La valeur des données personnelles des citoyens européens pourrait atteindre 1 trillion € par an en
Comment dans ces conditions, les organisations peuvent-elles capitaliser sur les données qu’elles détiennent ?
En partie grâce aux
A l’exception de certaines régions du monde où la certification est une pratique courante de la vie des
En réalité, le fait de réglementer l’utilisation des données n’est pas critiquable en soi et ceci est surtout indispensable à toute démocratie ; la lourdeur bureaucratique liée aux formalités administratives et l’inadaptation de règles parfois trop théoriques, par contre sont pénalisantes.
Enfin, s’il est vrai que le scandale
La certification et les labels forment un élément essentiel de la
Contrairement à d’autres régions dominées par la culture du déclaratif et où la protection des informations personnelles et de la vie privée est largement assurée par l’autorégulation, en Europe, le sujet relève d’abord des états.
Les systèmes d’autorégulation, basés sur la bonne foi et la volonté des organisations concernées ont il est vrai, montré leurs limites ; « pas vu pas pris ». Les discussions européennes en cours concernant les dysfonctionnements de l’accord de
Cependant, la coexistence de schémas de certification avec un règlement d’application uniforme dans l’ensemble des pays européens et dont la violation sera passible de
Le projet de règlement
Le marché des labels est hétérogène et inégal
A côté des labels de protection des données et de la vie privée au sens strict, d’autres ont une vocation plus large :
- Les sceaux de confiance,
- Les labels de sécurité (ex. Verified by Visa),
- Et les labels relatifs au e-commerce (fiabilité des transactions commerciales).
- Le référentiel (les exigences à respecter pour bénéficier du label),
- la qualité de l’émetteur et le caractère officiel du label (privé, autorité ex. CNIL, organisation sans but lucratif, industrie),
- le périmètre (le label CNIL se limite à la conformité à la loi française)
- les sujets de protection des données traités (ex .Trust-e : protection des enfants; APEC, messagerie électronique, Safe Harbor, Mobile)
- les garanties proposées aux personnes,
- le coût (ex. la délivrance d’un label peut être liée à une procédure d’évaluation par un prestataire ; la délivrance peut être soumise à une redevance),
- l’efficacité et la régularité des contrôles,
- les conditions de révocation du label,
- les solutions de résolution des litiges,
- l’offre de prestations de services complémentaires (services professionnels, prime d’assurance…).
Le label est un outil au service de la protection des données et de la vie privée
Les labels n’ont pas vocation à remplacer la loi mais à faciliter son application et à aller au-delà des exigences minimales.
Responsabilisation des entreprises
La certification vise à encourager la transparence et l’autorégulation au sein des organisations. Cette démarche leur permet d’identifier et de limiter les risques liés aux traitements de données personnelles.
Elle permet d’accompagner la mise en conformité des organisations tout en déléguant une partie de la charge du contrôle aux organismes émetteurs des labels.
Mise en oeuvre de mesures de protection des données
Le label indique que la procédure, le produit et la formation proposés répondent aux exigences du référentiel. Dans le cas contraire, le schéma de certification doit en principe prévoir la suspension voire le retrait du label.
Selon les schémas, les référentiels comprennent les textes de loi en vigueur, les standards, les bonnes pratiques, les recommandations et avis des autorités de régulation .
Une partie des référentiels portent sur des exigences allant au-delà de la loi en vigueur, telles que la portabilité des données, le respect du principe d’ « Accountability », l’obligation de documentation, le droit à l’oubli, la notification des violations de confidentialité, la désignation d’un délégué à la protection des données, le Privacy By Design ou l’étude d’impacts. Autant de points traités par le projet de règlement européen.
- Le label améliore la protection des informations et des droits des personnes
- Sensibilisation du marché
Le label est source de valeur ajoutée pour le secteur privé
Le label permet d’améliorer la relation client et d’apaiser le climat social.
Le logo traduit les valeurs et les
- Facteur de confiance, un label donne un avantage compétitif aux entreprises et à leurs sous-traitants et facilite le ROI
Un label influence les relations avec les partenaires commerciaux : Le responsable de traitement doit par exemple s’assurer que son sous-traitant présente des garanties de sécurité et de confidentialité suffisantes s’il ne veut pas voir sa propre responsabilité engagée. Un sous-traitant disposant d’un label garantissant la mise en place de mesures conformes aux dispositions législatives, rassurera d’autant plus son client responsable des traitements.
L’affichage du logo, source de confiance, facilite le retour sur investissement des mesures engagées et permet de profiter d’une gratification quasi - immédiate.
- Le label peut être un outil de résolution amiable des litiges
Quelques exemples de labels de protection des données et/ou de la vie privée
La majorité des labels sont émis aux USA, souvent par des acteurs privés. Aucun ne s’appuie sur un référentiel conforme à la règlementation européenne.
En Europe il existe plusieurs labels émis au niveau national ou régional mais seul le label EuroPriSe est reconnu à l’échelle européenne.
Les schémas de certification portés par les autorités de protection des données (ex. label CNIL label ou EuroPriSe) ou développés par des organisations sans
Les labels de sites internet
Les labels de site internet sont souvent basés sur un régime déclaratif.
Faute de standard international ou européen, ce marché se caractérise par une grande confusion. Ne sachant pas toujours ce que recouvre réellement le label, les individus peuvent se méprendre sur la signification de celui-ci et lui attribuer des vertus dépassant son périmètre.
La protection de la vie privée et des informations personnelles est souvent abordée de manière complémentaire dans le cadre d’objectifs plus larges tels que la sécurité des transactions, une pratique éthique des affaires ou la vérification de la solvabilité et de la fiabilité des acteurs.
Les labels basés sur la certification de procédure ou de système de management d’une organisation
La délivrance d’un label est généralement associée à une procédure d’audit des traitements de données personnelles. - Suisse : Des professionnels agréés pour mener des évaluations de procédure et délivrer leur propre label. Ex. GoodPriv@cy
La Suisse a fait le choix de labels privés basés sur un processus légal de certification des procédures de traitements des données par des organismes agréés indépendants.
L’autorité Suisse de protection des données (PFPDT) est associée à la procédure d’accréditation, de contrôle et de révocation. Ainsi, l’association Suisse à but non lucratif SQS, est agréée pour délivrer son label Goodpriv@cy .
La certification de l’ensemble des procédures exonère les entreprises de formalité de déclaration.
France : les labels CNIL de formation et de procédure d’audit
La « loi informatique et libertés » prévoit la possibilité pour le régulateur français de délivrer des labels officiels de formations et de procédures d’audits de traitements de données personnelles. La
Les labels de la Commission Nationale Informatique et Libertés, à l’instar d’autres
Le label est délivré pour des procédures mises en oeuvre par des prestataires (cabinets de conseils, d’avocats, etc.) ou par des entreprises (on parle d’audit interne).
Il n’est pas délivré à l’organisation auditée qui ne peut donc afficher le logo de la CNIL sur son site. A ce jour, dix-huit formations et huit procédures d’audit ont obtenu le labelCNIL.
A quoi correspond le logo du Correspondant Informatique et libertés (CIL) ?
Toute organisation traitant de données personnelles peut choisir de désigner un correspondant dont la mission sera de veiller à l’application de la « loi informatique et libertés » en son sein. La désignation d’un Correspondant informatique et libertés l’autorise à afficher le logo du CIL sur son site. Le CIL n’est pas certifié par la CNIL mais sa désignation doit être notifiée à la CNIL. Le logo du CIL est une simple marque ; il ne dépend d’aucun schéma de certification mais il traduit néanmoins l’engagement de l’entreprise à respecter la protection des données et de la vie privée de ses clients, visiteurs ou salariés.
EuroPriSe, seul label européen de certification de produits, services IT et d’applications
Il s’agit du seul schéma de certification basé sur la réglementation européenne et offrant des garanties de respect des droits des personnes. En outre, le référentiel comprend des standards internationaux de sécurité.
La certification du produit ou du service garantit que le produit peut être utilisé tout en protégeant la vie privée des personnes concernées.
Le label EuroPriSe pourrait bénéficier d’une plus grande visibilité dès l’adoption du nouveau règlement européen qui d’une part permettra d’harmoniser les législations dans l’ensemble des états membres et d’autre part encourage les organisations à intégrer les principes de « data protection by design » et de «
Le succès d’un label dépend de sa portée, de sa crédibilité, de son potentiel de séduction et du caractère contraignant de son référentiel.
Un label doit avoir une portée suffisamment large pour être visible du plus grand nombre. L’émission de labels à l’échelle européenne devrait participer de l’uniformisation de l’application des règles de protection des données à un échelon supranational.
Les accords de reconnaissance mutuelle ou de
- Un label doit être reconnu par l’ensemble des acteurs
- Enfin, un label doit être suffisamment « attractif »
L’organisme émetteur peut par exemple proposer des services aux