Certification

Les labels de protection des données personnelles sont source de valeur ajoutée

La certification vise à encourager la transparence et l’autorégulation au sein des organisations. Cette démarche leur permet d’identifier et de limiter les risques liés aux traitements de données personnelles. Elle permet également d’accompagner la mise en conformité des organisations tout en déléguant une partie de la charge du contrôle aux organismes émetteurs des labels.

Localisation des émetteurs de labels de protection

L'auteur

  • Florence Bonnet
    • Sénior Consultant en protection des données personnelles
      CIL Consulting

Revue de l'article

Cet article est extrait de
Revue Banque n°769

Données personnelles : une protection de plus en plus renforcée

La valeur des données personnelles des citoyens européens pourrait atteindre 1 trillion € par an en 2020 [1]. Grâce aux données personnelles, les entreprises apprennent à mieux connaître leurs clients, à mieux cibler leurs prospects et peuvent adapter leurs offres de services et de produits. Pourtant et malgré ce déluge d’informations, seules les données de qualité, exactes et à jour sont pertinentes.

Comment dans ces conditions, les organisations peuvent-elles capitaliser sur les données qu’elles détiennent ?

En partie grâce aux labels [2] : facteurs de confiance, de sensibilisation et de transparence, ils sont source de valeur ajoutée à la fois pour les clients et les salariés mais aussi pour les organisations qu’elles soient publiques ou privées.

A l’exception de certaines régions du monde où la certification est une pratique courante de la vie des affaires [3], la plupart des entreprises manquent encore de maturité sur le sujet. A cela s’ajoute le fait que les individus sont généralement « privacy myopic [4]». Pas facile dans ces conditions de lutter contre le préjugé selon lequel la protection des données et de la vie privée serait un obstacle au développement des nouvelles technologies.

En réalité, le fait de réglementer l’utilisation des données n’est pas critiquable en soi et ceci est surtout indispensable à toute démocratie ; la lourdeur bureaucratique liée aux formalités administratives et l’inadaptation de règles parfois trop théoriques, par contre sont pénalisantes.

Enfin, s’il est vrai que le scandale PRISM [5] marquera de son empreinte l’année 2013, il ne s’agit que de la face immergée de l’iceberg. De manière générale, les comportements d’un certain nombre d’acteurs publics et privés peu respectueux des règles de protection des données sont à l’origine d’une défiance croissante vis-à-vis d’internet et des nouvelles technologies de communication. Les individus se méfient désormais de l’utilisation que les organisations font des données les concernant et la qualité des informations qu’ils partagent s’en ressent. Parallèlement les personnes sont de plus en plus sensibilisées non seulement aux risques liés aux traitements illégitimes des données les concernant, mais aussi à la valeur des informations que les entreprises détiennent sur elles et aux bénéfices qu’elles pourraient également et à juste titre en retirer.

La certification et les labels forment un élément essentiel de la réforme [6] européenne de la protection des données.

Contrairement à d’autres régions dominées par la culture du déclaratif et où la protection des informations personnelles et de la vie privée est largement assurée par l’autorégulation, en Europe, le sujet relève d’abord des états.

Les systèmes d’autorégulation, basés sur la bonne foi et la volonté des organisations concernées ont il est vrai, montré leurs limites ; « pas vu pas pris ». Les discussions européennes en cours concernant les dysfonctionnements de l’accord de Safe Harbor [7] entre les Etats-Unis et l’UE en sont une illustration.

Cependant, la coexistence de schémas de certification avec un règlement d’application uniforme dans l’ensemble des pays européens et dont la violation sera passible de sanctions dissuasives [8] devrait être plus efficace.

Le projet de règlement rappelle [9] la nécessité de créer des schémas de certification et des labels, notamment au niveau européen ; en outre, une démarche de certification devrait permettre aux entreprises de faire plus facilement face à leur nouvelle obligation de documenter [10] les actions de mise en conformité et de mise en oeuvre de mesures de protection des données.

Le marché des labels est hétérogène et inégal

A côté des labels de protection des données et de la vie privée au sens strict, d’autres ont une vocation plus large :

  • Les sceaux de confiance,
  • Les labels de sécurité (ex. Verified by Visa),
  • Et les labels relatifs au e-commerce (fiabilité des transactions commerciales).

Il existe aussi des labels spécialisés à un type de traitement (ex.Cloud computing [11], réseaux sociaux [12]. Signalons enfin l’existence de labels de formations [13] liées à la protection des données et de la vie privée. De nombreux critères permettent de distinguer et d’évaluer la portée et le niveau d’exigence des labels, parmi lesquels :

  • Le référentiel (les exigences à respecter pour bénéficier du label),
  • la qualité de l’émetteur et le caractère officiel du label (privé, autorité ex. CNIL, organisation sans but lucratif, industrie),
  • le périmètre (le label CNIL se limite à la conformité à la loi française)
  • les sujets de protection des données traités (ex .Trust-e : protection des enfants; APEC, messagerie électronique, Safe Harbor, Mobile)
  • les garanties proposées aux personnes,
  • le coût (ex. la délivrance d’un label peut être liée à une procédure d’évaluation par un prestataire ; la délivrance peut être soumise à une redevance),
  • l’efficacité et la régularité des contrôles,
  • les conditions de révocation du label,
  • les solutions de résolution des litiges,
  • l’offre de prestations de services complémentaires (services professionnels, prime d’assurance…).

Le label est un outil au service de la protection des données et de la vie privée

Les labels n’ont pas vocation à remplacer la loi mais à faciliter son application et à aller au-delà des exigences minimales.

Responsabilisation des entreprises

La certification vise à encourager la transparence et l’autorégulation au sein des organisations. Cette démarche leur permet d’identifier et de limiter les risques liés aux traitements de données personnelles.

Elle permet d’accompagner la mise en conformité des organisations tout en déléguant une partie de la charge du contrôle aux organismes émetteurs des labels.

Mise en oeuvre de mesures de protection des données

Le label indique que la procédure, le produit et la formation proposés répondent aux exigences du référentiel. Dans le cas contraire, le schéma de certification doit en principe prévoir la suspension voire le retrait du label.

Selon les schémas, les référentiels comprennent les textes de loi en vigueur, les standards, les bonnes pratiques, les recommandations et avis des autorités de régulation .

Une partie des référentiels portent sur des exigences allant au-delà de la loi en vigueur, telles que la portabilité des données, le respect du principe d’ « Accountability », l’obligation de documentation, le droit à l’oubli, la notification des violations de confidentialité, la désignation d’un délégué à la protection des données, le Privacy By Design ou l’étude d’impacts. Autant de points traités par le projet de règlement européen.

  • Le label améliore la protection des informations et des droits des personnes

Tel est particulièrement le cas des labels dont le référentiel se base sur les textes européens (ou de certains pays membres tels que la France) considérés comme l’une des règlementations les plus protectrices et respectueuses des droits et libertés fondamentaux des personnes.

  • Sensibilisation du marché

La présence de labels sur les sites internet améliore la sensibilisation des clients et des salariés sur le sujet de la protection des données. Cela améliore la confiance dans l’espace digital de l’UE et par voie de conséquence dans son économie numérique.

Le label est source de valeur ajoutée pour le secteur privé

Le label permet d’améliorer la relation client et d’apaiser le climat social.

Le logo traduit les valeurs et les engagements d’une profession [14] et des entreprises en faveur de la protection des données de leurs membres, de leurs clients et prospects et de leurs salariés. Apple et IBM ont par exemple choisi d’afficher le label TRUST-e [15]. Cela permet d’instaurer une relation de confiance entre les organisations et les individus, favorable à l’amélioration de la relation commerciale avec les clients et à l’apaisement du climat social au sein de l’entreprise.

  • Facteur de confiance, un label donne un avantage compétitif aux entreprises et à leurs sous-traitants et facilite le ROI

Diverses études tendent à prouver que les labels influencent les comportements en ligne ; les personnes divulguent plus facilement leurs données personnelles (sans les falsifier) et sont plus enclines à acheter un produit ou à souscrire à un service en ligne [16]. Dans certains cas [17], les entreprises certifiées peuvent bénéficier d’une préférence d’attribution de marché par un organisme public.

Un label influence les relations avec les partenaires commerciaux : Le responsable de traitement doit par exemple s’assurer que son sous-traitant présente des garanties de sécurité et de confidentialité suffisantes s’il ne veut pas voir sa propre responsabilité engagée. Un sous-traitant disposant d’un label garantissant la mise en place de mesures conformes aux dispositions législatives, rassurera d’autant plus son client responsable des traitements.

L’affichage du logo, source de confiance, facilite le retour sur investissement des mesures engagées et permet de profiter d’une gratification quasi - immédiate.

  • Le label peut être un outil de résolution amiable des litiges

Les schémas prévoient parfois une solution amiable, rapide et abordable de résolution des litiges relatifs à la protection des données et de la vie privée.

Quelques exemples de labels de protection des données et/ou de la vie privée

La majorité des labels sont émis aux USA, souvent par des acteurs privés. Aucun ne s’appuie sur un référentiel conforme à la règlementation européenne.

En Europe il existe plusieurs labels émis au niveau national ou régional mais seul le label EuroPriSe est reconnu à l’échelle européenne.

Les schémas de certification portés par les autorités de protection des données (ex. label CNIL label ou EuroPriSe) ou développés par des organisations sans but lucratif [18] sont généralement ceux qui interprètent le plus fidèlement les règles définies dans les textes européens.

Les labels de sites internet

Les labels de site internet sont souvent basés sur un régime déclaratif.

Faute de standard international ou européen, ce marché se caractérise par une grande confusion. Ne sachant pas toujours ce que recouvre réellement le label, les individus peuvent se méprendre sur la signification de celui-ci et lui attribuer des vertus dépassant son périmètre.

La protection de la vie privée et des informations personnelles est souvent abordée de manière complémentaire dans le cadre d’objectifs plus larges tels que la sécurité des transactions, une pratique éthique des affaires ou la vérification de la solvabilité et de la fiabilité des acteurs.

Les labels basés sur la certification de procédure ou de système de management d’une organisation

La délivrance d’un label est généralement associée à une procédure d’audit des traitements de données personnelles. - Suisse : Des professionnels agréés pour mener des évaluations de procédure et délivrer leur propre label. Ex. GoodPriv@cy

La Suisse a fait le choix de labels privés basés sur un processus légal de certification des procédures de traitements des données par des organismes agréés indépendants.

L’autorité Suisse de protection des données (PFPDT) est associée à la procédure d’accréditation, de contrôle et de révocation. Ainsi, l’association Suisse à but non lucratif SQS, est agréée pour délivrer son label Goodpriv@cy .

La certification de l’ensemble des procédures exonère les entreprises de formalité de déclaration.

France : les labels CNIL de formation et de procédure d’audit

La « loi informatique et libertés » prévoit la possibilité pour le régulateur français de délivrer des labels officiels de formations et de procédures d’audits de traitements de données personnelles. La CNIL [19] travaille également depuis plusieurs années sur un schéma de labellisation de produits.

Les labels de la Commission Nationale Informatique et Libertés, à l’instar d’autres labels [20], ont une portée strictement nationale. Ils visent à certifier des formations et des procédures d’audit sur la base de référentiels relatifs à la méthode et au contenu de la procédure ou de la formation ; les professionnels concernés doivent par ailleurs remplir certaines exigences quant à leurs compétences et à leur expérience.

Le label est délivré pour des procédures mises en oeuvre par des prestataires (cabinets de conseils, d’avocats, etc.) ou par des entreprises (on parle d’audit interne).

Il n’est pas délivré à l’organisation auditée qui ne peut donc afficher le logo de la CNIL sur son site. A ce jour, dix-huit formations et huit procédures d’audit ont obtenu le labelCNIL.

 

A quoi correspond le logo du Correspondant Informatique et libertés (CIL) ?

 

Toute organisation traitant de données personnelles peut choisir de désigner un correspondant dont la mission sera de veiller à l’application de la « loi informatique et libertés » en son sein. La désignation d’un Correspondant informatique et libertés l’autorise à afficher le logo du CIL sur son site. Le CIL n’est pas certifié par la CNIL mais sa désignation doit être notifiée à la CNIL. Le logo du CIL est une simple marque ; il ne dépend d’aucun schéma de certification mais il traduit néanmoins l’engagement de l’entreprise à respecter la protection des données et de la vie privée de ses clients, visiteurs ou salariés.

 

EuroPriSe, seul label européen de certification de produits, services IT et d’applications

 

Ce label [21] est né au cours d’un programme de recherche européen conduit par l’ULD [22]. Trente-deux labels ont été délivrés par le régulateur du Schleswig Holstein depuis 2008 suite aux évaluations délivrées par des experts accrédités.

Il s’agit du seul schéma de certification basé sur la réglementation européenne et offrant des garanties de respect des droits des personnes. En outre, le référentiel comprend des standards internationaux de sécurité.

La certification du produit ou du service garantit que le produit peut être utilisé tout en protégeant la vie privée des personnes concernées.

Le label EuroPriSe pourrait bénéficier d’une plus grande visibilité dès l’adoption du nouveau règlement européen qui d’une part permettra d’harmoniser les législations dans l’ensemble des états membres et d’autre part encourage les organisations à intégrer les principes de « data protection by design » et de « data protection by default [23]».

Le succès d’un label dépend de sa portée, de sa crédibilité, de son potentiel de séduction et du caractère contraignant de son référentiel.

Un label doit avoir une portée suffisamment large pour être visible du plus grand nombre. L’émission de labels à l’échelle européenne devrait participer de l’uniformisation de l’application des règles de protection des données à un échelon supranational.

Les accords de reconnaissance mutuelle ou de coopérations entre labels [24] offrent l’opportunité d’étendre le périmètre et la notoriété d’un label au-delà des frontières nationales. C’est un atout essentiel dans une économie globalisée où il n’est pas toujours facile d’y voir clair parmi les nombreux labels existants.

  • Un label doit être reconnu par l’ensemble des acteurs

La clé de la réussite dépend de la confiance, de la crédibilité et de la pertinence du label aux yeux du régulateur, des experts, des individus et des entreprises. Le référentiel, les modalités de contrôle et les sanctions prévues en cas de violation de ses exigences sont déterminant.

  • Enfin, un label doit être suffisamment « attractif »

Le schéma doit être assez flexible et capable de s’adapter à la taille de l’organisation ainsi qu’à son niveau de maturité.

L’organisme émetteur peut par exemple proposer des services aux adhérents [25], l’obtention du label pourrait être une condition indispensable à la souscription d’une assurance sur les failles de sécurité, ou il pourrait permettre à l’organisation de bénéficier d’une limitation de sa responsabilité en dehors des cas de faute intentionnelle.

 

 

[1] http://europa.eu/rapid/press-release_SPEECH-13-720_en.htm

[2] Le label se matérialise par des signes distinctifs (nom, logo, marque..) généralement délivrés à la suite d’une démarche de certification plus ou moins contraignante. Le terme de « certification » s’entend dans le présent article de toute démarche visant à garantir la conformité de produits/services, de sites internet, de systèmes de management ou de personnels par rapport à des exigences spécifiées. Cet article ne traite pas des standards ISO 29100 :2011 et ISO 29101-2013.

[3] Au Japon, le label PrivacyMark a été délivré à plus de 15600 entreprises

[4] Distorsions psychologiques qui affectent les individus y compris les plus « sophistiqués » (cf. sous-estimation hyperbolique des coûts et des bénéfices, biais de self contrôle, recherche de satisfaction immédiate, biais optimiste « cela n'arrive qu'aux autres », sous assurance...).

[5] http://www.lemonde.fr/scandale-prism/

[6] http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

[7] L’accord SAFE HARBOR consiste pour les organisations US à s’auto-certifier auprès du Département du Commerce en s’engageant à respecter et à mettre en pratique les principes de base posés par la directive 95/46 vis-à-vis des données personnelles transférées par des entreprises situées sur le territoire européen.

[8] Réforme UE : le parlement a proposé des sanctions allant jusqu’à 5% du C.A. d’un groupe ou 100 M d’euros

[9] Article 39 du projet européen de règlement

[10] Principe de « Accountability »

[11] Cloud Security Alliance. https://cloudsecurityalliance.org/star

[12] Gigya, Inc.,www.gigya.com

[13] Le « certified Information Privacy Professional » ou CIPP de l’IAPP – la formation CNIL « Informatique et libertés » Formation mise en place avec la collaboration de l’Institut de recherche privée Ponemon

[14] Ex. Cloud Security Alliance (CSA), Market Research Society (MRS) responsable du label Fair Data

[15] http://www.truste.com

[16] Miyazaki, A., and S. Krishnamurthy, “Internet Seals of Approval: Effects on Online Privacy Policies and Consumer Perceptions”, Journal of Consumer Affairs, Vol. 36

[17] EuroPriSe https://www.datenschutzzentrum.de/faq/guetesiegel_engl.htm

[18] Exemples : Euro-Label, Confianza Online, Market Research Society (MRS) Fair Data Mark

[19] http://www.cnil.fr/linstitution/labels-cnil/

[20] Confianza Online, Danish e-mark

[21] https://www.european-privacy-seal.eu/

[22] Centre Indépendant pour la protection de la vie privée allemand

[23] Article 23 GDPR

[24] Ex. Alliance de PrivacyMark (Japon) et de BBB accredited business seal

[25] Ex. TRUST-e propose des conseils en PrivacybyDesign

 

Sommaire du dossier

Données personnelles : une protection de plus en plus renforcée

Articles du(des) même(s) auteur(s)

Sur le même sujet