Titre XIV. Etat de maturité du marché et affirmation de nouvelles tendances

Section 1. Freins et barrières liés à la difficile appréhension des DP dans les théories économiques (coûts estimés, espérances de gains)

(I) Approche juridique versus approche économique

Les théories économiques et juridiques diffèrent sur l'évaluation des dommages dus aux failles de sécurité.

Pour les économistes la différence entre un dommage actuel et possible est affaire de probabilité et d'incertitude.

Juridiquement, en revanche, les plaignants doivent démontrer un dommage personnel ou une atteinte à la propriété. Par conséquent, l'approche économique prend en compte le risque juridique mais aussi les autres risques sous forme d'abstractions alors que l'approche juridique s'en tient aux faits susceptibles de sanction et au dommage susceptible d'évaluation. Cette approche juridique est largement répandue et tout particulièrement en France.

L'analyse d'Alessandro Acquisti et Sasha Romanosky ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} se focalise sur les failles de sécurité et présente une étude de 3 approches législatives utilisées pour limiter le risque de dommage à la vie privée:

Les règles préventives de sécurité ; la responsabilité postérieure ; l'obligation de divulgation d'information des failles.

Les actions préventives :

Elles visent à prévenir un dommage en se conformant préventivement à des standards minimum ou à des règles de conformité (ex. l'auto régulation).

Les sanctions peuvent être imposées dès la constatation du non respect des règles sans qu'il soit besoin d'un dommage. Citons à titre d'exemple, le standard « Payment Card Industry Data Security Standard » (PCI DSS), pré-requis pour tout commerçant souhaitant faire des transactions par carte ; voir également, au Nevada, où il est prévu une exonération de responsabilité de l'entreprise conformes aux standards PCI à l'exception d'une grosse négligence.

L'investissement dans les actions préventives est censé réduire la vulnérabilité mais l'entreprise doit en contre partie faire face à un coût ;

De plus, sauf contrôle régulier et en continu, les entreprises sont généralement protégées contre les problèmes courants mais pas contre un incident plus important. Elles se contentent de respecter les exigences minimum du standard en vue de s'assurer une couverture de leur éventuelle responsabilité. Dans ce cas le standard est inadapté et onéreux.

Ce mode peut finalement être utile si le risque de dommage est très bas ou si l'incertitude est très grande comme dans le cas d'une nouvelle loi dont on ne connait pas les conséquences mais dont on sait qu'elles pourraient être catastrophiques. Ce sont des actions relativement faciles à mettre en oeuvre et dont les modalités peuvent se combiner à un régime de responsabilité pour plus d'efficacité.

Les actions préventives paraissent tout à fait recommandées pour améliorer la protection des DP et de la vie privée.

Selon une l'enquête de Ponemon 2009, les personnes interrogées déclarent prévenir les futures failles par les mesures suivantes: 41% concernent les guides pratiques, 38% les actions de formations et de sensibilisations. Les certifications de sécurité et les audits augmentent de 6% et représentent 19% des mesures.

La responsabilité :

Elle s'exerce après que le dommage soit survenu. Pour être indemnisé d'une négligence les victimes doivent démontrer un lien de causalité direct entre le dommage et le non respect d'une obligation légale par l'organisation.

L'entreprise devrait chercher à prévenir le risque de responsabilité en augmentant ses investissements en sécurité et notamment ses actions de suivi et de contrôle.

La publicité des failles :

L'objectif est d'informer les individus afin qu'ils prennent les mesures pour limiter le dommage (droit de savoir) et/ou inciter les organisations à prendre les mesures préventives.

Les résultats de recherches comportementales montrent que les individus sont incapables d'évaluer toutes les conséquences et tous les risques liés à une faille de sécurité. Cela demande un certain niveau de connaissance, d'expertise, d'éveil et de conscience qu'ils n'ont pas.

A la fois la nature de l'activité impactée et le type de faille sembleraient influencer la façon dont les investisseurs voient l'évènement.

Finalement, tout reste affaire de stratégie pour l'organisation, sachant qu'aucune action prise isolément ne sera jamais satisfaisante ni pour garantir une protection optimale des DP ni pour assurer un résultat optimum à l'organisation.

Mais quelque soit l'approche juridique, si la non-conformité à la loi est sanctionnée de manière dissuasive, les mesures préventives s'imposeront de toute façon pour limiter le risque de sanction et de publicité.

La certification est le seul moyen d'attester de ces démarches.

* REF _Ref278271812 \r \h \* MERGEFORMAT
«Privacy costs and personal dat protection: economic and legal perspectives, Sasha Romanosky and Alessandro Acquisti