La faisabilité des schémas de certification de protection de la vie privée

(3) Déterminer la qualité de l'organisme certificateur

- A ce jour, les agences gouvernementales sont les seules organismes certificateurs de la sécurité des produits IT en France et dans la plupart des pays.

Nous avons vu que la sécurité est un des aspects de la protection des DP qui en fonction de l'analyse de risques doit atteindre un niveau plus ou moins élevé. Cependant les DPA pourraient rapidement se heurter à leur manque de ressources financières et humaines. D'autre part, elles pourraient être confrontées à un conflit d'intérêts entre leur pouvoir de sanction et celui de délivrer des labels.

Ces inconvénients pourraient être résolus par la création d'une agence indépendante au niveau européen, comprenant notamment des représentants du G29 dans le comité définissant le référentiel, lui-même défini selon un processus de consultation auprès des DPA nationales et organisations professionnelles.

La proposition établie par le rapport bien que restant très vague nous parait tout à fait pertinente :

« Cet organisme ou bureau pourrait être chargé non seulement du Label européen de protection de la vie privée mais peut-être aussi de la préparation de codes de déontologie européens, ainsi que des règles d'entreprise contraignantes - les premiers travaux seraient laissés aux experts indépendants (mais évalués et dûment accrédités), l'évaluation finale et la certification étant effectuées par le bureau sur une base semi-commerciale (autofinancement). »

La certification émise par le bureau plutôt que par la DPA nationale devrait être gage d'indépendance et de neutralité.

Recommandation :

-Organisme certificateur au niveau européen dont le G29 et l'ENISA pourraient membres (voir par exemple la possibilité de créer un organisme à capitaux mixtes pouvant fonctionner selon les règles d'organismes privés).

- Participation des DPA nationales, organisations professionnelles et de consommateurs au processus de consultation pour la définition du référentiel et des caractéristiques du schéma et la prise en compte des freins ou barrières culturelles par exemple ;

-Des règles de fonctionnement suffisamment souples pour ne pas tomber dans les travers de la bureaucratie avec une présidence indépendante des états ;

-La présence d'experts évaluateurs dans l'ensemble des pays membres ;

-Des moyens de contrôles effectifs et indépendants dans l'ensemble des pays membres.

(4) Conforter l'efficacité du schéma : responsabilité, contrôle, système de résolution des litiges

Le schéma doit prévoir des outils de surveillance :

Un agent responsable au coeur de l'organisation

Les contrôles doivent être réguliers (procédure d'audit allégée) et indépendants.

Le schéma doit prévoir une possibilité de correction et de mise à niveau ;

La non-conformité au référentiel du schéma doit donner lieu à une sanction applicable et appliquée :

- Retrait du label ou du certificat ;

-A la publicité de la sanction, on préfèrera le retrait de la liste publique des organisations certifiées ;

-Obligation d'informer l'autorité indépendante.

Le schéma devrait comporter un système indépendant de traitement des requêtes et des plaintes permettant ainsi un exercice plus facile de leurs droits par les consommateurs et les citoyens en évitant de recourir immédiatement au système judiciaire. C'est une procédure utile dans les cas où les dommages sont limités qui pourrait servir de filtre avant la saisine du régulateur ou des tribunaux.

L'exemple coréen est souvent cité comme réussite ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} . En cas de violation manifeste, si l'organisation refuse de réparer, PICO avertit le ministre, la police et les services du procureur. Notons que la quasitotalité des plaintes sont résolues par médiation.

Recommandation :

-Distinguer avec soin la portée du schéma et tout particulièrement si les acteurs visent une certification de processus ou bien une certification de résultats. Cette dernière pourrait être recommandée pour certaines technologies et/ou dans des activités déterminées.

-Prévoir des critères de mesurabilité de l'application des principes en lien avec le principe de « Accountability » dans le référentiel ;

-Mettre en place des outils de surveillance et de correction ;

-Enoncer clairement les sanctions et leurs conséquences ;

- Etablir un système indépendant de traitement des requêtes et des plaintes.

* REF _Ref278271812 \r \h \* MERGEFORMAT
Le Personal Information Dispute Mediation Committee (PICO) mis en place par The Korea Information Security Agency (KISA), est une organisation administrative indépendante.