La faisabilité des schémas de certification de protection de la vie privée

c) WebTrust (*)REF _Ref278271812 \r \h \* MERGEFORMAT

WebTrust nécessite un audit d'évaluation externe in situ, de la qualité des procédures de protection de la vie privée, des critères de design, d'implémentation, de management des infrastructures fonction des principes généraux (GAPP).

Son coût dépend donc de la complexité et de la durée de l'évaluation.

Ce label est le fruit d'une initiative de l'American Institute of Certified Public Accountants (AICPA) qui a identifié 6 catégories de prestations d'un potentiel de revenus annuels total compris entre 500 M$ et 5 Md$, dont quatre sont particulièrement dédiées aux systèmes d'information. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Webtrust a été développé dans le cadre plus global de SysTrust permettant d'évaluer la fiabilité d'un système spécifique au travers des critères de sécurité, disponibilité et intégrité.

Les services sont définis comme une série de garanties professionnelles et de conseils basés sur un cadre pour traiter les risques et les opportunités comme suit :

· L'évaluation du risque (« risk assessment ») : cette catégorie de prestations doit permettre de

garantir aux directions et/ou aux investisseurs, que le profil de risques établi est complet et que

l'entreprise a mis en place les dispositifs appropriés pour gérer ces risques.

· La mesure de la performance de l'entreprise (« business performance measurement »)

· La fiabilité des systèmes d'information (« information system reliability »)

· Le commerce électronique (certification WebTrust) : L'objectif de cette catégorie de prestations est d'évaluer la fiabilité, la confidentialité, la protection de la vie privée, des pratiques commerciales saines et l'intégrité des données des systèmes d'information.

Ces catégories ne sont pas indépendantes et s'influencent les unes, les autres.

Ce schéma a connu des débuts difficiles qui s'expliqueraient par le fait que les développeurs se sont focalisés sur la sécurité (notamment vis-à-vis des hackers) et sur l'audit de management sans prise en compte des attentes de protection des informations personnelles.

A partir de 2001, une nouvelle version a permis aux fournisseurs de WebTrust de nouer des partenariats avec des associations professionnelles et d'offrir des services protecteurs de la vie privée. En France la délivrance du label a été confiée en 2002 à l'Ordre des Experts Comptables mais aujourd'hui on ne trouve plus trace de cette collaboration sur le web.

Alors que le programme WebTrust comprenait trois critères avant 2001, il en contient désormais six. Le sceau WebTrust confère une garantie de transparence des pratiques commerciales, de confidentialité des informations et de sécurité des transactions.

La vérification concerne le respect d'un, de plusieurs, voire de tous les principes.

Le label de certification WebTrust est géré par un tiers de confiance : Verisign.

WebTrust, présent dans 21 pays sur tous les continents, est mis en oeuvre de manière identique dans tous ces pays par des professionnels de l'audit. En janvier 2010 son arrivée a été annoncée en Inde, par l'intermédiaire de Bennett Gold of Canada qui détient une licence globale.

* REF _Ref278271812 \r \h \* MERGEFORMAT Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy 2006 by American Institute of Certified Public Accountants

* REF _Ref278271812 \r \h \* MERGEFORMAT « New assurance service opportunities for information systems auditors » J. E. Hunton, C. Frownfelter-Lohrke, and G. L Holstrum, IS Audit & Control Journal, Vol IV, 1999