La faisabilité des schémas de certification de protection de la vie privée

ii) Le schéma japonais et l'exemple de PrivacyMark

Il n'existe pas d'autorité centrale chargée de veiller à l'application de la règlementation.

Le Japan Information Processing Development Corporation(JIPDEC), a instauré un système de certification dans le domaine de la protection de la vie privée et des DP (System for Granting Marks of Confidence for Privacy and Personal Data Protection).

JIPDEC est une organisation à capitaux mixtes et à but non lucratif de recherche et de promotion des technologies de l'information.

Le schéma de certification PrivacyMark date de 1998.

Alors que la législation de protection des données personnelles en vigueur ne traitait que du secteur public, la création de PrivacyMark a répondu à une demande des entreprises du privé et comblé un vide avant que la loi ne soit révisée en 2005.

L'objectif affiché de Privacy Mark est le suivant :

· augmenter la sensibilisation des consommateurs

· et inciter les entreprises à gagner la confiance

Le système de PrivacyMark comprend un comité et un corps de 17 entités d'évaluation

En 2007 JIPDEC a créé un système d'enregistrement des évaluateurs à 3 niveaux : évaluateur Senior, évaluateur, et assistant évaluateur, chacun devant remplir certains critères établis par JIPDEC.

Les évaluateurs assistants doivent suivre des cours pendant 5 jours au centre de formation de PrivacyMark et passer un examen. Pour passer au niveau supérieur l'assistant doit avoir une certaine expérience et obtenir les recommandations d'au moins deux Seniors assistants avant d'être contrôlé par le comité d'évaluation de PrivacyMark.

Les évaluateurs et les évaluateurs sénior doivent contracter soit avec JIPDEC soit avec l'une des 17 entités d'évaluation.

Il s'agit d'un système décentralisé dans lequel les entités d'évaluation sont des associations ou des organisations industrielles à but non lucratif prévues par la loi et accréditées par JIPDEC ou bien JIPDEC elle-même.

Les entités font une double évaluation, sur la base des documents et sur place (idem ISO 27001).

L'évaluation porte sur les points suivants :

· la présence d'un PIMS propre aux DP, à leur protection et sécurité

· l'affectation d'un responsable à la protection des DP avec un rôle et des responsabilités clairement définis

· les performances des sessions de sensibilisation et de formation au moins une fois par an pour le personnel concerné ;

· les rapports d'audit au moins une fois par an en lien avec l'état de la gestion et protection des DP ;

· un service de traitement des demandes de renseignement et des requêtes des clients ;

· la présence de mesures de sécurité appropriées, assurant la confidentialité et les contrôles d'accès non autorisés ainsi que la prévention des fuites ;

· la présence de mesures de protection appropriées et de responsabilité en cas de sous-traitance ou d'externalisation.

En cas de refus de certification, l'organisation peut dans les 3 mois demander une nouvelle évaluation après avoir pris les mesures nécessaires.

A noter que le schéma de certification ne semble pas avoir de système de traitement de plainte individuelle mais les organisations certifiées sont censées rapporter les incidents.

Un comité d'évaluation décerne les récompenses et a le pouvoir de retirer le label mais le site n'y faisant pas référence nous ne disposons pas d'information sur l'application des mesures de sanction.

Les entreprises du secteur privé doivent être établies sur le territoire japonais et avoir au moins un système de management de la protection des traitements d'information (PIMS) basé sur le standard JIS Q 15001 et les guidelines et avoir la capacité à maintenir un système sur ces bases.

On retrouve une certaine similitude avec l'autorégulation mais l'accent est mis sur l'amélioration du processus continu. Le standard est basé sur une approche de gestion des risques et sur l'incitation de démarches proactives.

Il a été conçu pour que même en cas de faille, celle-ci puisse être immédiatement rapportée.

JIS Q 15001 est un standard japonais de système de management créé en 1999 pour implémenter une protection des informations personnelles (PI). Ce standard couvre toutes les PI, quelle que soit la façon dont elles ont été obtenues, qu'il s'agisse de données clients ou de salariés.

Pour chaque exigence est défini un objectif, le lien avec l'article de loi, puis sont mis en lumière les points à considérer plus en détail (documents à préparer et actions correspondantes).

Exemple de mesure : l'éducation s'adresse à tous les employés, même s'ils ne participent pas directement au traitement de l'information mais pourraient entrer en contact avec des informations personnelles.

Les dirigeants et les employés sont sensibilisés à la gestion du risque; une démarche d'anticipation qui permet de prendre les mesures appropriées en cas d'urgence.

Depuis 2008, il est possible d'obtenir la certification d'organismes de formation.

Coût d'une certification PrivacyMark :

La certification est de 2 ans et la durée d'obtention est de 4 à 6 mois après envoi des documents.

Pour 2 ans, sur la base de 1000 JPY = 9.38 €) le coût varie de 2800 euros  pour les petites organisations (Maxi 20 salariés) à 5600 euros  pour les organisations moyennes (capital et nombre de salariés pris en compte en fonction du secteur) et jusqu'à 11200 euros pour les grandes entreprises (au-delà des critères des entreprises moyennes).

Le tarif de renouvellement  équivaut respectivement à 2050 euros, 4250 euros ,8450 euros

Ce qui reste onéreux pour le Japon.

· Evolution du schéma :

PrivacyMark a contracté des programmes de reconnaissance mutuelle avec BBBOnLine, DSIA (Dalian Software Industry Association) et Korean Association Information Technology (KAIT).

Les accords de reconnaissance mutuelle permettent aux entreprises japonaises d'externaliser en confiance et sans besoin d'investigation leurs activités auprès de sociétés de Dalian qui utilisent le système de PrivacyMark mais avec leur propre label PIPA-Mark.

Le Japon se caractérise par une forte sensibilisation des organisations au sujet de la protection des DP, comme le confirment les chiffres : 13218 entreprises étaient certifiées au 31/03/2010 alors qu'elles étaient 1356 en 2003avant l'adoption de la loi sur la protection des données en 2005. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

La progression est très nette dans les secteurs de l'industrie des services d'informations à forte sous-traitance ainsi que dans les instituts de sondage (40% du total). Il n'est pas exagéré d'affirmer que le certificat est devenu indispensable à la pratique des affaires.

* REF _Ref278271812 \r \h \* MERGEFORMAT http://privacymark.org/