La faisabilité des schémas de certification de protection de la vie privée

Titre XII. L'évaluation du produit ou du service est faite par des experts en technologies de l'information et en droit puis la validation du rapport d'évaluation est faite par l'entité indépendante de certification.

Les experts ou les centres d'évaluation doivent avoir une double expertise.

La procédure peut par exemple être telle que prévue par le standard du CEN, CWA-15499 (Personal Data Protection Audit Framework) ou l'ISO 27001.

Il importe de définir dans un premier temps la « cible d'évaluation » d'un commun accord entre le commanditaire, l'évaluateur et le certificateur. C'est cette cible qui précise le périmètre du système à évaluer, des informations à protéger et du « niveau de profondeur » de l'évaluation. 

Les évaluateurs sont surtout formés à des analyses de « services » mais le niveau de sécurité peut beaucoup varier en fonction des modes d'implantation. Il est donc très difficile de valider un produit de façon générique.

L'évaluation du produit se fait sur la base du mode d'emploi accompagnant le produit. L'évaluation peut même imposer des restrictions d'emploi pour que le certificat puisse être considéré comme valide.

Les tests techniques ne font pas explicitement partie des critères listés dans le référentiel, mais rien n'empêche d'en faire si commanditaire, évaluateur et certificateurs en sont d'accord.

La certification du produit ou du service ne certifie pas que l'implémentation et la configuration sont conformes, mais que le produit peut être utilisé de façon à favoriser une bonne protection des de la vie privée.

Cependant il est exigé que les étapes pour la mise en oeuvre et la configuration soient stipulées dans la documentation ce qui augmente la probabilité d'une utilisation conforme sans toutefois la garantir.

Dans le meilleur des cas, le rapport d'évaluation apporte des réponses à toutes les questions qu'une autorité de protection des données demanderait.

Les questions spécifiques au sujet du produit, son utilisation prévue et le champ des applications peuvent être posées pendant le processus de certification.

Figure schéma de certification Europrise

4 étapes:

1- Désignation d'experts avec expertise technique et juridique

2- Evaluation et rapport d'évaluation confidentiel pour le fabricant

3- Certification : le fabricant adresse le rapport à l'autorité de certification qui une entité publique

4- Certification et rapport public résumé fournit par le demandeur publié sur le site

Le certificat n'empêche pas des changements mineurs sur le produit tant que cela ne remet pas en cause la certification. Un changement majeur tel qu'une nouvelle interface utilisateur demanderait une nouvelle évaluation. Le certificat comprend un identifiant et un lien ou un document imprimable récapitulant le rapport.

Il a été considéré que les autorités indépendantes de protection des données pouvaient être les mieux placées pour vérifier la conformité et délivrer les labels mais aussi que d'autres entités publiques pourraient être accréditées comme émetteurs de certificats.

(1) Evolution du schéma Europrise

Le schéma a été créé depuis trop peu de temps pour évaluer son éventuel succès ou échec, ce qui n'empêche pas de faire les observations comme suit.

On notera tout d'abord un multilinguisme du site internet très limité pour un schéma « européen »sur lequel les documents sont disponibles en anglais, en allemand et en espagnol pour certains d'entre eux. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

D'après le site internet, 16 certificats dont une re-certification ont été délivrés à ce jour depuis 2008.

Les secteurs d'activité des produits et services sont le suivants : 2 Hôpital-Médical, 3 banque-finance, 1 CRM Chauffage, 1 Association des avocats Espagnols, 2 Marketing comportemental, 1 vidéosurveillance, 1 moteur de recherche, 1 traitement d'image, 1 imagerie médicale, 1 plateforme de gestion des failles de sécurité Microsoft, 1 échange de données cryptées (Société Uruguayenne).

Ce projet implique des pays très engagés dans la protection des DP et de la vie privée tels que la France, l'Allemagne, l'Espagne et les Pays Bas. Il inclut aussi le R.U.dont l'approche du sujet diffère par divers points.

Malgré ces différences de vues, un consensus a pu être dégagé autour d'un schéma de certification.

On pourrait dès lors raisonnablement envisager le ralliement d'autres pays de l'UE.

Europrise recense plus de 80 experts dans 12 pays.

Sur le plan économique, EuroPriSe a choisi une approche réaliste.

Le concept prend en compte le modèle économique pour les évaluateurs et l'équilibre financier pour l'entité de certification.

Le coût reste supportable, à partir de 5000 € environ, le contrat avec les évaluateurs étant négocié individuellement en fonction du temps passé.

Europrise présente la force de se référer à la règlementation européenne à la différence des modèles qui existent déjà et d'être conduit par une organisation à la solide réputation en matière de protection de la vie privée et sans intérêt commercial.

Europrise pourrait tirer avantage à servir de cadre à des certificats nationaux plus adaptés aux caractéristiques locales mais ce modèle a aussi l'avantage de ne pas dépendre de l'existence de schémas de certification nationaux. En effet, le cadre européen du référentiel couvre déjà un certain nombre de sujets juridiques et techniques critiques. C'est pourquoi, même en l'état, l'évaluation et la certification Europrise confèrent une réelle plus value.

Pourtant, à ce jour, malgré les objectifs affichés, seules les autorités espagnoles et allemandes sont autorisées à délivrer le label.

Ces deux autorités coopèrent de manière assez proche pour le moment mais il faudrait mettre en place une meilleure coordination dans l'hypothèse où d'autres pays collaboreraient. Sans comité de direction européen (dont les règles de fonctionnement restent à définir), l'interprétation uniforme des critères dans l'ensemble des pays membres relève de la gageure.

Autre point de questionnement  non résolu à ce jour : la participation des membres d'Europrise au financement du schéma.

L'influence de la culture allemande particulièrement marquée pourrait être perçue comme une entrave au positionnement européen du schéma, surtout si l'ULD entendait garder la mainmise sur la direction du projet. Faute d'entente entre les divers partenaires initiaux et à venir sur la gestion du schéma, le développement d'Europrise pourrait être limité et rapidement se trouver en concurrence avec l'émergence de nouveaux schémas nationaux dans les pays de l'Union Européenne.

L'absence d'intérêt commercial de l'ULD a été présentée comme la garantie de l'indépendance de ce schéma.

On objectera toutefois que les politiques de communication et de marketing n'ont pas été à la hauteur des objectifs déclarés devant faire d'Europrise un modèle séduisant et attrayant.

Lors de l'enquête menée en parallèle à cette étude, aucune des personnes interrogées pourtant en charge des questions de conformité à la loi française du 06/01/78, ne connaissait le label Europrise. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Les divergences politiques sont un sérieux frein dans le développement d'un schéma européen de certification sans oublier les divergences juridiques d'interprétation des principes.

Une révision de la directive européenne gagnerait à détailler ses principes. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Enfin, le référentiel d'Europrise ne couvre que partiellement le champ de protection de la vie privée et des DP même si la référence aux critères communs a été rajoutée depuis l'origine.

* REF _Ref278271812 \r \h \* MERGEFORMAT https://www.european-privacy-seal.eu/

* REF _Ref278271812 \r \h \* MERGEFORMAT Voir Titre III section 4

* REF _Ref278271812 \r \h \* MERGEFORMAT Révision en cours voir COM (2010) 609/3