Certifier la conformité aux autorisations uniques de la CNIL

2.8 Quelle différence entre accréditation et agrément ? 2.8.1 Un statut et une origine différente

« Le terme d'agrément désigne en droit administratif l'accord donné par une autorité à la nomination d'une personne ou à l'exécution d'un projet nécessitant son autorisation ou son avis préalable».

L'agrément se distingue de l'accréditation par le fait que l'agrément émane d'une autorité publique alors que l'accréditation est normalement le fait d'un organisme de droit privé.

L'agrément semble en France prévaloir sur l'accréditation puisque l'Etat a lui-même agréé le COFRAC comme seule instance capable d'accréditer.¹²⁷

2.8.2 Une démarche et une finalité similaire

Le Décret n°2002-535 du 18 avril 2002¹²⁸ a pour vocation d'organiser l'évaluation et l'agrément des systèmes

126 Le guide EA 7- 03 - EA Guidelines for the Accreditation of bodies operating certification/ registration of Information Security Management Systems - mis en à jour le 31/08/2009 est par exemple utile pour les organismes qui souhaitent accréditer des entreprises certificatrices dans le domaine de la sécurité informatique. Un référentiel spécifique, la norme ISO/IEC 27006:2007 - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information a également été publiée par l'ISO pour guider cette démarche spécifique.

La liste des guides disponibles de l'European association for Accreditation est disponible à cette adresse http://www.european-accreditation.org/n1/doc/EA-1-01.pdf

127 Décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité pris en application de l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie

JORF n°0300 du 26 décembre 2008 page 20014 texte n° 35

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000019992087&dateTexte=&categorieLien=id

128 Le Décret n°2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information

JORF n° 92 du 19 Avril 2002 page 6944

Comme le précise l'article 1er du Décret « la sécurité offerte par des produits ou des systèmes des technologies de l'information, au regard notamment de leur aptitude à assurer la disponibilité, l'intégrité ou la confidentialité de l'information traitée face aux menaces dues en particulier à la malveillance peut être certifiée dans les conditions prévues au présent décret»

70

d'information en fonction du degré de sécurité qu'ils offrent.

Le Décret précise dans son article 3 que cette évaluation ne sera pas directement effectuée par les services de l'Etat mais sera réalisée par des «centres d'évaluation agréés» par l'Agence Nationale de Sécurité de Systèmes d'Information (ANSSI) qui dépend du 1er Ministre.

L'article 2 du chapitre II du Décret dispose que pour obtenir l'agrément de l'ANSSI, le centre d'évaluation doit faire la preuve :

« a) De sa conformité à des critères de qualité selon les règles ou les normes en vigueur ;

b) De son aptitude à appliquer les critères d'évaluation en vigueur et la méthodologie correspondante ainsi qu'à assurer la confidentialité requise par l'évaluation ;

c) De sa compétence technique à conduire une évaluation.

La conformité mentionnée au a) et l'aptitude mentionnée au b) sont attestées soit par une accréditation délivrée par une instance d'accréditation mentionnée à l'article L. 115-28 du code de la consommation, soit par l'Agence nationale de la sécurité des systèmes d'information.

La compétence technique mentionnée au c est appréciée par l'Agence nationale de la sécurité des systèmes d'information, notamment à partir des moyens, des ressources et de l'expérience du centre d'évaluation.»

L'agrément est délivré, précise l'article 12 du Décret n°2002-535 du 18 avril 2002, pour une période de deux ans renouvelable et peut être assorti de conditions restrictives. Il est délivré par le Premier Ministre après avis du comité directeur de la certification représenté par l'ANSSI.

Il est intéressant de noter que l'organisme peut se prévaloir d'une accréditation obtenue du COFRAC ou d'un organisme étranger dont la procédure d'accréditation est reconnue. En revanche nous dit le texte, seule une évaluation technique positive de la part de l'ANSSI peut valoir, condition sine qua none, agrément pour l'organisme. Une accréditation ne peut valoir agrément, du moins dans ce cas. L'agrément semble donc une fois encore prévaloir sur l'accréditation.