WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

La faisabilité des schémas de certification de protection de la vie privée

( Télécharger le fichier original )
par Florence BONNET
Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010
  

sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

INSTITUT SUPERIEUR D'ELECTRONIQUE DE PARIS

Mastère gestion et protection des données personnelles

Florence BONNET

Faisabilité d'un schéma de certification de protection des données personnelles et de la vie privée

Feasibility of a scheme of certification of data protection and privacy

Thèse dirigée par Alain ESTERLE,

Soutenue le 06 décembre 2010

Membres du jury :

Denis Beautier, responsable du Mastère gestion et protection des données à caractère personnel de l'ISEP ;

Alain Esterle, Consultant indépendant en sécurité des systèmes d'information et en protection des données à caractère personnel.

La diffusion et la reproduction de ce document sont soumises à l'accord de l'auteur

Remerciements

En premier lieu et tout particulièrement, je tiens à remercier mon tuteur de thèse Alain Esterle en tant qu'expert européen en cyber-sécurité et en protection des données personnelles, pour ses conseils avisés, pour ses contacts qu'il m'a aimablement fait partager et pour sa très grande disponibilité.

Conjointement, je remercie Gwendal Legrand et Mathieu Gral (CNIL) pour les entretiens et l'attention qu'ils m'ont accordés;

Alain Ducass, directeur international à l'économie numérique de l'ADETEF qui m'a accueillie dans le cadre de mon stage professionnel portant sur le développement des échanges euro-méditerranéens dans le domaine des TIC ;

Armelle Trottin (LSTI), Pascal Chour (responsable du centre de certification de l'ANSSI) et Philippe Montigny (Ethic Intelligence) pour leurs précieuses observations en tant que professionnels de la certification.

L'ensemble des personnes interrogées dans le cadre de l'enquête de terrain mais qui pour des raisons de confidentialité ne seront pas citées,

Enfin, les professionnels avec lesquels j'ai eu le plaisir de correspondre et d'échanger des informations via Linkedin.

Sommaire

Titre I.Acronymes 4

Titre II.Définitions 4

Titre III.Executive summary 6

Titre IV.Résumé 7

Titre V.Introduction 8

Titre VI.Contexte général des schémas de certification de protection des DP et de la vie privée 9

Section 1.Environnement juridique et culturel 9

(I)Contexte règlementaire 9

(1)Au sein de l'Union Européenne 10

(2)Hors de l'Union Européenne 11

(II)Influence culturelle 12

Section 1.Recensement des schémas de certification 15

(I)L'accréditation 16

(II)Certification de personnes 16

(III)Certification de produits et services 16

(IV)Certification de procédure 17

Titre VIII.Eléments de comparaison des schémas existants 17

Section 1.Critères de comparaison 17

(I)Règles et principes objet du référentiel 17

(II)Contrôles effectifs, réguliers impartiaux et résolution des litiges 18

(III)Indépendance et compétence des évaluateurs et de l'organisme délivrant le label ou le certificat 18

(IV)Accessibilité, information et transparence 18

(V)Reconnaissance géographique, loi applicable et juridiction compétente 19

(VI)Valeur ajoutée de la certification 19

Section 2.Recensement des schémas de protection de la vie privée et des DP 19

(I)Les labels de sites Web 19

(1)Exemples de labels de sites de commerce électronique traitant accessoirement de la protection de la vie privée ou des DP  19

(2)La protection de la vie privée, un des critères des labels de pratiques éthiques des affaires  24

a)Webassured 24

b)BBBOnline 25

c)WebTrust 25

(3)TRUSTe 26

a)Objectifs de TRUSTe 26

b)Une démarche commerciale et marketing 27

c)Evolution de TRUSTe 27

d)Les limites du modèle TRUSTe 28

(II)Schémas de certification de procédure ou de système de gestion 29

(1)L'audit de système de management 29

a)Caractéristiques de l'audit de système de management 29

i)Le schéma de certification Suisse et l'exemple GoodPriv@cy 32

ii)Le schéma japonais et l'exemple de PrivacyMark 35

(2)L'audit, un outil d'amélioration de la protection de la vie privée proposé par les DPA 37

a)L'Australie 37

Titre IX.(3)Risques liés à la conformité de l'audit (CAR) : Il s'agit du fait que les procédures de confirmation d'audit puissent échouer dans la détection de non-conformité en raison des risques dus à la procédure tels que le temps limité de l'audit ou bien la méthode d'échantillon. 38

a)Pays Bas 38

b)Royaume Uni 39

c)L'Allemagne 39

(II)Les standards de protection de la vie privée 39

(1)BSI 10012 Protection des données en ligne 40

(2)Iso 29100 et 29101 41

(3)Les normes du Comité de Standard Européen (CEN) 44

(4)AICPA/CICA (Canada) : les principes généraux de la vie privée (GAPP) et la référence au modèle de maturité 46

(5)Exemple de formations certifiées 47

a)Le « certified Information Privacy Professional » ou CIPP de l'IAPP 48

b)Les auditeurs certifiés de l'AICPA (American Institute Certified Accountants) 48

Section 2.Certification des produits de protection de la vie privé et des DP 48

(I)Parallèle avec les problèmes rencontrés par les standards de signature électronique 48

(II)La certification des produits et services dans la règlementation suisse 50

(I) Europrise, un schéma de certification de produits et services IT 52

(1)Origine et fondements d'Europrise 52

(2)Le référentiel d'Europrise 53

(1)La procédure d'évaluation et de certification 53

(1)Evolution du schéma Europrise 55

Section 2.Etude du cas français 56

(I)La certification dans les TIC en France 56

La certification dite tierce partie basée sur les Critères Communs (CC) 57

Titre XIII.C'est la certification de plus haut niveau ; l'Agence délivre un label appelé « certificat » qui atteste de la qualité de l'évaluation, de la compétence, de l'impartialité et de l'indépendance de l'évaluateur. 57

(I)L'article 11 de la loi informatique et libertés du 06/01/1978 57

(II)Le pouvoir de labellisation de la CNIL 58

Titre XIV.Etat de maturité du marché et affirmation de nouvelles tendances 59

Section 1.Freins et barrières liés à la difficile appréhension des DP dans les théories économiques (coûts estimés, espérances de gains) 59

(I)Approche juridique versus approche économique 59

(II)Les limites des modèles économiques 60

(III)La prise en charge du coût d `une atteinte aux données 62

a)Est que indépendamment des failles de sécurité la violation de DP ont un coût ? 62

a)La protection de la vie privée et des DP a valeur d'enjeu de société 63

Section 2.Défis technologiques et politiques, la nouvelle donne 63

(I)Défis technologiques 63

(II)Défis politiques 64

Section 3.Protection des DP : vers une approche globale 65

(I)Encouragements pour une démarche holistique et proactive de protection 65

(II)Emergence de nouveaux concepts et de nouveaux outils 66

(1)Privacy by Design (PbD) 66

a)Le concept de PbD 66

b)Les Ambassadeurs du PbD (Golden Standard) 67

(2)Principe de « Accountability » 68

a)Principe fondateur d'un schéma de certification de protection des DP 68

Titre XVI.On entend par « Accountability » une obligation de rendre compte ; ce principe met l'accent sur la manière dont la responsabilité est assumée et sur la manière de le vérifier. Le terme anglo-saxon n'ayant pas de traduction précise, il a délibérément été choisi d'utiliser le terme anglais dans les commentaires ci-après. 68

Titre XVII.Le principe de « Accountability », principe de gouvernance éthique, n'est pas nouveau. On le trouve dès 1980 dans les lignes directrices de l'OCDE. 68

Titre XVIII.Le principe de « Accountability » se focalise sur la capacité d'une entreprise à démontrer son aptitude à atteindre des objectifs de protection de la vie privée. Il peut se résumer ainsi : 68

a)Le projet de Paris : Accountability 69

b)Mesurabilité du principe d' « Accountability » 70

i)Modèle de gouvernance 70

ii)Système de notation 71

(II)Obligation de sécurité renforcée : la protection des DP étendue à la sécurité des réseaux 72

(1)Le « paquet Télécom » 72

(2)La directive 95/46 73

(3)La directive vie privée et communication électronique 73

Section 2.Résultats de l'enquête de terrain 74

Titre XIX.Recommandations et suggestions 77

Section 1.Eléments de faisabilité d'un schéma de certification 77

(I)Définition de l'objectif et de la cible 77

(1)L'organisation 78

(2)Le consommateur ou le client 78

(3)L'organisme certificateur 79

(II)Définition des caractéristiques du schéma de certification 79

(1)Portée du schéma 79

(2)Détermination du périmètre du référentiel 80

a)Définition des référentiels 80

b)Périmètre géographique du schéma 81

(3)Déterminer la qualité de l'organisme certificateur 83

(4)Conforter l'efficacité du schéma : responsabilité, contrôle, système de résolution des litiges 83

(5)Envisager d'autres bénéfices potentiels à une démarche de certification 84

a)Une assurance pour couvrir le coût d'une violation de données 84

b)Services annexes proposés par le certificateur 84

Section 2.Esquisse d'une politique d'accompagnement d'une démarche de certification 86

(I)Motivation et participation de l'ensemble des acteurs 86

(1)La faisabilité d'un schéma de certification dépend de l'engagement des pouvoirs publics dans un « projet de société » 86

(2)Encourager la participation des organisations professionnelles et des associations de consommateurs 87

(II)Définir une nouvelle façon de communiquer 87

(1)Veiller au langage clair et incitatif 87

(2)Motiver les décideurs et les individus au moyen d'un nouveau discours 88

Titre XX.Conclusion 89

Titre XXI.Annexes 92

Titre XXII.Bibliographie 92

sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Le don sans la technique n'est qu'une maladie"