La faisabilité des schémas de certification de protection de la vie privée

b) Mesurabilité du principe d' « Accountability »

i) Modèle de gouvernance

Microsoft a développé un modèle de gouvernance de la confidentialité et de la protection des DP qui s'inspire fortement du modèle de maturité CMM (quatre niveau de maturité).

Le modèle permet de dresser un état des lieux de la protection des DP et de la vie privée dans l'organisation :

« Où en êtes-vous? Où aimeriez-vous en être? »

L'objectif est de souligner pour chaque section (personnes, processus et technologie) les points sur lesquels l'organisation devra se focaliser pour passer d'un niveau à un autre (Basique, Standard, Rationnel, Dynamique) voir fig.9.

L'organisation n'est pas forcément au même niveau de maturité selon qu'il s'agisse des personnes, de la technologie ou des processus.

Chaque section est elle-même divisée en fonction de composants ou de groupes de capacités ;

La section « personnes » est divisée en 3 groupes: Direction ; organisation de la gouvernance des données ; main d'oeuvre et partenaires

La section « processus » comprend 4 contrôles : contrôle de l'organisation du modèle ; contrôle des exigences ; contrôle de la stratégie et des politiques ; contrôle de l'environnement

La « technologie » se scinde en 3 : cycle de vie de l'information ; domaines ; matrice d'analyse d'écarts et de risques

Afin de mesurer les progrès, on utilise le vocabulaire suivant : Planifié, en cours, prêt (à être implémenté), adopté (implémenté et en fonctionnement).

Figure DGPC (data governance for privacy and confidentiality) modèle de maturité de capacité.

On pourrait suggérer de s'inspirer de ce type de modèle pour définir des niveaux de certification en fonction des objectifs de l'entité.

ii) Système de notation

Certains auteurs estiment que le seul moyen de gagner la confiance est d'en être digne. Ainsi, une fois la confiance des consommateurs acquise, ces derniers seront plus enclins à partager leurs données qu'ils sauront protégées. Ils suggèrent alors un système de notation du risque, à la fois simple et solide qui de préférence pourrait dépendre de cadres de régulation  déjà existants cf.les taux de notation de risques crédit de Standard and Poors ou Moody's et des règles de gouvernance applicables dans le secteur de l'information financière. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

La notation pourrait être délivrée par des organisations accréditées par l'autorité de protection des DP voire par un système d'auto-évaluation.

Privacy Risk Rating = [risque inhérent à l'utilisation] x [Ó notations des principes] x [l'approche Implémentation/conformité/accountability ].

0 = low 0 = strong 0 = strong

2 = high 25 = weak 2 = weak

Les auteurs proposent d'inclure un nouveau concept de « comportement inacceptable ».

Le système de pénalités et d'incitations se baserait sur:

· le non respect des standards et exigences inclues dans les BCR et/ou les dispositions relatives à l'implémentation, la conformité et l'obligation de rendre compte qui sont pris en compte pour la notation;

· l'échec de la sécurité des informations personnelles;

· l'absence d'évaluation du risque;

· l'absence d'audit et de publication du rapport en cas d'obligation;

· l'absence de service approprié de traitement des plaintes;

· la conduite inacceptable;

· les déclarations de failles de sécurité et éventuellement les notifications individuelles sous certaines conditions.

Le concept est intéressant mais d'une part se poserait le problème de la responsabilité des auditeurs engagés dans une démarche de notation ; d'autre part, il nous semblerait plus opportun d'y associer des organismes de régulation des marchés tels que l'AMF comme nous le suggérons ci-après.

-On pourrait aussi se placer sur un plan éthique et sociétal :

On observe l'émergence de notations par des tiers extérieurs des organisations sur la base d'informations non financières dans le domaine de la responsabilité sociétale et environnementale des entreprises. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

La norme ISAE 3000 (IFAC) s'applique à la vérification des données non financières de l'entreprise.

Le commissaire aux comptes rend un rapport dans lequel il indique son degré d'assurance compris entre :

-un niveau élevé dénommé raisonnable

-un niveau intermédiaire dénommé « modéré »

-un niveau faible qui est un avis sur l'application des procédures mais ne comporte pas d'appréciation sur la qualité des données.

L'AMF avait indiqué être favorable à une certification RSE à la condition qu'elle intègre une évaluation de l'impact financier des données RSE sur le patrimoine et l'activité de l'entreprise.

La protection des DP et de la vie privée relève plus généralement de comportements responsables et de ce fait pourrait être comprise dans une démarche de responsabilité sociétale.

Prenons par exemple le standard AA1000 dont sont issus une série de principes devant aider les organisations à devenir plus « Accountable », responsables et durables. Il traite des sujets de gouvernance, de stratégie et procure des lignes directrices. L'auditeur doit assurer l'étendue de la conformité aux principes. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

L'idée d'une certification globale de responsabilité sociétale comprenant une série de principes propres à la protection des DP et de la vie privée doit nous inciter à réfléchir à la complémentarité des schémas au même titre qu'il existe une complémentarité avec l'ISO 27001 pour la gestion de la sécurité des systèmes d'informations par exemple.

* REF _Ref278271812 \r \h \* MERGEFORMAT
Malcolm Crompton, Christine Cowper, Martin Abrams, sont les auteurs d'un article intitulé 

«A working paper for the Privacy and Trust Partnership»

* REF _Ref278271812 \r \h \* MERGEFORMAT
Agences de notation extra financière : Agences de notation extra financières : CORE RATING, INNOVEST, ETHIBEL, VIGEO,ODE, SAM

* REF _Ref278271812 \r \h \* MERGEFORMAT
http://www.accountability.org/standards/index.html