(II) Définition des
caractéristiques du schéma de certification
(1) Portée
du schéma
Les schémas de certification de protection des DP et de la
vie privée analysés dans cette étude portent soit sur des
sites webs, soit sur des systèmes de management ou plus rarement sur des
produits. EUROPRISE , Gütesiegel et l'exemple Suisse sont les seuls
schémas portant sur des produits et services (si on fait exception des
standards ISO en cours de préparation).
Cependant, nous pensons qu'afin d'encadrer le
développement exponentiel des TIC et des NTIC, la protection des DP et
de la vie privée doit s'envisager globalement, d'un bout à
l'autre de la chaîne dès la conception des produits jusque dans la
gestion quotidienne de l'entreprise.
Recommandation :
Nous recommandons une démarche de
certification globale adaptée aux produits et aux
procédures.
On pourrait envisager un schéma de
certification fondé sur des principes ou critères de base, avec
plusieurs déclinaisons possible de ces principes selon qu'il s'agisse de
produits et services (avec exigences spécifiques pour certaines
technologies), de procédures ou de formations, mais aussi en fonction
des catégories de données concernées et du niveau de
maturité (lui-même fonction du contexte et de l'analyse de
risques).
La certification pourrait donner lieu à une
démarche sous forme d'étapes à franchir en fonction
du niveau de maturité atteint par l'organisation et de la
réalisation d'un plan d'action (permettrait aussi d'en
étaler le coût dans le temps).
Cette évaluation pourrait avoir lieu pour
partie et en fonction du niveau d'évaluation (1er niveau),
sous forme d'auto-évaluation (pré-audit), au moyen d'outils
standardisés proposés par l'autorité nationale ou
européenne ou reconnus par ces autorités
(cf. BSI Data Protection Online 10012).
(2)
Détermination du périmètre du
référentiel
a) Définition des
référentiels
Un référentiel devrait être
élaboré et validé en concertation avec des
représentants des diverses parties intéressées :
professionnels, consommateurs ou utilisateurs, administrations
concernées.
Chaque référentiel de certification
définit son propre champ d'application et comporte :
- Les caractéristiques retenues pour
décrire les produits, les services ou procédures qui
feront l'objet de contrôles, les valeurs limites des
caractéristiques éventuellement exigées pour la
certification et les modalités retenues pour les classer en fonction de
leurs caractéristiques ;
- La nature et le mode de présentation des
informations considérées comme essentielles et qui
doivent être portées à la connaissance des consommateurs ou
des utilisateurs ;
- Les méthodes d'essais, de mesure, d'analyse, de
test ou d'évaluation utilisées pour la
détermination des caractéristiques certifiées et qui, dans
la mesure du possible, devront se référer aux normes
homologuées existantes ;
- Les modalités des contrôles
auxquels procède l'organisme certificateur et ceux auxquels s'engagent
à procéder les fabricants, importateurs, vendeurs des produits ou
prestataires des services ou organisations faisant l'objet de la certification
;
- Le cas échéant, les engagements pris par les
fabricants, prestataires ou organisations concernant les conditions
d'installation des produits, d'exécution des services et
procédures certifiés, les conditions de la
réparation des préjudices causés aux utilisateurs
ou consommateurs par la non-conformité du produit, du service ou de la
procédure aux caractéristiques certifiées.
Plusieurs référentiels sont à
définir, selon l'objet du schéma de certification:
-Le référentiel auditeurs/évaluateur
-Le référentiel procédure (système de
management de la protection de la vie privée et des DP)
-Le référentiel produit et services IT
-le référentiel personnes (pour une certification
de personne)
Evaluation : le sujet de la protection de la vie
privée et des DP demande à n'en pas douter une double
compétence à la fois juridique et IT comme le recommande
le CEN.
Une attention particulière sera accordée à
l'actualisation des connaissances et à la
connaissance des règles de fonctionnement de l'entreprise en
général, critère déterminant pour
s'assurer d'une approche globale du sujet.
L'intervention d'une tierce partie distincte et
indépendante de l'organisme certificateur est une condition
essentielle à l'indépendance du schéma.
On pourrait exiger des évaluateurs un
engagement sur le respect de règles
déontologiques dans leur lettre de mission.
Un des points importants à clarifier dès le
départ consiste à déterminer les règles de
la responsabilité du professionnel :
-en cas d'approbation et de certification d'informations
inexactes ;
-en cas d'interprétation erronée ;
-en cas de désaccord avec l'entreprise ...
Recommandations :
Le référentiel devrait
englober :
-des standards internationaux de méthodes
d'évaluation et d'audit ;
-des standards internationaux de
sécurité des produits IT et systèmes
d'informations ;
-les principes à respecter et leur traduction
en termes techniques;
-les actions allant au-delà d'un minimum
requis par le référentiel qui pourraient être
déterminées selon les avis du G29 et qui seraient susceptibles de
certification en plusieurs étapes ou niveaux.
Il devrait prévoir la définition de
niveaux d'évaluateurs (cf. PrivacyMark 3 niveaux),
Il pourrait aussi s'accompagner de lignes
directrices.
| 
