La faisabilité des schémas de certification de protection de la vie privée

(5) Envisager d'autres bénéfices potentiels à une démarche de certification

a) Une assurance pour couvrir le coût d'une violation de données

« la Cyber assurance pour le virtuel pourrait un jour (très proche) devenir un instrument dominant du transfert de risque dans le monde des affaires». ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Les compagnies d'assurance américaines pensent que le marché va croitre notamment du fait des services de réparation et de la couverture de l'obligation de notification.

Dans le dernier sondage annuel de PriceWaterhouseCooper précité, 40% des entreprises du R.U. affirment se tourner vers des assurances couvrant les failles de sécurité.

Un schéma de certification pourrait être lié à une couverture d'assurance spéciale comme cela existe déjà dans les pays anglo-saxons.

Pourrait on envisager que, dans le cadre d'un projet de société, l'assurance devienne un jour obligatoire comme elle peut l'être déjà dans certains domaines en France?

La société américaine Net Diligence ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} propose un concept garantissant 3 types de couverture d'assurance:

- responsabilité pour une violation de sécurité ou de vie privée (coûts des frais de poursuite et de défense) ;

-réparations faisant suite à une faille: réponses, notifications, investigations, contrôles

-couverture des amendes/ou pénalités imposées par la loi ou les règles: dues à une faille du système; une perte causée par un employé; l'acte d'un tiers ; le vol d'un bien privé contenant des DP 

L'assurance couvre les PII si elles n'ont pas été rendues publiques et les données non électroniques.

b) Services annexes proposés par le certificateur

ï Actions de sensibilisation et de formation :

La composante humaine est le maillon le plus faible d'un réseau de sécurité.

La prise de conscience du risque et des moyens de s'en préserver constitue la première base de défense pour garantir la sécurité des réseaux.

Une attention tout particulière sera portée aux risques de conflits d'intérêts entre la certification et les services de conseil, de formation et d'audit interne. A cet effet, il ne parait pas souhaitable qu'un même professionnel puisse à la fois assurer des actions de formation (ou de toute autre activité de conseil ou de prestation d'avocat par exemple) et d'audit au sein d'une même organisation.

-Actions de sensibilisation et de formation au profit des organisations

La formation à la protection des DP a un coût relativement modeste estimé selon l'étude de l'ICO à moins de £1 par salarié pour une très grande organisation et s'avère plus efficace que des investissements technologiques.

Dans son communiqué du 04/11/2010, la Commission déclare envisager:

- le co-financement d'actions de sensibilisation au moyen du budget communautaire ;

- d'inclure dans le cadre juridique une obligation d'actions de sensibilisation

La sensibilisation comme la formation, imposent:

-de cibler le groupe : employés, middle management, executive management, administrateur système, tierce partie ;

-de définir des exigences et d'établir des rapports réguliers ;

-des mises en situation réelle.

Elle doit s'accompagner d'une campagne de communication avec des messages ciblés en fonction du degré de sensibilisation, des attentes, des besoins. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

-Actions de formation et mise à niveau au profit des experts évaluateurs

Ce type de service est fortement recommandé.

Europrise impose des formations avancées pour les professionnels experts sur les sujets européens de protection de la vie privée et notamment concernant les évolutions des textes. Ce type de démarche apporte une réelle plus value à un schéma de certification.

ï Recherche

Le Consortium EuroPriSe a été mené par le Centre Indépendant pour la Protection des Données Personnelles du Schleswig-Holstein (ICPP/ULD) en Allemagne.

Au Japon, le JIPDEC est un centre de recherche et de promotion dans le domaine des technologies de l'information. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}  

La recherche est un axe important pour asseoir la reconnaissance et la notoriété de l'organisme émetteur. Il permet à l'organisme de percevoir des financements publics et/ou privés. Le financement privé de la recherche est beaucoup plus développé aux USA par exemple où les grands groupes participent à la recherche sur la protection de la vie privée.

Il `est pas certain que ce modèle soit adapté à la culture européenne.

ï Services professionnels

Les labels de sites web proposent toute une série de services à leurs adhérents qu'il s'agisse de Networking, de services promotionnels, de conseils dans le traitement des litiges, de marketing ou de services propres à la gestion des informations personnelles (cf. TRUSTe propose aux adhérents un service de management en ligne de leur politique : émission de rapports de conformité  et de statistiques).

Les organismes offrent aussi la possibilité d'obtenir de meilleurs prix sur d'autres démarches de certification (voir SQS-IQNet).

Recommandations :

-Nouer un partenariat avec des assureurs pour un certain niveau de certification ;

-Proposer des outils d'auto-évaluation et de suivi en ligne sur abonnement (cf. DSI 10012 data protection online) ;

-Conseiller sur la politique de communication interne de l'entreprise ;

-Newsletter gratuite, accès à une base de documentation et de recherche et abonnement annuel à un service de conseil juridique à distance ;

-Mise à jour régulière des connaissances des évaluateurs ;

-Formation d'évaluateurs juniors

-Actions d'accompagnement et formations courtes et ciblées en entreprises avec mise en situation (séparation des fonctions avec l'activité d'audit).

* REF _Ref278271812 \r \h \* MERGEFORMAT
Drew Bartkiewicz of The Hartford 2009 au World Economic Forum`s Future of the Internet Council à Dubai

* REF _Ref278271812 \r \h \* MERGEFORMAT
http://www.netdiligence.com/ NetDiligence propose :

- de vérifier la conformité aux exigences de cybersécurité (GLBA 501b, NCUA's Rule 748, HIPAA, PIPEDA et autres règles étatiques et fédérales qui demandent l'application de bonnes pratiques).

- des solutions pour prévenir les pertes de données ;

-de documenter la bonne foi de l'organisation ;

-des tests de vulnérabilité du système par rapport à plus de 6000 exploits de hacker 

* REF _Ref278271812 \r \h \* MERGEFORMAT
The new users' guide: How to raise information security awareness, ENISA juillet 2008

* REF _Ref278271812 \r \h \* MERGEFORMAT
Autorité administrative indépendante reconnue comme entité d'investigation conformément à la Loi sur les signatures électroniques et les affaires de certification.