La faisabilité des schémas de certification de protection de la vie privée

Section 2. Esquisse d'une politique d'accompagnement d'une démarche de certification

Le succès d'un schéma européen de certification des DP dépendra d'abord de la capacité des instances politiques à relever les nouveaux défis. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

(I) Motivation et participation de l'ensemble des acteurs

(1) La faisabilité d'un schéma de certification dépend de l'engagement des pouvoirs publics dans un « projet de société »

Même si les conséquences d'une violation sont significatives pour une organisation, le coût pour les consommateurs ne peut être entièrement considéré par l'organisation en tant qu'élément de son risque. Dans ce cas, une violation de la vie privée est une extériorité négative que les incitations normales ne corrigent pas. De même, les précautions que devraient prendre les consommateurs pour éviter ou faire suite à un incident de sécurité coûtent cher et prennent du temps sans pour autant leur garantir une protection ou une réparation.

Aussi parait-il normal et souhaitable que les pouvoirs publics participent activement à la protection DP et de la vie privée.

A.Acquisti suggère de déplacer le débat, plutôt que de prouver que l'individu supporte un coût lorsque sa vie privée n'est pas protégée, on pourrait exiger des organisations qu'elles prouvent qu'elles ne peuvent fournir le même produit tout en protégeant les informations personnelles. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Pour inciter les organisations à respecter un règlement de sécurité et de protection des DP, on peut envisager de:

· introduire le principe de PbD dans les systèmes d'information de l'administration, ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT} et encourager l'usage de technologies de protection (cf. nouveaux protocoles de cryptographie) ce qui devrait nous permettre d'atteindre un meilleur équilibre. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

· la technologie pourrait aider à réaliser des équilibres plus souhaitables, et l'intervention de normalisation pourrait pousser le marché pour adopter ces technologies.

· diminuer le coût de la mesure de prudence, par exemple en soutenant financièrement l'acquisition du dispositif de PbD;

· encourager les autorités gouvernementales à utiliser des produits certifiés à l'image des actions menées dans le Land du Schleswig Holstein ;

· créer des incitations fiscales ;

· mettre en place un plan d'action au sein de l'administration (cf. Plan Administration Exemplaire article 42 du projet de loi Grenelle 1 : L'Etat pourrait s'engager à être exemplaire dans la protection des DP comme il doit l'être en matière de développement durable);

· augmenter le bénéfice perçu de la mesure de prudence en accompagnant l'acquisition d'un « cadeau » (par exemple en diminuant le montant de la prime d'assurance);

· augmenter le coût et diminuer le gain de l'attitude imprudente (plus de sanctions par les DPA et autres régulateurs, prévoir des sanctions plus dissuasives, rendre la publicité des violations obligatoires...) ;

· engager une campagne nationale de communication.

* REF _Ref278271812 \r \h \* MERGEFORMAT
Étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques, commission européenne, janvier 2010

* REF _Ref278271812 \r \h \* MERGEFORMAT
The economics of personal data and the economics of privacy by Alessandro Acquisti, Heinz College, Carnegie Mellon University, December 2010, OECD

* REF _Ref278271812 \r \h \* MERGEFORMAT
Avis du CEPD du 18/03/2010

* REF _Ref278271812 \r \h \* MERGEFORMAT
The economics of personal data and the economics of privacy by Alessandro Acquisti, Heinz College, Carnegie Mellon University, December 2010, OECD