La faisabilité des schémas de certification de protection de la vie privée

b) Périmètre géographique du schéma

«With the flow of information becoming increasingly global, we also see a growing need to align U.S. law with current and emerging privacy standards in the rest of the world.» ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Au regard des exemples étudiés ci-dessus, on remarque que la portée des divers schémas de certification d'origine américaine s'est considérablement élargie jusqu'à tendre vers une reconnaissance internationale soit grâce à une stratégie d'alliance, au moyen d'accords de reconnaissances mutuelles entre schémas de certifications pourtant très différents de part leur objet et leur référentiel (cf. TRUSTe, BBBOnline et PrivacyMark).

Les divers schémas existants dans les pays européens ont un caractère national très marqué. Les essais de schémas européens ne sont pas un franc succès en termes de labels délivrés ; Eurolabel n'est plus présent que dans quelques pays, quant à Europrise créé courant 2008, nous manquons encore de recul pour en tirer la moindre conclusion ; les 16 labels indiqués sur le site web, ont été octroyés pour 5 d'entre eux à des entreprises espagnoles, 1 à une entreprise suédoise, 1 à une hollandaise, 1 à une irlandaise, récemment 1 à une entreprise uruguayenne et 7 à des organisations ayant leur siège en Allemagne.

- La commission européenne a récemment fait valoir son intention d'augmenter la coopération avec les pays hors UE et les organisations internationales dont l'OCDE, le Conseil de l'Europe, les N.U. et autres organisations régionales.

Des règlementations harmonieuses facilitent les échanges et l'accès aux différents marchés et réduisent le coût de production pour les organisations.

Un schéma de certification devrait assurer un référentiel commun reconnu du plus grand nombre.

-schéma national :

Le référentiel se base sur les lois nationales ce qui de fait en rendra l'usage inadapté dans les autres pays. D'autre part pour susciter l'adhésion du plus grand nombre d'acteurs de pays différents, le schéma doit garantir une neutralité politique.

Cela n'empêche pas les accords de reconnaissance qui seront d'autant plus facile qu'il existera une solide base commune entre les référentiels.

On trouve plusieurs alliances régionales ou internationales de schémas de certification, tout particulièrement en Asie :

-Asia Trustmark Alliance (ATA), vise la confiance, la sécurité, la protection de la vie privée dans le e-commerce.

Des organisations d'autorégulation d'Asie, d'Europe et du continent américain, ainsi que trois entités pan-européennes ont annoncé la formation d'un comité international le Global Trustmark Alliance (GTA) dont l'objectif est de mettre en place un système de participation des juridictions pour un commerce électronique transfrontière de confiance.  ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

L'objectif à long terme serait d'imposer un seul label avec un système de co-branding avec l'ensemble des schémas nationaux.

-Au niveau de l'APEC, Le Data Privacy Sub-Group (DPS) est guidé par le plan «APEC Data Privacy Pathfinder Implementation Work Plan» créé en 2007 ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} . Des groupes de travail ont mené des actions pour éduquer et créer un dialogue entre les régulateurs et les acteurs de marchés où l'économie est peu ou pas régulée.

Le système de l'APEC Cross Border Privacy Rules (CPBR) est basé sur la reconnaissance transfrontière d'agents devant rendre des comptes, «Accountability Agents» et sur le respect de critères. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Il est vrai que les schémas analysés sont des schémas nationaux : TRUSTe, Goodpriv@cy, PrivacyMark, BBBOnline...

Le label Suisse GoodPriv@cy émis par SQS bénéficie d'une reconnaissance internationale. En l'espèce il s'agit d'un label émis par une société privée membre du réseau international de certification IQNet.

Pour permettre la promotion de PrivacyMark a un moindre coût et afin de développer un cadre au-delà des frontières avec les US, le Canada et le Mexique, l'accord de reconnaissance mutuel avec BBBOnline autorisait l'utilisation des deux labels de 2001 à 2008.

Les représentants des trois labels TRUSTe® , PrivacyMark® et AMIPCI( Mexique) réfléchissent pour leur part à un moyen de reconnaissance mutuelle afin de construire la confiance en ligne, de promouvoir la sécurité et de résoudre les plaintes concernant les litiges dépassant le cadre des juridictions nationales.

Mais nous ne disposons pas d'éléments suffisants pour nous prononcer sur la viabilité à plus long terme de ces schémas dans l'hypothèse où nous risquons d'assister à une multiplication de schémas nationaux de qualité différente et de nuire à la cohérence du système ; plus le nombre d'acteurs est grand moins les critères d'exigence pour une reconnaissance mutuelle seront élevés.

Un schéma national doit impérativement se référer à des normes, principes et standards internationalement reconnus. Mais le caractère national d'un schéma ne nous semble pas répondre aux défis de la globalisation des flux d'information.

-Un schéma régional :

Il pourrait s'appuyer sur des principes communément admis et reconnus ainsi que sur les spécificités locales plus exigeantes sur certains points. C'est le cas du référentiel d'Europrise.

Initié par l'autorité européenne, il devrait prévoir la consultation d'acteurs privés.

Il faut certes éviter un référentiel trop précis requérant des mises à jour fréquentes (changements réglementaire, nouvelle attaques) mais il ne devrait pas laisser place à des interprétations divergentes selon les états. Un schéma de certification devrait permettre de pallier aux difficultés de transposition harmonieuse des directives

Recommandations :

Un référentiel suffisamment précis (principe ou critère + objectif + lignes directrices et guides techniques d'implémentation pour certaines technologies) déterminé au sein d'un consensus à caractère européen que les pays pourraient compléter dans un sens plus exigeant par leur propre législation mais ...tout en gardant une certaine flexibilité (laisser la possibilité de faire évaluer de manière indépendante des modalités d'application non prévues).

La certification pourrait pallier aux problèmes d'harmonisation législative sur certains points et accompagner les entreprises évoluant dans des pays à protection non encore adéquate.

* REF _Ref278271812 \r \h \* MERGEFORMAT
«Microsoft Lobbying for Data Privacy Laws,» Joe Lewis, WebProNews, March 21, 2007,

http:// www.webpronews.com/topnews/2007/03/21/ microsoft-lobbying-for-data-privacy-laws

* REF _Ref278271812 \r \h \* MERGEFORMAT
Ce projet reprend les recommandations du Global Business Dialogue for Electronic Commerce (GBDe) pour l'harmonisation des standards, la coopération entre les labels et la résolution des litiges.

* REF _Ref278271812 \r \h \* MERGEFORMAT
http://www.apec.org/apec/apec_groups/committee_on_trade/electronic_commerce.html

* REF _Ref278271812 \r \h \* MERGEFORMAT
Il faut répondre à des critères portant sur :

· des lignes de base, un Benchmark des standards de protection de la vie privée et des critères d'opérations;

· des standards d'application pour répondre aux failles, tels que des arrangements avant amendes;

· le respect de l'application des obligations entre parties ;

· La reconnaissance transfrontalière entre les autorités chargées de l'application ;

· Des plateformes de communication pour les plaintes, Coordonner la Communication entre les agents responsables « Accountability Agents » et les autorités et coordonner les réparations ;

· Le partage des données entre les parties concernées.