|
Institut Supérieur d'Electronique de
Paris
Mastère Spécialisé "Informatique et
Libertés"
Promotion 2009-2010
Certifié
Certifié
Commission Nationale de l'Informatique et des Libertés
Commission Nationale de l'Informatique et des Libertés
Commission Nationale de l'Informatique et des Libertés
Commission Nationale de l'Informatique et des Libertés
VIE PRIVEE
FRE CONFORME
Loi INFORMATIQUE et LIBERTES
AU-007
AUTORISATION
UNIQUE
PROTEGEE
Certifié
Certifié
CONFORME
Loi INFORMATIQUE et LIBERTES
CONFORME
AU-007
AUTORISATION
UNIQUE
Certifier la conformité
aux Autorisations uniques
de la CNIL
Un projet à portée de main
Thèse professionnelle
Sous la direction de Mme Claire
Levalois-Barth
Enseignant-Chercheur - Docteur en
Droit
Télécom - Paristech
Eric Lachaud
Promotion 2009-2010
2
LISTE DES ABREVIATIONS
AELE - Association européenne de libre-échange.
EFTA en anglais qui comprend l'Islande, le Liechtenstein, la Norvège
et la Suisse
AOC - Appellations d'Origine Contrôlée
AOP - Appellations d'Origine Protégées
APLAC - Asia Pacific Laboratory Accreditation Cooperation
ARCEP - Autorité de Régulation des
Communications Electroniques et des Postes
ARJEL - Autorité de Régulation des Jeux en
Ligne
BSI - British Standard Institution
CASCO - Comité pour l'évaluation de la
conformité
CD - Stade comité d'une norme ISO
CEI - Commission électrotechnique internationale
CIL - Correspondant Informatique et Libertés
CNIL - Commission Nationale Informatique et Libertés
COPOLCO - Comité de l'ISO pour la politique en
matière de consommation
CSA - Association de Normalisation du Canada
DEVCO - Comité chargé de l'élaboration
des orientations politiques de l'ISO
DGPME - Direction Générale pour le Modernisation
de l'Etat
DIS - Stade enquête d'une norme ISO
DOC - Denominazione di Origine Controllata
EA - European cooperation for Accreditation
EN - norme européenne
ETSI - Institut européen des normes de
télécommunication
FCD - Projet final de Comité
FDIS - Projet final de Norme internationale
G29 - Groupe de l'Article 29
HAS - Haute Autorité de Santé
HON - Health On Net
IAAC - Inter American Accreditation Cooperation
IAF - International Accreditation Forum
ICPP - Independent Centre for Privacy Protection
Schleswig-Holstein
IGP - Indication Géographique Protégée
ILAC - International Laboratory Accreditation
Coopération
INAO - Institut National des Appellations d'Origine
IPSE - Initiative for Privacy Standard Initiative
ISO - Organisation internationale de normalisation
JORF - Journal Officiel de la République
Française
JTC - Comité technique mixte ISO/CEI
LPD - loi fédérale Suisse de protection des
données personnelles
NF - Norme Française
NF EN - version française normes européenne
NF EN ISO XXXX - version française normes
internationale
3
NP - Nouveau projet dans le cadre de l'ISO
OCPD - Ordonnance suisse sur les certifications en
matière de protection des données
PAC - Pacific Accreditation Cooperation
PFPDT - Préposé fédéral suisse
à la protection des données et à la transparence
QbA - Qualitätswein bestimmter Anbaugebiete
SADCA - South African Development Commity's cooperation in
Accreditation
SAS - Service d'Accréditation Suisse
SC - Sous-comités. Ce sont des sous ensemble des
comités techniques de l'ISO
SOX - Loi Sarbanes-Oxley
TC - Comités techniques de l'ISO chargés sous la
responsabilité du Bureau de gestion technique (TMB) de la gestion au
jour le jour des projets de normes
TMB - Bureau de gestion technique de l'ISO charge de la
gestion des projets de normes
UIT - Union internationale des
télécommunications
WG - Groupe de travail. sous ensemble des sous comités
techniques
WSC - Coopération Mondiale de la Normalisation
4
REMERCIEMENTS
Nous souhaitons remercier en premier lieu Mme Claire
Levallois-Barth pour son soutien, son patient travail de relecture et
pour les pistes de réflexion qu'elle nous a suggérées.
Nous tenons également à remercier les personnes qui
nous ont aimablement renseigné et orienté sur les
différents sujets qui sont abordés dans le cadre de cette
thèse professionnelle:
Mme Johanna Carvais de la CNIL pour ses
explications sur le processus d'élaboration des Autorisations
uniques.
M. Xavier Leclerc, Correspondant Informatique et
Libertés mutualisé auprès de l'Association pour le
Développement du Service Notarial, également pour ses
explications sur le processus d'élaboration des Autorisations
uniques.
M. Félix Müller de la
société suisse SQS pour ses précisions sur les programmes
de certifications de sa société.
M. Pierre-Yves Baumann du service du
Préposé fédéral à la protection des
données et à la transparence pour ses précisions sur la
procédure de certification suisse.
5
RESUME
Ce mémoire de troisième cycle a
été rédigé dans le cadre du mastère
spécialisé "informatique et libertés" que j'ai suivi
auprès de l'Institut d'Electronique de Paris entre octobre 2009 et
décembre 2010 dans le cadre formation continue.
J'ai souhaité consacrer mon mémoire à la
certification dans la mesure ou:
-j'ai la conviction que ce type de procédure peut
constituer un moyen privilégié pour faire progresser la question
de la protection des données à caractère personnel.
- il m'a semblé qu'il existait assez peu
d'études sur ce type d'approche de la régulation des
données à caractère personnel et qu'une contribution aussi
modeste soit elle pourrait éventuellement susciter le débat.
- Je suis intéressé à titre professionnel
pour aborder cette question des données personnelles sous l'angle de la
normalisation et de la certification. Spécialisation que je compte
d'ailleurs poursuivre au delà de cette formation dans le cadre d'un
travail doctoral.
Je souhaitais dans un premier temps traiter de cette question
de la certification de la conformité à travers les travaux en
cours à l'ISO. Cependant, toutes les normes de la série ISO/CEI
29000 demeurent inachevées et sont encore susceptibles d'être
modifiée. Situation un peu inconfortable qui aurait pu invalider les
résultats de ce travail avant même qu'il ne soit
terminé.
L'annonce au mois de juin 2010 de la volonté de la CNIL
de délivrer un label pour distinguer les produits et les
procédures conformes aux prescriptions de la loi « informatique et
libertés » m'a donné l'idée de m'intéresser
à la manière dont on pourrait en France mettre en oeuvre ce
principe de certification de la conformité.
J'ai choisi de m'intéresser à la certification
conforme aux Autorisations uniques de la CNIL dans la mesure ou il m'a
semblé que ces textes étaient assez proches des normes
(industrielles) d'application volontaire dans leur finalité comme dans
leur forme. Je me suis demandé s'il était possible d'en faire des
référentiels auditables dans l'optique de certifier la
conformité des entreprises vis à vis de leurs prescriptions.
On pourait de prime abord s'interroger sur
l'intérêt de certifier l'application conforme de ce qui est par
nature obligatoire. En effet, Les Autorisations uniques de la CNIL sont des
textes réglementaires publiés au Journal Officiel.
L'intérêt se situe principalement à deux niveaux.
Il s'agit d'un moyen pour les autorités de
régulation d'inviter ou d'obliger les responsables de traitement
à rendre compte par eux mêmes de leur conformité. C'est
d'ailleurs une des voies de régulation mise en avant récemment
par le groupe de l'article 29 et la Commission européenne sous le
vocable «d'accountability».
Il s'agit également pour les entreprises d'un moyen de
sécurité juridique vis à vis du risque lié à
d'éventuelles pertes, fuites ou malversations concernant les
données à caractère personnel. La certification constitue
pour les elles une assurance de l'application conforme de la
réglementation et un moyen de preuve de leur bonne foi en cas
d'incident.
J'ai essayé de démontrer qu'il était
possible de certifier la conformité aux Autorisations uniques de la CNIL
dès lors que cette démarche hypothétique remplissait les
quatre conditions posées par le code de la consommation en
matière de certification.
1- Qu'aucune restriction légale ne s'y oppose et qu'il
existe une volonté de le faire,
2 - Que l'on dispose de référentiel(s)
évaluable(s) ,
3 - Que l'on dispose d'évaluateur qualifié et d'une
méthodologie d'évaluation,
4 - Que l'on délivre une récompense officielle pour
distinguer les organismes conformes.
Au terme de cette étude, on s'aperçoit que rien
du point de vue juridique ne s'oppose au principe de certifier la
conformité à une réglementation. Il s'agit d`une
démarche déjà utilisée en droit français
dans lequel la certification conforme est appliquée dans le domaine de
la génération de signature électronique pour ne prendre
que cet exemple.
C'est également une procédure qui est mise en
oeuvre avec succès dans deux autres pays européens, La Suisse et
l'Allemagne, et ceci dans le domaine de la protection des données
à caractère personnel.
Certes, les Autorisations uniques n'ont pas été
conçues comme des référentiels certifiables. Elles
présentent des caractéristiques qui pourraient leur permettre de
le devenir sans peine. Les règles qu'elles imposent aux entreprises
correspondent dans l'esprit aux objectifs définis par une norme
industrielle. Un travail d'interprétation et parfois de clarification
serait nécessaire pour les rendre parfaitement exploitables en tant que
référentiels auditables. Il nous semble que ce travail n'est pas
insurmontable et qu'il pourrait être effectué dans le cadre de
leurs révisions périodiques ou bien initié au moment de
l'élaboration des futurs textes.
Il convient également de s'interroger sur la
manière dont on pourrait évaluer la conformité aux
Autorisations uniques. Il apparait nécessaire que cette
évaluation pour être valide soit confiée à des
organismes tiers dont la compétence aura été
préalablement validée. Compétences qu'ils conviendraient
de vérifier dans le cadre d'une procédure d'accréditation.
Les instances capables d'effectuer ce travail existent et la mise en place
d'une telle procédure ne soulève pas de difficultés
particulières.
Le choix s'avère plus délicat lorsqu'il s'agit
de déterminer quel type d'évaluateur il convient
d'accréditer. Confier l'évaluation à des experts
individuels imposerait le recours à une autorité de certification
chargée de valider l'admission et délivrer le titre; à
moins de confier l'ensemble de la procédure à ces individus. Ce
qui parait délicat et n'a d'ailleurs jamais été fait
à notre connaissance. Il nous semble d'un point de vue pratique qu'il
serait souhaitable d'inscrire la certification de la conformité aux
Autorisations uniques dans le cadre normal des autres programmes de
certification; ceci afin d'éviter que cette procédure ne soit
marginale et considérée comme telle. Nous sommes de ce fait
favorable à l'accréditation d'organismes certificateurs
plutôt que des individus.
La méthodologie d'audit à employer pour
évaluer la conformité doit aussi faire l'objet d'une
réflexion afin de déterminer si elle doit être un
élément à la charge du candidat à
l'accréditation ou si elle doit être imposée par
l'autorité de certification comme les allemands ont choisi de le faire.
Ce dernier choix va néanmoins à l'encontre de la démarche
habituelle dans le monde de la certification qui veut que l'organisme en charge
de l'évaluation de la conformité utilise sa propre
méthodologie qui constitue souvent son savoir faire et sa valeur
ajoutée.
La solution de laisser aux organismes certificateurs le soin
d'apporter leur méthodologie nous parait également la plus viable
d'un point de vue pratique pour les mêmes raisons de
nécessité d'intégration dans le processus standard de
normalisation. Nous avons conscience que ce choix exclut le recours à
des experts individuels indépendants. Ce choix nous parait le plus
judicieux afin d'éviter, nous l'avons déjà dit, de
marginaliser cette procédure qui a besoin de reconnaissance pour devenir
pérenne.
La question de savoir quel titre de certification et quelle
autorité sera en charge de le délivrer est réglé
par L'article 11.3 c de la loi 78-17 du 6 janvier 1978 modifiée par la
loi du 12 mai 2009. Celui-ci dispose en effet qu'il appartient à la CNIL
de délivrer ce titre sous la forme d'un label. Cette solution ne nous
semble pas forcément la plus judicieuse d'un point de vue pratique dans
la mesure ou la certification n'est pas le « coeur de métier »
de la CNIL. La prise en charge d'un telle procédure exigerait
forcément des ressources supplémentaires au risque de
créer sinon, en cas de forte demande, un «goulet
d'étranglement». Nous pensons qu'il serait donc plus efficace de
déléguer au moins en partie aux organismes privés
l'évaluation et la certification comme cela se fait dans la plupart du
temps. Il reviendrait à la CNIL de contrôler les organismes
certificateurs comme le font d'ailleurs d'autres autorités
administratives.
Force est de constater que cette procédure de
certification dans les pays ou elle existe déjà suscite plus
d'espoir que de réel engouement. Les avantages concrets apportés
par ce type certification sont somme toute assez limités. A l'inverse,
Il n'existe aucun risque réel en cas de non conformité.
Un contrevenant est le plus souvent soumis à une
injonction de se mettre en conformité dès lors qu'il a
été pris en faute. En France, seuls sont sanctionnés les
récidivistes vraiment impénitents. On pourrait cyniquement
défendre l'idée que la procédure de contrôle de la
CNIL constitue pour les entreprises une sorte d'audit de conformité
réalisé au frais de l'Etat.
Une récente décision du Conseil dÔEtat en
juillet 2010 qui a annulé une sanction financière à
l'encontre d'une société d'agents privés
spécialisés dans le recouvrement de créance pour vice de
forme risque encore de renforcer un sentiment d'impunité assez
généralement partagé par les entreprises.
L'exploitation des données à caractère
personnel est aujourd'hui considérée comme un moyen de croissance
économique bienvenu dans des pays ou celle-ci est anémiée.
La plus grande réussite économique de la décennie exploite
ce filon sans retenue. C'est bien l'exploitation des données à
caractère personnel qui rapporte de l'argent
6
7
aujourd'hui et non pas leur protection qui est
considéré par certains comme un combat d'arrière garde. Il
faut à notre sens bien garder les éléments de cette
équation à l'esprit pour espérer trouver un moyen
d'encourager la certification conforme dans ce domaine.
L'investissement dans ce type de procédure ne sera
consenti par une entreprise ou une institution que si elle y est obligée
ou si elle peut en tirer un bénéfice concret. Nous sommes dans un
monde de contraintes budgétaires toujours plus fortes et de
bénéfices toujours plus immédiats. Il nous semble que
dès lors que l'on a pris la pleine mesure de l'environnement dans lequel
se place notre projet, il demeure possible de le faire avancer.
Deux pistes nous semblent envisageables pour mettre en oeuvre
ce projet de certification de la conformité aux Autorisations
uniques.
Il nous semble qu'un certain nombre de fabricants
d'équipements de contrôle d'accès pour ne prendre que cet
exemple sont en attente d'une marque distinctive pour valoriser leur
matériel.
Il pourrait être intéressant d'initier ce projet
par la certification conforme de produits par rapport par exemple aux AU-007,
AU-009 qui traitent de matériel de contrôle d'accès faisant
appel à la technologie biométrique ou encore l' AU-026 qui traite
elle des éthylotests anti-démarrage.
Les exemples que nous avons pu trouver semblent indiquer que
ces industriels recherchent avant tout une marque distinctive pour
différencier leur offre commerciale. Ils n'attendent pas
nécessairement de privilèges liés à ce titre. Cette
configuration présenterait un double avantage :
- l'assurance qu'il existe une réelle attente pour
justifier le travail nécessaire à la mise en oeuvre,
- la possibilité de délivrer un titre de
certification sans être obligé de définir de
privilèges associés.
Ce premier projet pourrait constituer un test sur un nombre
limité d'Autorisations uniques afin de vérifier la
validité du concept et la pertinence de la procédure. On pourrait
imaginer de l'étendre progressivement aux autres Autorisations uniques
et notamment à celles traitant de procédures.
La certification des procédures nous parait plus
délicate à mettre en oeuvre. Elle nécessite d'associer un
privilège au titre de certification dans la mesure où ces
procédures n'étant pas en concurrence, une simple
différentiation s'avère insuffisante.
Il serait donc intéressant de trouver une
procédure qui présente un intérêt «
stratégique » pour les entreprises et dont le privilège
associé à la certification apporterait une réelle valeur
ajoutée à celles-ci.
Les flux transfrontières s'inscrivent selon nous
parfaitement dans cette perspective. Ils sont soumis à une autorisation
préalable de la CNIL sauf exception décrite dans l'article 69 de
la loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004 et sont
pour un nombre croissant d'entreprises un lien vital pour leur
activité.
Ces traitements soumis à autorisation préalable
ne sont pas susceptibles dans l'état actuel de la loi de faire l'objet
d'une Autorisation unique.
On pourrait imaginer qu'à l'occasion de la
transposition de la prochaine Directive européenne ou d'une modification
de la loi, la CNIL se dote des moyens légaux pour pouvoir
élaborer une Autorisation unique dans le domaine des flux
transfrontières. Cette mesure reprendrait ainsi le voeux de la
Commission européenne de faciliter ces transferts internationaux en
allégeant les formalités.
Cette Autorisation pourrait être élaborée
sous la forme d'une norme auditable applicable par exemple au domaine des
données RH, marketing ou bien bancaires.
Cette Autorisation pourrait être également
élaborée sous la forme d'un texte « cadre » renvoyant
à la conformité aux normes internationales telle que la norme
ISO/CEI CD 29100 par exemple qui devrait être publiée dans le
courant de l'année 2011.
Les entreprises candidates à une dispense
d'autorisation préalable pour ce type de traitements pourraient avoir
l'obligation de faire certifier leurs procédures par un tiers afin de
pouvoir en bénéficier.
Cette proposition n'est pas d'une grande originalité
puisqu'elle est déjà à l'oeuvre dans les pays de l'APEC
depuis que ceux-ci ont adopté leur «Privacy Framework» en
2004. Bien qu'elle soit encore balbutiante et que les Etats membres de
8
l'APEC aient du mal à s'accorder sur les
modalités d'application pratique, il s'agit néanmoins d'un pas en
avant qui va dans le sens d'une meilleure responsabilisation des responsables
de traitement.
Le volume des flux transfrontières est indubitablement
appelé à se développer. La dématérialisation
croissante des procédures, l'essor du stockage partagé (cloud
computing) et plus généralement celui du commerce
électronique mondial y concourent.
Il apparait par ailleurs nécessaire de trouver des
moyens de contrôle internationaux qui s'accordent sur des principes
communs à respecter comme le souligne le point 6 de la
déclaration de Madrid.
La normalisation et la certification peuvent être une
solution réaliste pour parvenir à un contrôle optimal comme
cela a été fait au niveau du contrôle qualité des
produits et des procédures.
Cette proposition de certification des flux
transfrontières s'inscrit dans la recherche d'un plus petit commun
dénominateur entre les communautés d'intérêts
économiques mondiales. Il nous semble qu'elle pourrait être
pertinente à l'heure ou la Commission européenne interroge ses
citoyens sur les axes d'améliorations à apporter à la
Directive chargée de la protection des données à
caractères personnel.
Une solution de ce type rejoint les préoccupations et
les pistes qui ont été exposées dans le programme de
Stockholm et dans les axes d'améliorations proposés par le G29 et
plus récemment encore par la Commission européenne, à
savoir :
- Faciliter les échanges de données au sein de
l'Union,
- Homogénéiser les niveaux de protection entre
les différents pays de l'union, -Obliger les responsables de traitement
à rendre compte de leur conformité.
9
TABLE DES MATIERES
INTRODUCTION 11
1. Pourquoi ce sujet ? 11
2. Parce qu'il existe un besoin 12
3. Parce que cela présente des avantages 13
4. Parce qu'il est possible de le mettre en oeuvre 14
PARTIE I : EST-IL POSSIBLE DE CERTIFIER LA CONFORMITE
AUX AUTORISATIONS UNIQUES ? 15
1. Définitions 15
2. Certifier la conformité à une
réglementation : une pratique courante 25
PARTIE II : LES AUTORISATIONS UNIQUES SONT-ELLES DES
REFERENTIELS AUDITABLES ? 32
1. Qu'est ce qu'un référentiel ? 32
2. Comment s'élabore un référentiel ?
33
2.1 L'exemple de L'International Standardization Organisation
(ISO) 34
2.2 L'exemple de la "nouvelle approche" 41
2.3 L'exemple des directives du Préposé à
la Protection des Données à caractère personnel suisse
42
2.4 L'exemple du Décret n°2001-272 du 30 mars 2001
44
2.5 Peut-on considérer les Autorisations uniques comme
des référentiels normatifs ? 45
2.6 Les Autorisations uniques sont-elles auditables en
l'état ? 51
PARTIE III : QUEL EVALUATEUR POUR LA CONFORMITE AUX
AUTORISATIONS UNIQUES ? 58
1. Que signifie évaluer la conformité ? 58
2. Qui peut évaluer la conformité ? 60
3. Faut-il des évaluateurs spécifiques pour les
Autorisations uniques ? 70
4. Comment accréditer les évaluateurs de la
conformité aux Autorisations Uniques ? 75
PARTIE IV : QUELLE METHODOLOGIE POUR EVALUER LA
CONFORMITE AUX AUTORISATIONS UNIQUES 78
1. Qu'entend-on par audit de conformité ? 78
2. Quelle méthodologie pour évaluer la
conformité au Autorisations uniques ? 84
3. Quelle procédure pour évaluer la
conformité aux Autorisations uniques ? 86
PARTIE V : QUEL TITRE POUR ATTESTER DE LA CONFORMITE
AUX AUTORISATIONS UNIQUES ? 90
1. Qu'est ce qu'un titre de certification ? 90
2. Quelle forme un titre de certification peut-il prendre ?
90
2.1 Les labels 90
2.2 Les certificats 94
3. Quel titre décerner pour la conformité aux
autorisations uniques ? 98
3.1 Intégrer un programme de certification existant
98
3.2 Créer un titre de certification 100
Conclusion 108
| 
