La faisabilité des schémas de certification de protection de la vie privée

a) Le projet de Paris : Accountability (*)REF _Ref278271812 \r \h \* MERGEFORMAT

Les participants au projet « accountability » ont proposé neuf principes directeurs qu'une organisation pourrait suivre en totalité ou pour certains d'entre eux seulement selon la sensibilité des données :

1 Existence de politique écrite et de procédures engageantes et applicables, reflétant les textes de loi, les règles d'entreprises et les standards ;

2 Surveillance et responsabilité des cadres ;

3 Allocation de ressources pour disposer d'un personnel suffisant et entrainé ;

4 Education et sensibilisation régulière ;

5 Evaluation et minimisation des risques en continu ;

6 Surveillance et validation d'un programme d'évaluation des risques ;

7 Gestion des incidents et traitement des plaintes ;

8 Procédure disciplinaire interne en cas de non-conformité ;

9 Réparation.

Le processus de »Accountability» pourrait comprendre plusieurs étapes telles que :

1. L'organisation prend les mesures et procédures pour appliquer sa politique de protection de la vie privée et des DP. Elle mène une étude d'analyse et de minimisation des risques basée sur sa compréhension de ses obligations. A ce stade l'organisation devrait consulter l'autorité supérieure de protection des DP ou des agents « Accountable ». On est dans le schéma d'une auto-évaluation ;

2. L'organisation certifie qu'elle respecte les exigences de »Accountability»;

3. L'autorité de protection des DP ou un agent reconnu révise les traitements et fournit une sorte d'agrément de certification ;

4. L'organisation se soumet à l'autorité d'un agent reconnu ou de l'autorité de protection des DP. Ce ou cette dernière entend et résolve les plaintes individuelles. Il ou elle conduit des actions de vérification sur place pour s'assurer du respect des engagements pris.

5. Les acteurs concernés s'engagent à développer la sensibilisation des organisations quant à leurs obligations en tant qu'entreprises « accountable » et les bénéfices qu'elles peuvent tirer.

Les agents peuvent être reconnus et en charge de certifier que l'analyse de risques de l'organisation est bonne et que son programme est capable de maintenir un processus effectif de « accountability ».

Ils peuvent aussi être accrédités pour évaluer et approuver les applications qui doivent être certifiées. Ils pourraient jouer un rôle dans la résolution des litiges, les vérifications sur place et l'application.

Pour les organisations souhaitant s'engager dans des activités pouvant entrainer des risques importants vis-à-vis des DP, la certification pourrait être nécessaire.

On pourrait aussi prévoir plusieurs niveaux de certification selon l'étape.

Sur la base de ce principe on pourrait imaginer la mise en place de modèles de maturité, à l'image du système développé par Microsoft.

* REF _Ref278271812 \r \h \* MERGEFORMAT
Demonstrating and Measuring Accountability, Accountability Phase II -The Paris Project October 2010, Centre for Information Policy, Hunton & Williams