WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

La faisabilité des schémas de certification de protection de la vie privée

( Télécharger le fichier original )
par Florence BONNET
Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

Titre XIX. Recommandations et suggestions

Les recommandations et suggestions abordées dans cette dernière section tiennent compte de:

- L'observation et l'analyse des expériences de certification de part le monde (dont l'avis de professionnels de la certification recueillis au cours d'interview) ;

-La prise en compte des facteurs d'influence et des éventuels freins ou barrières

-La considération des nouveaux besoins de protection

-L' évaluation de la maturité du marché (dont une enquête de terrain auprès de 23 organisations).

Le but est de déterminer, en toute humilité, une sorte de minimum vital susceptible d'asseoir la réussite d'un schéma de certification de protection de la vie privée dans l'absolu (et non pas spécifiquement en France).

Enfin, nous verrons que l'aspect économique est un des points déterminants de la faisabilité d'un schéma, pouvant influencer les critères et le niveau d'exigences d'un schéma.

Section 1. Eléments de faisabilité d'un schéma de certification

(I) Définition de l'objectif et de la cible

La cible se définit en fonction de l'objectif.

Trois partenaires sont impliqués dans l'utilisation de la certification : l'entité qui demande la certification pour ses produits industriels et ses services, l'organisme certificateur et le consommateur ou client. Chacun se trouve concerné et doit de ce fait être pris en considération pour que le schéma soit adapté dans la mesure du possible à leurs besoins et pour éviter un rejet ou un désintérêt vis-à-vis d'un label de protection des données.

(1) L'organisation

Quel que soit le choix stratégique de l'organisation, cette dernière devrait être en mesure de percevoir les avantages d'une démarche de certification. Les bénéfices peuvent être les suivants :

-une amélioration de l'image de marque

-un choix éthique et déontologique

-une assurance de conformité

-une minimisation des risques

-une amélioration de la sécurité

-une meilleure gouvernance

-un avantage concurrentiel...

Les attentes et les besoins du marché varient selon la taille et la notoriété de l'organisation ou en fonction de son secteur d'activité.

Les organisations bénéficiant déjà d'une certaine notoriété peuvent être plus connues que le label ; aussi le gain d'image de marque pourrait paraitre négligeable et ne pas susciter suffisamment d'intérêt si le label manquait de crédibilité (cf. TRUSTe). Beaucoup ont d'ailleurs leurs propres règles et standards internes. Elles pourraient alors souhaiter une certification avec des exigences relativement élevées (voir enquête de terrain titre III section 4).

Les petites et moyennes entités pourraient se montrer sensibles à une certification les faisant bénéficier d'une nouvelle visibilité en les plaçant sur un pied d'égalité avec les organisations les plus importantes du marché. La notoriété du certificat serait un élément moins déterminant pour les petites et moyennes entités sans pour autant être négligeable.

Nous ne pouvons en déduire que le niveau d'exigences soit négligeable pour autant, mais il devrait être moins élevé (notamment pour des raisons de coût) tout en restant crédible (sauf à en retirer un bénéfice sur l'image de marque pour un coût négligeable et au détriment de la protection effective des DP).

D'autre part la protection des DP répond à des enjeux universels et sociétaux fondamentaux et se doit donc d'être accessible à tous ; le coût ne doit pas être une barrière pour les PME.

Deux éléments entrent en jeu dans le calcul du coût : d'une part l'évaluation (analyse d'une procédure d'audit donnée au regard d'un référentiel, production d'un rapport d'évaluation) et d'autre part la certification (analyse d'un rapport d'évaluation, vérification que les évaluations sont effectuées dans de bonnes conditions, révision régulière du référentiel...).

Il faut aussi distinguer le  « coût réel » (volume de travail X taux horaire) et le « coût achetable » par les acteurs du marché.

Rappelons d'autre part que la certification est une démarche volontaire ; l'organisation doit définir le niveau d'assurance qu'elle souhaite atteindre ; c'est ce niveau demandé qui engage l'intensité du travail d'évaluation. Un moindre niveau ne signifiera pas forcément un engagement insuffisant mais un engagement fonction du contexte de l'entreprise, de son analyse de risques et de sa stratégie.

Recommandation : Prévoir plusieurs niveaux de certification en fonction du niveau de maturité (lui-même fonction du contexte et de l'analyse de risques).

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Qui vit sans folie n'est pas si sage qu'il croit."   La Rochefoucault