Titre XX. Conclusion

Beaucoup de pays placent une plus grande confiance dans l'autorégulation et dans la certification qu'en Europe.

Mais aujourd'hui, plus que jamais peut être, la certification a toutes les raisons de se développer en Europe.

Désormais ni les Autorité de Protection des Données (DPA) ni les gouvernements n'ont plus les moyens de garantir seuls le respect de la protection des DP face aux nouveaux défis technologiques et économiques.

La certification offre l'opportunité d'attester de la conformité de produits et de procédures à des référentiels techniques et pourraient être plus adaptés au domaine des TIC que l'instrument législatif.

C'est aussi le seul moyen à ce jour de fixer les règles d'un jeu qui se jouent à l'échelle globale de la planète, bien au-delà des modalités d'échanges économiques traditionnelles inter- nations.

La Commission européenne envisage l'adoption de nouveaux principes qui devront trouver à être implémentés dans les produits :

- le renforcement du principe d'économie des données;

- la clarification du droit à l'oubli

- un principe de « portabilité des données » pour permettre à la personne concernée d'effacer ses DP par l'intermédiaire d'un tiers.

La commission entend inclure l'obligation de mettre en place un PIA dans certains cas de données sensibles ou si le traitement implique des risques spécifiques y compris pour la vidéosurveillance ou le profilage.

Elle souhaite promouvoir l'usage des PETs' et la possibilité concrète de mettre en place l'obligation de PbD.

Après étude des schémas de certification traitant de la protection de la vie privée, partout semble se dessiner assez clairement un consensus sur les points suivants dont un schéma de certification doit tenir compte:

-de nouveaux principes à considérer (Accountability et responsabilité, PbD, formation et sensibilisation...),

-de nouveaux besoins (sécurité, droits de troisième génération),

-la nécessité de reconsidérer notre approche de la protection de la vie privée et des DP (gestion des risques, mesures proactives, approche holistique, encouragement des mesures d'autorégulation),

-un besoin d'harmonisation des principes et des pratiques au-delà des frontières

L'efficacité de ces principes dépendra des modalités « effectives » de mise en oeuvre. La certification pourrait jouer un rôle croissant en ce domaine.

Finalement la faisabilité d'un schéma de certification de protection des DP sera sensible aux conditions suivantes:

-les caractéristiques du schéma : non seulement le référentiel mais surtout les modalités de contrôles, son indépendance et son impartialité ;

-Que le sujet de protection des DP devienne un projet de société et un sujet de préoccupation d'intérêt européen et international au même titre que la protection de l'environnement afin de pouvoir bénéficier de mesures incitatives (voire obligatoire dans certains cas);

En pratique, cela se traduira par :

-Une politique de protection des DP s'inscrivant au contraire dans la durée et l'entièreté d'une démarche ;

- L'implication des DPA dans la promotion de la certification;

-L'affirmation et la promotion de valeurs européennes au travers d'accords de reconnaissances ;

-La possibilité pour tous les acteurs liés par un échange de données de faire valoir leurs droits au titre d'un même référentiel et selon la même efficacité ;

-La mis en place d'outils garants de l'harmonisation du niveau des évaluations.

En ce qui concerne la certification de systèmes de management, Hendricks and Singhal (1997) ont montré que la mise en place d'un tel système améliorait significativement les performances financières, mais de manière plus ou moins prononcée en fonction du type de récompense octroyée. On peut donc en conclure que la qualité du schéma d'octroi de la récompense a une réelle influence. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Une autre étude menée entre 1987 et 1997 portant sur les entreprises du secteur marketing certifiées ISO 9000, (ce qui implique la mise en place d'une procédure documentée), a démontré une nette amélioration dans les performances financières immédiates des organisations mais aussi trois ans plus tard. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Peu de certifications ont eu jusqu'à présent pour seul thème la protection de la vie privée et/ou des DP à l'exception de :

· TRUSTe qui est un label pour les sites web et applications pour mobiles (qui a désormais une stratégie purement commerciale)

· EUROPRISE qui porte sur les produits et services IT mais qui ne connait pas de franc succès pour le moment

· Les schémas de certification du land du Schleswig Holstein,

· PrivacyMark, certification de système de management qui connait un réel succès au Japon

· Goodpriv@cy, certification de système de management, pour lequel nous n'avons pas encore de chiffre

· BSI 10012, un standard de protection des données en ligne créé en 2009.

-Les schémas de certification de sites web visent à gagner la confiance des consommateurs en proposant une garantie allant au-delà de la seule protection de la vie privée. TRUSTe a renforcé son offre de sécurité, tandis que TrustGuard par exemple met expressément en avant une offre plus complète que ses concurrents (sécurité, vie privée et pratique des affaires). La protection des DP n'est dans la plupart des cas qu'un argument marketing dont il est difficile de vérifier la réelle application. Surtout, le caractère purement commercial des schémas a rapidement montré les limites d'un système motivé par le seul appât du lucre. Il semblerait que cela ait été jusqu'à présent le seul modèle économiquement viable avec tout de même une offre de service accrue en matière de sécurité des DP.

L'autorégulation se caractérise d'avantage par un « vernis » et se limite en général à « je dis ce que je fais » sans que nous soient donnés les moyens de vérifier que « je fais ce que je dis ».

-Concernant les procédures et systèmes de management, une foule d'outils sont mis à disposition des organisations et des professionnels, tout particulièrement de nombreux cadres d'audit pour certains émis par les DPA.

Les outils d'audit proposés varient selon leur référentiel, leur objectif, leur portée ou leur forme mais ils restent d'excellents instruments pour :

- améliorer la sensibilisation des professionnels ;

-encourager les organisations dans une démarche d'auto-évaluation ;

-préparer un audit de conformité par un tiers indépendant et une éventuelle certification ;

-améliorer la politique de protection des DP de l'organisation en révélant les insuffisances.

Selon les objectifs visés par l'organisme émetteur du certificat, la démarche de certification doit tenir compte de l'hétérogénéité du marché.

Les besoins et les moyens des acteurs diffèrent selon leur secteur d'activité, selon leur taille et leurs ressources.

C'est pourquoi nous préconisons que le schéma de certification puisse s'adapter à des niveaux de maturité déterminés et offrir à l'organisation la possibilité de gravir des échelons en fonction de l'atteinte d'objectifs déterminés. Par ce moyen, la démarche serait accessible à toutes les organisations quelque soit leur taille et leur permettrait d'étaler le coût de la démarche dans le temps.

Quant aux certifications de produits, il existe généralement très peu de schémas et il n'y a pas actuellement de fort développement à l'exception du milieu bancaire, selon notre interlocuteur à l'ANSSI.

Concernant la protection de la vie privée, nous avons relevé trois schémas seulement: Europrise, Gütesiegel du Schleswig Holstein et celui prévu par la loi Suisse mais qui à notre connaissance n'a pas encore accrédité d'organisme pour la certification des produits. Le schéma Europrise prévoit la possibilité pour les autorités nationales de délivrer le label mais il semblerait que jusqu'à présent seule l'ULD soit intervenue.

L'usage de son pouvoir de labellisation par la CNIL pourrait être une exception dans ce paysage.

On doutera cependant de sa capacité à assurer seule une certification des produits. Ce type de schéma nécessite des ressources humaines et financières très élevées que seuls les états sont à même de garantir aujourd'hui dans le domaine des TIC.

Pour ces raisons la commissaire de l'Ontario Ann Cavoukian déclare ne pas avoir reçu mandat de mettre en place une certification de son concept de PbD.

La CNIL pourrait alors envisager de collaborer avec l'ANSSI mais cette agence est d'abord spécialisée dans la sécurité et elle a un caractère avant tout national. Une telle collaboration pourrait être précisément prévue et déterminée pour certaines technologies.

Il existe par ailleurs un certain nombre de standards qui font l'objet d'un consensus international que les DPA pourraient intégrer dans leur référentiel (ex. Suisse) dans l'attente de nouveaux standards toujours en cours (ISO Privacy Framework).

La CNIL au même titre que d'autres DPA pourraient tirer avantage à s'impliquer dans le schéma d'Europrise à la condition de surmonter les divergences politiques et de s'accorder sur le fonctionnement d'un comité de direction.

Les DPA et autres autorités nationales pourraient trouver un intérêt à s'appuyer sur un système qui a le mérite :

- d'exister,

- de se conformer à un référentiel relativement large mais consensuel en Europe et reconnu internationalement,

- de trouver lentement son rythme de croisière ;

-de dépendre d'un organisme reconnu pour son indépendance et ses compétences en matière de protection de la vie privée ;

-de se baser sur un réseau d'experts évaluateurs à travers le monde.

Enfin, une solution serait de créer un organisme européen à capitaux mixtes et fonctionnant sur le modèle d'organismes privés, pouvant s'inspirer du schéma d'Europrise, en privilégiant :

-la détermination des référentiels tout en respectant le principe de neutralité technologique;

-les modalités de contrôle de l'efficacité du schéma ;

-l'implication du G29 et de l'ENISA ;

-l'harmonisation des évaluations de conformité ;

-la communication autour du projet ;

-la participation des DPA nationales et des organisations professionnelles

Et en faisant de la certification une démarche économiquement attrayante pour les organisations.

* REF _Ref278271812 \r \h \* MERGEFORMAT

Titre I.
Hendricks, K.B. and V.R. Singhal. 1997. Does Implementing an Effective TQM Program

* REF _Ref278271812 \r \h \* MERGEFORMAT
The Financial Impact of ISO 9000 Certification in the US: An Empirical Analysis, Charles J. Corbett, María J. Montes-Sancho, David A. Kirsch