Memoire Online - La faisabilité des schémas de certification de protection de la vie privée

Titre VII. La culture d'un pays détermine la conception « philosophique » de protection de la vie privée et des DP qui influence par ailleurs le choix des systèmes juridiques de régulation.

La volonté et la capacité de l'industrie à s'engager dans une démarche de protection des DP et de la vie privée dépend à la fois du degré de conscience et de sensibilisation de sa population et des ressources disponibles.

Dans la plupart des anciens états de l'UE, le niveau d'intérêt a baissé ou est resté stable entre 2003 et 2008, à l'exception d'une progression notable en Espagne et au Portugal.

Une majorité de citoyens européens se sentent en insécurité quand ils transmettent des données via internet et très peu connaissent les droits et obligations énoncés par les textes de protection des DP.

Seules 39% des personnes interrogées en 2009 connaissent l'existence de la CNIL en France sans toutefois toujours connaitre son rôle et ses pouvoirs.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

De récentes études pointent le fait que les décideurs français ont une des perceptions des risques la moins alarmiste ; notre pays occupe également la dernière place en ce qui concerne les démarches proactives (60% du temps passé à essayer de réparer les dégâts plutôt que de les prévenir).^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Ces chiffres ne sont d'ailleurs pas démentis par les résultats de l'enquête de terrain menée au cours de cette étude

Les français font part d'une certaine réticence vis-à-vis des schémas de certification entièrement privés ne bénéficiant pas d'une accréditation ou d'une reconnaissance d'une autorité administrative.

Les certifications ISO 27001 connaissent une légère augmentation. Au 30/05/2009 on comptait 5314 certificats ISO 27001 délivrés dans le monde dont à titre d'exemples :

Jusqu'à présent en France, la certification n'est pas apparue comme un élément indispensable alors qu'elle l'est devenue dans certains pays plus enclins à satisfaire les attentes de leurs partenaires et de leurs clients.

Le formidable essor des schémas de certification en Asie nous a poussés à essayer de comprendre quelles pouvaient en être les raisons culturelles.

Dans la culture japonaise, la notion de protection de la vie privée est une idée importée. Le groupe occupe une place primordiale au contraire de la faible valeur attribuée à la sphère individuelle distincte du groupe. Autrui bénéficie d'une présomption de bonne foi, ce qui explique que le droit de contrôler la circulation de ses propres informations personnelles serait vécu comme un excès de défiance.

Le Japon a été fortement influencé par les lignes directrices de l'OCDE de 1980 mais aussi par les lois allemandes et françaises.

Le JAPON n'a pas de loi générale sur la protection de la vie privée mais il existe des lois de protection des informations personnelles dans le privé et le public comprenant des principes pour lesquels les ministères et tout particulièrement le METI (Ministère du commerce et de l'industrie) dispensent des guidelines. Environ 40 guidelines et pas moins de 24 mesures sectorielles ont été émis depuis 1989 par les ministères des divers secteurs d'activité.

Le concept de « données personnelles » doit son succès à l'extraordinaire développement des TIC qui a donné l'occasion aux entreprises de collecter, conserver et partager de grandes quantités de DP.

Le Japon se caractérise aussi par un lien très étroit entre le Ministère du Commerce et de l'Industrie (METI) et les associations professionnelles

Les autorités publiques ont considéré la protection de la vie privée et des DP comme une valeur sociétale indispensable à la reprise de l'économie. C'est désormais un courant politique à part entière comparé à celui de la protection de l'environnement.

Une majorité de dirigeants japonais considèrent la législation de protection des DP comme un simple risque à prendre en compte tant vis-à-vis du marché national que dans un environnement international.

Les exigences des clients, la conquête de marchés internationaux et la valeur patrimoniale des données sont au coeur des préoccupations des organisations asiatiques.

Les dépenses de sécurité y sont une priorité.^{(*)REF
_Ref278271812 \r \h \* MERGEFORMAT}

Les asiatiques pensent avoir une meilleure compréhension de l'influence des incidents de sécurité sur leurs capitaux. Cet avantage de connaissances leur permet de cibler de manière optimale les actions préventives et correctives dans leur gestion du risque sécurité donc d'espérer un ROI plus rapide.

75% des personnes asiatiques interrogées considèrent que le renforcement des capacités de gouvernance, de risque et de conformité sont une priorité « top , très importante ou importante », alors qu'elles sont 70% en Amérique du Sud ( tout en indiquant une baisse ou un différé des dépenses de sécurité) , 66% en Amérique du Nord et seulement 56% en Europe. En Europe il persiste une faible visibilité sur les évènements à incidents de sécurité ce qui ne permet pas de connaitre le véritable impact sur l'activité.

Tableau Différences régionales dans les pratiques de sécurité de l'information

	ASIE	AMERIQUE DU NORD	AMERIQUE DU SUD	EUROPE
Les raisons de vos dépenses : conditions économiques	53	55	51	41
Les raisons de vos dépenses : continuité de l'activité	50	42	35	29
Les raisons de vos dépenses : réputation de l'organisation	41	33	37	28

Une des justifications déterminantes de la sécurité : exigences légales ou règlementaires	45	55	35	35
Une des justifications déterminantes de la sécurité : responsabilité ou exposition potentielle	45	50	32	25
Une des justifications déterminantes de la sécurité : Exigences des clients	52	37	39	29

Ont un inventaire pertinent du lieu où sont stockées les données sensibles	42	40	33	24

Nombre d'incidents de sécurité inconnus au cours des 12 derniers mois	14	37	19	29
Sources inconnues des incidents de sécurité des 12 derniers mois	26	44	31	41

Conduite d'une évaluation de risques au cours des 2 dernières années	41	28	42	33

A l'image des asiatiques, les personnes d'Amérique du Sud pensent avoir une meilleure connaissance du nombre, du type et de la source des attaques. Ils mettent également en avant « les exigences client » comme facteur décisif de leurs dépenses de sécurité alors que les européens sont guidés par les exigences légales et règlementaires.

-On note tout de même de manière générale, une légère évolution des consciences :

A la question : comment justifiez-vous les dépenses de sécurité dans votre organisation ? 41 % des répondants (soit +21% en 3 ans) ont répondu « la satisfaction des clients ». Plus que jamais semble-t-il, la fonction sécurité est orientée vers le client, vers la construction d'une stratégie de valeur ; un élément de maturité à prendre en compte dans un schéma de certification.

Sur un plan régional, le cadre de l'APEC pour la protection de la vie privée comprend l'application de plans d'actions par 14 pays, et la création d'un groupe d'étude dans le sous groupe de protection de la vie privée (DPS) pour analyser et identifier les meilleures pratiques et le rôle des labels dans la promotion des flux transfrontières d'informations personnelles (tableau des certifications dans les pays de l'APEC annexe 1).

Aux U.S.A, la protection de la vie privée est traitée au travers du prisme de l'économie de marché. La protection de la vie privée est un droit inhérent à chaque individu qui est libre d'en faire le commerce et d'en tirer profit.

La culture juridique est basée sur le « déclaratif » qui en principe implique pour les entreprises de respecter leurs engagements dans un système largement dominé par l'auto régulation.

Les industriels et les professionnels sont fortement impliqués dans les schémas d'autorégulation. L'avantage en termes de ressources est considérable, puisque le secteur privé est la principale source de financement des schémas étudiés mais l'indépendance des évaluateurs et des auditeurs peut prêter à discussion.

En Asie et en Amérique du sud dans une moindre mesure, les organisations ont eu recours à la certification pour assurer et par la même rassurer leurs partenaires et leurs clients sur un certain niveau d'exigence de sécurité et de protection des DP.

En Europe et tout spécialement en France, on constate la conviction bien ancrée que la protection des DP et de la vie privée relève de la compétence et des devoirs de l'Etat envers ses citoyens

Les modèles d'autorégulation et de co-régulation se sont essentiellement développés dans les pays :

- où il n'existait pas encore de loi règlementant la protection de la vie privée de manière générale (fonction supplétive)

-ou en voie de transformation économique et politique (fonction supplétive et complétive).

Pourraient s'y ajouter demain, les pays où les législations ne suffisent plus à répondre aux besoins soulevés par les évolutions technologiques et économiques.

* REF _Ref278271812 \r \h \* MERGEFORMAT Eurobarometer survey on Data Protection measures Awareness, Attitudes and Views of Citizens of the EU 2008

* REF _Ref278271812 \r \h \* MERGEFORMAT 2011 Global State of Information Security Survey PWC

La faisabilité des schémas de certification de protection de la vie privée

(II) Influence culturelle