La faisabilité des schémas de certification de protection de la vie privée

(5) Exemple de formations certifiées

Le sujet est d'actualité en France où la CNIL entend labelliser des formations courant 2011.

Ce point très particulier ne sera cependant abordé que de manière anecdotique par rapport au thème principal de la faisabilité des schémas de certification.

a) Le « certified Information Privacy Professional » ou CIPP de l'IAPP

Rappelons que l'Iapp est un organisme entièrement privé. La formation a été mise en place avec la collaboration de l'Institut de recherche privée Ponemon, lui-même comprenant divers responsables de grandes compagnies (Hewlett-Packard Company, Microsoft Corporation, Nationwide Insurance Company, Procter & Gamble, General Electric, Walt Disney Company, eBay, Intuit, Privacy and Information Management Services P.C. et Corporate Privacy Group). La formation est en partie financée avec le soutien de HP et Microsoft. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Le certificat de professionnel de protection de la vie privée atteste d'une formation en droit et sur les techniques de l'information, sanctionnée par un double examen :

· Un test obligatoire portant sur les connaissances de base elles mêmes portant sur trois grands domaines :

-principes de protection de la vie privée et différentes approches ;

-sécurité de l'information  (27001, 27002, techniques de sécurité) ;

-protection de la vie privée sur internet

Examen de 2 heures, avec des questionnaires à choix multiple et une étude de cas avec 10 questions vrai/faux soit au total 120 questions.

· Un examen de spécialisation portant sur les législations et les bonnes pratiques de protection de la vie privée aux USA.

La spécialisation peut par exemple concerner les agents de l'administration Gouvernementale ou celui pour le développement et l'audit de produits IT. Il s'agit également d'un questionnaire à choix multiple.

La certification exige une formation permanente sous forme de crédit d'heures fonction de la participation à divers modules (networking, conférences, rencontres, lectures soumises à contrôle etc...).

b) Les auditeurs certifiés de l'AICPA (American Institute Certified Accountants)

Cet examen est le fait d'une corporation professionnelle

Ils garantissent une « assurance » professionnelle de part leur intégrité et leur expertise.

La qualité des auditeurs est déterminée selon l'ISO 19100 (Qualités personnelles, savoir et connaissances, savoir et compétences propres au leader, savoir et compétences propres à l'ISO 27001 ou autre, éducation, expérience et formation continue à l'audit et au management)^1(*).

L'examen de «Certified Public Accountant » comprend 4 sections :

- Audit et Attestation

- Environnement de l'activité

- Audit financier et reporting

- Régulation.

Certains états exigent un examen portant sur l'éthique et une conformité aux règles professionnelles.

* REF _Ref278271812 \r \h \* MERGEFORMAT Iapp Certification Program https://www.privacyassociation.org/certification/certification_programs

* 1 Voir Caractéristiques de l'audit de système de management