WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

sommaire suivant

Institut Supérieur d'Electronique de Paris

Mastère Spécialisé "Informatique et Libertés"
Promotion 2009-2010

Certifié

Certifié

Commission Nationale de l'Informatique et des Libertés

Commission Nationale de l'Informatique et des Libertés

Commission Nationale de l'Informatique et des Libertés

Commission Nationale de l'Informatique et des Libertés

VIE PRIVEE

FRE CONFORME

Loi INFORMATIQUE et LIBERTES

AU-007

AUTORISATION

UNIQUE

PROTEGEE

Certifié

Certifié

CONFORME

Loi INFORMATIQUE et LIBERTES

CONFORME

AU-007

AUTORISATION

UNIQUE

Certifier la conformité

aux Autorisations uniques

de la CNIL

Un projet à portée de main

Thèse professionnelle

Sous la direction de Mme Claire Levalois-Barth
Enseignant-Chercheur - Docteur en Droit
Télécom - Paristech

Eric Lachaud

Promotion 2009-2010

2

LISTE DES ABREVIATIONS

AELE - Association européenne de libre-échange. EFTA en anglais qui comprend l'Islande, le Liechtenstein, la Norvège

et la Suisse

AOC - Appellations d'Origine Contrôlée

AOP - Appellations d'Origine Protégées

APLAC - Asia Pacific Laboratory Accreditation Cooperation

ARCEP - Autorité de Régulation des Communications Electroniques et des Postes

ARJEL - Autorité de Régulation des Jeux en Ligne

BSI - British Standard Institution

CASCO - Comité pour l'évaluation de la conformité

CD - Stade comité d'une norme ISO

CEI - Commission électrotechnique internationale

CIL - Correspondant Informatique et Libertés

CNIL - Commission Nationale Informatique et Libertés

COPOLCO - Comité de l'ISO pour la politique en matière de consommation

CSA - Association de Normalisation du Canada

DEVCO - Comité chargé de l'élaboration des orientations politiques de l'ISO

DGPME - Direction Générale pour le Modernisation de l'Etat

DIS - Stade enquête d'une norme ISO

DOC - Denominazione di Origine Controllata

EA - European cooperation for Accreditation

EN - norme européenne

ETSI - Institut européen des normes de télécommunication

FCD - Projet final de Comité

FDIS - Projet final de Norme internationale

G29 - Groupe de l'Article 29

HAS - Haute Autorité de Santé

HON - Health On Net

IAAC - Inter American Accreditation Cooperation

IAF - International Accreditation Forum

ICPP - Independent Centre for Privacy Protection Schleswig-Holstein

IGP - Indication Géographique Protégée

ILAC - International Laboratory Accreditation Coopération

INAO - Institut National des Appellations d'Origine

IPSE - Initiative for Privacy Standard Initiative

ISO - Organisation internationale de normalisation

JORF - Journal Officiel de la République Française

JTC - Comité technique mixte ISO/CEI

LPD - loi fédérale Suisse de protection des données personnelles

NF - Norme Française

NF EN - version française normes européenne

NF EN ISO XXXX - version française normes internationale

3

NP - Nouveau projet dans le cadre de l'ISO

OCPD - Ordonnance suisse sur les certifications en matière de protection des données

PAC - Pacific Accreditation Cooperation

PFPDT - Préposé fédéral suisse à la protection des données et à la transparence

QbA - Qualitätswein bestimmter Anbaugebiete

SADCA - South African Development Commity's cooperation in Accreditation

SAS - Service d'Accréditation Suisse

SC - Sous-comités. Ce sont des sous ensemble des comités techniques de l'ISO

SOX - Loi Sarbanes-Oxley

TC - Comités techniques de l'ISO chargés sous la responsabilité du Bureau de gestion technique (TMB) de la gestion au

jour le jour des projets de normes

TMB - Bureau de gestion technique de l'ISO charge de la gestion des projets de normes

UIT - Union internationale des télécommunications

WG - Groupe de travail. sous ensemble des sous comités techniques

WSC - Coopération Mondiale de la Normalisation

4

REMERCIEMENTS

Nous souhaitons remercier en premier lieu Mme Claire Levallois-Barth pour son soutien, son patient travail de relecture et pour les pistes de réflexion qu'elle nous a suggérées.

Nous tenons également à remercier les personnes qui nous ont aimablement renseigné et orienté sur les différents sujets qui sont abordés dans le cadre de cette thèse professionnelle:

Mme Johanna Carvais de la CNIL pour ses explications sur le processus d'élaboration des Autorisations uniques.

M. Xavier Leclerc, Correspondant Informatique et Libertés mutualisé auprès de l'Association pour le Développement du Service Notarial, également pour ses explications sur le processus d'élaboration des Autorisations uniques.

M. Félix Müller de la société suisse SQS pour ses précisions sur les programmes de certifications de sa société.

M. Pierre-Yves Baumann du service du Préposé fédéral à la protection des données et à la transparence pour ses précisions sur la procédure de certification suisse.

5

RESUME

Ce mémoire de troisième cycle a été rédigé dans le cadre du mastère spécialisé "informatique et libertés" que j'ai suivi auprès de l'Institut d'Electronique de Paris entre octobre 2009 et décembre 2010 dans le cadre formation continue.

J'ai souhaité consacrer mon mémoire à la certification dans la mesure ou:

-j'ai la conviction que ce type de procédure peut constituer un moyen privilégié pour faire progresser la question de la protection des données à caractère personnel.

- il m'a semblé qu'il existait assez peu d'études sur ce type d'approche de la régulation des données à caractère personnel et qu'une contribution aussi modeste soit elle pourrait éventuellement susciter le débat.

- Je suis intéressé à titre professionnel pour aborder cette question des données personnelles sous l'angle de la normalisation et de la certification. Spécialisation que je compte d'ailleurs poursuivre au delà de cette formation dans le cadre d'un travail doctoral.

Je souhaitais dans un premier temps traiter de cette question de la certification de la conformité à travers les travaux en cours à l'ISO. Cependant, toutes les normes de la série ISO/CEI 29000 demeurent inachevées et sont encore susceptibles d'être modifiée. Situation un peu inconfortable qui aurait pu invalider les résultats de ce travail avant même qu'il ne soit terminé.

L'annonce au mois de juin 2010 de la volonté de la CNIL de délivrer un label pour distinguer les produits et les procédures conformes aux prescriptions de la loi « informatique et libertés » m'a donné l'idée de m'intéresser à la manière dont on pourrait en France mettre en oeuvre ce principe de certification de la conformité.

J'ai choisi de m'intéresser à la certification conforme aux Autorisations uniques de la CNIL dans la mesure ou il m'a semblé que ces textes étaient assez proches des normes (industrielles) d'application volontaire dans leur finalité comme dans leur forme. Je me suis demandé s'il était possible d'en faire des référentiels auditables dans l'optique de certifier la conformité des entreprises vis à vis de leurs prescriptions.

On pourait de prime abord s'interroger sur l'intérêt de certifier l'application conforme de ce qui est par nature obligatoire. En effet, Les Autorisations uniques de la CNIL sont des textes réglementaires publiés au Journal Officiel. L'intérêt se situe principalement à deux niveaux.

Il s'agit d'un moyen pour les autorités de régulation d'inviter ou d'obliger les responsables de traitement à rendre compte par eux mêmes de leur conformité. C'est d'ailleurs une des voies de régulation mise en avant récemment par le groupe de l'article 29 et la Commission européenne sous le vocable «d'accountability».

Il s'agit également pour les entreprises d'un moyen de sécurité juridique vis à vis du risque lié à d'éventuelles pertes, fuites ou malversations concernant les données à caractère personnel. La certification constitue pour les elles une assurance de l'application conforme de la réglementation et un moyen de preuve de leur bonne foi en cas d'incident.

J'ai essayé de démontrer qu'il était possible de certifier la conformité aux Autorisations uniques de la CNIL dès lors que cette démarche hypothétique remplissait les quatre conditions posées par le code de la consommation en matière de certification.

1- Qu'aucune restriction légale ne s'y oppose et qu'il existe une volonté de le faire,

2 - Que l'on dispose de référentiel(s) évaluable(s) ,

3 - Que l'on dispose d'évaluateur qualifié et d'une méthodologie d'évaluation,

4 - Que l'on délivre une récompense officielle pour distinguer les organismes conformes.

Au terme de cette étude, on s'aperçoit que rien du point de vue juridique ne s'oppose au principe de certifier la conformité à une réglementation. Il s'agit d`une démarche déjà utilisée en droit français dans lequel la certification conforme est appliquée dans le domaine de la génération de signature électronique pour ne prendre que cet exemple.

C'est également une procédure qui est mise en oeuvre avec succès dans deux autres pays européens, La Suisse et l'Allemagne, et ceci dans le domaine de la protection des données à caractère personnel.

Certes, les Autorisations uniques n'ont pas été conçues comme des référentiels certifiables. Elles présentent des caractéristiques qui pourraient leur permettre de le devenir sans peine. Les règles qu'elles imposent aux entreprises correspondent dans l'esprit aux objectifs définis par une norme industrielle. Un travail d'interprétation et parfois de clarification serait nécessaire pour les rendre parfaitement exploitables en tant que référentiels auditables. Il nous semble que ce travail n'est pas insurmontable et qu'il pourrait être effectué dans le cadre de leurs révisions périodiques ou bien initié au moment de l'élaboration des futurs textes.

Il convient également de s'interroger sur la manière dont on pourrait évaluer la conformité aux Autorisations uniques. Il apparait nécessaire que cette évaluation pour être valide soit confiée à des organismes tiers dont la compétence aura été préalablement validée. Compétences qu'ils conviendraient de vérifier dans le cadre d'une procédure d'accréditation. Les instances capables d'effectuer ce travail existent et la mise en place d'une telle procédure ne soulève pas de difficultés particulières.

Le choix s'avère plus délicat lorsqu'il s'agit de déterminer quel type d'évaluateur il convient d'accréditer. Confier l'évaluation à des experts individuels imposerait le recours à une autorité de certification chargée de valider l'admission et délivrer le titre; à moins de confier l'ensemble de la procédure à ces individus. Ce qui parait délicat et n'a d'ailleurs jamais été fait à notre connaissance. Il nous semble d'un point de vue pratique qu'il serait souhaitable d'inscrire la certification de la conformité aux Autorisations uniques dans le cadre normal des autres programmes de certification; ceci afin d'éviter que cette procédure ne soit marginale et considérée comme telle. Nous sommes de ce fait favorable à l'accréditation d'organismes certificateurs plutôt que des individus.

La méthodologie d'audit à employer pour évaluer la conformité doit aussi faire l'objet d'une réflexion afin de déterminer si elle doit être un élément à la charge du candidat à l'accréditation ou si elle doit être imposée par l'autorité de certification comme les allemands ont choisi de le faire. Ce dernier choix va néanmoins à l'encontre de la démarche habituelle dans le monde de la certification qui veut que l'organisme en charge de l'évaluation de la conformité utilise sa propre méthodologie qui constitue souvent son savoir faire et sa valeur ajoutée.

La solution de laisser aux organismes certificateurs le soin d'apporter leur méthodologie nous parait également la plus viable d'un point de vue pratique pour les mêmes raisons de nécessité d'intégration dans le processus standard de normalisation. Nous avons conscience que ce choix exclut le recours à des experts individuels indépendants. Ce choix nous parait le plus judicieux afin d'éviter, nous l'avons déjà dit, de marginaliser cette procédure qui a besoin de reconnaissance pour devenir pérenne.

La question de savoir quel titre de certification et quelle autorité sera en charge de le délivrer est réglé par L'article 11.3 c de la loi 78-17 du 6 janvier 1978 modifiée par la loi du 12 mai 2009. Celui-ci dispose en effet qu'il appartient à la CNIL de délivrer ce titre sous la forme d'un label. Cette solution ne nous semble pas forcément la plus judicieuse d'un point de vue pratique dans la mesure ou la certification n'est pas le « coeur de métier » de la CNIL. La prise en charge d'un telle procédure exigerait forcément des ressources supplémentaires au risque de créer sinon, en cas de forte demande, un «goulet d'étranglement». Nous pensons qu'il serait donc plus efficace de déléguer au moins en partie aux organismes privés l'évaluation et la certification comme cela se fait dans la plupart du temps. Il reviendrait à la CNIL de contrôler les organismes certificateurs comme le font d'ailleurs d'autres autorités administratives.

Force est de constater que cette procédure de certification dans les pays ou elle existe déjà suscite plus d'espoir que de réel engouement. Les avantages concrets apportés par ce type certification sont somme toute assez limités. A l'inverse, Il n'existe aucun risque réel en cas de non conformité.

Un contrevenant est le plus souvent soumis à une injonction de se mettre en conformité dès lors qu'il a été pris en faute. En France, seuls sont sanctionnés les récidivistes vraiment impénitents. On pourrait cyniquement défendre l'idée que la procédure de contrôle de la CNIL constitue pour les entreprises une sorte d'audit de conformité réalisé au frais de l'Etat.

Une récente décision du Conseil dÔEtat en juillet 2010 qui a annulé une sanction financière à l'encontre d'une société d'agents privés spécialisés dans le recouvrement de créance pour vice de forme risque encore de renforcer un sentiment d'impunité assez généralement partagé par les entreprises.

L'exploitation des données à caractère personnel est aujourd'hui considérée comme un moyen de croissance économique bienvenu dans des pays ou celle-ci est anémiée. La plus grande réussite économique de la décennie exploite ce filon sans retenue. C'est bien l'exploitation des données à caractère personnel qui rapporte de l'argent

6

7

aujourd'hui et non pas leur protection qui est considéré par certains comme un combat d'arrière garde. Il faut à notre sens bien garder les éléments de cette équation à l'esprit pour espérer trouver un moyen d'encourager la certification conforme dans ce domaine.

L'investissement dans ce type de procédure ne sera consenti par une entreprise ou une institution que si elle y est obligée ou si elle peut en tirer un bénéfice concret. Nous sommes dans un monde de contraintes budgétaires toujours plus fortes et de bénéfices toujours plus immédiats. Il nous semble que dès lors que l'on a pris la pleine mesure de l'environnement dans lequel se place notre projet, il demeure possible de le faire avancer.

Deux pistes nous semblent envisageables pour mettre en oeuvre ce projet de certification de la conformité aux Autorisations uniques.

Il nous semble qu'un certain nombre de fabricants d'équipements de contrôle d'accès pour ne prendre que cet exemple sont en attente d'une marque distinctive pour valoriser leur matériel.

Il pourrait être intéressant d'initier ce projet par la certification conforme de produits par rapport par exemple aux AU-007, AU-009 qui traitent de matériel de contrôle d'accès faisant appel à la technologie biométrique ou encore l' AU-026 qui traite elle des éthylotests anti-démarrage.

Les exemples que nous avons pu trouver semblent indiquer que ces industriels recherchent avant tout une marque distinctive pour différencier leur offre commerciale. Ils n'attendent pas nécessairement de privilèges liés à ce titre. Cette configuration présenterait un double avantage :

- l'assurance qu'il existe une réelle attente pour justifier le travail nécessaire à la mise en oeuvre,

- la possibilité de délivrer un titre de certification sans être obligé de définir de privilèges associés.

Ce premier projet pourrait constituer un test sur un nombre limité d'Autorisations uniques afin de vérifier la validité du concept et la pertinence de la procédure. On pourrait imaginer de l'étendre progressivement aux autres Autorisations uniques et notamment à celles traitant de procédures.

La certification des procédures nous parait plus délicate à mettre en oeuvre. Elle nécessite d'associer un privilège au titre de certification dans la mesure où ces procédures n'étant pas en concurrence, une simple différentiation s'avère insuffisante.

Il serait donc intéressant de trouver une procédure qui présente un intérêt « stratégique » pour les entreprises et dont le privilège associé à la certification apporterait une réelle valeur ajoutée à celles-ci.

Les flux transfrontières s'inscrivent selon nous parfaitement dans cette perspective. Ils sont soumis à une autorisation préalable de la CNIL sauf exception décrite dans l'article 69 de la loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004 et sont pour un nombre croissant d'entreprises un lien vital pour leur activité.

Ces traitements soumis à autorisation préalable ne sont pas susceptibles dans l'état actuel de la loi de faire l'objet d'une Autorisation unique.

On pourrait imaginer qu'à l'occasion de la transposition de la prochaine Directive européenne ou d'une modification de la loi, la CNIL se dote des moyens légaux pour pouvoir élaborer une Autorisation unique dans le domaine des flux transfrontières. Cette mesure reprendrait ainsi le voeux de la Commission européenne de faciliter ces transferts internationaux en allégeant les formalités.

Cette Autorisation pourrait être élaborée sous la forme d'une norme auditable applicable par exemple au domaine des données RH, marketing ou bien bancaires.

Cette Autorisation pourrait être également élaborée sous la forme d'un texte « cadre » renvoyant à la conformité aux normes internationales telle que la norme ISO/CEI CD 29100 par exemple qui devrait être publiée dans le courant de l'année 2011.

Les entreprises candidates à une dispense d'autorisation préalable pour ce type de traitements pourraient avoir l'obligation de faire certifier leurs procédures par un tiers afin de pouvoir en bénéficier.

Cette proposition n'est pas d'une grande originalité puisqu'elle est déjà à l'oeuvre dans les pays de l'APEC depuis que ceux-ci ont adopté leur «Privacy Framework» en 2004. Bien qu'elle soit encore balbutiante et que les Etats membres de

8

l'APEC aient du mal à s'accorder sur les modalités d'application pratique, il s'agit néanmoins d'un pas en avant qui va dans le sens d'une meilleure responsabilisation des responsables de traitement.

Le volume des flux transfrontières est indubitablement appelé à se développer. La dématérialisation croissante des procédures, l'essor du stockage partagé (cloud computing) et plus généralement celui du commerce électronique mondial y concourent.

Il apparait par ailleurs nécessaire de trouver des moyens de contrôle internationaux qui s'accordent sur des principes communs à respecter comme le souligne le point 6 de la déclaration de Madrid.

La normalisation et la certification peuvent être une solution réaliste pour parvenir à un contrôle optimal comme cela a été fait au niveau du contrôle qualité des produits et des procédures.

Cette proposition de certification des flux transfrontières s'inscrit dans la recherche d'un plus petit commun dénominateur entre les communautés d'intérêts économiques mondiales. Il nous semble qu'elle pourrait être pertinente à l'heure ou la Commission européenne interroge ses citoyens sur les axes d'améliorations à apporter à la Directive chargée de la protection des données à caractères personnel.

Une solution de ce type rejoint les préoccupations et les pistes qui ont été exposées dans le programme de Stockholm et dans les axes d'améliorations proposés par le G29 et plus récemment encore par la Commission européenne, à savoir :

- Faciliter les échanges de données au sein de l'Union,

- Homogénéiser les niveaux de protection entre les différents pays de l'union, -Obliger les responsables de traitement à rendre compte de leur conformité.

9

TABLE DES MATIERES

INTRODUCTION 11

1. Pourquoi ce sujet ? 11

2. Parce qu'il existe un besoin 12

3. Parce que cela présente des avantages 13

4. Parce qu'il est possible de le mettre en oeuvre 14

PARTIE I : EST-IL POSSIBLE DE CERTIFIER LA CONFORMITE AUX AUTORISATIONS UNIQUES ? 15

1. Définitions 15

2. Certifier la conformité à une réglementation : une pratique courante 25

PARTIE II : LES AUTORISATIONS UNIQUES SONT-ELLES DES REFERENTIELS AUDITABLES ? 32

1. Qu'est ce qu'un référentiel ? 32

2. Comment s'élabore un référentiel ? 33

2.1 L'exemple de L'International Standardization Organisation (ISO) 34

2.2 L'exemple de la "nouvelle approche" 41

2.3 L'exemple des directives du Préposé à la Protection des Données à caractère personnel suisse 42

2.4 L'exemple du Décret n°2001-272 du 30 mars 2001 44

2.5 Peut-on considérer les Autorisations uniques comme des référentiels normatifs ? 45

2.6 Les Autorisations uniques sont-elles auditables en l'état ? 51

PARTIE III : QUEL EVALUATEUR POUR LA CONFORMITE AUX AUTORISATIONS UNIQUES ? 58

1. Que signifie évaluer la conformité ? 58

2. Qui peut évaluer la conformité ? 60

3. Faut-il des évaluateurs spécifiques pour les Autorisations uniques ? 70

4. Comment accréditer les évaluateurs de la conformité aux Autorisations Uniques ? 75

PARTIE IV : QUELLE METHODOLOGIE POUR EVALUER LA CONFORMITE AUX AUTORISATIONS UNIQUES 78

1. Qu'entend-on par audit de conformité ? 78

2. Quelle méthodologie pour évaluer la conformité au Autorisations uniques ? 84

3. Quelle procédure pour évaluer la conformité aux Autorisations uniques ? 86

PARTIE V : QUEL TITRE POUR ATTESTER DE LA CONFORMITE AUX AUTORISATIONS UNIQUES ? 90

1. Qu'est ce qu'un titre de certification ? 90

2. Quelle forme un titre de certification peut-il prendre ? 90

2.1 Les labels 90

2.2 Les certificats 94

3. Quel titre décerner pour la conformité aux autorisations uniques ? 98

3.1 Intégrer un programme de certification existant 98

3.2 Créer un titre de certification 100

Conclusion 108

sommaire suivant







Rassembler les contraires c est creer l harmonie