée dans le monde mais en pratique son application dans l'union européenne est loin d'être satisfaisante : manque d'harmonisation, conflits de loi applicable, disparité des mises en oeuvre et sanctions, inapplicabilité de principes Bien que l'article 27 de la directive 95/46 encourage l'autorégulation et la Co-régulation, ces moyens ont été considérés comme des outils complémentaires afin de rendre la règlementation plus efficace. Dans la majorité des pays où il n'y a aucune loi générale de protection des DP ou de la vie privée, mais où on trouve des lois ou des dispositions sectorielles, l'autorégulation et en particulier la certification cherche à combler un manque pour répondre à la demande du marché. Récemment, entre le modèle pur du marché et le modèle pur de règlementation par la loi, on note une triple tendance : Les pays ardents défenseurs de l'autorégulation expriment la nécessité de recourir à une loi générale de protection de la vie privée pour l'harmonisation des pratiques (voir les Etats-Unis). De plus, bien qu'en Europe on ait généralement considéré que ce sujet dépendait de la seule loi, de plus en plus de voix s'élèvent pour encourager la sensibilisation des organisations et pour améliorer la protection des données grâce aux actions de Co-régulation. La certification peut alors être considérée comme la meilleure manière de mettre en application et de compléter la législation. Enfin la certification se développe dans les pays en cours de transformation politique, légale et économique où l'état de droit n'est pas encore arrivé à maturité (Cf Amérique du Sud, Asie), sous l'influence d alliances et d'accords de reconnaissance mutuelle entre les systèmes de certification (voir l'apec). Dans ce contexte sont apparus de nouveaux outils et concepts à la fois en Europe et sur les continents américain, asiatique, ou au niveau international (OIN, CEN) visant à améliorer la protection des données. La majorité de ces outils sont basés sur des étapes volontaires d'autorégulation ou de Co-régulation et ont pour objectif d'encourager une gestion globale et en continu des données tout au long du cycle de vie. La certification semble l'un des moyens pouvant garantir la bonne application et l'efficacité de ces outils, en certifiant la conformité des produits ou des procédures à un cadre de référence. Le concept même de certification couvre une grande disparité de schémas de qualité inégale. 9

10 Cette étude entreprise dans le cadre d'une thèse et d'un projet professionnels se veut à la fois pratique, approfondie et comparative tant des les systèmes qu'au sujet de la répartition géographique. Afin de déterminer la faisabilité d'un schéma de certification au sujet de la protection des DP, l'analyse se base sur le recensement des schémas, de leurs caractéristiques et sur l'analyse du contexte légal et culturel de leur développement. Nous abordons ensuite l'état de maturité du marché, en particulier les lacunes ou les barrières de nature psychologique, politique, technologique ou économique liées au concept de protection des DP qui pourraient empêcher le succès d'un schéma de certification dans ce domaine. En complément à cette étude, nous avons effectué une enquête de terrain parmi des professionnels de la certification en France et auprès d'organisations potentiels candidats à un label de protection des données. Nous croyons fermement que si nous souhaitons délivrer des certifications aux organisations, leurs besoins et leurs attentes doivent être prises en compte. Sur la base de ces analyses et de toutes les données comparatives, nous faisons quelques recommandations et suggestions qui pourraient augmenter les chances de succès d'un schéma de certification. Le succès dépendra dans une certaine mesure des caractéristiques propres au schéma : Qualité du cadre de référence ; possible certification par étape ; statuts du corps de certification; 'implication des DPA ; Caractère européen ou international du certificat ; indépendance et compétence des experts ; contrôles et sanctions efficaces ; harmonisation des évaluations et des mises en oeuvre. De même, le cadre de référence du schéma devrait être conçu selon une approche holistique de la protection des données et de la vie privée (PbD, "Accountability", responsabilité) et permettre ainsi d'en améliorer son efficacité. Enfin, la démarche de certification devrait être une étape facile et rapide. Mais la faisabilité et la viabilité d'un tel schéma dépendront de la participation de tous les acteurs privés et publics dans un «projet de société» et de la capacité des institutions politiques à soutenir une conception européenne de la protection des données et de la vie privée, à l image notamment du «principe de précaution» défini à la conférence de Rio pour la protection de l environnement. Les diverses méthodes d'évaluation des coûts liés aux DP et du retour-sur-investissement lié aux mesures de protection ont montré leurs limites. Ces méthodes ne suffisent pas à convaincre les décideurs de l'intérêt d'investir dans la protection des DP qui sont plutôt tournés vers la recherche d'une satisfaction immédiate. En outre, un schéma de certification devrait être accompagné d'incitations économiques ou même de dispositions de normalisation quand cela est possible. 10

11 Pour finir, le succès sera très étroitement lié à celui de la révision de la directive et plus généralement à l'évolution des textes européens, à leur application efficace et harmonieuse dans la totalité des Etats membres. Introduction «La règle, c'est que le Général qui triomphe est celui qui est le mieux informé» Sun-Tzu La protection des DP et de la vie privée est un sujet d actualité et universel quels qu en soient d ailleurs les fondements philosophiques ou plus pragmatiques qui en sont à l origine. La protection des DP et de la vie privée est étroitement liée à l usage d internet et des nouvelles technologies. A l heure de la globalisation des échanges, alors que de nouveaux risques liés à l usage des TIC voient le jour et que les systèmes de protection juridique des DP montrent leurs limites, l heure est au questionnement et à la remise en cause des outils et principes existants. Bien qu ils expriment un manque de confiance dans l usage d internet et trahissent une méconnaissance des enjeux et des risques liés aux données personnelles, paradoxalement, les individus livrent quotidiennement et sans aucun contrôle un grand nombre de DP. Nous évoluons dans un univers d informations asymétriques qui ne nous permet plus d assurer la confidentialité et la sécurité des DP. Le manque de confiance dans l'environnement numérique nuit sérieusement au développement de l'économie en ligne en Europe. Les principales raisons des personnes qui n'ont fait aucun achat en ligne en 2009 avaient trois causes: problèmes de sécurité des paiements, problèmes de respect de la vie privée et problèmes de confiance. 1 Plus qu un droit individuel, la protection des DP est l affaire de tous, acteurs publics et privé ; c est un enjeu philosophique, économique et politique qui mérite une approche globale et sociétale. Face à ces problèmes cruciaux, diverses pistes émises au fil du temps se sont multipliées très récemment. L une d elle consiste à améliorer la protection des DP et de la vie privée en s appuyant sur des schémas de labellisation ou de certification. Aussi, le sujet sera délibérément traité de façon large afin de donner du marché une vue d ensemble de tous les types de schéma de certification, de label ou autre marque de confiance. Cette façon d aborder le sujet est également due au manque de clarté, de règlementation uniforme et de transparence du marché de la qualification. Le sujet a été choisi dans le cadre d un projet professionnel portant sur le développement et la viabilité économique d un schéma de certification, avant même que la CNIL ne déclare au printemps 2010 son intention de faire usage de son pouvoir de labellisation. Aussi est-ce la raison pour laquelle ce travail est à la fois détaillé et plus conséquent que le travail requis dans le cadre de cette thèse professionnelle. L étude revêt un caractère pratique et se veut comparative tant sur un plan sectoriel que géographique et systémique. La culture est comme nous le verrons un des éléments clefs à considérer dans la faisabilité d un schéma de certification. Le pouvoir de labellisation de la DPA française sera un des points de comparaison évoqués mais il ne constituera pas le fil directeur de cette étude

12 Afin de faire le lien avec un stage professionnel suivi au pôle numérique d ADETEF 2 sur un avant projet de plateforme de signature électronique dans la zone Méditerranéenne, il sera fait un parallèle entre les schémas de certification de produits et les standards de signature électronique. Sans chercher à «réinventer la roue», nous essayerons de tirer les enseignements pertinents de diverses expériences. La faisabilité d un projet s entend dans un sens plus large que celui de la recherche d un modèle économique. L objet de cette étude n est pas d élaborer un modèle économique ce qui d une part demanderait des compétences mathématiques que l auteur n a pas, d autre part a déjà fait l objet de quelques analyses. La faisabilité est ici définie comme l évaluation et l analyse de l impact d un projet sur le plan technique, juridique, économique, culturelle et opérationnel (en quoi la certification permettra-t-elle d atteindre les objectifs fixés). Il s agit de vérifier l'opportunité commerciale d une telle démarche, de réfléchir à sa viabilité à long terme, de déterminer la maturité, les besoins et la capacité du marché européen dont le marché français Il n allait pas de soi d envisager une certification dans le domaine de la protection des DP alors même que la certification des systèmes de management ou des produits et services du domaine des TIC connait un succès très mitigé dans notre pays en dehors de certification des systèmes sécurisés de transaction. De plus nous manquons de recul sur les certifications dans ce domaine. Il existe plusieurs exemples de part le monde mais d une part les schémas purement commerciaux les plus répandus forment un type particulier de certification, d autre part nous manquons de recul vis-à-vis des autres schémas relativement peu nombreux. Les schémas relèvent parfois de systèmes d autorégulation ou de co-régulation voir enfin d accréditation. Ces systèmes ont pour objectif d évaluer un service, un produit, une procédure ou des personnes, soit de manière autonome, soit avec l intervention d un tiers plus ou moins indépendant selon le schéma. La distinction entre les schémas est en pratique moins marquée qu il n y parait, non seulement en raison de similitudes entre eux mais aussi parce que les systèmes d autorégulation ont été forcés d évoluer en réponse aux critiques sur leur manque d indépendance et l absence de contrôle et de sanctions. Les schémas de certification (par un tiers externe) recouvrent quant à eux des situations variables. Ainsi qu il a été précisé plus haut, l expression «schéma de certification» sera utilisée pour tous les systèmes visant à exprimer un niveau de qualité pour les organisations s engageant dans une démarche de labellisation, d octroi de marque de confiance et de certification. Après une analyse descriptive des divers types de schémas de certification, de leurs caractéristiques et de leur contexte de développement, seront évoqués les challenges que devrait relever un schéma de certification de protection des DP. Enfin, nous proposerons une série de recommandations et de suggestions souhaitables en vue d augmenter les chances de succès d un certificat de protection des DP et de la vie privée. 2 GIP Conseil et opérateur pour la coopération internationale des ministères de l'economie, du Budget et du Développement durable. Le pôle économie numérique d Adetef apporte son expertise aux partenaires institutionnels internationaux dans les domaines de l internet, des systèmes d information, des télécommunications, de l administration électronique, de la monétique et du développement économique par les TIC. 12

13 Le présent document a été réalisé en fonction de la méthodologie suivante: -Analyse bibliographique de nombreux textes cités en référence ; -Recensement en ligne des différents schémas de certification de part le monde et étude détaillée de certains d entre eux ; -Quelques entretiens avec des professionnels de la certification : ANSSI, LSTI, Ethic Intelligence -Echanges en ligne via linkedin avec Ann Cavoukian (Ambassadeurs du PrivacybyDesign), Kato Takeshi (PrivacyMark), Rudolf Schmid (GoodPriv@cy), Gail Magnuson (Nymity), Alessandro Acquisti et Allan Friedman -Entretiens avec des représentants de la CNIL en charge de la labellisation ; -Enquête de terrain auprès de 21 organisations ; -participations au groupe de travail de l AFCDP sur la labellisation. Titre I. Contexte général des schémas de certification de protection des DP et de la vie privée Section 1.01 Environnement juridique et culturel Le schéma de certification peut soit relever d un régime d autorégulation, soit de co-régulation ou enfin plus rarement du seul système règlementaire. L environnement juridique et culturel d un pays, est un des éléments essentiels à la bonne compréhension des facteurs de réussite ou d échec d un schéma de certification et par la même à sa faisabilité. (I) Contexte règlementaire Il se dessine deux grandes tendances parmi les schémas de certification. Les démarches qualifiées de «sérieuses»: Ce peut être soit une certification officielle telle qu elle existe en France, par un organisme accrédité selon la norme ISO C est l exemple du COFRAC; Soit une démarche reposant sur des chartes/codes contrôlés par des auditeurs indépendants et compétents. La clarté est indispensable. En tout état de cause, le respect de la réglementation est un préalable et il doit exister des «plus» qualitatifs allant au-delà de la réglementation qui constitue le corps de règles. Par ailleurs, le contrôle régulier des engagements par un tiers indépendant et compétent doit être assuré. Les démarches jugées «obscures» : elles contribuent à rendre floue la perception du consommateur des marques de confiance sur internet. Elles relèvent souvent d auto proclamation et font plus ou moins l objet de contrôles réguliers pour vérifier le contenu des allégations présentées au consommateur et sanctionner tout manquement. Les visées des intervenants sont variables: -Ce peuvent être des nouveaux prestataires: il s'agit clairement de l'apparition d'un métier lié à de nouvelles formes d'intermédiation (tiers de confiance), -L objectif est souvent de gagner la confiance des consommateurs mais dans un but purement commercial, rassurer pour vendre mieux et plus (c est le cas de la plupart des labels de sites web) ; 13

14 -Ce sont aussi parfois des associations de protection des consommateurs qui agissent en faveur d une démarche de co-régulation de l'internet (participation des différents acteurs de l'internet à son bon fonctionnement). Les démarches plus sérieuses visent à instaurer une relation de confiance par la conformité à un référentiel fondée sur des exigences, l indépendance, la transparence et le contrôle de la démarche (propos recueillis auprès de P.Chour, ANSSI). Ajoutons que le schéma peut viser à avoir des vertus plus pédagogiques de sensibilisation, comme ce pourrait être le cas d un schéma initié ou encadré par une autorité administrative nationale ou européenne. Sur le terrain des démarches «sérieuses», il reste encore à arbitrer entre le choix d un label officiel et celui d une certification d organismes : -On peut laisser au seul secteur privé (en particulier aux organismes de certification) le rôle de créer des certificats que des organismes seront autorisés à utiliser, en règle générale contre paiement d une redevance. La règlementation ne règle alors que les exigences concernant l accréditation d organismes et le processus de certification. Il peut être prévu par les textes qu aucun label ne pourra être utilisé sans que les exigences propres au processus de certification ne soient remplies. Il s agit de l exemple Suisse. -L option peut se porter sur l instauration d un certificat de qualité officiel, qui peut être utilisé par les organismes certifiés sans autre condition. Les certifications peuvent être opérées par un organisme étatique ou par l autorité indépendante de protection des DP. Il peut aussi s agir d une sorte de prestation de base qui pourrait coexister avec d éventuels labels de qualité privés. La première solution présente l avantage de limiter l intervention de l état à la reconnaissance de professionnels dans un domaine qui relève aujourd hui en grande partie du secteur privé. Elle suppose néanmoins que les textes de loi prévoient les conditions d accréditation (dans l hypothèse où on envisage l accréditation d organismes professionnels). L accréditation est sensée assurer un niveau de compétence et de professionnalisme qui pourrait également être garantis par une procédure ad hoc mise en place par la DPA par exemple. La démarche de certification pouvant aboutir à la délivrance du certificat, doit être suffisamment détaillée dans la loi et/ou par l autorité indépendante pour s assurer d une uniformité des démarches de certification. (1) Au sein de l Union Européenne Plusieurs textes se réfèrent au sujet de la protection de la vie privée et des DP. Au sein de l Union Européenne, la directive 95/46 traite de «la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données», tandis que les directives 2002/58 et 2006/24 en font état dans les communications électroniques. La directive 95/46 est le premier texte abordant «la protection des données personnelles» à un niveau européen. Elle reprend et développe les principes de la convention 108 pour la protection des personnes à l égard du traitement automatisé des données à caractère personnel. La Charte des droits fondamentaux de l Union européenne du 18/12/2000 consacre le droit à la protection des données personnelles dans son article 8 ; sa valeur constitutionnelle a depuis été renforcée par le traité de Lisbonne entré en vigueur en décembre La Directive 2002/58/EC fait partie des cinq textes qui doivent être mis à jour et modifiés dans le paquet télécom, par le biais des deux directives 2009/136/CE et 2009/140/CE, dites du nouveau 14

15 «paquet télécom», votées par la Parlement européen le 18 décembre et dont la transposition dans les états européens doit se faire avant le 25 mai Ces directives concernent les fournisseurs de réseaux de communications publics ou des services publics de communications électroniques accessibles au public (tels les FAI). Le «Paquet Télécom» vise notamment à assurer le renforcement de la sécurisation des réseaux et des services de communication électronique. Il existe enfin des règles spéciales applicables à la protection des données à caractère personnel dans les domaines de la coopération policière et de la coopération judiciaire en matière pénale (décision cadre 2008/977/JHA). Dans de nombreux pays de l UE, les DPA ne sont pas en mesure d accomplir la totalité de leurs missions, en raison des ressources économiques et humaines limitées dont elles disposent. Quand bien même les textes prévoient des mesures de réparation pour les individus victimes d un dommage, ceci est loin d être le cas en pratique. 3 Dans le secteur des communications électroniques le principe de subsidiarité de la loi communautaire signifie notamment que : La commission doit éviter de légiférer quand d autres moyens permettent d atteindre les objectifs publics fixés, laissant au secteur privé le choix de la voie à emprunter pour y parvenir. On parle de corégulation, mais elle doit apporter une valeur ajoutée pour l intérêt général (cela repose sur le fait que les mécanismes sont plus adaptés, plus rapides, plus efficaces dans l application cf. labels, accréditations, standardisation, mécanismes alternatifs de résolution de litiges). En France le traitement des données est généralement règlementé par la loi, les décrets et autorisations de façon assez détaillée. Bien que la loi lui donne l opportunité d approuver des codes sectoriels, les seuls que la CNIL ait adoptés sont relatifs au secteur du marketing. 4 La loi française est détaillée et a inspiré la directive européenne sur bien des points mais paradoxalement quelques sujets pourtant cruciaux sont traités de manière trop vague pour trouver à s appliquer efficacement en pratique. Aussi, qu elle que puisse être la bonne volonté des organisations, la «mise en conformité avec la loi informatique et libertés» recouvre un certain nombre d inconnues auxquelles ni la loi ni le décret d application ne sont en mesure d apporter de réponse précise (ex. art. 34 de la loi sur la sécurité). D autre part, malgré la révision législative de 2004, la mise en œuvre de certains principes tels qu édictés par la loi s avère tout simplement impossible face aux nouveaux défis technologiques et au contexte globalisé de l économie. La règlementation européenne est considérée comme la plus protectrice de la vie privée et des données personnelles dans le monde mais son application relève plus de la bonne volonté que de la loi car jusqu à présent les sanctions sont trop faibles et trop rares pour être dissuasives et les dispositions de la directive trop vagues sur certains sujets. Les sujets de protection des DP et de la vie privée ont été règlementés par la loi (tout particulièrement en France) et ceci a généralement été considéré comme suffisant. Mais en pratique on constate que la loi ne s auto-exécute pas seule sans mesures incitatives et procédures internes de mise en conformité qui relèvent de choix stratégiques de l organisation. 3 cf. Agence des droits fondamentaux de l'union européenne MÉMO/7 mai et 15

16 Sur le vieux continent, les textes considèrent l autorégulation et la co-régulation comme un encouragement plutôt que comme un substitut à la loi (Article 27 de la Directive 95/46) ; c est un moyen de rendre les exigences de la règlementation plus efficaces et légitimes. Mais malgré l attitude positive des autorités européennes les schémas de certification sont rares. (2) Hors de l Union Européenne USA : La protection de la vie privée est une notion très large qui inclut notamment la protection des informations personnelles. Bien qu il n existe pas de loi générale au niveau fédéral, la règlementation US est riche de dispositions protectrices de la vie privée dans les divers états et selon les secteurs d activité. Qu il s agisse de la loi Payment Card Industry (PCI) Data Security Standard, de l acte Health Insurance Portability and Accountability Act (HIPPA), ou du Gramm-Leach-Bliley Act (GLBA), tous ces textes ont été créés avec un même objectif de protection des données sensibles, mais en se focalisant sur leur seul domaine. Il existe environ 120 lois soit au niveau des états soit au niveau fédéral qui requièrent une notification des failles de sécurité aux personnes concernées. La dernière en date étant intervenue dans le secteur des soins de santé. En octobre 2003, l État de la Californie a adopté le Online Privacy Protection Act. Une prochaine loi fédérale, actuellement en discussion (DATA pour Data Accountability and Trust Act), devrait obliger toute entité privée ou publique manipulant des données personnelles sensibles à mettre en place des mesures de gestion de risques, de traçabilité aux données, de sécurisation et de notification des violation de données personnelles. La certification est un des moyens d autorégulation permettant de pallier à l absence de règlementation et/ou aux lacunes dans l application de la loi. Les organisations sont libres de choisir entre de nombreux schémas d autorégulation et de corégulation pour lesquels elles déterminent elles mêmes les moyens d atteindre les objectifs fixés. A titre d exemple, l accord SAFE HARBOR consiste pour les organisations américaines à s autocertifier auprès du Département du Commerce en s engageant à respecter et à mettre en pratique les principes de base posés par la directive 95/46 vis-à-vis des DP transférées par des entreprises situées sur le territoire européen. Il est difficile de connaitre l efficacité des schémas d autorégulation. Selon certains la peur de poursuites par le gouvernement ou par le privé a un effet préventif mais rien ne permet de l affirmer avec certitude car en pratique les poursuites sont rares et les amendes minimes tandis que les actions engagées au niveau privé sont onéreuses. Au Canada, l auto régulation s est fortement développée sous la forme de codes de conduite sectoriels (banque, santé, assurance ) inspirés des lignes directrices de l OCDE, notamment avant 16

17 l adoption de la loi de protection des informations personnelles (PIPEDA) en Cette loi a ellemême intégré les codes de conduites déjà en vigueur. Sous l égide du Canadian Standards Association (CSA), fut adopté en 1996 le «Standard National Canadien» qui bien qu utilisant les termes distinctifs de «devrait» et «doit» fut considéré comme une démarche volontaire. En Australie, c est le Commissaire à la protection de la vie privée qui en 1998 a défini une série de principes, semblables à ceux du CSA au Canada. Bien qu il n y ait pas de schéma explicite de certification, l objectif affiché était d amener les organisations à suivre une démarche formalisée et harmonisée. La Nouvelle Zélande s est servi des «guidelines» comme support «éclairant» en soutien à l acte de protection des données. En Asie, il n existe pas de définition de la «protection de la vie privée» mais c est probablement la région où l influence des principes directeurs de l OCDE a été la plus forte. Dans ce pays la loi se résume à une série d exigences minimum que les ministres complètent par des lignes directrices. Les plaintes relatives aux informations personnelles sont traitées par quatre entités : Les organisations de protection des informations personnelles autorisées (APIPO), les représentants locaux du gouvernement, les organisations professionnelles et le conseil de la consommation (NCACJ). Cependant nous n avons pas de preuve de l efficacité du système de résolution des plaintes par les APIPO. Quelque soit la région du monde, il se dégage un consensus favorable au développement de modes de co-régulation, parmi lesquels s inscrit la certification. (II) Influence culturelle La culture d un pays détermine la conception «philosophique» de protection de la vie privée et des DP qui influence par ailleurs le choix des systèmes juridiques de régulation. La volonté et la capacité de l industrie à s engager dans une démarche de protection des DP et de la vie privée dépend à la fois du degré de conscience et de sensibilisation de sa population et des ressources disponibles. Dans la plupart des anciens états de l UE, le niveau d intérêt a baissé ou est resté stable entre 2003 et 2008, à l exception d une progression notable en Espagne et au Portugal. Une majorité de citoyens européens se sentent en insécurité quand ils transmettent des données via internet et très peu connaissent les droits et obligations énoncés par les textes de protection des DP. «L exception culturelle française» : Seules 39% des personnes interrogées en 2009 connaissent l existence de la CNIL en France sans toutefois toujours connaitre son rôle et ses pouvoirs. 5 De récentes études pointent le fait que les décideurs français ont une des perceptions des risques la moins alarmiste ; notre pays occupe également la dernière place en ce qui concerne les démarches proactives (60% du temps passé à essayer de réparer les dégâts plutôt que de les prévenir). 6 5 Eurobarometer survey on Data Protection measures Awareness, Attitudes and Views of Citizens of the EU

18 Ces chiffres ne sont d ailleurs pas démentis par les résultats de l enquête de terrain menée au cours de cette étude Les français font part d une certaine réticence vis-à-vis des schémas de certification entièrement privés ne bénéficiant pas d une accréditation ou d une reconnaissance d une autorité administrative. Les certifications ISO connaissent une légère augmentation. Au 30/05/2009 on comptait 5314 certificats ISO délivrés dans le monde dont à titre d exemples : certificats au Japon -441 en Inde -395 au R.U à Taïwan -191 en Chine -124 en Allemagne -12 en France Jusqu à présent en France, la certification n est pas apparue comme un élément indispensable alors qu'elle l est devenue dans certains pays plus enclins à satisfaire les attentes de leurs partenaires et de leurs clients. Le formidable essor des schémas de certification en Asie nous a poussés à essayer de comprendre quelles pouvaient en être les raisons culturelles. Dans la culture japonaise, la notion de protection de la vie privée est une idée importée. Le groupe occupe une place primordiale au contraire de la faible valeur attribuée à la sphère individuelle distincte du groupe. Autrui bénéficie d une présomption de bonne foi, ce qui explique que le droit de contrôler la circulation de ses propres informations personnelles serait vécu comme un excès de défiance. Le Japon a été fortement influencé par les lignes directrices de l OCDE de 1980 mais aussi par les lois allemandes et françaises. Le JAPON n a pas de loi générale sur la protection de la vie privée mais il existe des lois de protection des informations personnelles dans le privé et le public comprenant des principes pour lesquels les ministères et tout particulièrement le METI (Ministère du commerce et de l industrie) dispensent des guidelines. Environ 40 guidelines et pas moins de 24 mesures sectorielles ont été émis depuis 1989 par les ministères des divers secteurs d activité. Le concept de «données personnelles» doit son succès à l extraordinaire développement des TIC qui a donné l occasion aux entreprises de collecter, conserver et partager de grandes quantités de DP. Le Japon se caractérise aussi par un lien très étroit entre le Ministère du Commerce et de l Industrie (METI) et les associations professionnelles 18

19 Les autorités publiques ont considéré la protection de la vie privée et des DP comme une valeur sociétale indispensable à la reprise de l économie. C est désormais un courant politique à part entière comparé à celui de la protection de l environnement. Une majorité de dirigeants japonais considèrent la législation de protection des DP comme un simple risque à prendre en compte tant vis-à-vis du marché national que dans un environnement international. Les exigences des clients, la conquête de marchés internationaux et la valeur patrimoniale des données sont au coeur des préoccupations des organisations asiatiques. De manière générale, l Asie fait preuve d un haut niveau de maturité. Les dépenses de sécurité y sont une priorité. 7 Les asiatiques pensent avoir une meilleure compréhension de l influence des incidents de sécurité sur leurs capitaux. Cet avantage de connaissances leur permet de cibler de manière optimale les actions préventives et correctives dans leur gestion du risque sécurité donc d espérer un ROI plus rapide. 75% des personnes asiatiques interrogées considèrent que le renforcement des capacités de gouvernance, de risque et de conformité sont une priorité «top, très importante ou importante», alors qu elles sont 70% en Amérique du Sud ( tout en indiquant une baisse ou un différé des dépenses de sécurité), 66% en Amérique du Nord et seulement 56% en Europe. En Europe il persiste une faible visibilité sur les évènements à incidents de sécurité ce qui ne permet pas de connaitre le véritable impact sur l activité. Tableau 1 Différences régionales dans les pratiques de sécurité de l'information ASIE AMERIQUE AMERIQUE EUROPE DU NORD DU SUD Les raisons de vos dépenses : conditions économiques Les raisons de vos dépenses : continuité de l activité Les raisons de vos dépenses : réputation de l organisation Une des justifications déterminantes de la sécurité : exigences légales ou règlementaires Une des justifications déterminantes de la sécurité : responsabilité ou exposition potentielle Une des justifications déterminantes de la sécurité : Exigences des clients Ont un inventaire pertinent du lieu où sont stockées les données sensibles Nombre d incidents de sécurité inconnus au cours des derniers mois Sources inconnues des incidents de sécurité des 12 derniers mois Conduite d une évaluation de risques au cours des 2 dernières années A l image des asiatiques, les personnes d Amérique du Sud pensent avoir une meilleure connaissance du nombre, du type et de la source des attaques. Ils mettent également en avant «les exigences Global State of Information Security Survey PWC 19

20 client» comme facteur décisif de leurs dépenses de sécurité alors que les européens sont guidés par les exigences légales et règlementaires. -On note tout de même de manière générale, une légère évolution des consciences : A la question : comment justifiez-vous les dépenses de sécurité dans votre organisation? 41 % des répondants (soit +21% en 3 ans) ont répondu «la satisfaction des clients». Plus que jamais semblet-il, la fonction sécurité est orientée vers le client, vers la construction d une stratégie de valeur ; un élément de maturité à prendre en compte dans un schéma de certification. Sur un plan régional, le cadre de l APEC pour la protection de la vie privée comprend l application de plans d actions par 14 pays, et la création d un groupe d étude dans le sous groupe de protection de la vie privée (DPS) pour analyser et identifier les meilleures pratiques et le rôle des labels dans la promotion des flux transfrontières d informations personnelles (tableau des certifications dans les pays de l APEC annexe 1). Aux U.S.A, la protection de la vie privée est traitée au travers du prisme de l économie de marché. La protection de la vie privée est un droit inhérent à chaque individu qui est libre d en faire le commerce et d en tirer profit. La culture juridique est basée sur le «déclaratif» qui en principe implique pour les entreprises de respecter leurs engagements dans un système largement dominé par l auto régulation. Les industriels et les professionnels sont fortement impliqués dans les schémas d autorégulation. L avantage en termes de ressources est considérable, puisque le secteur privé est la principale source de financement des schémas étudiés mais l indépendance des évaluateurs et des auditeurs peut prêter à discussion. En Asie et en Amérique du sud dans une moindre mesure, les organisations ont eu recours à la certification pour assurer et par la même rassurer leurs partenaires et leurs clients sur un certain niveau d exigence de sécurité et de protection des DP. En Europe et tout spécialement en France, on constate la conviction bien ancrée que la protection des DP et de la vie privée relève de la compétence et des devoirs de l Etat envers ses citoyens Les modèles d autorégulation et de co-régulation se sont essentiellement développés dans les pays : - où il n existait pas encore de loi règlementant la protection de la vie privée de manière générale (fonction supplétive) -ou pour compléter l adoption de nouvelles lois (rôle complétif) -ou en voie de transformation économique et politique (fonction supplétive et complétive). Pourraient s y ajouter demain, les pays où les législations ne suffisent plus à répondre aux besoins soulevés par les évolutions technologiques et économiques. 20

21 Section 1.02 Recensement des schémas de certification La certification peut parfois être liée à une accréditation, sans que cela soit toujours le cas. L obtention d une certification n est pas forcément un gage de la qualité des produits ou des services offerts par l entreprise puisqu elle constate la conformité à des «exigences spécifiées» qui peuvent être fixées à un niveau différent de celui attendu par les consommateurs ou utilisateurs. Les organismes de certification par tierce partie utilisent soit leurs propres auditeurs (qu ils qualifient), soit des auditeurs certifiés (dont les compétences sont reconnues par un certificat). On trouve plusieurs normes ISO relatives à la certification mais l ISO n effectue pas ellemême de certification selon ses normes, elle ne délivre pas de certificats et ne contrôle pas la certification réalisée indépendamment de l ISO par d autres organismes accrédités ou pas. L ISO/CASCO, Comité pour l évaluation de la conformité, élabore des normes d application volontaire et des guides pour encourager les bonnes pratiques et la cohérence dans le monde en matière d accréditation, de certification et d activités connexes. (I) L accréditation L'accréditation est l'attestation de la compétence, de l'impartialité et de l'indépendance d'un organisme certificateur, d un laboratoire ou d un organisme d inspection au regard des normes en vigueur (par exemple, la norme NF EN pour les organismes certificateurs de produits ; ex. ISO L'accréditation implique le recours non seulement à des évaluateurs qualiticiens mais aussi à des experts techniques. Outre la reconnaissance de la conformité elle assure la compétence des évaluateurs. Une des conséquences non négligeable est d augmenter le coût de l évaluation et du niveau d exigence du certificat. Il existe des organisations mondiales et des organisations régionales d accréditation ; pour des raisons d efficacité et pour limiter le coût de la confiance, l objectif est d être «certifié une seule fois et reconnu partout». L utilisation par le plus grand nombre de référentiels identiques et internationalement reconnus permet une harmonisation des pratiques et la mise en place de contrôles entre accréditeurs portant sur l effectivité de l utilisation des référentiels. Les organismes d accréditation détiennent un mandat du gouvernement qui garantit leur indépendance vis-à-vis d un marché concurrentiel et permet à l utilisateur d un produit ou service certifié d avoir confiance dans la qualité de l évaluation. Un organisme national d'accréditation est organisé de manière à être impartial et indépendant des organismes d'évaluation de la conformité qu'il évalue. 21

22 Le règlement établit les règles concernant l'organisation et le fonctionnement de l'accréditation des organismes d'évaluation chargés d'accomplir des tâches d'évaluation de la conformité. Au plan européen, les organismes nationaux d accréditation ont mis en place un système d'audits «croisés» afin d'assurer la reconnaissance mutuelle de leurs prestations. Sa mise en œuvre est assurée par l European cooperation for Accreditation (EA) 8, organisme qui regroupe tous les organismes d accréditation européens. En France, c est le comité français d accréditation (COFRAC) qui est désigné par le décret n du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité Le groupe de travail «article 29» note que la législation en vigueur en matière d accréditation des produits peut s appliquer aux services de certification dans le domaine de la protection des données. L accréditation concerne les organismes en charge de l'évaluation de la conformité qui revient à démontrer que «des exigences spécifiées relatives à un produit, processus, service, système, personne ou organisme ont été respectées». Le règlement (CE) n 765/2008 du Parlement européen et du Conseil du 9 juillet prévoit, au plus, un organisme d accréditation par Etat membre, sans concurrence entre les organismes européens qui ne pourront exercer que sur leur propre territoire, sauf exceptions dument cadrées en accord avec l'organisme de l'autre Etat membre. Pour un exemple d organisation mondiale voir IAF (International Accreditation Forum)

23 Figure 1 schéma d'accréditation COFRAC (II) Certification de personnes Elle donne le moyen à un professionnel de faire attester par une tierce partie (organisme certificateur) l'aptitude de son personnel à réaliser des tâches normalisées. Elle a pour objectif de garantir aux clients la capacité de la personne à assurer la mission qui lui est confiée. Souvent, l organisme certificateur est lui-même accrédité et doit suivre un programme de certification ce qui permet de d assurer un niveau d assurance et de définir des exigences de compétence. 23

24 (III) Certification de produits et services Elle permet à un client de s assurer par l intervention d un professionnel indépendant, compétent et contrôlé, appelé organisme certificateur, de la conformité d un produit à un cahier des charges ou à une spécification technique. En France, l Agence nationale des Systèmes de Sécurité de l Information (ANSSI) est chargée de la certification de produits de sécurité des systèmes d information. L agence gouvernementale assure la mission d autorité nationale en matière de sécurité des systèmes d information ; elle est notamment chargée de délivrer des labels aux produits de sécurité. Elle accrédite des laboratoires, les CESTI, seuls qualifiés pour faire les évaluations suivant le schéma arrêté. Chaque CESTI est une tierce partie indépendante des développeurs de produits et des commanditaires. L ANSSI contrôle régulièrement les CESTI. Par exemple les CESTI sont chargés de l'évaluation des dispositifs sécurisés de création de signature électronique. (IV) Certification de procédure Fondées sur une évaluation continue des processus, les plus fréquentes portent soit sur le management de la qualité, de l environnement, de la sécurité de la santé ou de la sécurité des systèmes d information (SMSI) et plus rarement sur le système de management de la protection de la vie privée (PIMS). Figure 2 Modèle de PDCA appliqué à un PIMS Il existe de nombreux standards internationaux portant sur les systèmes de management dont ISO (9001, 14001, 27001) ou OHSAS par exemple. Les exigences de certification peuvent aussi être décrites dans la loi avec le support d un cahier des charges comme c est le cas en Suisse. (cf.annexe 3). 24

25 La certification valide la mise en oeuvre des exigences générales d une norme (standard, règlementation, cahier des charges) et son amélioration continue selon le modèle PDCA de la roue de Deming (fig. 2). Elle atteste d une gestion efficace et efficiente du Système de Management au travers de sa politique et de l atteinte des objectifs qu elle fixe. Titre II. Eléments de comparaison des schémas existants Section 2.01 Critères de comparaison Certains auteurs ont défini les critères propres à un label de qualité. 10 Face au risque de prolifération de labels et marques de confiances et constatant qu il y avait une confusion chez les consommateurs sur le contenu, la valeur et la fiabilité des labels, la commission européenne a décidé en 2001 de mener une réflexion avec les professionnels (UNICE) et les organisations de consommateurs (BEUC) pour mettre en place le projet «e-confidence». Une liste de critères (European Trustmark Requirements) a été dressée par ces deux parties car il ne s agissait pas pour la commission de produire «un label» de plus au niveau européen mais d avoir un système qui permettrait de comparer les labels existants ou à créer à une liste comparative de critères de fiabilité (ETR). 11 Les ETR visent à définir un haut standard de protection du consommateur dans le commerce électronique et à encourager les ventes sur internet pouvant servir de benchmark aux schémas de certification dans le B2C. Les labels de sites web ne sont qu un type de schéma de certification parmi d autres. Pour la présente étude il a été choisi de regrouper les critères de comparaison de l ensemble des schémas, qu il s agisse de labels de sites web, de certification de produits, services ou procédures, sous formes d objectifs fondamentaux visant à améliorer la protection des DP et de la vie privée. (I) Règles et principes objet du référentiel Le référentiel est un document dans lequel sont décrites les exigences d un produit, d un service ou d une procédure et les modalités du contrôle de la conformité à ces exigences. Il peut se référer : - aux lois et règlementations nationales, à la jurisprudence et/ou - aux textes internationaux et/ou - aux lignes directrices et/ou -aux normes et/ou -aux codes sectoriels et/ou - aux recommandations et avis d organisations politiques ou administratives. Pour assurer la crédibilité du schéma, le référentiel doit s appuyer sur des principes de protection de la vie privée et des DP suffisants mais non dissuasifs. Le référentiel constitue le nœud gordien d un schéma ; en effet, selon les systèmes et cultures juridiques, les critères diffèrent tant dans leur contenu que dans leur interprétation. 10 voir les 14 critères «must have» et 26 critères «nice to have» des labels de sites web, Yves Poullet, Ronald de Bruin, Christophe Lazaro, Ewout Keuleers, Marjolein Viersma, Analysis and definition of common characteristics of trustmarks and web seals in the European union, final report, February 2005, European Contract nr B5-1000/03/ (DG Sanco), 104 p

26 (II) Contrôles effectifs, réguliers impartiaux et résolution des litiges La vérification porte sur la présence de : un mécanisme de vérification de la conformité des adhérents aux critères du schéma de certification (périmètre du contrôle); un suivi de la mise en œuvre des engagements; contrôles effectifs, réguliers et impartiaux (recours à une tierce partie et mesurabilité) ; Selon la culture juridique, une obligation de rendre compte «accountability» ou ce qui s apparente au «Feedback» ; une procédure efficace et gratuite de gestion des litiges (suivi des plaintes, facilité d accès au système de résolution des litiges, degré d exigence et de précision du cahier des charges et l impartialité du contrôle). Un système d exécution prévoyant des sanctions dont un possible retrait du label Concernant le commerce électronique, les contrôles devraient non seulement porter sur le site internet mais également sur l (les) entreprise(s) responsable(s) du site marchand. 12 (III) Indépendance et compétence des évaluateurs et de l organisme délivrant le label ou le certificat Pour la délivrance, le renouvellement et le retrait du label, on observera l éventuelle mise en place d une instance spécifique présentant des garanties d indépendance et de compétence suffisantes (par exemple par le biais de la représentation d associations de consommateurs agréées ou de la société civile, indépendance de l instance d évaluation). Derrière ces critères se cachent de grandes disparités fonction des motivations purement commerciales ou pas du schéma et du statut des organismes de délivrance et d évaluation. (IV) Accessibilité, information et transparence Le schéma (les principes, le code de conduite, les règles de fonctionnement ) doit être facile d accès, compréhensible, sans barrière de langue (multilinguisme), sans barrière de coût. -Les règles de transparence portent sur : - l identité du gestionnaire du schéma et sa domiciliation ; -la nature de la démarche (certification, habilitation,...) ; -les modalités d attribution, notamment sur la qualité de l auditeur (auditeur accrédité ou non, et si oui, par quel organisme) ; -la nature du label ou de la certification : B to C, sécurisation des paiements, organisation, processus, produit etc. ; - les modalités de contrôle et la date de celui-ci ; -la procédure de gestion des litiges et des réclamations internes. (V) Reconnaissance géographique, loi applicable et juridiction compétente La reconnaissance se définit comme l acte par lequel on admet l existence d une obligation. 12 Avis du CNC sur l utilisation d une marque de confiance (certification et habilitation) appliquée à des sites marchands 26

27 En dehors des frontières, la reconnaissance du certificat ou du label tant entre les parties que vis-à-vis des juridictions pose problème. Comme le rappelle la CNIL dans son avis du 22 octobre 2003, les obligations de la loi de protection des DP s appliquent aux sites dont «le responsable du site est établi en France ou lorsqu il dispose d un représentant en France alors qu il est établi hors de l Union européenne». Alors que se développe la globalisation des échanges via internet, la protection des DP dépend du lieu du responsable de traitement des données, ce qui n est pas sans poser de graves problèmes liés au droit applicable avec le risque bien réel que se développent des «paradis de DP», à l instar des paradis fiscaux (cf. titre III section 2). (VI) Valeur ajoutée de la certification Un schéma de certification doit apporter une valeur ajoutée au-delà du seul respect des obligations légales. L adhérent devrait bénéficier de services au moins équivalents aux contraintes estimées (réelles et supposées) dues à l engagement dans une démarche de certification. Les services sont de l ordre du conseil, de la recherche, de l assurance, de démarches marketing, de mise en réseau Section 2.02 et des DP Recensement des schémas de protection de la vie privée «Bien conçu, votre énoncé de protection de la vie privée est un outil de communication précieux qui peut contribuer à la confiance que vos clients placent en vous. Cette confiance vous aidera à protéger votre marque de commerce et à soutenir la concurrence féroce des marchés en ligne.» Bennie Smith, chef de la protection des renseignements personnels de Doubleclick. (I) Les labels de sites Web De nombreuses initiatives de certification sont déjà opérationnelles dans les échanges en ligne. Parmi celles-ci, on trouve notamment: Des prestataires privés plus ou moins spécialisés dans ce domaine; des organisations professionnelles; des associations de protection des consommateurs. L étude porte dans un premier temps sur les labels de sites de e-commerce considérant la protection de la vie privée comme «une de» leurs exigences à respecter ; puis sur les schémas focalisés sur la protection de la vie privée sur les sites web. (1) Exemples de labels de sites de commerce électronique traitant accessoirement de la protection de la vie privée ou des DP Face à la multiplication des schémas de certification, les individus ne sont pas en mesure de distinguer les labels de qualité, à la fois gage de confiance et de sécurité. Le Parlement Européen a annoncé au printemps 2010 la nécessité de créer un schéma européen qui devrait se baser sur les directives européennes, supervisé par la commission et assuré par des standards de contrôles ou d application au niveau national. Cependant il a également été indiqué que ce schéma devrait être mis en œuvre en coopération avec les labels existants. 27

28 Il ne semble pas exister de schéma dans les pays suivants : Suède, Roumanie, Estonie, Bulgarie, Chypre, Finlande, Islande, Slovaquie, Slovénie, Lettonie. Le tableau ci-dessous recense une partie des schémas dans l Union Européenne et Hors U.E. Il existe un certain nombre d autre labels non référencés soit en raison de leur nombre de licenciés particulièrement faible, soit parce que les organismes ont cessé d émettre des labels (cf. TrustUK ; Labelsite France, Italie et Espagne). Bien que non spécifiquement dédiés aux sites web, certains schémas de certification de protection des données dans l entreprise ont été listés dans le tableau ci-dessous. Depuis une dizaine d année de nombreux schémas sont apparus pour les uns axés sur la protection de la vie privée pour les autres tournés vers la sécurité. Il n existe pas de législation propre à la certification aux USA d où une grande confusion entre les schémas qui pour la plupart communiquent sur une «image» plus qu ils n assurent une réelle protection de la vie privée. -Les objectifs affichés varient d un schéma à l autre ; Ils ont pour objet de : de protéger la vie privée et les DP et/ou assurer la sécurité des transactions (cf.verisign) et/ou garantir une pratique éthique des affaires et/ou garantir la solvabilité des clients et de fournir des services aux vendeurs (ex.fianet) et/ou garantir le sérieux et la qualité des vendeurs et de fournir des services aux consommateurs Tableau 2 certifications de protection des DP et de la vie privée applicables aux sites web Certificat Label Hors U.E. Squaretrade (USA) Verisign (USA) BBBOnLine (USA) Statut de l organisme Compagnie privée Compagnie privée Initiative du conseil de Better Business Bureaus. Service fourni par les Better Business Bureaus locaux (128 bureaux aux USA, Canada et Puerto Rico) Caractéristiques des schémas Partnership avec un assureur Leader de la garantie qualité des vendeurs et ODR (online dispute resolution) 9.50 usd/mois (soit 114 usd/an) 3 millions d adhérents Création 1999 solution sécurité données le prix dépend des produits membres Création 1995 Plusieurs filiales et affiliées dans 20 pays Pratique éthique des affaires Excellence, Intégrité, travail d équipe, confiance, respect «L Accréditation BBB est un honneur et toutes les organisations ne sont pas éligibles membres Lancé en avril1997 Large série de services : information, rapports 28

29 sur les sociétés et œuvres de charité, traitement des plaintes, publicité, éducation. BBB EU Safe Harbor ; National Advertising Review Council's (NARC) Système de résolution de litige par Better Business Bureaus. Cotisation annuelle PrivacyMark (Japon) Webassured (USA) Security Verification (USA) TRUSTe (USA) BuySafe seal (USA) WebTrust (USA/NL) Trust Guard (USA) Compagnie privée Organisation à but non lucratif lors de sa création ; Compagnie privé depuis 2008 compagnie privée Initiative du American Institute of Certified Public Accountants (AICPA) Division de Global Marketing Strategies LLC, compagnie privée membres Ce schéma concerne le système de management des organisations (PDCA) Partenariat avec BBBOnline Accords de reconnaissance mutuelle Ethique des affaires 8000 membres Création 1995 Accès à une liste de sites testés création 2000 coût : 298 usd/ an ou 989 usd selon la liste 4500 membres partenariat stratégique avec BuySafe création 1997 liens très étroits avec la FTC membre ATA environ 3000 licences Deux types d abonnements : Standard: 499 $/an et Professionnel 1499 $/an Nombreux services Click to verify Watchdog Programme d affiliation Nouvelles recommandations sur la sécurité coût : gratuit Garantie les achats jusqu à usd Environ 3000 membres Partenariat avec TRUSTe CPAs licenciés par l AICPA pour délivrer des certificats les associations nationales des agents «accountable» payent une cotisation annuelle à l ACPA Lancé le 1 juin 1999 Large éventail de services: lobbying, organisation d évènements, informations, recherche, évaluations.. Pratique des affaires, sécurité des transactions et protection de la vie privée en ligne Le coût pour l organisation dépend de la complexité de l évaluation Les sites payent une cotisation aux CPA 3 labels : protection vie privée, sécurité et Business Comprend un générateur de politique gratuit ADR 29

30 Guardian Ecommerce (Canada) Trust Sg (Singapour) Approbation en 24h sur simple déclaration 19 usd/mois MultiSeal de 37 à 67 USD/mois selon performances. Calculateur de ROI Scann de vulnérabilité Programme d affiliation Tiers de confiance Création 2002 Sécurité en ligne + protection vie privée Ethique du commerce en ligne Vérification des sites de confiance en fonction des plaintes des consommateurs «le plus économique» : usd/an (prix créé par le conseil national de confiance organisation non gouvernementale sans but lucratif unique) création membres cotisation annuelle de 200 à 1200 usd PIPA Mark System (Chine) etrust (USA) Union Européenne TrustedShop (Allemagne) Dalian Software Industry Association (DSIA) Electronic Trust Foundation Société à responsabilité limitée Initiative D21 de la commission européenne Accord de reconnaissance mutuelle avec Privacy Mark Ce schéma concerne le système de management des organisations (PDCA) 20 certificats en 2008 Protection de la vie privée sur internet + Safe Harbor + Safe to shop Guide de conseil utilisation de Facebook 1 an renouvelable 250$/an Création adhérents Connexion avec une compagnie d assurance Garantie de remboursement pour les clients 59 à 99 euros/an Traitement de cas hors frontières Intervention d un Ombudsmann pour le règlement des litiges SafeBuy (U.K.) Compagnie privée 1200 adhérents Création euros/an- Recours à l arbitrage alliance possible uniquement en cas de ADR indépendant et code de conduite émis par un organisme indépendant outre un soutien gouvernemental. Existe maintenant aux USA ; Financé par les seules cotisations des membres Fia Net (France) Département de la Française Inter professionnelle d'assurance (FIA) qui a adopté le statut de filiale du courtier d'assurance Création 1999 Environ 1000 adhérents Se focalise sur la solvabilité des acteurs : Système de récompenses sous forme de logos d'or décernés aux sites marchands jugés les plus fiables par les internautes ; 30

31 Système de ReceiveAndPay qui garantit l'acheteur contre la non-livraison ou la nonconformité de la marchandise ; Système de scoring pour repérer les fraudes à la carte bancaire et système d assurance pour les recouvrements des clients débiteurs. DMA Direct Marketing Agency (UK) Thuiswinkel (NL) Confianza (Espagne) Online Confiança Online Trust (Portugal) BeCommerce label ( Belgique) Euro-label organisation à but non lucratif Initiative professionnelle du secteur du commerce de détail Initiative conjointe de l entité de régulation des communications Et de l association espagnole de e-commerce Collaboration de l Association portugaise de e-commerce et des auditeurs indépendants Fondée par l association de marketing direct Initiative coordonnée par EuroCommerce basée sur le Nombreux outils et services au profit de l industrie du marketing Positionnement exigeant : demonstrate your company s commitment to excellence and best practice ; Brand positioning alongside the most of the year cf. les «DMA Awards» les plus difficiles à obtenir 890 membres Cotisation minimum 1900 euros/an ou 0.3% du C.A. Member de la Federation of Direct Marketing Associations (IFDMA) et de la FEDMA Federation of European Direct and Interactive Marketing) Depuis le 27 Janvier 2010, DMA collabore avec BSI Management Systems Lancé le 20 Décembre 2001 Environ 500 membres Service parmi beaucoup d autres: lobbying, organisation d évènements, information, recherche, Networking, éducation et services juridiques. Résolution de litige + association avec autres labels pour litiges transfrontières Evaluation basée sur C.A. de 150 à euros Cotisation 450 euros/an Lancé en 2003 Code éthique de la publicité en ligne et de protection des données Résolution de litiges et protection des mineurs Conforme à la loi espagnole 34/2002 (LSSI) et EU Directive 2000/31/EC membres Création 2003 L adhésion est soumise à un audit indépendant du site conformément à un guide de conformité portant sur la protection de la vie privée et des DP, sécurité, propriété intellectuelle, plaintes et résolution de litiges, droit ecommerce, protection de smineurs 450 adhérents (Belgique) Création 2006 pratique éthique des affaires dont protection de la vie privée 500 euros/an Création :1 novembre membres dont 240 en Autriche et 30 en 31

32 Charte qualité FEVAD Gütesiegel & Qualitätssiegel (Autriche) (Suisse) code de conduite européen Réseau d entités de certifications nationales euro-label Les membres français de la FEVAD peuvent adhérer à une charte qualité Créé par l association de commerce de détail autrichienne Handelsverband SQS accréditée par la SAS France (LabelSite créé par la FEVAD) mais seuls les sites de l Allemagne, Autriche et de la Pologne sont encore actifs. Service parmi d autres dont information, lobbying, recherche ADR par entités membres de European Extra Judicial Network (EEJ-Net). Cotisation annuelle ex. 800 euros/an en Autriche Charte de 34 points sur une pratique éthique du e-commerce comprenant un engagement de respecter la loi sur la protection des DP Création en 2000 Audit qualité dont vérification de la conformité à la loi de protection de la vie privée et des DP Label pour 1 an reconductible après audit annuel Schéma de certification de système de management des organisations (PDCA) 50 labels attribués Les schémas propres aux sites web se caractérisent ainsi : -ils ne garantissent pas l effectivité ni l efficacité des contrôles sauf pour les schémas avec audit ; -ils n assurent pas de sanctions dissuasives en pratique (à l exception des schémas avec audit indépendant) ; -ils comportent un système alternatif de résolution de litige dont l efficacité et l indépendance ne sont pas démontrées ; -ils proposent de nombreux services annexes à l attention des clients et utilisateurs ; -ils ont pour certains d entre eux noué des accords de reconnaissance mutuelle ou de coopérations entre labels -ils se basent sur une cotisation annuelle (parfois mensualisée) généralement modeste et basée sur le C.A. Les schémas nécessitant une démarche d évaluation ou d audit par un tiers indépendant sont par conséquent beaucoup plus onéreuses (cf.webtrust ci-dessous); - Certains schémas s assurent les services de compagnies d assurance, à l instar de WebAssured décrit ci-dessous. Un des réels dangers réside dans le fait que ne sachant pas ce que recouvre la certification de ces labels, les individus se méprennent sur la signification d un label. Ainsi les certificats délivrés par BBB ou TRUSTe certifient les politiques basées sur l Opt out. Les schémas portant sur la certification des systèmes de management font quant à eux l objet de développements ultérieurs ( PrivacyMark et GoodPrivacy). (2) La protection de la vie privée, un des critères des labels de pratiques éthiques des affaires a) Webassured Ce label créé en 1995 comprend 8000 licenciés et se veut le «Le Standard Universel d Ethique» et assure faire appliquer ses règles au moyen de la «pression de la publicité». Le label protège les acheteurs en ligne et les vendeurs dignes de confiance qui acceptent les critères du standard basé sur les points règlementaires suivants : -Ethique -Traitement des plaintes 32

33 -Publicité et divulgation d informations -Respect des lois -Protection de la vie privée. Webassured se distingue en ce que ce schéma propose un programme d achat garanti sur internet. Le risque pour le client est éliminé et le remboursement est couvert à hauteur de 200 $/transaction pour les membres qui n ont pas eu de problème pendant au moins une année (possibilité de souscrire à une couverture supérieure). Ce schéma propose au consommateur la sécurisation de ses achats en lui assurant une relation de confiance avec des professionnels garantis. Depuis lors, un certain nombre de marques de confiance se basant sur une pratique éthique des affaires, tout particulièrement dans les pays européens, ont vu le jour (cf. tableau ci-dessus). b) BBBOnline Organisation professionnelle à but non lucratif financée par le secteur privé, BBB a été fondé en 1912 aux USA et en 1966 au Canada ; aujourd hui il existe 122 entités aux USA couvrant 3 millions d adhérents et 2.3 millions au Canada. Aujourd hui cet organisme émet des labels relatifs à l éthique et à la confiance mais n est plus focalisé sur la protection de la vie privée. Le message est très clair : BBB se doit d être le chef de file de la confiance sur le marché BBB revendique des standards élevés. «L Accréditation BBB est un honneur et toutes les organisations ne sont pas éligibles. Valeurs mises en avant : Excellence, Intégrité, travail d équipe, confiance, respect Cet organisme assure une présence sur l ensemble du territoire d Amérique du Nord grâce à un réseau national et local. Pour BBB la confiance se traduit dans les deux facteurs suivants: l intégrité et la mesure de la performance. BBB propose de nombreux services parmi lesquels plusieurs labels: -BBBOnline : ce label créé en 1997, traite du respect de la vie privée et des DP (adresses s) et compte environ membres. -BBB EU Safe Harbor : coût modéré entre 300 $ et 7000 $/an ( au dessus de 2 billions de C.A). -Children's Food and Beverage Advertising Initiativ; -un service de plaintes relative à la publicité, y compris pour les non adhérents ou pour le commerce traditionnel et les organisations caritatives ; - National Advertising Review Council's (NARC). Il est à noter que BBB a développé sa politique de communication sur les réseaux sociaux tels que Facebook, Youtube, Twitter, LinkedIn, Myspace, etc. c) WebTrust 13 WebTrust nécessite un audit d évaluation externe in situ, de la qualité des procédures de protection de la vie privée, des critères de design, d implémentation, de management des infrastructures fonction des principes généraux (GAPP). 13 Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy 2006 by American Institute of Certified Public Accountants 33

34 Son coût dépend donc de la complexité et de la durée de l évaluation. Ce label est le fruit d une initiative de l American Institute of Certified Public Accountants (AICPA) qui a identifié 6 catégories de prestations d un potentiel de revenus annuels total compris entre 500 M$ et 5 Md$, dont quatre sont particulièrement dédiées aux systèmes d'information. 14 Webtrust a été développé dans le cadre plus global de SysTrust permettant d évaluer la fiabilité d un système spécifique au travers des critères de sécurité, disponibilité et intégrité. Les services sont définis comme une série de garanties professionnelles et de conseils basés sur un cadre pour traiter les risques et les opportunités comme suit : L évaluation du risque («risk assessment») : cette catégorie de prestations doit permettre de garantir aux directions et/ou aux investisseurs, que le profil de risques établi est complet et que l entreprise a mis en place les dispositifs appropriés pour gérer ces risques. La mesure de la performance de l entreprise («business performance measurement») La fiabilité des systèmes d information («information system reliability») Le commerce électronique (certification WebTrust) : L objectif de cette catégorie de prestations est d évaluer la fiabilité, la confidentialité, la protection de la vie privée, des pratiques commerciales saines et l intégrité des données des systèmes d information. Ces catégories ne sont pas indépendantes et s influencent les unes, les autres. Ce schéma a connu des débuts difficiles qui s expliqueraient par le fait que les développeurs se sont focalisés sur la sécurité (notamment vis-à-vis des hackers) et sur l audit de management sans prise en compte des attentes de protection des informations personnelles. A partir de 2001, une nouvelle version a permis aux fournisseurs de WebTrust de nouer des partenariats avec des associations professionnelles et d offrir des services protecteurs de la vie privée. En France la délivrance du label a été confiée en 2002 à l Ordre des Experts Comptables mais aujourd hui on ne trouve plus trace de cette collaboration sur le web. Alors que le programme WebTrust comprenait trois critères avant 2001, il en contient désormais six. Le sceau WebTrust confère une garantie de transparence des pratiques commerciales, de confidentialité des informations et de sécurité des transactions. La vérification concerne le respect d'un, de plusieurs, voire de tous les principes. Le label de certification WebTrust est géré par un tiers de confiance : Verisign. WebTrust, présent dans 21 pays sur tous les continents, est mis en œuvre de manière identique dans tous ces pays par des professionnels de l'audit. En janvier 2010 son arrivée a été annoncée en Inde, par l intermédiaire de Bennett Gold of Canada qui détient une licence globale. (3) TRUSTe TRUSTe fut créé en 1998 sous la forme d une organisation à but non lucratif par EFF (Electronic Frontier Fundation), CommerceNet, et un certain nombre d entreprises agissant dans le secteur de l internet (Microsoft, Intel, IBM, AOL, Excite). Mi 2008, elle s est transformée en société privée. Dès l origine, TRUSTe n a pas caché son intention première, à savoir éviter l intervention d une législation nationale ; l organisme se dit avant tout au service des entreprises. 14 New assurance service opportunities for information systems auditors» J. E. Hunton, C. Frownfelter- Lohrke, and G. L Holstrum, IS Audit & Control Journal, Vol IV,

35 a) Objectifs de TRUSTe -Diffuser largement les bonnes pratiques ; -Augmenter le niveau de responsabilité des acteurs ; -Guider les consommateurs et les professionnels vers des sites de confiance ; -Suppléer les législations et les règlementations ; -Mettre en avant les vulnérabilités et menaces vis-à-vis de la vie privée. Ce schéma est axé sur l information et le consentement des personnes. TRUSTe vérifie la politique de protection de la vie privée de l entreprise et la destination des données personnelles d après les déclarations de l organisation. Cette dernière s engage à respecter sa propre politique de protection de la vie privée. Divers services sont disponibles tels que la consultation de lignes directrices émises par les autorités ou des «best practices», un test en ligne, un système ADR et un générateur de politique de protection de la vie privée. TRUSTe détermine les cotisations en fonction du C.A. mais propose deux types d abonnement: -Standard: 499 $/an avec une autoévaluation en ligne et une politique de privacy standardisée -Professionnel: 1499 $/an, le site est certifié et la politique de protection de la vie privée est adaptée au cas de l organisation/process en one to one avec un consultant. En cas de non respect de la politique, TRUSTe n est pas allé jusqu à dénoncer le contrevenant aux autorités mais en 2008 la société a créé un forum des plaintes pour dénoncer une violation de la politique de vie privée affichée, un usage abusif du label ou tout autre problème lié à la vie privée autrement appelée «Watchdog». Quatre licenciés se sont vus retirer le label. 15 b) Une démarche commerciale et marketing Le site relate divers témoignages de satisfaction d entreprises faisant part de leurs ROI, de l avantage concurrentiel acquis grâce au label. D après les témoignages référencés sur le site, le label procure un avantage concurrentiel en amplifiant les conversions à la page accueil. L augmentation est estimée entre 8 et 29%, la plus forte touchant les sites les moins connus du public. Toutefois aucun élément ne permet de juger de la véracité de ces affirmations Le site est attractif, moderne, clair et ludique. Une hotline, un live chat, des vidéos, essai gratuit permettant d analyser l évolution des ventes. Comme BBB, ce label communique sur les réseaux sociaux. TRUSTe a un programme d affiliation en ligne, très facile d accès et compréhensible qui permet à l affilié de recevoir 20% des ventes de tout produit et service TRUSTe opérées à partir du lien présent sur son propre site. 15 Comparative study on different approaches to new privacy challenges developments, country studies USA, Chris Hoofnagle, may

36 c) Evolution de TRUSTe Le nombre de labels délivrés depuis 1998 parait «modeste» comparé au développement des labels ayant une portée plus large (Ethique des affaires, sécurité du commerce électronique) : 3440 sites Web sont labellisés par TRUSTe dont «Privacy Seal» Web sites (2,468) et «EU Safe Harbor Seal» Web sites (619). D après la firme de capital risques ACCEL, qui a soutenu TRUSTe, la compagnie génère un C.A. annuel de 10 millions de dollars et croît de 50 à 75% par an. TRUSTe développé une stratégie d alliance et de partenariat avec NYMITY, fournisseur d une base de connaissances sur la protection de la vie privée et des DP et de services d alerte disponible dans le monde entier. C est aussi un des partenaires très actifs de l APEC. TRUSTe a étendu son champ d intervention en découpant de manière judicieuse les domaines certifiés : -Protection de l enfance (Children s Privacy Seal Program), -APEC's Accountability Agent, -EU Safe Harbor, - Privacy Seal etc - «TRUSTe s Translation Services» est un service de traduction en 35 langues des politiques de protection de la vie privée, des ADR et des programmes de certification. -TRUSTe s Service Provider Evaluation (SPE) propose une évaluation de risque du système de management, de la sécurité et des politiques de protection de la vie privée des fournisseurs. Signalons également que TRUSTe a récemment annoncé la création d un label propre aux sites web et applications sur mobile, entendant notamment prévenir toute géo-localisation abusive. Le choix du mobile comme nouveau support devrait assurer une nouvelle phase de développement au label. Enfin TRUSTe prête d avantage attention à la sécurité dans sa nouvelle version qui traite de la sécurité des applications Web et sur les appareils mobiles. TRUSTe a consacré deux nouvelles sections à la préparation en vue d aider les entreprises à mieux faire face à d éventuelles brèches dans la protection des données. Les organisations auto-évaluent leurs besoins de sécurité en jugeant le caractère fondamental, facultatif ou inutile des directives suggérées. TRUSTe est le seul label dédié à la protection des DP sur les sites web et celui qui offre la panoplie la plus complète de services y afférant. d) Les limites du modèle TRUSTe Ce label peut donner une illusion de protection de la vie privée car il n y a pas de standard commun et les auditeurs se basent sur les propres standards de la compagnie auditée L un des points faibles de TRUSTe réside dans le manque de notoriété de sa propre marque; en conséquence, des entreprises comme Google et MySpace ne sont pas licenciées et d autre part les sanctions imposées n ont pas d effet dissuasif. Aujourd hui TRUSTe ou BBB Online doivent affronter la concurrence des compagnies d auditeurs (voir CA/CPA ; voir alliance de DMA Marketing UK et BSI) qui bénéficient d une réputation d indépendance, d expertise de garantie et d un savoir faire dans le développement de standards de qualité. 36

37 Dans une étude datant de 2000 et portant sur les trois principaux labels de protection de la vie privée, BBBOnLine, TRUSTe et WebTrust, les commissaires de l Ontario et d Australie constataient que les méthodes de résolution de litiges n étaient pas d égale efficacité et trouvaient rapidement leurs limites si aucune solution amiable n était trouvée. 16 Les auteurs concluaient alors qu aucun des labels étudiés ne pouvait être qualifié de complètement satisfaisant et qu aucun n exigeait de ses adhérents un total respect des principes OCDE. Benjamin Edelman 17 va plus loin et démontre que les sites certifiés par TRUSTe sont deux fois moins dignes de confiance que les sites sans certification. Néanmoins, le fait que TRUSTe refuse un nombre non négligeable de demandes de certification laisse à penser que les labels ont un rôle à jouer dans la sensibilisation des organisations à une meilleure protection des DP. Une des principales critiques des schémas de certification de sites web porte sur le fait qu ils sont généralement basés sur un auto engagement à respecter des exigences très vaguement définies. Sans strictes mesures d application, de contrôle, de suivi et application de sanctions, ils ne garantissent pas une bonne protection des DP et de la vie privée. Ce d autant plus que les organismes émetteurs des labels sont financés par les cotisations annuelles des adhérents dont ils défendent parfois ostensiblement les intérêts. La faible notoriété de ces labels ne leur confère pas de caractère dissuasif ou incitatif vis-à-vis d entreprises connues. Les modèles basés sur des standards (exemple de WebTrust) assurent une meilleure garantie professionnelle mais le succès de tels schémas à la fois plus exigeants et plus onéreux, ne peut dépendre de la seule demande du marché. Toute mesure de protection des DP doit être soutenue par des mesures politiques incitatives et des contraintes règlementaires susceptibles de peser sur les organisations. (II) Schémas de certification de procédure ou de système de gestion Les schémas de certification de systèmes de management existant font l objet de critiques car la certification de procédures ne garantit pas l implémentation et la mise en oeuvre; ils assurent une conformité apparente sans finalement garantir l efficacité. Monsieur Eric Gheur 18 émet un avis critique sur les certifications d approches systémiques qui n apportent qu un niveau de confiance mais pas une garantie. Ses travaux de recherche en cours portent sur une méthode d évaluation partant du postulat que l organisation a une obligation de résultat. On ne doit pas mesurer la seule existence d une procédure mais l efficacité des processus selon des critères objectifs. Il serait alors possible de préciser des niveaux d exigences et des labels partiels. Il pense que le marché ne serait pas mûr pour une certification de systèmes de management. 19 Tous les systèmes étudiés ci-après, aussi différents soient-ils, se caractérisent par : - la définition d un cadre d audit pour une éventuelle certification; -l émission d un guide de conseils pratiques, 16 Web Seals: a review of online privacy seals, Dr.A.Cavoukian et Malcolm Crompton 17 Benjamin Edelman, Adverse Selection in Online 'Trust' Certifications, Proceedings of ICEC' Propos recueillis auprès de Eric Gheur, membre du Comité sectoriel de la Banque-Carrefour des Entreprises de la Commission belge de la Vie Privée 19 Propos recueillis pas téléphone courant juillet

38 Et pour la plupart d entre eux proposent des outils en ligne. On note aussi avec intérêt l émergence de nouveaux principes allant au-delà des obligations imposées par les textes («Accountabilty», économie des données, mesures proactives, PbD ) ou focalisés sur certains points qui ont pris une importance particulière (cf. sécurité). (1) L audit de système de management a) Caractéristiques de l audit de système de management L Audit de protection des données se définit comme l examen systématique et indépendant visant à déterminer si des activités impliquant des traitements de données personnelles sont réalisées suivant des politiques et procédures de l entreprise et conformément aux exigences règlementaires applicables. Avantages de l audit : -L audit encourage la prise de conscience au sein de l organisation ; il permet la sensibilisation de ses clients, de ses partenaires et du personnel. -L audit assure une garantie professionnelle en exigeant un certain niveau de conformité avec la loi ou avec les règles d entreprise ; -Il mesure et aide à améliorer la conformité au système de protection des DP; -Il améliore la satisfaction des clients en réduisant la probabilité d erreurs pouvant conduire à une plainte. Ses règles sont généralement définies par rapport à un standard : citons le SAS 70 créé par l'american Institute of Certified Public Accountants (AICPA) pour définir les méthodes des organismes chargés du contrôle interne et des audits financiers sur les sociétés. Comme tout système d audit pouvant déboucher sur une certification, le cheminement peut être long et lourd pour envisager la certification. Il s agit de lignes directrices génériques pour la préparation d un rapport d audit mais rien ne garantit que la mise en œuvre soit conforme. En Europe, l ISO/CEI 17021:2006 (Évaluation de la conformité Exigences pour les organismes procédant à l'audit et à la certification de systèmes de management), définit des exigences rigoureuses pour la compétence et l impartialité des organismes qui proposent l audit et la certification, notamment selon des normes ISO 9001:2000 (management de la qualité) et ISO 14001:2004 (management environnemental). L ISO/CEI 17021:2006 forme la base commune en cas de nécessité de faire vérifier l application d une norme de système de management par un audit et une certification indépendants («par tierce partie») comme pour l ISO par exemple. Elle est désormais l unique standard ISO relatant les exigences pour accréditer les organismes qui procèdent à la certification. Les exigences d impartialité couvrent notamment la nécessité, pour l organisme de certification, d apporter la preuve que les conflits d intérêts entre la certification et les services de conseil, de formation et d audit interne sont évités; elles s appliquent aussi à la commercialisation des services de certification et à la sous-traitance des audits. 38

39 L ISO 19011:2002 constitue la référence en matière de guide d audit de systèmes de management ; elle consiste en des lignes directrices relatives aux audits de systèmes de management de la qualité et/ou de management environnemental. La norme ISO devant servir de cadre de référence à la procédure de labellisation de la CNIL, il a délibérément été choisi de l aborder en détails ci-dessous. L ISO 19011:2002 remplace six normes plus anciennes dans les séries ISO 9000 (qualité) et ISO (environnement). En ce qui concerne les audits réalisés par des organismes externes, l'iso fournit aux organismes de certification et d'enregistrement une approche uniformisée, qui facilitera l'évaluation externe combinée des systèmes de management. Une amélioration importante de ces nouvelles lignes directrices concerne les qualifications des auditeurs. La norme insiste davantage sur le fait que la compétence de l'équipe d'audit et de chaque auditeur varie selon la nature, l'étendue et la complexité de l'audit et qu'il n'est pas possible d'établir des critères uniformes de compétence applicables à toutes les situations. Conformément à ISO 19011, les auditeurs doivent respecter les principes suivants : 1-Ethique : confiance, intégrité, discrétion, confidentialité 2- Image fidèle: obligation de rendre compte avec fidélité et précision (y compris des obstacles et opinions divergentes rencontrés) 3-Conscience professionnelle: diligence et jugement dans l'audit 4-Indépendance : l auditeur doit être libre de tout préjugé et de conflit d intérêt 5-Une approche basée sur les preuves Compétences des auditeurs: qualités personnelles et connaissances + savoir Tableau 3 qualités personnelles d'un auditeur selon ISO Qualités personnelles Intégrité Ouverture d esprit Diplomatie Sens de l observation Perspicacité Polyvalence Ténacité Capacité de prise de décision Autonomie Compléments Juste, attaché à la vérité, sincère, honnête, discret. Soucieux de prendre en considération des idées ou des points de vue différents. Faisant preuve d esprit. Activement attentif aux activités et à leur environnement. Appréhendant instinctivement et capable de comprendre les situations. Facilité à s adapter à différentes situations. Persévérant, concentré sur l atteinte des objectifs. Capable de tirer en temps voulu des conclusions fondées sur un raisonnement et une analyse logique. Agit et travaille de son propre chef tout en établissant des relations efficaces avec les autres. Le savoir et les connaissances doivent porter sur : 39

40 Les principes, procédures et techniques d audit ; Les systèmes de management et les documents de référence ; L organisation (structure, culture, terminologie ) ; Les lois et les règles applicables ; Le savoir et les compétences propres au leader : planifier, représenter, diriger, conduire, prévenir et résoudre les conflits Le savoir et les compétences propres à l ISO ou autre. Education, expérience, formation aux techniques d audit : expérience de management (communication, conduite d équipe, technique ) ; entrainements à l audit en interne ou en externe ; expérience de l audit sous la direction d un auditeur Perfectionnement professionnel continu et participation régulière à des audits Evaluations de l auditeur : L évaluation se fait à trois occasions, l évaluation initiale ; l évaluation pour participer à l équipe ; l évaluation régulière de perfectionnement. Processus d évaluation : Etape 1 identifier les qualités et compétences personnelles au regard des besoins de l audit Etape 2 établir les critères d évaluation Etape 3 Choisir la méthode d évaluation appropriée Etape 4 conduire l évaluation (documents, interviews, feedback, tests, examen post audit). L ISO/CEI 17021:2006 définit des exigences rigoureuses pour la compétence et l impartialité des organismes qui proposent l audit et la certification. L ISO 19011:2002 est un outil d'amélioration continue destiné à aider les organisations à optimiser leurs systèmes de management en permettant un audit unique applicable aux deux systèmes permettant d économiser de l'argent. En conséquence, l'iso constitue un cadre qui permet aux organismes d'établir leurs propres exigences de compétence et les processus d'évaluation correspondants des auditeurs. L ISO/CEI 27001:2005, est un standard d audit de système de management de la sécurité de l information, Technologies de l information Techniques de sécurité : Cette norme spécifie les exigences et les processus qui permettent à une entreprise d établir, de mettre en oeuvre, de revoir et de surveiller, de gérer et d actualiser une sécurité de l information qui soit efficace. Comme ISO 9001, elle est construite sur le modèle du cycle de processus Planifier-Déployer- Contrôler-Agir (PDCA) et sur l exigence d une amélioration continue. La norme est conçue pour prendre en charge les aspects de sécurité de la gestion des informations dans l entreprise, la protection des biens d information, les obligations légales et contractuelles, mais aussi l analyse des risques qui pèsent sur les systèmes TIC (technologies de l information et de la communication) d un organisme et sur ses processus. Partant du postulat qu un système de gestion de la protection des données (SGPD) doit être appréhendé comme tout «système de management», rien ne s oppose à ce qu il soit intégré dans 40

41 un système de management existant et standardisé (par ex. un système de management de la qualité) comme l illustrent les exemples suivants. i) Le schéma de certification Suisse et l exemple GoodPriv@cy L audit prévu par les textes suisses relatifs à la protection des données se focalise sur le respect de la loi et la sécurité des données. La Suisse a préféré renoncer à un label officiel de protection des DP au profit de schémas de certifications privées. Pour en éviter la multiplication désordonnée, la loi prévoit les modalités d accréditation des organismes habilités à évaluer et certifier les systèmes de gestion de DP et à créer des labels propres aux procédures certifiées. L Article 11 de la loi fédérale suisse du 19 juin 1992 traite de l évaluation de systèmes, procédures et organisations de protection des DP par des organismes de certification agréés et indépendants. Le Conseil fédéral édicte les dispositions déterminant la reconnaissance des procédures de certification et les conditions d émission de certificats de protection des données. L article 4 de l ordonnance du Conseil fédéral suisse du 28 septembre 2007 est ainsi rédigé: «le préposé émet des directives sur les exigences minimales qu un système de gestion de la protection des données doit remplir. Il tient compte des normes internationales relatives à l installation, l exploitation, la surveillance et l amélioration de systèmes de gestion dont en particulier les normes ISO 9001 et ISO 27001». Analyse de risques : La mesure sur la «Protection des données et confidentialité des informations relatives à la vie privée» est détaillée et subdivisée en objectifs, eux-mêmes réalisables par une vingtaine de mesures concrètes de protection. Ceci est prévu dans le cadre d un «Guide d implémentation» ou encore «Code de pratique pour la gestion de la protection des données», annexé aux «Directives sur les exigences minimales qu un SGPD doit remplir», qui est le pendant pour la protection des données de la norme (code de pratique pour la sécurité de l'information), associée à la norme Parmi les 133 mesures de sécurité proposées par ISO 27002, une présélection pour la protection des données a été effectuée. A la différence de ISO 27002, le code de bonnes pratiques du système de gestion de PD (CBPGPD), formule les mesures de manière impérative car elles découlent de la loi et font suite à une analyse de non-conformité. 20 A l instar de l OCDE et d autres pays tels l Australie, le Canada et la Grande-Bretagne, le dispositif Suisse se fonde sur des principes généraux de protection des données. Une analyse de non-conformité complète l analyse de risques prévue par et porte sur les 9 principes suivants : -licéité -transparence -proportionnalité -finalité -exactitude des données -flux transfrontières -sécurité (DIC + tiers) -formalités d enregistrement des fichiers 20 Annexe 1 hiérarchie du référentiel Suisse 41

42 -droit d accès et de procédures Ces dispositions doivent être complétées par la législation en vigueur dans les différents secteurs (santé, télécommunication, statistiques ). S il n est bien sûr pas question d imposer une certification du système de gestion du système d information(sgsi) pour obtenir une certification SGPD, le niveau de reconnaissance d une certification SGSI préexistante, notamment par rapport aux exigences de «Sécurité des données», devra être évalué et décidé par le certificateur au cas par cas. S agissant de l accréditation effectuée par le Service d accréditation suisse (SAS), il est par contre probable que l accréditation SGPD soit prévue comme une extension de l accréditation SGSI (ISO 27001), étant donné la référence étroite et explicite aux exigences de cette norme. L ordonnance sur les certifications en matière de protection des données (OCPD) est entrée en vigueur le 1er janvier Elle traite les points suivants : La certification des procédures de gestion des DP La certification porte soit sur l ensemble des procédures de l organisation soit sur des procédures déterminées de traitement ; sa durée de validité est de 3 ans La certification de l ensemble des procédures exonère de la déclaration. L évaluation porte sur le système de gestion de protection des DP soit : -la charte de protection des DP -la documentation sur les objectifs et les mesures -les dispositions techniques et organisationnelles pour atteindre les objectifs et notamment les mesures correctives. La directive du préposé fédéral (PFPDT) fixe les exigences minimales d un SGPD, autrement dit un modèle de mise en œuvre, de fonctionnement, de surveillance, de réexamen, de mise à jour et d amélioration de la protection des DP En choisissant de se référer de manière étroite aux normes internationales ISO 9001, ISO et 27002, sans oublier les futures normes 27003, 27004, 27005, et 27007, la Suisse a fait un choix stratégique et pratique, non seulement en raison de leur importante reconnaissance et pénétration sur le marché mondial, mais aussi du fait de leur apport terminologique, structurel et systématique. La loi Suisse prévoit d autre part une certification des produits abordée ci-après. Accréditation des organismes délivrant la certification : Conformément à l ordonnance Suisse du 17/06/1996 règlementant l accréditation, sont concernés les organismes qui procèdent à des essais (laboratoires d essais) ou à des évaluations de la conformité (organismes de certification et les organismes d inspection) de produits ou qui exercent des activités analogues à l égard de personnes, de services ou en matière de procédures. Le Secrétariat d Etat à l économie (SECO) gère le Service d accréditation suisse (SAS). 42

43 Les organismes de certification doivent disposer d une organisation et d une procédure de certification avec notamment : -Un schéma d évaluation ou d essai -Les modalités du déroulement de la procédure et les mesures à prendre en cas de manquements Le SAS associe le PFPDT à la procédure d accréditation, de contrôle et de révocation des organismes de certification. La qualification du personnel des organismes de certification répondent à la norme ISO (système de management) et ISO/CEI-Guide 65 (Produits / Systèmes). 21 Sanctions : -Les textes prévoient la possibilité de suspendre et de révoquer la certification en cas de manquements graves ou d utilisation du certificat de manière trompeuse. -C est le PFPDT qui alerte l organisme de certification accrédité (ex. SQS) qui lui-même met l entreprise en demeure en l invitant à prendre les mesures nécessaires afin de remédier à la situation dans un délai de 30 jours. Si l entreprise n est pas en mesure d y donner suite dans le délai fixé, l organisme de certification suspend la certification (al. 3). Une fois le délai de 30 jours écoulé, il révoque la certification si l organisme certifié n est pas en mesure de remédier à la situation dans un délai convenable. Par délai convenable, on entend une durée maximale de trois mois. Si l organisme au bénéfice d une certification ne remédie pas à la situation dans le délai fixé et si l organisme de certification ne suspend ni ne révoque la certification, le préposé établit une recommandation au sens des art. 27, al. 4, et 29, al. 3, LPD. La recommandation est adressée à l organisme de certification ou à l organisme certifié, selon que la responsabilité des défauts incombe à l un ou à l autre. Si la recommandation est adressée à l organisme de certification, le SAS doit en être informé en tant qu autorité de surveillance. Il convient de relever que les concurrents concernés, les clients, ainsi que certaines organisations, en particulier les organisations de défense des consommateurs, pourraient également, en vertu des articles 9 et 10 de la loi fédérale du 19 décembre 1986 contre la concurrence déloyale, intenter une action, lorsque des certificats ou des labels de qualité sont utilisés sans que les exigences correspondantes ne soient satisfaites. Qualification du personnel des organismes de certification : Accréditation des certificateurs pour 5 ans. Qualités et compétences des évaluateurs de systèmes de gestion : -Droit de la protection des données : 2 ans de pratique ou diplôme haute école spécialisé (1 an minimum). -Sécurité informatique : idem -Formation d auditeur de système de management L organisme doit disposer de personnel qualifié pour chacun des domaines qu il couvre. 21 Annexe 2 schéma de l accréditation/certification Suisse 43

44 Finalement, le seul point qu il ne nous a pas été possible d évaluer pour les besoins de cette étude est celui de la mesurabilité des actions engagées pour la mise en œuvre des exigences. A ce jour le SAS décompte 7 certifications conformes à l ordonnance et au guide de conduite suisses, outre les certifications délivrées sous le label GoodPriv@cy. Good Priv@cy, première certification Suisse de système de management de la protection des DP Le SAS (service accréditation suisse) a accrédité l Association Suisse pour Systèmes de Qualité et de Management (SQS) partenaire du réseau international IQNet) La SQS, fondée en 1983, est l une des premières organisations mondiales de certification et d évaluation de système de management de la qualité. Elle intervient sur le plan international et est leader en Suisse. La SQS est une association Suisse à but non lucratif, intervenant de manière neutre et indépendante. Elle exerce une activité d audit dans tous les domaines de l'industrie et des services et propose une vaste palette de prestations. Conformément à la règlementation Suisse, GoodPriv@cy est le premier certificat de protection des DP délivré par un organisme de certification accrédité. Le certificat est valable 3 ans et reconnu internationalement. Il atteste du maintien d un système de gestion des DP, conforme aux exigences règlementaires et contractuelles et selon un processus d amélioration continue compris et effectif. Les limites de la certification sont clairement énoncées : Nous vérifions seulement la conformité aux exigences, pas l application des guidelines A ce jour, 49 labels GoodPriv@cy ont été attribués en Suisse française et germanique, avec une forte demande pour des services de certification selon notre interlocuteur chez SQS. ii) Le schéma japonais et l exemple de PrivacyMark Il n existe pas d autorité centrale chargée de veiller à l application de la règlementation. Le Japan Information Processing Development Corporation(JIPDEC), a instauré un système de certification dans le domaine de la protection de la vie privée et des DP (System for Granting Marks of Confidence for Privacy and Personal Data Protection). JIPDEC est une organisation à capitaux mixtes et à but non lucratif de recherche et de promotion des technologies de l information. Le schéma de certification PrivacyMark date de Alors que la législation de protection des données personnelles en vigueur ne traitait que du secteur public, la création de PrivacyMark a répondu à une demande des entreprises du privé et comblé un vide avant que la loi ne soit révisée en L objectif affiché de Privacy Mark est le suivant : augmenter la sensibilisation des consommateurs et inciter les entreprises à gagner la confiance 44

45 Le système de PrivacyMark comprend un comité et un corps de 17 entités d évaluation En 2007 JIPDEC a créé un système d enregistrement des évaluateurs à 3 niveaux : évaluateur Senior, évaluateur, et assistant évaluateur, chacun devant remplir certains critères établis par JIPDEC. Les évaluateurs assistants doivent suivre des cours pendant 5 jours au centre de formation de PrivacyMark et passer un examen. Pour passer au niveau supérieur l assistant doit avoir une certaine expérience et obtenir les recommandations d au moins deux Seniors assistants avant d être contrôlé par le comité d évaluation de PrivacyMark. Les évaluateurs et les évaluateurs sénior doivent contracter soit avec JIPDEC soit avec l une des 17 entités d évaluation. Il s agit d un système décentralisé dans lequel les entités d évaluation sont des associations ou des organisations industrielles à but non lucratif prévues par la loi et accréditées par JIPDEC ou bien JIPDEC elle-même. Les entités font une double évaluation, sur la base des documents et sur place (idem ISO 27001). L évaluation porte sur les points suivants : la présence d un PIMS propre aux DP, à leur protection et sécurité l affectation d un responsable à la protection des DP avec un rôle et des responsabilités clairement définis les performances des sessions de sensibilisation et de formation au moins une fois par an pour le personnel concerné ; les rapports d audit au moins une fois par an en lien avec l état de la gestion et protection des DP ; un service de traitement des demandes de renseignement et des requêtes des clients ; la présence de mesures de sécurité appropriées, assurant la confidentialité et les contrôles d accès non autorisés ainsi que la prévention des fuites ; la présence de mesures de protection appropriées et de responsabilité en cas de soustraitance ou d externalisation. En cas de refus de certification, l organisation peut dans les 3 mois demander une nouvelle évaluation après avoir pris les mesures nécessaires. A noter que le schéma de certification ne semble pas avoir de système de traitement de plainte individuelle mais les organisations certifiées sont censées rapporter les incidents. Un comité d évaluation décerne les récompenses et a le pouvoir de retirer le label mais le site n y faisant pas référence nous ne disposons pas d information sur l application des mesures de sanction. Les entreprises du secteur privé doivent être établies sur le territoire japonais et avoir au moins un système de management de la protection des traitements d information (PIMS) basé sur le standard JIS Q et les guidelines et avoir la capacité à maintenir un système sur ces bases. On retrouve une certaine similitude avec l autorégulation mais l accent est mis sur l amélioration du processus continu. Le standard est basé sur une approche de gestion des risques et sur l incitation de démarches proactives. Il a été conçu pour que même en cas de faille, celle-ci puisse être immédiatement rapportée. JIS Q est un standard japonais de système de management créé en 1999 pour implémenter une protection des informations personnelles (PI). Ce standard couvre toutes les PI, quelle que soit la façon dont elles ont été obtenues, qu il s agisse de données clients ou de salariés. Pour chaque exigence est défini un objectif, le lien avec l article de loi, puis sont mis en lumière les points à considérer plus en détail (documents à préparer et actions correspondantes). 45

46 Exemple de mesure : l éducation s adresse à tous les employés, même s ils ne participent pas directement au traitement de l information mais pourraient entrer en contact avec des informations personnelles. Les dirigeants et les employés sont sensibilisés à la gestion du risque; une démarche d anticipation qui permet de prendre les mesures appropriées en cas d urgence. Depuis 2008, il est possible d obtenir la certification d organismes de formation. Coût d une certification PrivacyMark : La certification est de 2 ans et la durée d obtention est de 4 à 6 mois après envoi des documents. Pour 2 ans, sur la base de 1000 JPY = 9.38 ) le coût varie de 2800 euros pour les petites organisations (Maxi 20 salariés) à 5600 euros pour les organisations moyennes (capital et nombre de salariés pris en compte en fonction du secteur) et jusqu à euros pour les grandes entreprises (au-delà des critères des entreprises moyennes). Le tarif de renouvellement équivaut respectivement à 2050 euros, 4250 euros,8450 euros Ce qui reste onéreux pour le Japon. Evolution du schéma : PrivacyMark a contracté des programmes de reconnaissance mutuelle avec BBBOnLine, DSIA (Dalian Software Industry Association) et Korean Association Information Technology (KAIT). Les accords de reconnaissance mutuelle permettent aux entreprises japonaises d externaliser en confiance et sans besoin d investigation leurs activités auprès de sociétés de Dalian qui utilisent le système de PrivacyMark mais avec leur propre label PIPA-Mark. Le Japon se caractérise par une forte sensibilisation des organisations au sujet de la protection des DP, comme le confirment les chiffres : entreprises étaient certifiées au 31/03/2010 alors qu elles étaient 1356 en 2003avant l adoption de la loi sur la protection des données en La progression est très nette dans les secteurs de l industrie des services d informations à forte soustraitance ainsi que dans les instituts de sondage (40% du total). Il n est pas exagéré d affirmer que le certificat est devenu indispensable à la pratique des affaires. (2) L audit, un outil d amélioration de la protection de la vie privée proposé par les DPA Dans certains pays, le Commissaire à la Protection des Données est l auditeur. Il peut s agir d une inspection. Ainsi le commissaire espagnol dispose d une unité d inspection traitant d inspections «pour déterminer l état de l art dans un secteur donné» par rapport à la conformité à la loi de protection des DP. L audit peut aussi servir de cadre à une éventuelle certification ultérieure mais aucune DPA ne définit le schéma de certification. a) L Australie Le modèle d audit du Commissaire à la protection des données s accompagne de divers «guidelines» sur des sujets transversaux (ex. archives)

47 L auditeur «doit se faire un jugement sur ce qu il est raisonnable» dans les circonstances qui prévalent. L audit a vocation à être un exercice de conseil et d enseignement sur les changements nécessaires et la mise en œuvre à planifier. Dans ce cas, l audit n est pas soumis à des standards particuliers d industrie ou de gouvernement. Il demandera à ce que des actions de mise en conformité soient appliquées dans un délai raisonnable mais si l organisation n en est pas capable, il passera un accord pour que les changements soient implémentés. Le commissaire peut décider d informer le Ministre de son rapport. Le cadre de l audit fait appel à la notion de risque, Privacy Audit Risk (PAR) i.e. que l auditeur n identifie pas un traitement incorrect; de part sa nature qui demande un jugement, l audit de protection de la vie privée nécessitera de se faire un avis sur les différents facteurs de risques en fonction de la nature, de l étendue et du timing de la procédure. Les facteurs de risques sont au nombre de trois catégories : Les risques liés à l environnement de l organisation (1) ; Les risques liés à l absence de mise en œuvre des mesures et procédures et/ ou à leur suivi déficient (2) ; Enfin les risques liés aux contrainte de la procédure même d audit (3). (1) Le risque inhérent (IR) se définit comme le risque que le traitement ne soit pas conforme en raison de facteurs environnementaux. Ceux-ci doivent toujours être considérés en premier par l auditeur qui doit y porter une attention particulière à : -la vulnérabilité des informations -la sensibilité -la sensibilisation du personnel aux obligations -la mise en œuvre de politiques et procédures par le management pour protéger les informations du personnel -l expérience et la compétence du personnel dans le traitement des données -l ancienneté et la complexité du système informatique -la disponibilité de l information et par quelle quantité de personnel -l étendue des liens et interconnexions avec d autres systèmes -l étendue de la base de données -l état des traitements d informations faits par des tiers parties -le niveau d intervention manuelle dans le traitement de données (2)Les risques liés aux contrôles de protection de la vie privée (PCR) : risques que des contrôles mis en place dans l organisation n aient pas permis une mise en conformité. Deux éléments sont à considérer : la mise en place de mesures et procédures et leur application et suivi effectifs. Ces mesures doivent être appliquées de manière continuelle. (3)Risques liés à la conformité de l audit (CAR) : Il s agit du fait que les procédures de confirmation d audit puissent échouer dans la détection de non-conformité en raison des risques dus à la procédure tels que le temps limité de l audit ou bien la méthode d échantillon. b) Pays Bas Plusieurs produits ont été développés par le «Co-operation Group Audit Strategy» pour que des organisations soient en mesure de vérifier par elles mêmes leur propre situation vis-à-vis du Data 47

48 Protection Act, de manière plus ou moins profonde selon leurs objectifs. Ces outils s adressent à la fois aux auditeurs et aux audités : un «quick scan», une auto-évaluation et enfin un cadre d audit. Le cadre d audit proposé en ligne par l autorité de protection des données est un outil proactif, non intrusif, ayant pour objectif de développer la conscience et de préparer un audit (sur la sécurité ou autre). Le cadre pour audit de protection de la vie privée est un outil complet rédigé pour des auditeurs responsables de la mise en oeuvre de l audit. Bien qu il soit prévu de définir les critères d un standard, rien n a encore été précisé à ce jour. Les règles énoncées restent donc à l état de principes et mesures très détaillées à la fois pour les DP basiques et pour les DP sensibles. Le cadre d audit prévoit la possible création de labels. Signalons enfin que le commissaire de la protection des données peut aussi déclencher des «PETs Scan» et des «Privacy Site Visits». c) Royaume Uni L ICO propose une méthodologie d audit de conformité. Il distingue d une part un «audit d adéquation», d autre part un «audit de conformité». L audit d adéquation porte sur la conformité des documents de l organisation (codes de pratiques, guidelines, procédures) au Data Protection Act. Cette première partie peut être conduite en dehors du site ou de manière interne à l organisation. L audit de conformité vise à vérifier, en pratique et sur place, les règles décrites dans les documents. Certaines catégories de personnes sont à risque en raison de leur insécurité physique : -Personnes sous la menace directe de violence; -Célébrités, notoriétés et VIPs; -Personnes qui ont un rôle sensible dans la sécurité physique - Personnes vulnérables (ex. mineurs ; sans abris ; anciens prisonniers ; réfugiés ). L outil de l ICO est très pédagogique, facile à comprendre et à utiliser y compris pour les PME. Il comprend des parties sur les caractéristiques de l audit, la procédure et un guide pratique de conseils et assistance. En prévoyant une première étape avec un audit d adéquation, les organisations ont la possibilité de s auto-évaluer avant de s engager dans un audit de conformité, ce qui devrait limiter le coût total de l évaluation. d) L Allemagne Dès 1997, la loi allemande sur la protection des données de téléservices, ou Teledienstedatenschutzgesetz (TDDSG) a inclus le principe «révolutionnaire» selon lequel les produits technologiques utilisés par les fournisseurs de services ne doivent pas traiter de DP ou doivent aboutir à un traitement minimum des données; ces politiques doivent être prises en considération dès la conception. La loi fédérale de protection des données a adopté par la suite un amendement incluant le principe dit de l «économie de données». 48

49 L essence même de l audit de protection des données régulé par l autorité fédérale allemande, est de fournir un outil pour les fabricants et utilisateurs de produits et procédures de traitement des DP afin notamment de respecter le principe d «économie des données». Elle suit l exemple des audits relatifs à la protection de l environnement qu on peut trouver dans la législation européenne. Les entreprises ont la possibilité par la suite de faire appel à des certifications privées généralement axées sur les points de sécurité. (III) Les standards de protection de la vie privée A l occasion d un communiqué daté du 4 novembre 2010, la commission européenne a précisé son intention de suivre avec attention le développement de standards internationaux tels que ceux du CEN et de l ISO pour s assurer de la prise en compte des exigences fondamentales des principes européens de protection des DP. En Europe, un changement de comportement a été observé à partir du moment où la conscience s est fait jour de la nécessité de dépasser le niveau strictement national en matière de standardisation dans un marché concurrentiel et international. D un point de vue commercial, c est aussi le résultat de ce qu il est constaté aujourd hui à savoir que les standards nationaux sont des barrières techniques potentielles, voire réelles, aux échanges. 23 Aujourd hui les entités nationales de certification des pays européens représentent 1/5 ème des membres de l ISO. Le système de standardisation européenne doit faire face à des facteurs conflictuels : - Le consensus recherché et les exigences de transparence demandent un minimum de temps tandis que la production de standards doit être de plus en plus rapide. - La principale source de revenus des standards nationaux est la vente de leurs documents. Excepté le besoin de traduction des standards internationaux (qui est très important en Europe pour l accès des PME aux standards), les entités nationales perçoivent moins de ressources. -La participation des entités nationales dans l élaboration de standards internationaux n est pas suivie de retombées financières souhaitées par celles-ci, d autant plus que le corps législatif européen fait de multiples références aux standards internationaux et influence d autant leur développement. Les coûts de fonctionnement de l ISO sont essentiellement assurés par les entités membres qui gèrent le développement de standards avec la participation des experts. Le statut de la normalisation est régi en France par le décret du 26 janvier 1984 et du 15 novembre Il a été confié à l AFNOR et subdivisé en 31 bureaux de normalisation sectoriels composés de plus de experts. L AFNOR est membre du CEN et de l'iso. À ce titre, AFNOR est tenue de conférer à ces normes, le statut de norme nationale, soit par publication d'un texte identique, soit par entérinement et de retirer les normes nationales en contradiction. Les standards évoqués ci-dessous, comme les procédures d audit évoquées plus haut, reviennent de manière récurrente sur cinq points: Prévention, sécurité, sensibilisation, responsabilité et «Accountability». 23 Au sein de l U.E.les états ont l obligation de notifier les lois nationales pour vérifier qu ils n introduisent pas de standards restrictifs (Dir. 98/34 et 98/48) 49

50 (1) BSI Protection des données en ligne Cet outil a été mis à disposition de l auteur du présent rapport pour un essai gratuit de 15 jours. BSI est un standard de système de management d informations personnelles (Privacy Management System Information). Il prend pour référence les grands principes de la directive européenne et le Data Protection Act de Sa structure est la même que celle de beaucoup de standards de système de management, le cycle de vie du Plan Do Check Act que l on retrouve dans les normes ISO 9000, ou Il introduit la notion d «informations personnelles à haut risque» qui peuvent être des informations relatives aux comptes bancaires, le numéro d identifiant national, les informations personnelles propres aux personnes vulnérables et aux enfants et autres détails de profils individuels. Le niveau de risque peut augmenter en fonction de la quantité de données traitées. La notion d «informations personnelles» correspond aux données personnelles relatives à un individu vivant. Ce standard met l accent sur les actions de sensibilisation et de formation au sein de l organisation ; Il traite de responsabilité et de «Accountability» ; Il impose une évaluation du risque, des audits internes, des actions préventives et correctives. L évaluation du risque renvoie au PIA proposé sur le site de l ICO. BSI fournit un cadre pour un management effectif des informations personnelles plutôt que d imposer des règles à suivre ; Il peut être adapté à tout type de système de management dans des secteurs comme la formation et la sensibilisation, le partage de données, la conservation et la divulgation des données. En l état actuel il n est cependant pas adapté à la législation et à la jurisprudence française; il n est d ailleurs pas dans les projets de BSI de le faire mais le concept pourrait être un excellent outil pratique au profit des C.I.L. ou autres responsables de protection des DP. L outil propose des études de cas très concrets et une approche complète pour chaque principe à respecter (avec illustration de cas jurisprudentiels) afin d avoir une vue globale des situations auxquelles les décideurs sont confrontés ; les étapes à respecter sont mises en exergue pour définir une stratégie aussi efficace que possible distinguant les obligations et les pratiques recommandées. L accent est mis sur la responsabilisation du personnel. Divers modèles de documents établissant des procédures sont mis à disposition : sécurité des données, protection et sécurité des DP, s, RH, marketing, gestion du droit d accès, audit des données L outil permet l émission de rapports standards ou customisés 24 et envoie automatiquement les mesures planifiées à prendre sur la boite des utilisateurs en fonction des éléments remplis. Le coût de la licence est relativement modeste : 495 /an 3 niveaux d adhésion sont proposés: or, argent, bronze (2) Iso et En 2003, l ISO a lancé le groupe de travail sur les technologies de la protection de la vie privée pour identifier les besoins de standardisation qui s intitule aujourd hui : Privacy Standardization ISO/IEC JTC 1/SC 27/WG 5 Privacy & Identity ManagementTechnologies (fig.3) 24 Annexe 3 rapport BSI 50

51 Après évolution, les thèmes de travail sont les suivants 25 : cadres & Architectures A Framework for Identity Management (ISO/IEC 24760, FCD, WD, WD) Privacy Framework (ISO/IEC 29100, FCD) Privacy Reference Architecture (ISO/IEC 29101, CD) Entity Authentication Assurance Framework (ISO/IEC / ITU-T X.eaa, CD) A Framework for Access Management (ISO/IEC 29146, WD) Concepts de protection Biometric information protection (ISO/IEC 24745, FDIS) Requirements on partially anonymous, partially unlinkable authentication (ISO/IEC 29191, CD) Guide sur le contexte et l évaluation Authentication Context for Biometrics (ISO/IEC 24761, IS) Privacy Capability Assessment Model ( ISO/IEC 29190, WD) Les normes ISO et (stade draft) ne traitent pas de DP mais de «données identifiant les individus» (PII) et propose de les classer en trois catégories : -informations qui pourraient être utilisées pour discriminer le sujet (ex.race, religion, ethnie, idées philosophiques, idées politiques et syndicales, vie sexuelle, santé ) -informations qui pourraient entrainer une usurpation d identité ou des conséquences financières -informations qui pourraient servir à tracer l individu Les données doivent être classifiées. Ainsi il est proposé de baser la classification sur le besoin de protection (tableau ci-dessous) ou autre (ex. le niveau d impact : BAS/ MEDIUM/HAUT) Tableau 4 Personal Identifiable Information PII catégories de protection Description PII besoin de consentement Consentement préalable PII sensibles Précautions spéciales pour modifications, enregistrement, diffusion PII protégées Niveau de protection défini pour une utilisation hors de la finalité PII pour la recherche Besoin d anonymisation ou pseudonymisation 25 Annexe 4 ISO roadmap 51

52 ISO/IEC JTC 1/SC 27- IT Techniques de sécurité Evaluation WG3 Evaluation de la sécurité WG1 ISMS Lignes Directrices WG4 contrôle de sécurité et W services Techniques WG2 Chiffrement et mécanismes de sécurité WG5 Management de l identité &Technologies de Privacy Product système processus environnement Figure 3 ISO/IEC JTC 1/SC 27-IT Techniques de sécurité La politique et les procédures de protection des PII, dépendent de trois facteurs : Préférences de l individu Secteur, domaine (politique contractuelle ; politique de l organisation ; pratiques du secteur d activité ) Lois et règlements La sensibilité des données s étend à toutes les PII desquelles les PII sensibles peuvent être déduites selon le secteur. De plus des lois locales peuvent juger de la sensibilité de certaines données. Enfin la sensibilité est à considérer de manière globale, c'est-à-dire une sensibilité augmentée si deux PII sont traitées ensemble. Base des principes de l ISO /IEC : 1. Consentement libre, éclairé, opt in, information accessible, facilement compréhensible 2. Légitimité du traitement et finalité : communiqué au plus tard au moment de la collecte ; base légale, nom des destinataires, durée conservation 3. Collecte limitée aux besoins en fonction de la finalité 4. Limitations d utilisation, de conservation, de divulgation 5. Limitation des interactions, des liaisons entre données et si possible le suivi, l observabilité, détruire si finalité atteinte 6. Pertinence et qualité des données, actualisées 7. Ouverture, transparence, et information 8. Participation individuelle et accès, modification 9. Responsabilité et «obligation de rendre compte» (Accountability) 10. Information sur les contrôles de sécurité : intégrité, disponibilité, confidentialité tout au long du cycle de management ; les mesures sont basées sur les exigences légales; implémentation en fonction de la probabilité et de la sévérité des conséquences ; 11. Moyens organisationnels, techniques et physiques ; 52

53 12. Conformité : contrôles internes appropriés ; développer et maintenir des processus de maintien de conformité 13. procédures de rétablissement et de contrôle. Pour chaque principe la norme décrit les moyens d y parvenir. Elle prescrit la prise en compte de la protection des données dès la conception (PbD), des évaluations et audits réguliers. Les points relatifs à la sécurité des données sont à titre d illustration, mis en parallèle avec les articles correspondants de l ISO : Tableau 5 principes de protection des données et leur correspondance en sécurité de l'information Consentement Choix IT mesures de sécurité ISO 27002/2007 Rendu des comptes Prendre les mesures les plus adéquates, «accountability» Politiques, responsabilisation Finalités spécifiques Ne s applique pas 7-1 et Collecte limitée Réduire le montant des infos confidentielles et l accès aux équipements à protéger Utilisation, rétention et divulgation Utiliser des accords de confidentialité 4-2 A ET C 6-1-5, 7-2 et11 Données minimum et svt et 10/10 Pertinence et qualité Ouverture, et svt transparence et Information Participation individuelle et accès Information sur Les contrôles de Accès définis et limités, sécurisation des infractructure, BCR, transport physique et électronique es données sécurité conformité A 27002/2007 -ISO Implémentation: architecture pour planifier et construire un système de TIC traitant des PII (voir fig.5) Il s agit de bonnes pratiques fondées sur les principes énoncés dans l ISO 29100, dont les principales caractéristiques sont : la mise en oeuvre d un processus d amélioration continue, la mise en place d un système de gouvernance, la gestion des risques, un principe de collecte et de traitement minimum de PII ; un rôle primordial accordé à la sensibilisation, à l éducation, et à la communication proactive, sur les obligations règlementaires, légales, contractuelles et sur les exigences du secteur d activité pour la gestion et protection des PII. Une série de mesures concernent les PETs. 53

54 Tableau 6 cadre de référence des principaux éléments de l architecture de protection de la vie privée (source ISO 29101) -Le modèle de maturité ISO/IEC NP Privacy capability maturity model (modèle de maturité de possibilités) : Ce document encore au stade de draft, consiste en une série de lignes directrices devant permettre aux organisations d évaluer la maturité de leur processus de traitement des informations personnelles, c'est-à-dire leur capacité à manager et à atteindre des résultats liés à la protection de la vie privée. Cela revient à considérer que divers acteurs sont concernés et que les exigences varient en fonction du niveau d intervention de chacun. Le document pourrait aussi être utilisé par des tierces parties. Le CMP semble faire un retour en force dans le secteur de la protection de la vie privée puisqu on le retrouve tant au niveau du standard ISO que du PMM de l AICPA ou par exemple du modèle de gouvernance de Microsoft. 26 La maturité d'une organisation est le degré auquel celle-ci a déployé explicitement et de façon cohérente des processus qui sont documentés, gérés, mesurés, contrôlés et continuellement améliorés. Un niveau de maturité (Maturity Level) correspond à l'atteinte d'un niveau de capacité uniforme pour un groupe de processus. Un niveau de capacité (Capability Level) mesure l'atteinte des objectifs d'un processus pour le niveau donné. 26 Section 3.03(II)(2)c)i) 54

55 (3) Les normes du Comité de Standard Européen (CEN) Le Comité Européen de Standardisation est la seule organisation reconnue par l Europe au titre de la Directive 98/34/EC pour créer des standards toutes activités économiques confondues à l exception de CENELEC en électro-technologie et ETSI pour les télécommunications. Le CEN propose plusieurs outils pour aider à la protection des DP. 27 Dans ce cas comme dans les précédents, l idée de prévention est très présente ; d autre part, notons avec intérêt que ces bonnes pratiques portent expressément sur la protection de la vie privée et sur les obligations de sécurité. Cadre pour un audit standard : Le CEN propose un cadre unique basé sur la directive 95/46 et pouvant servir de base dans les pays européens, tout en étant adaptable en fonction du secteur d activité et de la législation applicable. La standardisation des éléments doit laisser assez de souplesse au cadre d audit pour qu il puisse être utilisé par tout type d organisation, indépendamment de la motivation, de la cause, de la finalité de l audit de «privacy» ou de sa portée. L avantage d établir un standard est de permettre un comparatif au-delà des frontières, une application plus efficace et plus facile à vérifier donc moins coûteuse Bonnes pratiques relatives aux DP : Le groupe de travail a fourni un guide de bonnes pratiques pour aider les PME à se conformer aux principes généraux de la directive et aux lois nationales adoptées en application de celle-ci L objectif est de permettre aux organisations de démontrer qu elles ont mis en oeuvre un système de management de protection des données, des technologies appropriées et pris des mesures proactives. L usage de ces bonnes pratiques associé aux outils d audit devrait permettre aux PME de démontrer leur engagement à respecter les exigences de la directive. Il définit une série de bonnes pratiques pour des mesures de protection opérationnelle et un usage approprié des PETs conformément à la directive 95/46. Les bonnes pratiques sur la prévention des pertes de données comprennent : Le développement d une politique de protection et sécurité des DP ; Le développement d un usage acceptable de la politique de sécurité ; La création d une section sur les utilisation/activités inacceptables ; Le développement d une politique de classification et de catégorisation des données ; La conduite d un PIA : les PIAs comprennent des tests des PETS et OPMs pour apporter la preuve que les principes de protection des DP sont remplis (les autorités de contrôle (Nationale ou d entreprise) ne devraient pas accepter une application de traitement de données à moins d être sûres que les mesures de sauvegarde soient en place). Le développement d une mise en conformité des DP et d un Programme d audit. Les bonnes pratiques sur le traitement de données d identifications portent sur : La légitimité du traitement ; Les données sensibles ; Le principe de proportionnalité ; La qualité des données ; Les décisions automatiques ;

56 La conservation des données ; Les contrats de sous traitant ; Le choix d un processeur de données. Les bonnes pratiques sur les mesures opérationnelles de protection portent sur : Les personnes/organisations ; Le Privacy Impact Assessment (PIA) ; L utilisation du cadre d audit de protection de la vie privée (indiqué ci-dessus) et de l outil d autoévaluation ; Les accords de confidentialité ; Les processus et procédures que les responsables de traitement devraient émettre en support des politiques et procédures de gestion d incident de vie privée / failles / violations / traitement des plaintes ; La politique de gestion des incidents ; L information des utilisateurs sur les contrôles et sur l explication des objectifs ; Le traitement avec respect les droits de réponse ; La définition des responsabilités au sein de l organisation ; La prévention des atteintes à la vie privée. (4) AICPA/CICA (Canada) : les principes généraux de la vie privée (GAPP) et la référence au modèle de maturité «Good privacy is good business» L American Institute of Certified Public Accountants (AICPA) et le Canadian Institute of Chartered Accountants (CICA) ont conjointement mis en place un groupe de travail sur la protection de la vie privée. Ce groupe de travail a développé un cadre «pédagogique» pour comparer les bonnes pratiques et propose toute une série d outils d analyses de risques, de mesures de performance, de vérifications indépendantes, de conseils, d évaluations Le référentiel de base comprend 10 principes généraux (Generally Accepted Privacy Principles ou GAPP) dont l objectif est d assurer que les «Informations personnelles soient collectées, utilisées, détenues, divulguées conformément aux engagements de la politique de vie privée de l organisation et aux GAPP arrêtés par l AICPA/CICA». Chaque principe est soutenu par les critères objectifs et mesurables qui forment la base pour la gestion efficace du risque et de la conformité des organisations. L'AICPA/CICA propose un outil d'évaluation des risques (outil 1): L'outil 1 Chacun des 73 critères de GAPP est évalué contre les risques suivants : -probabilité d'échec des mesures de contrôle pour protéger la vie privée -impact sur l activité -effort/coût pour atténuer L outil 1-b est configuré pour mettre à jour automatiquement jusqu'à 10 PRA-template Outil 2 le modèle de maturité Privacy Maturity Model (PMM) Cet outil permet de mesurer le niveau de protection de la vie privée atteint dans l organisation et de le faire évoluer en mode projet. Il assure un processus d amélioration continue et permet d optimiser le niveau de protection souhaité selon les objectifs, les besoins et le contexte de l organisation. 56

57 L outil se structure autour des 10 principes (GAPP) et du modèle de maturité de possibilités (Capability Maturity Model (CMM)). 28 Le PMM n est envisageable que s il existe déjà un système de protection de la vie privée. Toutes les entités n ont pas forcément besoin d un niveau optimum Le modèle générique distingue 6 niveaux de maturité : 0 Non-Existant il n existe aucune gestion de protection de la vie privée 1 Ad Hoc les processus sont Ad Hoc et désorganisés 2 Répétitif les processus suivent un schéma 3 Ajusté Les processus sont conséquents, clairement documentés et font l objet de communication 4 Discipliné Les processus sont contrôlés et mesurés 5 Optimisé Les bonnes pratiques sont identifiées, adoptées, suivies et automatisées. Tableau 7 Niveaux génériques de maturité de protection de la vie privée Niveaux génériques de maturité de protection de la vie privée Ad Hoc. Les activités ad hoc sont, avec : Aucunes politiques définies, règles, procédures de but. 1 Activités par la suite plus basses, non coordonnées. Redondances et manque de travail d'équipe et d'engagement Répétitif la politique en matière de protection de la vie privée est définie, avec : L'engagement de la haute direction. 2 Conscience et engagement généraux. Plans spécifiques dans des secteurs à haut risque. Ajustée La politique en matière de protection de la vie privée et l'organisation sont en place, avec : Évaluation des risques appliquée. 3 Priorités établies et ressources allouées en conséquence. Activités efficaces pour coordonner et déployer des commandes d'intimité Disciplinée Efficace avec gestion uniforme et constante des DP et respect des engagements,reflétée dans l'organisation avec : 4 Prise en considération très tôt des DP dans les systèmes et le développement de processus. Intimité intégrée dans des fonctions objectives et l'exécution. Surveillance annuelle à un niveau organisationnel et fonctionnel Revues périodiques basées sur les risques. Optimisée Amélioration continuelle des politiques en matière de protection de la vie privée, des pratiques, et des commandes, avec : 5 Échanges systématiquement contrôlés pour l'impact sur les DP. objectifs de ressources alloués pour réaliser la protection des DP. Avec à niveau élevé d'objectifs à terme d'intégration, travail d'équipe, recherche de protection hors frontières Ce modèle peut faire l objet d adaptation (voir ci-après le modèle de gouvernance de Microsoft à 4 niveaux). 28 Le modèle de maturité de possibilités (CMM) est une marque possédée par l'université de Carnegie Mellon (CMU) et créée en

58 (5) Exemple de formations certifiées Le sujet est d actualité en France où la CNIL entend labelliser des formations courant Ce point très particulier ne sera cependant abordé que de manière anecdotique par rapport au thème principal de la faisabilité des schémas de certification. a) Le «certified Information Privacy Professional» ou CIPP de l IAPP Rappelons que l Iapp est un organisme entièrement privé. La formation a été mise en place avec la collaboration de l Institut de recherche privée Ponemon, lui-même comprenant divers responsables de grandes compagnies (Hewlett-Packard Company, Microsoft Corporation, Nationwide Insurance Company, Procter & Gamble, General Electric, Walt Disney Company, ebay, Intuit, Privacy and Information Management Services P.C. et Corporate Privacy Group). La formation est en partie financée avec le soutien de HP et Microsoft. 29 Le certificat de professionnel de protection de la vie privée atteste d une formation en droit et sur les techniques de l information, sanctionnée par un double examen : Un test obligatoire portant sur les connaissances de base elles mêmes portant sur trois grands domaines : -principes de protection de la vie privée et différentes approches ; -sécurité de l information (27001, 27002, techniques de sécurité) ; -protection de la vie privée sur internet Examen de 2 heures, avec des questionnaires à choix multiple et une étude de cas avec 10 questions vrai/faux soit au total 120 questions. Un examen de spécialisation portant sur les législations et les bonnes pratiques de protection de la vie privée aux USA. La spécialisation peut par exemple concerner les agents de l administration Gouvernementale ou celui pour le développement et l audit de produits IT. Il s agit également d un questionnaire à choix multiple. La certification exige une formation permanente sous forme de crédit d heures fonction de la participation à divers modules (networking, conférences, rencontres, lectures soumises à contrôle etc ). b) Les auditeurs certifiés de l AICPA (American Institute Certified Accountants) Cet examen est le fait d une corporation professionnelle Ils garantissent une «assurance» professionnelle de part leur intégrité et leur expertise. La qualité des auditeurs est déterminée selon l ISO (Qualités personnelles, savoir et connaissances, savoir et compétences propres au leader, savoir et compétences propres à l ISO ou autre, éducation, expérience et formation continue à l audit et au management) 30. L examen de Certified Public Accountant» comprend 4 sections : Audit et Attestation 29 Iapp Certification Program 30 Voir Section 2.02(II)(1)a) 58

59 Environnement de l activité Audit financier et reporting Régulation. Certains états exigent un examen portant sur l éthique et une conformité aux règles professionnelles. Section 2.03 des DP Certification des produits de protection de la vie privé et (I) Parallèle avec les problèmes rencontrés par les standards de signature électronique Ce chapitre fait suite au stage suivi à l ADETEF comme indiqué plus haut et ayant pour objet l étude de la mise en place d une plateforme de signature électronique dans la zone méditerranéenne. Nous évoquons ci-dessous certains des problèmes auxquels se heurte la standardisation des produits de signature électronique et qu il nous semble pertinent de mettre en avant dans le cadre plus général de la certification de produits issus des technologies de l information et des communications. De même nous évoquerons le modèle économique de la signature électronique dont les résultats ne peuvent encore être qualifiés à ce jour de franc succès. Les régimes d'accréditation ou de certification pour l'authentification électroniques sont généralement «volontaires» ; dans l U.E. chaque état établit un système adéquat de contrôle des prestataires et de vérification des systèmes sécurisés. Il est nécessaire que les prestataires de service de certification respectent la législation sur la protection des données et qu'ils respectent la vie privée. Dans les transactions avec le gouvernement, il est souvent imposé l'utilisation de la certification des fournisseurs de services accrédités ("CSP"), ce qui peut avoir un rôle incitatif pour les entreprises. Alors que la majeure partie des lois reconnaissent la validité juridique à la signature électronique de base et ce indépendamment de la technologie utilisée, très souvent les effets juridiques les plus importants dépendent de l existence d un certificat issu d un fournisseur agréé ou certifié ou répondent à certains standards. Telle est la cas de l approche dite des 2/3 en Europe : selon l approche minimaliste la directive interdit de denier tout effet juridique à la signature électronique du seul fait qu elle ne remplisse pas les standards de la signature avancée basés sur le certificat qualifié et créée par un système de signature sécurisée. Mais les signatures sécurisées sont présumées intègres. De même une certification de protection des DP et de la vie privée pourrait octroyer un avantage de «présomption de conformité». En pratique, la multiplication des signatures électroniques et de leurs modalités d implémentation n ont pas permis une optimisation de l utilisation de la signature électronique. La majorité des pays ont au moins initié un système d accréditation ou certification ou standardisation pour les produits et services, ce qui à ce jour ne permet pas l interopérabilité internationale. Les standards adoptés au niveau national et basés sur les normes internationales, sont rarement complètement conformes et ont souvent des variantes nationales. Une grande partie des divergences viennent du fait que les technologies doivent encore évoluer et les politiques doivent tenir compte de la future utilisation plutôt que de réagir à la façon dont elles sont utilisées pour le moment. 59

60 D après une enquête 31 menée sur la standardisation de la signature électronique, les réponses exprimées par les personnes interviewées font état des insuffisances du système : - Plutôt ou trop complexes ; -Trop nombreux (avec néanmoins des manques identifiés) ; -Manque de prise en compte des besoins des professionnels ; - Explications sur la cohérence entre standards difficile à trouver ; - La documentation relative aux guidelines et à l implémentation ne sont pas suffisants ; Les résultats du sondage font apparaitre que les standards souffrent des inconvénients suivants : -Trop de possibilités d implémentations ce qui réduit les chances d interopérabilité; -Trop d interprétations possibles; -Trop académiques et pas assez orientés business ; -Pas assez de description directe et explicite de niveau élevé pour aider les nouveaux venus dans l'exécution ; -Manque de lien clair avec la loi. D après cette enquête, les standards idéaux devraient fournir les lignes directrices d implémentation techniques et économiques afin d obtenir une bonne qualité d application (pas la plus haute mais appropriée au regard des coûts et bénéfices et de la limitation des risques dans le domaine d activité concerné) avec un niveau maximum d interopérabilité. Le modèle économique devrait résoudre l équation suivante : Besoins des professionnels par secteur + cadre légal général et sectoriel = spécifications techniques (standards). Il s agit certes selon nous d une équation à résoudre pour tout schéma de certification, encore faut-il que le marché soit en mesure d exprimer ses besoins. (II) La certification des produits et services dans la règlementation suisse Elle est prévue par l Art. 5 de l OCPD pour «les produits servant principalement au traitement de données personnelles ou générant, lors de leur utilisation, des données personnelles concernant notamment l utilisateur». La durée de la certification du produit est de 2 ans. Il est aussi possible de reconnaitre des certifications étrangères. Le produit doit garantir : -la confidentialité, l intégrité, la disponibilité, l authenticité au regard des finalités ; -la prévention de la génération, de l enregistrement ou de tout autre traitement de données personnelles inutiles au vu des finalités; -la transparence et reproductibilité selon les fonctionnalités ; -les mesures techniques permettant à l utilisateur de respecter d autres principes. Le SAS désigne les organismes d évaluation et les organismes de certification de service. 31 Study on the standardisation aspects of esignature, By SEALED, DLA Piper and Across communications november

61 La certification de produit utilise le standard international constitué des critères communs (CC 2.1/ISO 15408) et des profils de protection pour des catégories spécifiques de produits, qui définissent certaines exigences en matière de sécurité. Les exigences seront définies en fonction du cercle des utilisateurs pour lesquels le produit est conçu; elles seront par conséquent plus élevées pour un produit réalisé pour un large spectre d utilisateurs. Le préposé peut aussi s inspirer de la grille d évaluation élaborée par le centre de protection des données du Land de Schleswig-Holstein (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein). Les exigences sont structurées en quatre couches logiques distinctes : -conception technique : économie des données, «dépersonnification» précoce des données par pseudonymisation, anonymisation ou destruction, transparence ; -conformité ; -mesures techniques et organisationnelles, -droits de la personne concernée : transparences, rectification, restriction, blocage, mention du litige. Il est prévu un profil séparé d exigences pour les données accessoires (logdata). Ces dernières constituent en effet des «sous-fichiers», dont les finalités et conditions de traitement sont en principe différentes de celles du fichier principal. La certification de services IT répond aux critères de l ISO /2 :2005 (base ITIL). On exige du prestataire de service qu il fournisse des services bien gérés et de qualité acceptable pour ses clients (bénéficiaires).la certification se déroule selon le PDCA. (Fig.4) Différents processus de surveillance/amélioration de la QdS (Qality Data System): - Fourniture (capacité, continuité et disponibilité, niveaux de service, reporting, sécurité de l information, budget) - Contrôle (configuration et changements) - Libération (env. développement/test contrôlé/production) - Résolution (incidents et problèmes) - Relations (relations d affaires et avec propres fournisseurs) Le code de bonne pratique pour la gestion des services pourrait être étendu aux exigences de la protection des données. Qualités et compétences des évaluateurs de produits : -Une double compétence en Droit et en Sécurité informatique est requise et -des connaissances spécialisées dans le domaine de la certification des produits (ISO/CEI 65). Les certificateurs sont accrédités pour 5 ans. 61

62 Figure 4 processus ISO/CEI Gestion niveau services Gestion continuité et disponibilité des services Gestion capacités Processus de libération Gestion libérations (mise en prod.) Processus de fourniture de services Processus de contrôle Gestion configurations Gestion changement Processus de résolution Gestion des incidents Gestion problèmes Gestion sécurité information Budgétisation/comptabilisation Services informatiques Gestion reporting Processus de relations Gestion rel.comm. Gestion fournisseurs (III) Europrise, un schéma de certification de produits et services IT (1) Origine et fondements d Europrise Europrise fut créé au cours du programme de recherche EU's e-services TransEuropean Networks (eten) lancé en 2007 et conduit par le Centre Indépendant pour la protection de la vie privée allemand, l ULD. Il a été financé par l union européenne à hauteur de Le premier label a été attribué en juillet Neuf pays européens ont participé au projet conduit par l ULD. Le projet inclut des acteurs professionnels de l industrie et des auditeurs tells que TÜViT et Ernst & Young. La tâche consistait à promouvoir au niveau européen, l initiative développée sur un plan local dans le Land du Schleswig Holstein (Guetesiegel), en s appuyant sur les forces du marché plutôt que sur la seule régulation de l Etat. 32 Le référentiel de Guetesiegel est essentiellement basé sur l acte de protection des données du Schleswig Holstein (LDSG-SH) et son décret d application traitant des sujets de sécurité des données ainsi que sur la loi allemande de protection des données (BDSG). Dans le land du Schleswig Holstein, deux schémas de certification ont été créés : -Un audit de système de protection de la vie privée dont le label est valable 3 ans (Datenschutzaudit); -Un certificat de protection de la vie privée (Datenschutz-Gütesiegel)

63 Ces schémas ne concernent que les administrations du land, ce qui n exclut pas son utilisation dans tous le pays. Le site de ce schéma est en allemand, ce qui en limite considérablement la compréhension. Le certificat d Europrise peut être délivré à des produits et services IT ainsi qu à des applications spécifiques telles que les registres ou les modules SAP. Il n est pas adapté à l évaluation de procédures. Les termes de «protection de la vie privée» y ont été préférés à ceux de «protection des DP» car le but n était pas de protéger les données en soi mais plutôt les droits individuels ou personnels. La protection des données s était jusqu alors résumée à l autorisation ou à l interdiction de traitements de DP, ce qui n incitait pas les organisations à engager une démarche de mise en place des bonnes pratiques. De plus, la volonté du Centre de Protection de la Vie Privée (ICPP) était de casser l idée répandue selon laquelle la protection de la vie privée est affaire de bureaucratie et un obstacle au développement des nouvelles technologies. Objectif visé : faire de la protection de la vie privée un modèle gagnant, un projet plaisant et «sexy» grâce à de nouveaux instruments tels que les PETs, une plateforme de protection de la vie privée (ex. ), des moyens légaux (cf. audit ; label de qualité). A l évidence, il ne semble pas que le projet se soit doté des moyens commerciaux et marketing pour espérer atteindre les objectifs affichés. Le schéma se focalise sur la collecte évitée et minimum, la sécurité, la révision des données et les droits des sujets. La durée de validité de la certification produit est de 2 ans Le système se finance au travers du paiement de droits par les entreprises qui sollicitent le label (elles paient également les experts mais de façon séparée, suivant des arrangements individuels). (2) Le référentiel d Europrise Le catalogue de critères est basé sur : - la directive européenne (95/46/EC), -la directive relative aux télécommunications (2002/58/EC) et - la législation européenne traitant des sujets de protection de la vie privée (2006/24/EC). Comme beaucoup de dispositions de la directive sont formulées de manière large, les règles de la cour européenne et en particulier les opinions du G29 sont également prises en compte; enfin les lois des pays pilotes ont également été considérées (Autriche, Allemagne, RU, Slovaquie, Espagne, et Suède ainsi que les dispositions propres à la sécurité de la Pologne et de l Espagne). Concernant la sécurité, mis à part les législations espagnole et polonaise faisant état de niveaux de sécurité (bas, medium et haut), les législations restent très imprécises. Europrise s appuie donc sur les critères de sécurité de l information, à savoir les critères communs ISO :2005 et IT Security Management (ISO séries). La dernière version tient compte de la révision en cours du paquet Télécom (ex. notification de faille). 63

64 La classe de fonctionnalité de protection de la vie privée des Critères Communs définit 4 types d exigences : Anonymat, la possibilité d'agir sous un pseudonyme, l'impossibilité d'établir un lien, la nonobservabilité de l exécution d une opération encours. Il est enfin tenu compte des évaluations et des certifications existantes pour un produit selon ces normes. Tableau 8 Les quatre ensembles du catalogue de critères Europrise 33 : Série 1 Série 2 Série 3 Série 4 Vue d ensemble des sujets fondamentaux : Eviter et minimiser les données et transparence Légitimité du traitement Mesures Technico-organisationnelles Droits des sujets selon chaque directive (3) La procédure d évaluation et de certification L évaluation du produit ou du service est faite par des experts en technologies de l information et en droit puis la validation du rapport d évaluation est faite par l entité indépendante de certification. Les experts ou les centres d évaluation doivent avoir une double expertise. La procédure peut par exemple être telle que prévue par le standard du CEN, CWA (Personal Data Protection Audit Framework) ou l ISO Il importe de définir dans un premier temps la «cible d évaluation» d un commun accord entre le commanditaire, l évaluateur et le certificateur. C est cette cible qui précise le périmètre du système à évaluer, des informations à protéger et du «niveau de profondeur» de l évaluation. Les évaluateurs sont surtout formés à des analyses de «services» mais le niveau de sécurité peut beaucoup varier en fonction des modes d implantation. Il est donc très difficile de valider un produit de façon générique. L évaluation du produit se fait sur la base du mode d emploi accompagnant le produit. L évaluation peut même imposer des restrictions d emploi pour que le certificat puisse être considéré comme valide. Les tests techniques ne font pas explicitement partie des critères listés dans le référentiel, mais rien n empêche d en faire si commanditaire, évaluateur et certificateurs en sont d accord. La certification du produit ou du service ne certifie pas que l implémentation et la configuration sont conformes, mais que le produit peut être utilisé de façon à favoriser une bonne protection des de la vie privée. Cependant il est exigé que les étapes pour la mise en œuvre et la configuration soient stipulées dans la documentation ce qui augmente la probabilité d une utilisation conforme sans toutefois la garantir seal.eu/criteria/europrise%20criteria%20catalogue%20public%20version%201.0.pdf 64

65 Dans le meilleur des cas, le rapport d'évaluation apporte des réponses à toutes les questions qu'une autorité de protection des données demanderait. Les questions spécifiques au sujet du produit, son utilisation prévue et le champ des applications peuvent être posées pendant le processus de certification. Figure 5 schéma de certification Europrise 4 étapes: 1- Désignation d experts avec expertise technique et juridique 2- Evaluation et rapport d évaluation confidentiel pour le fabricant 3- Certification : le fabricant adresse le rapport à l autorité de certification qui une entité publique 4- Certification et rapport public résumé fournit par le demandeur publié sur le site Le certificat n empêche pas des changements mineurs sur le produit tant que cela ne remet pas en cause la certification. Un changement majeur tel qu une nouvelle interface utilisateur demanderait une nouvelle évaluation. Le certificat comprend un identifiant et un lien ou un document imprimable récapitulant le rapport. Il a été considéré que les autorités indépendantes de protection des données pouvaient être les mieux placées pour vérifier la conformité et délivrer les labels mais aussi que d autres entités publiques pourraient être accréditées comme émetteurs de certificats. (4) Evolution du schéma Europrise Le schéma a été créé depuis trop peu de temps pour évaluer son éventuel succès ou échec, ce qui n empêche pas de faire les observations comme suit. On notera tout d abord un multilinguisme du site internet très limité pour un schéma «européen»sur lequel les documents sont disponibles en anglais, en allemand et en espagnol pour certains d entre eux. 34 D après le site internet, 16 certificats dont une re-certification ont été délivrés à ce jour depuis Les secteurs d activité des produits et services sont le suivants : 2 Hôpital-Médical, 3 banque-finance, 1 CRM Chauffage, 1 Association des avocats Espagnols, 2 Marketing comportemental, 1 vidéosurveillance, 1 moteur de recherche, 1 traitement d image, 1 imagerie médicale, 1 plateforme de gestion des failles de sécurité Microsoft, 1 échange de données cryptées (Société Uruguayenne)

66 Ce projet implique des pays très engagés dans la protection des DP et de la vie privée tels que la France, l Allemagne, l Espagne et les Pays Bas. Il inclut aussi le R.U.dont l approche du sujet diffère par divers points. Malgré ces différences de vues, un consensus a pu être dégagé autour d un schéma de certification. On pourrait dès lors raisonnablement envisager le ralliement d autres pays de l UE. Europrise recense plus de 80 experts dans 12 pays. Sur le plan économique, EuroPriSe a choisi une approche réaliste. Le concept prend en compte le modèle économique pour les évaluateurs et l équilibre financier pour l entité de certification. Le coût reste supportable, à partir de 5000 environ, le contrat avec les évaluateurs étant négocié individuellement en fonction du temps passé. Europrise présente la force de se référer à la règlementation européenne à la différence des modèles qui existent déjà et d être conduit par une organisation à la solide réputation en matière de protection de la vie privée et sans intérêt commercial. Europrise pourrait tirer avantage à servir de cadre à des certificats nationaux plus adaptés aux caractéristiques locales mais ce modèle a aussi l avantage de ne pas dépendre de l existence de schémas de certification nationaux. En effet, le cadre européen du référentiel couvre déjà un certain nombre de sujets juridiques et techniques critiques. C est pourquoi, même en l état, l évaluation et la certification Europrise confèrent une réelle plus value. Pourtant, à ce jour, malgré les objectifs affichés, seules les autorités espagnoles et allemandes sont autorisées à délivrer le label et il semblerait que seule la DPA du Schleswig Holstein ait agit en ce sens. Ces deux autorités coopèrent de manière assez proche pour le moment mais il faudrait mettre en place une meilleure coordination dans l hypothèse où d autres pays collaboreraient. Sans comité de direction européen (dont les règles de fonctionnement restent à définir), l interprétation uniforme des critères dans l ensemble des pays membres relève de la gageure. Autre point de questionnement non résolu à ce jour : la participation des membres d Europrise au financement du schéma. L influence de la culture allemande particulièrement marquée pourrait être perçue comme une entrave au positionnement européen du schéma, surtout si l ULD entendait garder la mainmise sur la direction du projet. Faute d entente entre les divers partenaires initiaux et à venir sur la gestion du schéma, le développement d Europrise pourrait être limité et rapidement se trouver en concurrence avec l émergence de nouveaux schémas nationaux dans les pays de l Union Européenne. L absence d intérêt commercial de l ULD a été présentée comme la garantie de l indépendance de ce schéma. On objectera toutefois que les politiques de communication et de marketing n ont pas été à la hauteur des objectifs déclarés devant faire d Europrise un modèle séduisant et attrayant. Lors de l enquête menée en parallèle à cette étude, aucune des personnes interrogées pourtant en charge des questions de conformité à la loi française du 06/01/78, ne connaissait le label Europrise. 35 Les divergences politiques sont un sérieux frein dans le développement d un schéma européen de certification sans oublier les divergences juridiques d interprétation des principes. Une révision de la directive européenne gagnerait à détailler ses principes Voir Titre III section 4 36 Révision en cours voir COM (2010) 609/3 66

67 Enfin, le référentiel d Europrise ne couvre que partiellement le champ de protection de la vie privée et des DP même si la référence aux critères communs a été rajoutée depuis l origine. Section 2.04 Etude du cas français (I) La certification dans les TIC en France La certification des produits et services présente l avantage d être règlementée en France ; le dispositif suscite une certaine confiance en assurant la transparence et en exigeant une accréditation mais il présente aussi l inconvénient d être onéreux et plus lourd à mettre en place. Le sujet est traité dans le code de la consommation à la Section 5 du chapitre V du titre Ier du livre Ier : certification des services et des produits autres qu'agricoles, forestiers, alimentaires ou de la mer Aux termes de l Art. L : «- Constitue une certification de produit ou de service ( ) l'activité par laquelle un organisme, distinct du fabricant, de l'importateur, du vendeur, du prestataire ou du client, atteste qu'un produit, un service ou une combinaison de produits et de services est conforme à des caractéristiques décrites dans un référentiel de certification». D après l Art. L «Peuvent seuls procéder à la certification de produits ou de services les organismes qui bénéficient d'une accréditation délivrée par l'instance nationale d'accréditation, ou l'instance nationale d'accréditation d'un autre État membre de l'union européenne, membre de la coopération européenne pour l'accréditation et ayant signé les accords de reconnaissance mutuelle multilatéraux couvrant la certification considérée. Un organisme non encore accrédité pour la certification considérée peut, dans des conditions définies par décret, effectuer des certifications, sous réserve d'avoir déposé une demande d'accréditation». Le dispositif en vigueur : - Implique les acteurs socio-économiques, consommateurs, utilisateurs et pouvoirs publics lors des phases d élaboration et de validation des référentiels ; - Offre des garanties pour le consommateur : compétence et impartialité de l organisme certificateur, mention de l existence des référentiels au Journal Officiel, possibilité de consultation gratuite des référentiels auprès de l organisme certificateur, obligation d informations claires sur la nature et l étendue des caractéristiques certifiées. Les organismes certificateurs peuvent demander à être accrédités par le Comité français d accréditation (COFRAC), association loi 1901 à but non lucratif dont les membres représentent l ensemble des partenaires concernés. Le COFRAC procède à l accréditation, conformément aux normes françaises, européennes ou internationales, de tous les organismes intervenant dans l évaluation de la conformité à un référentiel, et dans tous les domaines où une accréditation est utile. Près de 70 organismes de certification de produits, services, entreprises et personnels sont accrédités par le COFRAC. Le COFRAC a également pour objet de développer la confiance du marché dans les organismes accrédités, de faire reconnaître aux échelons européen et international le système français d accréditation, de négocier des accords de coopération ou de reconnaissance. -La certification des produits de sécurité des systèmes d information relève de l Agence nationale de la sécurité des systèmes d information (ANSSI). L agence délivre deux types de certificats : 67

68 La certification dite tierce partie basée sur les Critères Communs (CC) C est la certification de plus haut niveau ; l Agence délivre un label appelé «certificat» qui atteste de la qualité de l évaluation, de la compétence, de l impartialité et de l indépendance de l évaluateur. Le certificat se conforme à la norme internationale des critères communs (ISO/IEC 15408). Un certificat de sécurité de premier niveau Afin de permettre la qualification de produits moins exigeants en termes de sécurité, un label de premier niveau a été mis en place sous l impulsion du gouvernement : la «certification de sécurité de premier niveau» (CSPN) est délivrée au terme d une expertise plus légère que celle des Critères Communs et dont la charge est limitée à 25 jours hommes. L accord européen de reconnaissance mutuelle du SOG-IS de 2010 permet la reconnaissance entre les Etats signataires de l accord, des certificats délivrés par leur autorité de certification. L accord «Common Criteria Mutual Recognition Arrangement» permet la reconnaissance, par les pays signataires de l accord, des certificats délivrés dans le cadre des schémas de certification selon les Critères Communs. Figure 6 Evaluation et certification des dispositifs de création de signature électronique 68

69 Figure 7 Qualification et contrôles des prestataires de services de certifications électroniques (II) L article 11 de la loi informatique et libertés du 06/01/1978 La loi n du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel a inséré un article 11 à la loi «informatique et liberté» du 6 janvier 1978 aux termes duquel la CNIL détient le pouvoir de délivrer un label à des produits ou à des procédures. Après l'adoption de la loi, le ministère de la Justice a estimé que cette procédure devait être précisée par décret. En 2008 Mme la garde des sceaux prenant acte que la CNIL avait «estimé ne pas être en mesure de procéder elle-même aux expertises et évaluations nécessaires» et avait ainsi «exprimé le voeu de recourir à des centres d'évaluation agréés», a répondu qu'une telle externalisation des expertises ne pouvait être envisagée qu'en modifiant la loi «informatique et libertés». Aussi, le législateur, à l'initiative de la commission des lois du Sénat, a-t-il inscrit, à l'article 105 de la loi n du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures, une disposition modifiant la loi de 1978 comme suit: «A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements : Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l'instruction préalable à la délivrance du label par la commission. 69

70 Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label.» A la lecture de cet article il s avère que : -la CNIL délivre un label à des produits et à des procédures ; -la CNIL agit à la demande d organisations professionnelles ou d institutions regroupant des responsables de traitements ; -le recours à des évaluateurs indépendants qualifiés est envisagé uniquement en cas de «complexité du produit ou de la procédure»; - Le coût de cette évaluation en cas de complexité est pris en charge «par l'entreprise» qui demande le label. (III) Le pouvoir de labellisation de la CNIL -L article 11 n exclut pas la coexistence de labels délivrés par la CNIL avec d autres schémas de certification de protection des DP; -La CNIL a énoncé qu elle procéderait par étape en commençant par la labellisation de «procédures d audit» initiées par des professionnels de la protection des DP et de «formations» au cours de l année Plusieurs questions méritent néanmoins d être soulevées. -L article fait expressément référence à la prise en charge du coût de l éventuelle évaluation «par l entreprise». Après avoir longtemps fait débat, il semble aujourd hui reconnu que les avocats peuvent exercer une activité économique au travers de conseils. Rien ne s oppose donc à ce que la CNIL labellise des procédures d audit proposées par un avocat. On s interrogera tout de même sur l esprit de la lettre prévoyant que le coût de l évaluation soit pris en charge par «l entreprise». D après les comptes rendus des débats au Sénat, l intention du législateur était de modifier la loi de 1978 afin «d'ouvrir la possibilité pour le président de la CNIL de recourir aux services d'un expert indépendant, dont le rapport sera transmis à la commission qui décidera ou non de délivrer le label». 37 La labellisation de procédures d audit présentées par des cabinets d audit et des avocats s apparente en pratique à la reconnaissance officieuse des personnes morales auteurs des procédures labellisées. On rappellera la nécessaire condition d impartialité de l organisme certificateur et les risques de conflit d intérêts avec des activités de conseil et de formation (cf. ISO 17021). Il devrait en aller de même pour l instance d évaluation afin d éviter le risque de collision. Dans le cas contraire, l évaluateur pourrait difficilement remettre en cause les mesures appliquées par l entreprise et préconisées par ses soins. - La CNIL pourrait choisir d émettre une procédure d audit standard labellisée ; -Si la CNIL entendait s arrêter à la labellisation de procédures proposées par des professionnels, sur quel fondement pourrait-elle refuser d étudier la labellisation de procédures mises en place au sein 37 Question écrite n de M. Alex Türk publiée dans le JO Sénat du 11/12/ page 2478 ; réponse du Ministère de la Justice publiée dans le JO Sénat du 01/01/ page 38. La question et la réponse sont disponibles sur Internet : 70

71 d entreprises? Les personnes interrogées lors de l enquête de terrain ont en effet manifesté leur intérêt pour ce type de démarche. 38 -Pour assurer la qualité des évaluateurs, la CNIL entend décider elle-même de la qualification des évaluateurs reconnus en fonction de critères conformes à l ISO ; -Rappelons qu ès qualité d autorité administrative, la CNIL veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi informatique et libertés. A ce titre elle dispose d un pouvoir de vérification et de sanction (Art. 44 et 45 de la loi). Par ordonnance de référé rendue 19 février 2008, elle a été qualifié d autorité judiciaire par le Conseil d'état précisant que la Commission, «eu égard à sa nature, à sa composition et à ses attributions» doit «être qualifiée de tribunal au sens de l'article 6-1 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales». Elle lui impose notamment qu'elle agisse comme un tribunal indépendant et impartial et que ses audiences soient - sous certaines conditions - rendues publiques. La délivrance d un label pourrait s avérer problématique si lors d un contrôle de la CNIL celle-ci était amenée à relever des éléments de non-conformité passibles de sanction. -De plus, si une organisation s engage dans une démarche de certification elle s attend à un gain en retour qui peut être celui d une meilleure image de marque, de moindres formalités ou d une présomption de conformité; elle doit donc pouvoir communiquer sur cette démarche et l afficher. Au travers du label, l organisation affiche «un choix et un engagement». En labellisant des procédures d audit de professionnels des protections des DP, la CNIL autorisera bien ces derniers à utiliser son label mais qu en sera-t-il de l entreprise évaluée et pour laquelle le coût de la procédure engagée n aura pas de contrepartie «visuelle» d un logo extrêmement importante en termes d image selon le secteur d activité. Selon un sondage de Ponemon 39, la perception de la protection de la vie privée et des DP par les individus dépend d un certain nombre de facteurs et la confiance accordée ne reflète pas forcément les pratiques et les efforts entrepris par les entreprises. Parmi les facteurs d influence de la perception par les individus, l image de marque est importante ainsi que la façon dont sont perçus les messages publicitaires notamment s ils font référence à la protection des DP. Titre III. tendances Etat de maturité du marché et affirmation de nouvelles Section 3.01 Freins et barrières liés à la difficile appréhension des DP dans les théories économiques (coûts estimés, espérances de gains) (I) Approche juridique versus approche économique Les théories économiques et juridiques diffèrent sur l évaluation des dommages dus aux failles de sécurité. 38 Voir Titre III section 4 39 «Most Trusted Companies for Privacy: U.S. Consumers», Ponemon février

72 Pour les économistes la différence entre un dommage actuel et possible est affaire de probabilité et d incertitude. Juridiquement, en revanche, les plaignants doivent démontrer un dommage personnel ou une atteinte à la propriété. Par conséquent, l approche économique prend en compte le risque juridique mais aussi les autres risques sous forme d abstractions alors que l approche juridique s en tient aux faits susceptibles de sanction et au dommage susceptible d évaluation. Cette approche juridique est largement répandue et tout particulièrement en France. L analyse d Alessandro Acquisti et Sasha Romanosky 40 se focalise sur les failles de sécurité et présente une étude de 3 approches législatives utilisées pour limiter le risque de dommage à la vie privée: Les règles préventives de sécurité ; la responsabilité postérieure ; l obligation de divulgation d information des failles. Les actions préventives : Elles visent à prévenir un dommage en se conformant préventivement à des standards minimum ou à des règles de conformité (ex. l auto régulation). Les sanctions peuvent être imposées dès la constatation du non respect des règles sans qu il soit besoin d un dommage. Citons à titre d exemple, le standard «Payment Card Industry Data Security Standard» (PCI DSS), pré-requis pour tout commerçant souhaitant faire des transactions par carte ; voir également, au Nevada, où il est prévu une exonération de responsabilité de l entreprise conformes aux standards PCI à l exception d une grosse négligence. L investissement dans les actions préventives est censé réduire la vulnérabilité mais l entreprise doit en contre partie faire face à un coût ; De plus, sauf contrôle régulier et en continu, les entreprises sont généralement protégées contre les problèmes courants mais pas contre un incident plus important. Elles se contentent de respecter les exigences minimum du standard en vue de s assurer une couverture de leur éventuelle responsabilité. Dans ce cas le standard est inadapté et onéreux. Ce mode peut finalement être utile si le risque de dommage est très bas ou si l incertitude est très grande comme dans le cas d une nouvelle loi dont on ne connait pas les conséquences mais dont on sait qu elles pourraient être catastrophiques. Ce sont des actions relativement faciles à mettre en œuvre et dont les modalités peuvent se combiner à un régime de responsabilité pour plus d efficacité. Les actions préventives paraissent tout à fait recommandées pour améliorer la protection des DP et de la vie privée. Selon une l enquête de Ponemon 2009, les personnes interrogées déclarent prévenir les futures failles par les mesures suivantes: 41% concernent les guides pratiques, 38% les actions de formations et de sensibilisations. Les certifications de sécurité et les audits augmentent de 6% et représentent 19% des mesures. La responsabilité : Elle s exerce après que le dommage soit survenu. Pour être indemnisé d une négligence les victimes doivent démontrer un lien de causalité direct entre le dommage et le non respect d une obligation légale par l organisation. L entreprise devrait chercher à prévenir le risque de responsabilité en augmentant ses investissements en sécurité et notamment ses actions de suivi et de contrôle. La publicité des failles : L objectif est d informer les individus afin qu ils prennent les mesures pour limiter le dommage (droit de savoir) et/ou inciter les organisations à prendre les mesures préventives. 40 Privacy costs and personal dat protection: economic and legal perspectives, Sasha Romanosky and Alessandro Acquisti 72

73 Les résultats de recherches comportementales montrent que les individus sont incapables d évaluer toutes les conséquences et tous les risques liés à une faille de sécurité. Cela demande un certain niveau de connaissance, d expertise, d éveil et de conscience qu ils n ont pas. A la fois la nature de l activité impactée et le type de faille sembleraient influencer la façon dont les investisseurs voient l évènement. Finalement, tout reste affaire de stratégie pour l organisation, sachant qu aucune action prise isolément ne sera jamais satisfaisante ni pour garantir une protection optimale des DP ni pour assurer un résultat optimum à l organisation. Mais quelque soit l approche juridique, si la non-conformité à la loi est sanctionnée de manière dissuasive, les mesures préventives s imposeront de toute façon pour limiter le risque de sanction et de publicité. La certification est le seul moyen d attester de ces démarches. (II) Les limites des modèles économiques Il y a encore peu de travaux sur le coût des violations de vie privée comparativement aux analyses économiques portant sur le coût des failles de sécurité et sur les modèles économiques liés aux dépenses de sécurité. Les décisions d investissement dans la protection des DP et de la vie privée restent relativement faibles en raison de l incertitude sur la nature et la sévérité des menaces et des vulnérabilités mais aussi du fait de l incertitude sur l efficacité des mesures de sécurité et de protection. Modèles économiques de cyber sécurité : divers modèles ont cherché à aider les décideurs dans l allocation des ressources de sécurité Des modèles macro-économiques «input- output» afin d évaluer la sensibilité de l économie nationale aux cyber-attaques, des analyses plus traditionnelles sur la perte de capitalisation après un incident de sécurité, des modèles «comptables» cherchant à déterminer le taux marginal de retour sur investissement en sécurité return on security investment (Geer 2001; Gordon and Loeb 2005; Willemson 2006) ; des approches réalistes basées sur des études de cas concrets ; des modèles d allocation de ressources fonction des coûts, bénéfices et stratégies de risques (Gal-Or and Ghose 2005; Gordon, Loeb, and Sohail 2003). Partant du postulat qu entreprises et attaquants potentiels sont adversaires, les chercheurs se sont aussi inspiré de la «théorie des jeux» (Gal-Or and Ghose 2005; Horowitz and Garcia 2005; Irvine and Thompson; Irvine, Thompson, and Allen 2005). Mais aucun modèle économique ne suffit à lui seul pour guider les choix des décideurs, d autant plus que la manière d appliquer en pratique un modèle n est pas très claire. La base d une politique de protection de sécurité et d une politique de protection des données personnelles dépend des objectifs stratégiques, de l approche, de la taille et de l environnement, ainsi que de l urgence de la prise de mesures de chaque organisation. Les modèles simplifient les hypothèses de travail et raisonnent selon une linéarité théorique. Les hypothèses de ces modèles sont basées sur les postulats suivants : Une estimation de la valeur de chaque série d informations : Mais quel doit être le critère d évaluation? Gordon and Loeb suggèrent que cela aurait un sens de diviser l information en valeur basse, moyenne et haute. Une estimation de la vulnérabilité, Mais quels critères utiliser pour évaluer la vulnérabilité, le degré de menace ou bien d accessibilité? 73

74 La vulnérabilité dépend de facteurs multiples. Une des critiques récurrente aux modèles économiques dans ce domaine est que si les investissements en sécurité peuvent réduire la vulnérabilité ils ne permettent pas de maitriser le degré de la menace ou l apparition de nouvelles menaces. la fonction mathématique de sécurité Fonction selon laquelle toute augmentation des dépenses de sécurité engendrerait une augmentation de la sécurité.c est en fait une simplification non fondée. L augmentation des dépenses de sécurité n augmente pas forcément le niveau de sécurité. L environnement de la sécurité est un élément changeant qui demande de s adapter en permanence ce qui empêche toute planification des dépenses sur le long terme. Les théories économiques supposent une information complète : Lors de la divulgation de DP, l information est incomplète sur les possibilités d'action de chacun, les gains résultants de ces actions, les motivations des autres joueurs. Avec les TIC, l invasion de la vie privée est souvent invisible et partout. De plus, les hypothèses économiques font des estimations à partir de l environnement connu à un instant «t» alors que l environnement des TIC est trop dynamique pour connaitre la nature et l ampleur des risques futurs. Quand bien même l individu disposerait de toutes les informations, l auteur considère qu un individu qui diffuse des DP en perd immédiatement le contrôle pour un temps indéterminé ; se retrouvant dans une position asymétrique, il est alors obligé de prendre des décisions à partir d évaluations stochastiques. S ajoutent aussi des distorsions psychologiques qui affectent non seulement les individus «naïfs» mais aussi les plus «sophistiqués» qui deviennent «privacy myopic» (cf.sous estimation hyperbolique des coûts et des bénéfices, biais de self contrôle, satisfaction immédiate, biais optimiste «cela n arrive qu aux autres», sous assurance ). Les individus se heurtent à des difficultés d appréciation du risque cumulatif. Ainsi, une fois que des DP sont libérées par une personne, elles peuvent rester disponibles pendant un temps suffisamment long pour être mises en corrélation avec d autres données. Le risque est plus élevé que la somme des DP collectées. Le coût de protection est immédiat mais les résultats peuvent se révéler soit invisibles (absence d intrusion) soit étalés dans le futur. C est aussi la métaphore du «chèque en blanc» qui peut revenir un jour sous forme de Spam, de simple gêne ou de vol d identité (Knight 1921), ainsi que l illustre A.Acquisti. Rationalité des individus Tout au contraire, les individus pourraient avoir tendance à se sous protéger quand ils perçoivent un risque et à fournir d avantage de DP même s ils en devinent le risque ; L ampleur des risques perçus sous certaines conditions ne sera pas dissuasif ; La gravité «ressentie» d une situation augmente la vision que l individu a d un risque selon qu il se considère plus ou moins concerné. Le risque estimé est comparé avec un «risque acceptable» : sachant que le «risque zéro» n'existe pas d'une part, et d'autre part qu'un bénéfice ne peut s'acquérir qu'en courant un risque, chaque personne évalue implicitement un risque acceptable, qui est le danger qu'elle accepte de courir, l'incident qu'elle trouve normal de subir, par exemple comme fatalité. Cette notion de risque acceptable comporte des dimensions sociales et psychologiques. Cette double source d'irrationalité interfère avec la prise de risque : irrationalité de l'estimation du risque et irrationalité de la référence (risque acceptable). 74

75 Fournir plus d information et augmenter la sensibilisation ne suffit pas dans un système d auto régulation. Les technologies pourront surement aider mais A.Acquisti préconise aussi de trouver des réponses tournées vers les comportements humains pour espérer protéger la vie privée. Protection de la vie privée et théories de la gratification immédiate : l individu éprouve des difficultés à s auto contrôler (biais de self contrôle) face à la poursuite d une gratification immédiate (théories basées sur la consistance du temps). Protéger son intimité peut parfois signifier de prendre une assurance contre un risque futur et hypothétique. En outre, même en présence de coûts immédiats, les individus incohérents avec le temps tendent à temporiser. Ils ont une vision à court terme. Malheureusement, «la valeur de l intimité est réellement appréciée une fois perdue». 41 Enfin, Samuelson (2003) avance également des coûts liés aux pertes sociales dues aux «politiques incohérentes en matière de protection de la vie privée» parmi un choix complexe d'initiatives législatives et autorégulatrices, les consommateurs et les sociétés sont incertains au sujet du niveau de protection permis ou exigé selon les circonstances. On le voit, la contestation des hypothèses de départ de ces modèles remet en cause les résultats qui en découlent. 42 La question de savoir si d un point de vue économique la protection des DP vaut la peine, reste ouverte. Mais la valeur de la vie privée et des DP doit être appréhendée au-delà du raisonnement économique et de l analyse coûts-bénéfices, par rapport à ses propres conceptions de la liberté et de la société. Même si, du seul point de vue économique, le coût de l atteinte à la vie privée est élevé et croissant (spam, vol d identité, perte de C.A., intrusions). (III) La prise en charge du coût d une atteinte aux données a) Est que indépendamment des failles de sécurité la violation de DP ont un coût? 43 Messieurs Acquisti et Friedman se penchent sur les réactions différentes selon qu on se trouve en présence d une violation de vie privée ou d une faille de sécurité. Les DP sont un actif de l organisation; Cet actif a une valeur qui elle-même reflète ce qui pourrait être perdu en cas d information perdue ou inutilisable ainsi que les dommages qui pourraient être causés aux personnes et à la société en cas de violation de vie privée. La valeur peut se concevoir de quatre points de vue différents. Celui de l organisation, de la personne concernée, des autres acteurs économique ou de la société. 41 Privacy in Electronic Commerce and the Economics of Immediate Gratification Alessandro Acquisti 42 A Framework for Classifying and Comparing Models of Cyber Security Investment to Support Policy and Decision-Making1, Rachel Rue, Shari Lawrence Pfleeger and David Ortiz 43 Is there a cost to privacy breachs? An event study Alessandro Acquisti, Allan Friedman, Rahul Telang,

76 Il existerait un impact négatif et statistiquement important des violations de données personnelles sur la valeur marchande d'une compagnie le jour d'annonce de l'infraction et le jour suivant mais un tel impact serait inférieur à celui observé en cas de failles de sécurité. De plus l impact varie en fonction de l activité et de la notoriété de l entreprise. Les économistes ont essayé de donner une valeur standard de base à la DP. Mrs Acquisti Friedman et Telang l évaluent entre 10 et 100, et un peu moins vis-à-vis de ceux qui n y ont pas d intérêt, de quelques pences à 100. La valeur peut varier selon le point de vue individuel ou de l organisation. En cas de fraude financière par exemple, la perte totale moyenne par personne est estimée entre 500 et 1100 soit 575 à 1265 au total. D autres études estiment le coût d une faille à par donnée (Bojana Bellamy Accenture) tandis que l enquête Ponemon Institute «cost of a data breach 2009» parle d un coût de violation de données compris entre 60 et 64 soit entre 69 et 73. Par exemple selon un sondage de Ponemon, 1/5 consommateur cesserait d entretenir des relations avec une organisation qui aurait compromis ses données. 44 Les sondages suggèrent que les plus grosses organisations ont au moins une faille de sécurité par an et beaucoup en ont deux ou plus voire une douzaine. Les failles rapportées ne sont qu une partie de ce qui se passe réellement. Les failles de sécurité ne sont qu une partie des violations de vie privée et on peut penser que ces dernières connaissent la même évolution. Si on considère les valeurs indiquées ci-dessus, sous toute réserve des écarts d estimations, un des principaux bénéfices que les organisations pourraient retirer d actions préventives de protection des DP et de la vie privée serait de réduire leurs coûts liés aux violations de vie privée et aux failles de sécurité. Sachant que les conséquences directes d une violation de vie privée et d une faille de sécurité sont plus visibles, plus facilement identifiables et plus onéreuses en cas d obligation de déclaration de faille de sécurité et/ou de violation de DP, une telle obligation serait indiscutablement favorable au développement de schémas de certification. (Cf. coût de notification estimé entre 90$ et 350$/consommateur). 45 Un investissement dans la protection de la vie privée et des DP (tel qu une démarche de certification) reste largement perçu comme un coût. Les organisations imaginent dans le meilleur des cas une partie des bénéfices qu elles pourraient en retirer sans toutefois être en mesure de les évaluer. b) La protection de la vie privée et des DP a valeur d enjeu de société Les actions de sensibilisation et les actions incitatives, sont nécessaires mais insuffisantes en l état actuel de maturité du marché. Bien que les conséquences d une violation de DP soient significatives pour une organisation, le coût pour les consommateurs ne devrait pas être entièrement pris en compte par l organisation en tant 44 Ponemon Instiute 2008 Annual Study: Cost of a Data Breach 45 The economics of personal data and the economics of privacy by Alessandro Acquisti, Heinz College, Carnegie Mellon University, December 2010, OECD 76

77 qu élément du risque. Dans ce cas une atteinte à la vie privée et aux DP est une externalité que les incitations naturelles ne corrigent pas. Les DP ont une valeur pour la société. L absence de certitudes quantitatives sur les coûts et bénéfices que pourraient générer des mesures de protection des DP ne doit pas être un obstacle au développement d actions préventives. Les autorités étatiques pourraient s inspirer des actions menées pour la protection de l environnement au nom du principe de précaution. Ce principe né à l occasion de la conférence de Rio prévoit que «l'absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l'adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l'environnement à un coût économiquement acceptable». Une telle disposition serait tout à fait d actualité face au «risque de dommage grave et irréversible pour les individus et la société». Les organisations n ont pas à supporter seules le coût d un investissement dans la protection des DP, qui a valeur de projet de société. De plus et pour les raisons évoquées ci-dessus, les mesures d autorégulation ou de co-régulation seront inopérantes sans mesures d incitation et d accompagnement des dirigeants politiques. Section 3.02 Défis technologiques et politiques, la nouvelle donne Face à la globalisation des échanges et aux développements technologiques, les modèles de protection des DP et de la vie privée doivent relever de nouveaux challenges, possibles entraves à une démarche de certification. La commission européenne en a relevé un certain nombre dans son rapport émis en janvier 2010: 46 -la mondialisation; -l Internet; - l omniprésence croissante des données à caractère personnel et de leur collecte; -la puissance et les capacités croissantes des ordinateurs et autres dispositifs de traitement des données; -les nouvelles technologies spéciales telles que la RFID, la biométrie, les reconnaissances faciale et autres, etc.; -la surveillance accrue (et «dataveillance»); -l utilisation accrue des données à caractère personnel à des fins autres que celles auxquelles elles ont été collectées, en particulier dans le cadre de la sécurité nationale et de la lutte contre le crime organisé et le terrorisme. (I) Défis technologiques Les règles de protection des DP ont été édictées avant que l usage d internet et des nouvelles technologies connaissent ses premiers bouleversements début 2000 (création de Thefacebook 2004). La loi Informatique et liberté en France date de 1978, même si elle fit l objet d une révision en Étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques, commission européenne, janvier

78 La démarche a consisté à transposer les règles de droit classiques aux traitements de données. Il en va ainsi par exemple du principe de neutralité technologique selon lequel les mêmes règles protectrices doivent s'appliquer quelles que soient les technologies employées. N est-ce pas faire fit de l apparition de nouvelles technologies encore inconnues à ce jour ou de nouveaux risques non imaginés? En 2010 les données ont changé : la vitesse, l échelle, le lieu, la quantité des informations échangées semblent désormais incontrôlables. Les moyens de collecte sont de plus en plus nombreux et invisibles. Avec l émergence de nouvelles technologies sont apparus d autres risques de traitements illégaux de DP (cf.rfid). Les risques d atteinte à la vie privée sont de moins en moins maitrisables. Sauf à trouver des moyens adaptés pour garantir la protection des données, «la prolifération attendue des réseaux de capteurs ayant pour rôle de collecter des informations sur la vie quotidienne des individus risque de mettre à rude épreuve notre capacité à faire appliquer ces principes.» 47 Diverses voix remettent en cause aujourd hui l uniformité du concept de DP. Selon la directive européenne 95/46, ses dispositions s appliquent aux «traitements automatisés et aux fichiers de données à caractère personnel, soit aux traitements portant sur toute information concernant une personne physique identifié ou identifiable (personne concernée) directement ou indirectement». On parle désormais d une troisième génération des droits de protection des données. «La prise en considération des nouveaux réseaux et des utilisations dont on perçoit seulement aujourd hui les premiers développements amène à devoir considérer un élargissement de la protection des données au-delà des principes mis en place par la directive 95/46/CE». 48 En l état actuel, les textes européens ne sont pas suffisamment clairs et précis pour assurer l application des principes dans les nouvelles technologies. Le plus gros risque semble être celui du cloud computing en raison de l incapacité de s assurer de l application des politiques de sécurité par les fournisseurs et de l inadéquation des politiques d entrainement et d audit IT. Dans certains cas, le commissaire européen à la protection des données précise qu il peut s avérer nécessaire pour certains types de produit/technologie de définir des mesures de protection dès la conception, plus explicites et spécifiques. Le CEPD a identifié trois domaines : la RFID, les réseaux sociaux et les applications de navigation. -les nouvelles technologies sont loin d être fiables et les spécialistes s inquiètent des nombreux faux positifs -Pour des raisons politiques de lutte contre la délinquance et la criminalité, ou dans un souci de gestion l interconnexion des fichiers augmente dans tous les domaines notamment entre pays. La collecte des donnés se mondialise. Ainsi que cela a été souligné dans le programme de Stockholm, la difficulté consistera à garantir le respect des libertés et des droits fondamentaux et l'intégrité, tout en assurant la sécurité en Europe. 49 -Dans l agenda digital de la commission européenne sont mis en exergue les défis sur l U.E. doit absolument relever si elle veut voir sa stratégie numérique 2020 couronnée de succès : manque 47 Défis induits par les technologies en matière de protection de la vie privée et des données en Europe Rapport du groupe de travail ad hoc «Respect de la vie privée et technologies» de l ENISA Juillet Pour une troisième génération de réglementations de protection des données, Yves Poullet Programme de Stockholm 17024/

79 d'interopérabilité des dispositifs, des applications, des référentiels de données, des services et réseaux ; augmentation de la cybercriminalité et risque de défiance vis-à-vis des réseaux. Il y est également fait état des occasions manquées de relever des défis sociétaux. L agenda digital propose diverses solutions pratiques dont le renforcement de la protection des DP. 50 (II) Défis politiques «Il est absolument indispensable d améliorer, de clarifier et de préciser les règles relatives au droit applicable ( ) Les définitions de nombreux concepts de base mentionnés dans la directive laissent sans réponse de nombreuses questions cruciales». 51 -Les conflits de lois au sein de l U.E. mais surtout par rapport aux responsables du traitement dans les pays non membres de l U.E.vont s accentuer; - Les différences d interprétation au niveau de l application et de l interprétation des concepts et règles de base en matière de protection des données y compris au sein de l U.E. pourraient rendre la définition d un référentiel commun d autant plus difficile; - Le rapport précité constate que les délocalisations des traitements et les flux transfrontaliers profitent d une «faille du système». -La commission constate aussi une multiplication de lois sectorielles traitant de DP mais sans garanties de protection. -L énoncé de certains principes mérite d être révisé et adapté aux nouveaux modes de traitement de données ; -De nouveaux principes (économie des données) et de nouvelles procédures (audit) sont apparus dans la littérature puis dans le domaine règlementaire afin d encadrer les technologies ; - Le traitement des données sensibles est appelé à se généraliser ce qui ne sera pas sans créer des risques pour la protection des DP. L article 8 de la directive interdit (sauf exception) le traitement de «données particulières» limitativement énumérées mais le degré de sensibilité des DP n est pas évoqué. 52 Dans son communiqué du 4 novembre 2010, la Commission précise que dans certaines situations des DP spécifiques pourraient nécessiter des mesures complémentaires ex. Data Mining, croisements de données, besoin de confidentialité et d intégrité La commission examinera aussi si d autres données doivent être considérées comme sensibles comme par exemple les données génétiques. On remarquera aussi que de nombreuses législations en dehors de l U.E. ou en en son sein, considèrent les données financières et de crédit comme des données sensibles ou à risque plus élevé que les données de base (cf. Espagne ) Étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques, commission européenne, janvier «Données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle». 53 Articles 80 et 81 décret 1720/

80 Les standards de Madrid 54 traitent des «Donnée sensibles» en tant que : -données qui affectent le sujet dans sa vie privée -données pouvant donner lieu en cas d abus à : Une violation de la loi ou une discrimination Un risque sérieux pour le sujet Section 3.03 Protection des DP : vers une approche globale (I) Encouragements pour une démarche holistique et proactive de protection -Une loi (au sens de mesure) proactive se comprend comme une disposition légale combinée avec une série de compétences, pratiques et procédures qui aident les organisations et les individus à identifier les opportunités à temps et à repérer les problèmes potentiels tant que les actions préventives sont encore possibles. L idée est que le savoir juridique est meilleur quand il est appliqué avant que les risques ne se transforment en problèmes judiciaires. Les aspects de la loi, exprimés en termes juridiques doivent être intégrés le plus tôt possible dans les systèmes et processus ; les outils et méthodes purement techniques ont souvent des conséquences juridiques. Il a été constaté qu en matière de protection de la vie privée et de confidentialité, les organisations les moins matures tendent à se focaliser essentiellement sur la conformité tandis que les plus matures investissent dans la gouvernance. Nous devons dépasser la seule «conformité à la lettre» avec la loi en implémentant et en appliquant des mesures basées sur les principes généralement acceptés, les meilleures pratiques correspondant à l état de l art et les mesures d auto régulation sectorielles. La certification est un des moyens préconisés par la commission pour améliorer la protection des DP. 55 Les standards de Madrid : Lors de la Conférence des commissaires à la protection des données et à la vie privée (2009) de Madrid, 50 pays prenant en compte les législations des cinq continents ont émis une série de standards selon une approche qu ils ont qualifié d «universelle» dans le but de garantir une protection internationale des DP et de la vie privée. Parmi une série de propositions citons celles visant à encourager : - Les mesures proactives telles que l implémentation de procédures pour prévenir et détecter les failles, basées sur des standards de gouvernance de sécurité de l information et/ou de management ; - Des audits réguliers par des professionnels indépendants pour vérifier la conformité aux lois et aux procédures de l entreprise ; - la prise en compte des exigences dès la phase de détermination des spécifications, durant le développement et la mise en œuvre -La mise en œuvre de PIA avant toute installation de nouveau système ou technologie d information ; - L adoption de codes de conduite contraignants permettant de mesurer l efficacité, la conformité et le niveau de protection des DP -les mesures de sécurité en fonction des risques -les actions de sensibilisation et de formation. Avis du G29 : COM (2010)609/3 80

81 L avis du G29 du 13/07/2010 accorde une place importante à la réduction des risques dans le cadre d une bonne gouvernance. Pour définir les modalités permettant de garantir l efficacité des mesures, le groupe de travail «article 29» suggère d appliquer les mêmes critères que ceux indiqués à l article 17 de la directive 95/46/CE pour prendre les mesures de sécurité (risques des traitements et de la sensibilité des données). -en exigeant des mesures d évaluation (audit) et des mesures complémentaires fonction de la sensibilité des données et de leur contexte ; -en proposant des principes complémentaires tels que celui de «la collecte minimum» (II) Emergence de nouveaux concepts et de nouveaux outils (1) Privacy by Design (PbD) a) Le concept de PbD Le PbD signifie qu il est nécessaire d intégrer la protection des données et de la vie privée dès la conception de nouvelles technologies de l information et de la communication (respect de la vie privée dès la conception). Le risque zéro ne peut exister mais des mesures peuvent et doivent être prises pour limiter les risques à un niveau acceptable. La directive 95/46 n érige pas le PbD au rang de principe, néanmoins on peut légitimement penser que le concept est indirectement consacré dans les lignes de l article 17 précisant que : «Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite». D autre part, le considérant 45 complète l article 17: «la protection des droits et libertés des personnes concernées à l égard du traitement de données à caractère personnel exige que des mesures techniques et d organisation appropriées soient prises tant au moment de la conception qu à celui de la mise en oeuvre du traitement, en vue d assurer en particulier la sécurité et d empêcher ainsi tout traitement non autorisé». Le responsable de traitement de DP est directement concerné mais pas les concepteurs et fabricants de TIC. Paradoxalement, certains responsables de traitement de DP avouent ne pas trouver d outils satisfaisants et correspondants à leurs attentes sur le marché (voir enquête Titre III section 4). L article 14, paragraphe 3 de la directive «Vie privée et communications électroniques», y fait référence sans que le concept soit rendu obligatoire : «Au besoin, des mesures peuvent être adoptées afin de garantir que les équipements terminaux seront construits de manière compatible avec le droit des utilisateurs de protéger et de contrôler l utilisation de leurs données à caractère personnel, conformément à la directive 1999/5/CE et à la décision 87/95/CEE du Conseil du 22 décembre 1986 relative à la normalisation dans le domaine des technologies de l information et des télécommunications». Cette disposition n a jamais été appliquée. Le droit européen n impose pas précisément que la conception des TIC soit conforme au principe de respect de la vie privée dès la conception. Dans son avis du , le commissaire européen à la protection des DP (CEPD) recommande quatre mesures à la Commission: a)intégrer une disposition générale sur le respect de la vie privée dès la conception dans les textes juridiques relatifs à la protection des données. 81

82 Cette recommandation ne fait que suivre l avis n 168 du groupe de travail article 29 (G29) sur l avenir de la protection de la vie privée du 01/12/2009 dans lequel il indiquait que : le principe de PbD «( )devrait être contraignant pour les concepteurs et producteurs de technologies ainsi que pour les responsables du traitement des données chargés de l achat et de l utilisation des TIC(. )Les fournisseurs de tels systèmes ou services et les responsables du traitement des données devraient démontrer qu ils ont pris toutes les mesures requises pour remplir ces obligations». Un tel principe devrait se garder de prescrire toute solution technologique. b) Formuler cette disposition générale sous forme de dispositions spécifiques lorsque différents instruments juridiques sont proposés, dans différents secteurs. c) Inclure le principe de respect de la vie privée dès la conception dans le Programme numérique européen, en tant que principe directeur. d) Introduire le principe de respect de la vie privée dès la conception en tant que principe dans d autres initiatives communautaires (principalement des initiatives non législatives), notamment: esanté, eapprovisionnement, esécurité sociale, elearning, etc Le CEPD souligne l'importance d'adopter des mesures de sécurité appropriées à chaque étape du traitement des données à caractère personnel, y compris pendant la phase de destruction des appareils contenant des données personnelles. Le principe du "privacy by design" ou, dans ce cas précis, de "security by design", devrait également être inclus dans la proposition afin de s'assurer que des garanties en matière de vie privée et de sécurité soient intégrées par défaut dans la conception des équipements électriques et électroniques. Le CEPD recommande que le législateur: -intègre "par défaut" la vie privée et la protection des données dans la conception des équipements électriques et électroniques afin de permettre aux utilisateurs de supprimer - de manière simple et gratuite - les données personnelles pouvant se trouver dans les appareils dans le cas où ceux-ci devraient être détruits; -interdise la commercialisation d'appareils utilisés qui n'ont pas fait l'objet de mesures de sécurité appropriées, en conformité avec les normes techniques les plus avancées, afin d'effacer toutes les données personnelles qu'ils contiennent. On pourrait très bien imaginer que les Organisations Européennes de Normalisation, CEN, CENELEC ou ETSI incluent un principe de PbD dans les normes européennes. La norme européenne devant obligatoirement être implémentée au niveau national en contrepartie du retrait des normes nationales conflictuelles. La 32 ème conférence des commissaires à la protection des données et à la vie privée à Jérusalem (2010) 56, a consacré le principe du PbD du professeur A.Cavoukian comme principe fondamental de protection. Les commissaires et les autorités sont invités à promouvoir le PbD aussi largement que possible à travers la distribution de matériels d éducation et des recommandations et à développer la prise en compte des principes du PbD dans les politiques de protection des DP et dans les lois nationales. Les commissaires et autorités de protection des données font preuve d un large consensus sur un nécessaire principe de PbD. La certification par un tiers indépendant pourrait être le seul moyen d évaluer et d assurer le respect du principe de PbD dès la conception du système/produit/technologie mais aussi lors de l implémentation et dans la mise en œuvre.à condition de s accorder sur un référentiel sur un plan européen et international

83 b) Les Ambassadeurs du PbD (Golden Standard) 57 Le Professeur Ann Cavoukian, à l origine du concept de PbD désigne les 7 principes fondamentaux du PbD : 1. Proactif et non réactif; Préventif et non pas réparateur 2. Privacy as the Default (pas besoin de l intervention de l utilisateur) 3. Protection de la vie privée intégrée dans la conception 4. Fonctionnalité complète somme positive «win win», vie privée ET sécurité 5. Protection de bout en bout du cycle de vie 6. Visibilité et Transparence 7. Respect de l utilisateur: garder l utilisateur au centre des préoccupations Respect de la vie privée de L utilisateur Proactif préventif Privacy by Default Technologies de L information Visibilité Transparence «Accountability» Ratique des affaires ii Conception et infrastructure Insertion dans la conception Protection tout au long du cycle de vie Pleine fonctionnalité Somme positive Figure 8 Cycle du Privacy by Design Le concept de PbD se fonde sur les principes de l OCDE mais le Gold Standard va au-delà et cherche à relever la barre en étant le plus haut standard global possible. Bien que le programme des ambassadeurs du PbD ne soit pas un régime de certification il avance les mêmes objectifs en reconnaissant les personnes qui contribuent de manière significative au concept de démarche proactive. De même les organisations qui mettent en place les 7 Principes fondamentaux du PbD peuvent être reconnues en tant qu Ambassadeurs. Il n est pas question de remplir un standard mais de démontrer comment les principes ont été mis en œuvre. Les ambassadeurs sont des exemples récompensés par le commissaire de l Ontario pour avoir réellement et avec succès sensibilisé le public au concept de PbD. Il n y a pas vraiment de critères d évaluation Privacy by Design: The 7 Foundational Principles Implementation and Mapping of Fair Information Practices 83

84 Il s agit d une démarche gratuite aboutissant à la reconnaissance d un travail bien fait. Le commissaire de l Ontario, A.Cavoukian, précise n avoir pas les ressources financières et humaines suffisantes pour mettre en place un programme de certification. Deloitte & Touche aurait mis en place un programme d évaluation basé sur ces 7 principes de PbD. Pour prétendre à la qualification d Ambassadeur, l organisation doit répondre aux trois questions suivantes : 1.Qui est votre organisation et que fait elle? 2. Comment avez-vous mis en place les principes de PbD au sein de votre organisation? 3.Quels sont les bénéfices que votre organisation en a retirés? Les «smart grid», dénomination d'un réseau de distribution d'électricité «intelligent», sont un des sujets concernés au premier chef par ces principes. Quelles que soient les critiques qui pourraient être faites aux «Golden Standard», on retiendra plusieurs idées intéressantes : - Celle d une gratification ou remise de prix (on pourrait imaginer un prix annuel ou bi-annuel décernée à une innovation dans le domaine de la protection des DP et de la vie privée) ; - L accent mis sur la sensibilisation des concepteurs des produits ; - L occasion de créer un Buzz autour du PbD ; - Et l idée qu il puisse être laissé une certaine flexibilité aux concepteurs pour garantir la protection des DP dès l origine. (2) Principe de «Accountability» a) Principe fondateur d un schéma de certification de protection des DP On entend par «Accountability» une obligation de rendre compte ; ce principe met l accent sur la manière dont la responsabilité est assumée et sur la manière de le vérifier. Le terme anglo-saxon n ayant pas de traduction précise, il a délibérément été choisi d utiliser le terme anglais dans les commentaires ci-après. A la lecture des prises de position des divers acteurs européens, tout laisse à penser que les textes vont évoluer vers une obligation de «management» de la protection des DP. Le principe de «Accountability», principe de gouvernance éthique, n est pas nouveau. On le trouve dès 1980 dans les lignes directrices de l OCDE. Bien qu il n apparaisse pas expressément dans les directives européennes, des dispositions requièrent par exemple des organisations qu elles évaluent la finalité des traitements et le niveau de protection nécessaire pour assurer la sécurité des DP. Le G29 s est prononcé en faveur d un tel principe en et dans son avis de juillet 2010, ainsi que la conférence des commissaires à Madrid. 59 L APEC y fait explicitement référence en tant que principe de protection de la vie privé 58 The Future of Privacy, G29 décembre

85 Le principe de «Accountability» se focalise sur la capacité d une entreprise à démontrer son aptitude à atteindre des objectifs de protection de la vie privée. Il peut se résumer ainsi : -Responsabilisation des entreprises tout en gardant une certaine flexibilité. La responsabilité repose essentiellement sur les organisations et moins sur la diligence des individus. -Les vérifications sont faites par des tierces parties qui sont des agents qualifiés ; le système doit rester abordable sur un plan financier et opérationnel. Si les individus et les autorités de protection leur font confiance la crédibilité des agents doit être assurée au travers d un processus solide et expérimenté selon des critères à définir entre représentants des gouvernements, des entreprises, des experts et des avocats. Dans son avis du 13/07/2010, le G29 précise qu un principe général de responsabilité devrait être inclus dans un nouveau cadre législatif complet. L «architecture juridique» des mécanismes de responsabilité prévoirait deux niveaux: le premier niveau consisterait en une exigence légale fondamentale contraignante pour tous les responsables du traitement des données, et un second niveau de responsabilité volontaire allant au-delà des exigences juridiques minimales. Le G29 précise dans son avis du 12 juillet 2010 «qu à plus long terme, la disposition relative à la responsabilité pourrait favoriser la mise en place de programmes de certification ou de labels. De tels programmes contribueraient à prouver qu un responsable du traitement des données a bien respecté la disposition, qu il a défini et mis en oeuvre des mesures appropriées et que cellesci ont fait l objet d un audit périodique.» Dans son communiqué au Parlement Européen du 04/11/10 la commission encourage les démarches d auto régulation et dit explorer les schémas de certification européens. Elle réitère sa confiance dans les initiatives d autorégulation des responsables de traitement (RT). La commission entend explorer la possible création d un schéma de certification européen (i.e. privacy seals ) pour des procédures de conformité, pour des technologies et des produits et services. Elle précise que cette démarche serait à mettre en relation avec la responsabilité des responsables de traitements : le choix de technologies, services ou procédures certifiées pourrait aider à prouver que le RT a rempli ses obligations. Ces labels devraient être dignes de confiance et être compatibles avec les obligations légales et les standards internationaux. Au R.U. la Financial Services Authority (FSA) prend en compte la conduite de la personne après la faille, les enregistrements antérieurs et les états de conformité de l organisation pour prononcer des sanctions. La certification pourrait servir de ligne de conduite pour les Corporate Governance Code - et aider à des «Privacy Reporting/Accounts» ; il pourrait être imposé à certaines organisations à hauts risques de publier régulièrement des rapports de leurs politiques de traitement des DP ou d incidents relatifs aux pertes, violations et failles de sécurité. On pourrait imaginer des obligations semblables aux actions de prévention du risque en droit du travail en France. A titre d exemple, citons le cas du document unique 60 (ou Document unique d'évaluation des risques) qui est l affirmation écrite du principe d'évaluation des risques, imposé à tout employeur par le code du travail. Il est obligatoire pour toutes les entreprises et associations de plus de un salarié et doit faire l'objet de réévaluations régulières. Ou bien à l image des lois Grenelles en France qui renforcent les devoir des entreprises et les exigences de publication en matière de RSE, en l'étendant aux sociétés non-cotées, avec une volonté 60 décret n du 5 novembre

86 de transparence, vérifiabilité, certification par un «tiers indépendant». La loi vise aussi une comparabilité des rapports par des méthodes communes de calcul et d'évaluation. b) Le projet de Paris : Accountability 61 Les participants au projet «accountability» ont proposé neuf principes directeurs qu une organisation pourrait suivre en totalité ou pour certains d entre eux seulement selon la sensibilité des données : 1 Existence de politique écrite et de procédures engageantes et applicables, reflétant les textes de loi, les règles d entreprises et les standards ; 2 Surveillance et responsabilité des cadres ; 3 Allocation de ressources pour disposer d un personnel suffisant et entrainé ; 4 Education et sensibilisation régulière ; 5 Evaluation et minimisation des risques en continu ; 6 Surveillance et validation d un programme d évaluation des risques ; 7 Gestion des incidents et traitement des plaintes ; 8 Procédure disciplinaire interne en cas de non-conformité ; 9 Réparation. Le processus de Accountability pourrait comprendre plusieurs étapes telles que : 1. L organisation prend les mesures et procédures pour appliquer sa politique de protection de la vie privée et des DP. Elle mène une étude d analyse et de minimisation des risques basée sur sa compréhension de ses obligations. A ce stade l organisation devrait consulter l autorité supérieure de protection des DP ou des agents «Accountable». On est dans le schéma d une auto-évaluation ; 2. L organisation certifie qu elle respecte les exigences de Accountability ; 3. L autorité de protection des DP ou un agent reconnu révise les traitements et fournit une sorte d agrément de certification ; 4. L organisation se soumet à l autorité d un agent reconnu ou de l autorité de protection des DP. Ce ou cette dernière entend et résolve les plaintes individuelles. Il ou elle conduit des actions de vérification sur place pour s assurer du respect des engagements pris. 5. Les acteurs concernés s engagent à développer la sensibilisation des organisations quant à leurs obligations en tant qu entreprises «accountable» et les bénéfices qu elles peuvent tirer. Les agents peuvent être reconnus et en charge de certifier que l analyse de risques de l organisation est bonne et que son programme est capable de maintenir un processus effectif de «accountability». Ils peuvent aussi être accrédités pour évaluer et approuver les applications qui doivent être certifiées. Ils pourraient jouer un rôle dans la résolution des litiges, les vérifications sur place et l application. Pour les organisations souhaitant s engager dans des activités pouvant entrainer des risques importants vis-à-vis des DP, la certification pourrait être nécessaire. On pourrait aussi prévoir plusieurs niveaux de certification selon l étape. Sur la base de ce principe on pourrait imaginer la mise en place de modèles de maturité, à l image du système développé par Microsoft. 61 Demonstrating and Measuring Accountability, Accountability Phase II The Paris Project October 2010, Centre for Information Policy, Hunton & Williams 86

87 c) Mesurabilité du principe d «Accountability» i) Modèle de gouvernance Microsoft a développé un modèle de gouvernance de la confidentialité et de la protection des DP qui s inspire fortement du modèle de maturité CMM (quatre niveau de maturité). Le modèle permet de dresser un état des lieux de la protection des DP et de la vie privée dans l organisation : «Où en êtes-vous? Où aimeriez-vous en être?» L objectif est de souligner pour chaque section (personnes, processus et technologie) les points sur lesquels l organisation devra se focaliser pour passer d un niveau à un autre (Basique, Standard, Rationnel, Dynamique) voir fig.9. L organisation n est pas forcément au même niveau de maturité selon qu il s agisse des personnes, de la technologie ou des processus. Chaque section est elle-même divisée en fonction de composants ou de groupes de capacités ; La section «personnes» est divisée en 3 groupes: Direction ; organisation de la gouvernance des données ; main d œuvre et partenaires La section «processus» comprend 4 contrôles : contrôle de l organisation du modèle ; contrôle des exigences ; contrôle de la stratégie et des politiques ; contrôle de l environnement La «technologie» se scinde en 3 : cycle de vie de l information ; domaines ; matrice d analyse d écarts et de risques Afin de mesurer les progrès, on utilise le vocabulaire suivant : Planifié, en cours, prêt (à être implémenté), adopté (implémenté et en fonctionnement). Figure 9 DGPC (data governance for privacy and confidentiality) modèle de maturité de capacité. 87

88 On pourrait suggérer de s inspirer de ce type de modèle pour définir des niveaux de certification en fonction des objectifs de l entité. ii) Système de notation Certains auteurs estiment que le seul moyen de gagner la confiance est d en être digne. Ainsi, une fois la confiance des consommateurs acquise, ces derniers seront plus enclins à partager leurs données qu ils sauront protégées. Ils suggèrent alors un système de notation du risque, à la fois simple et solide qui de préférence pourrait dépendre de cadres de régulation déjà existants cf.les taux de notation de risques crédit de Standard and Poors ou Moody s et des règles de gouvernance applicables dans le secteur de l information financière. 62 La notation pourrait être délivrée par des organisations accréditées par l autorité de protection des DP voire par un système d auto-évaluation. Privacy Risk Rating = [risque inhérent à l utilisation] x [Σ notations des principes] x [l approche Implémentation/conformité/accountability ]. 0 = low 0 = strong 0 = strong 2 = high 25 = weak 2 = weak Les auteurs proposent d inclure un nouveau concept de «comportement inacceptable». Le système de pénalités et d incitations se baserait sur: le non respect des standards et exigences inclues dans les BCR et/ou les dispositions relatives à l implémentation, la conformité et l obligation de rendre compte qui sont pris en compte pour la notation; l échec de la sécurité des informations personnelles; l absence d évaluation du risque; l absence d audit et de publication du rapport en cas d obligation; l absence de service approprié de traitement des plaintes; la conduite inacceptable; les déclarations de failles de sécurité et éventuellement les notifications individuelles sous certaines conditions. Le concept est intéressant mais d une part se poserait le problème de la responsabilité des auditeurs engagés dans une démarche de notation ; d autre part, il nous semblerait plus opportun d y associer des organismes de régulation des marchés tels que l AMF comme nous le suggérons ci-après. -On pourrait aussi se placer sur un plan éthique et sociétal : On observe l émergence de notations par des tiers extérieurs des organisations sur la base d informations non financières dans le domaine de la responsabilité sociétale et environnementale des entreprises. 63 La norme ISAE 3000 (IFAC) s applique à la vérification des données non financières de l entreprise. Le commissaire aux comptes rend un rapport dans lequel il indique son degré d assurance compris entre : 62 Malcolm Crompton, Christine Cowper, Martin Abrams, sont les auteurs d un article intitulé A working paper for the Privacy and Trust Partnership 63 Agences de notation extra financière : Agences de notation extra financières : CORE RATING, INNOVEST, ETHIBEL, VIGEO,ODE, SAM 88

89 -un niveau élevé dénommé raisonnable -un niveau intermédiaire dénommé «modéré» -un niveau faible qui est un avis sur l application des procédures mais ne comporte pas d appréciation sur la qualité des données. L AMF avait indiqué être favorable à une certification RSE à la condition qu elle intègre une évaluation de l impact financier des données RSE sur le patrimoine et l activité de l entreprise. La protection des DP et de la vie privée relève plus généralement de comportements responsables et de ce fait pourrait être comprise dans une démarche de responsabilité sociétale. Prenons par exemple le standard AA1000 dont sont issus une série de principes devant aider les organisations à devenir plus «Accountable», responsables et durables. Il traite des sujets de gouvernance, de stratégie et procure des lignes directrices. L auditeur doit assurer l étendue de la conformité aux principes. 64 L idée d une certification globale de responsabilité sociétale comprenant une série de principes propres à la protection des DP et de la vie privée doit nous inciter à réfléchir à la complémentarité des schémas au même titre qu il existe une complémentarité avec l ISO pour la gestion de la sécurité des systèmes d informations par exemple. (III) Obligation de sécurité renforcée : la protection des DP étendue à la sécurité des réseaux De récents sondages 65 confirment l augmentation du rôle et de l importance de la fonction sécurité dans un contexte de réduction des coûts. La menace sur la sécurité de leur patrimoine informationnel est perçue par les entreprises comme étant plus présente pendant la crise économique, ce qui laisse présumer d un réel besoin de mesures de protection dans ce domaine. L évolution des textes laisse entrevoir une importance croissante du poste sécurité et des obligations y étant associées pour les responsables de traitement de données personnelles. La sécurité des données est non seulement un principe déterminant de protection des DP mais c est aussi un «avantage préférentiel» que pourrait garantir un schéma aux candidats à une certification portant sur la protection des DP (augmentation du bénéfice retiré). (1) Le «paquet Télécom» Il prévoit une double offensive pour assurer le renforcement de la sécurisation des réseaux et des services d accès, par le biais de mesures a priori (obligation d évaluation de la sécurité des systèmes, etc.) mais aussi d obligations a posteriori (obligations de notification). La directive «cadre», qui s applique aux fournisseurs des réseaux de communications publics ou des services de communications électroniques accessibles au public tels que les fournisseurs d accès à l internet, traite de la notification de l existence d une faille. Le texte, fait état d une atteinte portée à la sécurité ou une perte d intégrité «ayant eu un impact significatif sur le fonctionnement des réseaux ou des services». Le FAI sera tenu de notifier à «l autorité réglementaire concernée» qui informera, éventuellement, les autorités concernées des autres Etats membres et l ENISA (l'agence européenne chargée de la sécurité des réseaux et de l'information) PWC report survey 2010 et

90 Le public est informé soit par l autorité nationale soit si elle préfère, par le fournisseur victime de la faille, si et seulement si : il est relevé un impact significatif sur le fonctionnement, mais aussi, critère supplémentaire, s il est «d utilité publique» de divulguer les faits. Il n est pas prévu d exonération à la notification. L objectif est d assurer la transparence et la visibilité au travers de statistiques devant servir de support à des actions concertées sur les règles de sécurité pour garantir la disponibilité, l intégrité et la continuité du réseau dans un environnement convergent d infrastructures fixes et mobiles. Les états membres ont donc l obligation de veiller à ce que ces fournisseurs prennent des mesures «techniques et organisationnelles adéquates [ qui] garantissent un niveau de sécurité adapté au risque existant» (cf.art. 13 de la directive 2002/21/CE modifiée). Les mesures techniques et la forme que doivent emprunter les notifications pourront être arrêtées par la suite en conformité avec la procédure européenne de «réglementation avec contrôle» qui permet de faire appel à l avis d experts tels que l ENISA dont la commission est incitée à tenir «le plus grand compte» de l avis. Elle devra aussi s appuyer, «dans toute la mesure du possible», sur d éventuelles normes européennes et internationales existantes. La sécurité des réseaux est un sujet de préoccupation majeur dans le secteur des télécommunications qui implique des mesures préventives adaptées aux risques, des mesures de contrôle et une garantie de transparence des incidents. Des schémas de certification pourraient attester de la conformité de ces mesures. (2) La directive 95/46 Dans sa communication du 04/11/2010, la commission européenne précise qu elle examinera les modalités d introduction d une notification des failles de sécurité en lien avec le principe d économie des DP et de contrôle effectif par la personne concernée sur ses propres données. En France, la proposition de loi du 6 novembre 2009 de M. Détraigne et Mme Escoffier, sénateurs vise «à mieux garantir le droit à la vie privée à l heure du numérique» et propose également une obligation de notification des «atteintes aux traitements de données». La proposition de loi envisage la publication des «Atteintes aux traitements de données à caractère personnel». Les termes d «atteinte» et de «notification» pourraient respectivement être remplacés par ceux de «violation» et «information». Les auteurs de la proposition de loi Détraigne-Escoffier relèvent qu en France, «La CNIL estime que le niveau de protection des données ne peut être jugé satisfaisant, comme en témoignent ses contrôles, tant auprès des entreprises que des administrations» et regrettent que «la sécurité des données ne constitue malheureusement pas encore une préoccupation majeure». Il est vrai que le concept de sécurité n est pas détaillé dans l article 17 de la directive 95/46, ce qui rend sa mise en œuvre d autant plus disparate selon les pays et les organisations. (3) La directive vie privée et communication électronique Elle porte sur la «violation» de données à caractère personnel «entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté» ; 90

91 L article 4 de la directive prévoit que : «En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l autorité nationale compétente de la violation. Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d un abonné ou d un particulier, le fournisseur avertit également sans retard indu ( ) le particulier concerné. La notification au particulier concerné n est pas nécessaire si le fournisseur a prouvé, à la satisfaction de l autorité compétente, qu il a mis en oeuvre les mesures de protection technologiques appropriées rendant les données incompréhensibles à toute personne qui n est pas autorisée à y avoir accès. Si le fournisseur n a pas déjà averti l abonné ou le particulier, l autorité nationale compétente peut, après avoir examiné les effets éventuellement négatifs de la violation, exiger du fournisseur qu il s exécute. Les autorités nationales compétentes peuvent adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission. Lors de la fixation de règles détaillées, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d usurpation d identité ou d autres formes d abus. Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel et des mesures prises pour y remédier. La directive «vie privée et communications électroniques» prévoit l avertissement de l autorité nationale de toute violation accidentelle ou illicite de données personnelles ; elle impose la notification aux particuliers sauf à ce que des mesures préventives de protection appropriée aient été mises en œuvre. En Europe la législation sur les failles de sécurité est déjà entrée en vigueur dans de nombreux pays. 66 Vers une obligation générale de déclaration des failles de sécurité? Les considérants de la directive sur les télécommunications préconisent l extension de l obligation de déclaration des violations de sécurité à l ensemble des secteurs, en soulignant que «l intérêt des utilisateurs à être informés ne se limite pas, à l évidence, au secteur des communications électroniques, et il convient dès lors d introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs». Le commissaire européen Peter Hustinx (CEPD) «prie instamment la Commission de faire des propositions multisectorielles sur les failles de sécurité» dans son rapport du 18/03/2010. Signalons enfin qu en France, conformément aux dispositions de l'article R du code de la Santé Publique, les hébergeurs de santé doivent fournir à l appui de leur demande d agrément une présentation de leur politique de confidentialité comprenant «Les procédures de signalement des incidents graves, dont l'altération des données ou la divulgation non autorisée des données personnelles de santé. 66 Voir : La sécurité des données personnelles enfin prise au sérieux? par Bruno Rasle Mars

92 Section 3.04 Résultats de l enquête de terrain La réussite d un schéma n est envisageable qu à une des deux conditions suivantes : -il existe une obligation règlementaire et/ou -Il existe des besoins qui se traduisent par une demande du marché. Le premier objectif de l enquête était de sonder la sensibilisation des organisations, leurs besoins et leurs attentes en matière de protection des DP alors même que la CNIL s est engagée dans une démarche de labellisation. Le questionnaire comportait donc trois parties, les deux premières ayant vocation à évaluer la gestion de la sécurité des données et le management des DP tandis que la dernière partie avait pour but de déterminer les caractéristiques attendues d un schéma de certification de protection des DP. 21 entretiens semi-directifs ont été menés auprès d entreprises situées sur le territoire français, à l exception de 3, localisées au R.U., en Suisse et en Belgique. Les organisations concernées se caractérisent par leur taille relativement importante : 500 salariés : 2 entités De 500 à 1000salariés : 3 entités De 1000 à 5000 salariés :.4 entités De 5000 à salariés :..3 entités De à salariés :..4 entités salariés :..5 entités Les résultats sont à interpréter à la lumière de cette remarque. Il est évident que les «caractéristiques propres à un label de qualité» seraient différentes pour des TPME et PME de moins de 500 salariés. Comme nous avons pu le voir dans le titre I, plus que par la qualité du schéma de certification, les petites entreprises sont avant tout intéressées par acquérir une meilleure visibilité grâce au label. Le recours à des tiers a été clairement exprimé en cas de mise en œuvre de traitement particulièrement complexe, pour tester ou évaluer niveau de conformité ou de sécurité (test de vulnérabilité, d intrusion ) ou pour se situer par rapport à d autres entreprises du secteur. Les personnes interrogées sont majoritairement des responsables informatiques ou responsables sécurité (10/21) et des responsables juridiques (7/21) ; 4 exercent à temps plein une fonction de responsable de la protection des DP et de la vie privée. Les trois secteurs les plus touchés par les failles de sécurité aussi appelés les «big three» sont la finance, les hôpitaux et la vente de détail (33%, 23%, et 15% respectivement). Il n est donc pas inutile que le secteur financier/banque /assurance soit majoritairement représenté : 8/21 entités. Deux secteurs 2/21 ont deux représentants : le ecommerce et la fabrication/distribution/vente directe de biens. Les autres secteurs ont un seul représentant : vente au détail ; Administration ; Enseignement public ; Hôpital ; Opérateur téléphonie ; pharmacie ; industrie ; aéronautique ; Electricité/énergie ; investissement immobilier Nationalité : 13 organisations sont françaises tandis que 8 sont de nationalité étrangère Toutes les personnes interviewées déclarent avoir un DSI et un RSSI à l exception d une entité. 92

93 On note un cloisonnement entre les services juridique et sécurité que le CIL n est pas toujours en mesure d atténuer. Les juristes interviewés ne se sentent pas concernés par les questions traitant de la sécurité informatique et considèrent comme un fait acquis qu en présence d un RSSI, les DP sont forcément correctement protégées. Les responsables informatiques pour leur part, limitent la protection des DP à la seule sécurité. Référentiel de protection et sécurité des données : Une entreprise (USA) se distingue par son référentiel de Corporate Governance Risk & Compliance et des procédures de contrôle détaillées (audits internes réguliers utilisés pour mesurer l efficacité du programme, guidelines, standards, audit system IT et processus sur la base d une analyse de risques). Les personnes déclarent se référer à des normes, standards ou règles internes pour mettre en place des méthodes ad hoc. Un petit tiers des répondants indique avoir mené une analyse de risques propre aux DP. Analyse risques DPC:non 67% Analyse risque DCP: ne sait pas 5% Analyse risques DPC:oui 28% Figure 10 Gestion des risques Niveau d'analyse de risque La moitié des personnes interrogées déclarent bénéficier des ressources suffisantes pour assurer la sécurité des données. L autre moitié estime manquer en priorité de ressources humaines. Aucune entreprise ne classe ses données selon leur valeur. Une seule déclare classer les données en fonction de leur sensibilité, selon le contexte, leur utilisation, et surtout leur association avec d autres données La sécurité des «données personnelles» en tant que telle n est pas perçue comme une obligation forte de la loi de La menace interne humaine semble d ailleurs sous estimée par rapport à la menace externe : 93

94 Menaces internes humaines 33% Types de menaces Menaces internes techniques 22% Menaces externes 45% Figure 11 perception des menaces sur les données La prise de mesures de protection des DP est en priorité motivée par le risque juridique et financier. Les trois quart des entreprises évoquent un risque de non-conformité aux principes de protection des DP tout en tenant compte du faible nombre de sanctions prononcées et de leur caractère peu dissuasif par rapport à celles de l AMF par exemple. Les personnes interrogées méconnaissent les obligations imposées par la loi et n ont qu une vague idée des éventuelles sanctions encourues. Elles se limitent en général à la déclaration de leurs traitements à l autorité indépendante ou à la nomination d un CIL et à l information des personnes sur leur droit d accès. Moins de la moitié (8/21) pensent avoir une connaissance totale des risques juridiques encourus. Les projets de modification de la directive européenne sur l intégration d un principe de PbD et sur de nouvelles obligations relatives aux failles de sécurité sont mal connus des interlocuteurs. Moins de la moitié a entendu parler de l obligation de déclaration des failles de sécurité tandis que le taux atteint 20% seulement pour le PbD. A la question «Quelle(s) raison(s) pourraient vous motiver pour investir dans la protection des données à caractère personnel?» on constate que : -la gestion des risques n est qu une priorité moyenne alors même que le risque juridique et financier est la principale préoccupation exprimée pour la mise en place de mesures de protection des DP ; -la conformité avec les textes est la principale raison mais elle s accompagne généralement d une recherche de meilleure image de marque et de protection du patrimoine informationnel (on peut supposer qu il s agit d un besoin de sécurité). Enfin notons que certaines organisations souhaitent s inscrire dans une démarche déontologique et éthique, alors que d autres précisent expressément que cela ne fait pas partie de leurs motivations. Remarquons qu en l état actuel des textes, la limitation des risques de non-conformité en cas de mise en place de mesures de protections n est pas expressément prévue. 94

95 Concernant le type de mesure de protection semblant les plus appropriées à ce jour, les actions de formation et d accompagnement par un tiers sont les moins prisées. Cette tendance est à nuancer par le fait qu en raison de leur taille, les organisations ciblées ont généralement déjà des plans de formation interne. L analyse de conformité par un tiers arrive en tête des attentes, devant le PIA. Cependant si on cumule les mesures d audit de sécurité propres aux DP et d audit de sécurité des données, l audit est la première mesure souhaitée par les personnes interrogées (fig.12). Les organisations ont une approche très pragmatique du sujet et ne semblent pas juger qu un positionnement éthique justifie à lui seul de s engager dans une démarche de labellisation. Ils en attendent des bénéfices concrets Etude d'impact Conformité Formation externe Audit DPC Audit dont DPC Figure 12 Mesures de protection des données souhaitées Très peu de personnes interrogées ont entendu parler de mesures de certification de protection des DP (6/21). Les seuls cas cités concernent l action en cours de la CNIL et deux personnes appartenant à des entreprises américaines associent la labellisation aux BCR et au Safe Harbor (mesures de co régulation). L écart d opinion sur le domaine sur lequel devra porter le label et les commentaires reflètent une relative difficulté à imaginer le label. Les grandes entreprises le conçoivent avant tout sectoriel (plus de 70% des répondants). On peut néanmoins voire émerger des souhaits pour un label sur des procédures mises en place au sein d un organisme pour la grande majorité des répondants, les avis se partageant sur le reste des options. 95

96 label généraliste label spécialisé label modulable Figure 13 choix des types de labels Trois réponses d interlocuteurs salariés de groupes internationaux méritent d être rapportées : -intérêt pour une certification de mesures portant sur les flux transfrontières; -la certification pourrait permettre une harmonisation des règles au sein du groupe et entre les services juridiques et informatiques ; - «Encore très fréquemment les applications (progiciels, ) existantes sur le marché et que nous pouvons acheter ne possèdent pas un niveau suffisant de prise en compte des obligations posées par la loi de Les coûts lorsque l on souhaite faire évoluer ses applications sont extrêmement élevés d où un achat en l état. Une certification viendrait donc renforcer la conformité du produit» Les entreprises sont favorables à un label à reconnaissance européenne ou à moindre mesure nationale Reconnaissance sectorielle Reconnaissance nationale Reconnaisance européenne Reconnaissance internationale Figure 14 Périmètre de reconnaissance géographique 96

97 Le coût n est pas un critère prépondérant pour qualifier un bon label. Selon les grandes entreprises, son coût doit se faire en fonction du rapport à la limitation du risque juridique et financier. Ce choix se justifie notamment par le fait que la motivation invoquée pour entamer une démarche de labellisation est réglementaire. La problématiques des données personnelles n ont pas encore d impact sur les critères d achat des consommateurs selon les entreprises, il n y donc pas de notion de retour sur investissement marketing, qui aurait pu être comparé aux coûts. La durée de validité souhaitée est de trois ans. Notons que la question ne distinguait pas entre les produits et les systèmes de gestion, les premiers pouvant justifier un délai plus court en raison des progrès technologiques. Pour la durée d obtention, une durée d un an est souhaitée par la majorité. Les avis divergent davantage que pour le délai de validité (3 trimestres en moyenne déviation standard plus importante que pour le délai de validité) mais on peut conclure que les grandes entreprises admettent que la durée d obtention pourra être relativement longue Durée label 1 an Durée label 2 ans Durée label 3 ans Durée label 5 ans Figure 15 durée de validité Quant au statut de l organisme de délivrance du label et de l instance d évaluation, un organisme institutionnel comme la CNIL ou un organisme reconnu par la CNIL sont les entités de délivrance préférées des grandes entreprises (sur ce point, des commentaires se sont exprimés sur un éventuel conflit d intérêt entre le pouvoir de sanction de la CNIL et la possibilité pour cette autorité d émettre un label) L instance d évaluation préférée est un organisme ou un professionnel compétent reconnu par la CNIL pour la quasi totalité des grandes entreprises interrogées. Le niveau d exigence du référentiel est en majorité «élevé» et éventuellement moyen ; 97