Certifier la conformité aux autorisations uniques de la CNIL

3.3 Est-ce un rôle pour des experts indépendants ?

L'accréditation d'experts indépendants sur le même mode que celui proposé par le label EuroPriSe ou par l'ICPP du Schleswig Holstein évoqué plus haut nous parait tout à fait possible sur le principe. On pourrait même envisager de reconnaître directement les experts accrédités par ce label. La France étant partie prenante du projet EuroPriSe, ce pourrait être une manière de l'intégrer de manière active.

Une autre piste pourrait consister à accorder une accréditation « sur titre » à des experts dont la formation ou l'expérience dans le domaine de la protection des données personnelles à été reconnue par la CNIL.

L'accréditation individuelle dont nous avons souligné plus haut les avantages et les inconvénients pourrait néanmoins s'avérer une «arme à double tranchant».

L'accréditation d'experts individuels risque en effet de créer une concurrence vis-à-vis des organismes de certification et par la même, de détourner ces organismes de ce type de certification. Ce qui présente le risque qu'elle demeure marginale du fait qu'elle est traitée de manière différente des autres programmes de certification.

3.4 Est-ce un nouveau marché pour les organismes de certification ?

L'évaluation de la conformité aux Autorisations uniques dans l'optique d'obtenir une certification pourrait constituer un premier pas pour les organismes de certification dans le domaine de la certification de la protection des données personnelles.

L'Association suisse pour les Systèmes de Qualité et de Management (SQS)¹³⁵ a fait en oeuvre de pionnier puisqu'elle propose déjà deux programmes de certifications :

- Le label «Good Priv@cy» mis en place place en 2002 et qui a pour vocation d'évaluer ce type de conformité dans tous les pays quelque soit leur législation. Il s'appuie sur un référentiel d`évaluation «propriétaire». SQS délivre elle même le label en cas de succès de la procédure. 50 entreprises sont aujourd'hui certifiées dont certaines en Autriche et au Brésil grâce au réseau international des organismes de certification IQnet auquel SQS participe.

- Le programme «Data Protection Certification Decree» (VDSZ, SR 235.13) lancé en 2009 qui s'adresse plus spécifiquement aux entreprises suisses. Le référentiel d'évaluation s'appuie sur les dispositions légales suisses en matière de protection des données à caractère personnel. La certification est directement délivrée par SQS. 8 entreprises sont certifiées sur cette base.

On pourrait imaginer, une fois la procédure d'accréditation organisée qu'une société comme la société SQS propose un programme de certification adapté aux Autorisations uniques. Son antériorité sur ce type de certification qui existe en Suisse depuis maintenant 8 ans pourrait s'avérer un argument de vente intéressant.

On peut également imaginer que certains laboratoires d'essai qui interviennent dans la certification des systèmes d'information pourraient être intéressés pour ajouter ce volet à leur offre de services.

135 Les programmes de certification relatifs à la protectionde la vie privée de SQS sont présentés sur son site à cette adresse : " http://www.sqs.ch/en/index/leistungsangebot/lgpr.htm

Le réseau IQnet a pour vocation de délivrer des certifications dans le monde entier en faisant appel à des correspondants locaux ou à des spécialistes d'un type de certifications. Il comprend une trentaine de membres dans autant de pays dont l'AFNOR en France. http://www.iqnet-certification.com/

75

Il semble qu'il existe une attente dans ce domaine puisque certains constructeurs de matériels notamment de contrôle d'accès tentent déjà de se prévaloir d'une forme de certification de la part de la CNIL¹³⁶.

Il nous semble que le choix entre l'accréditation à titre individuel et l'accréditation d'organismes de certification constitue un choix crucial car la préférence donnée à l'un ou à l'autre aura d'importantes répercussions sur l'organisation de la procédure et peut être également sur son succès.

Le choix de l'accréditation individuelle nécessite, à moins qu'elle ne soit déléguée, la mise en place d'une procédure adaptée et oblige à résoudre la question de savoir qui délivrera le titre. Le choix fait par le Schleswig-Holstein implique un engagement important de la part de l'autorité de contrôle qui vérifie les rapports et délivre elle-même les labels. La question se pose de savoir si dans un pays bien plus grand, une telle procédure serait «gérable» d'un point de vue pratique.

Le choix inverse qui consiste à déléguer l'évaluation et éventuellement la certification à des organismes externes dont c'est l'activité habituelle est incontestablement moins exigeant en termes d'implication de la part de l'autorité de contrôle. Sa réussite tient en revanche au potentiel que recèle ce marché dans la mesure où ces organismes qui sont soumis aux exigences du marché et en attendent un retour sur investissement.