Certifier la conformité aux autorisations uniques de la CNIL

3.2.1 Quels privilèges associer à ce titre ?

La mise en place de droit ou de privilège attaché à la délivrance du titre de certification n'a rien d'obligatoire ni de systématique. Le simple fait d'obtenir un titre permet souvent de distinguer un produit ou un service par rapport à ses concurrents. Ce qui constitue déjà un privilège. Il en va ainsi des certificats d'assurance qualité qui valident un résultat ou une démarche et offre une assurance au client final par rapport aux concurrents non certifiés.

199 ISO 9001 et loi n°78-17 du 6 janvier 1978

Thèse professionnelle ISEP Mastère spécialisé «informatique et libertés» - Aurélie Banck - promotion 2007/2008

101

La question se pose de savoir si l'octroi de cette distinction est suffisante dans le cadre de la conformité aux Autorisations uniques. Il nous semble qu'elle pourrait constituer un privilège intéressant pour les produits dès lors que tous ne l'obtiennent pas. Ce qui annihile sinon l'effet concurrentiel comme dans le cas évoqué plus haut des AOC du vin de Bordeaux. Cet effet est en revanche beaucoup moins vrai pour des procédures qui sont rarement en concurrence directe.

L'exemple de dispense accordé par les autorités suisses est de ce fait intéressant. La réglementation suisse accorde en une dispense de déclaration pour les traitements qui ont été certifiées. Nous en avons détaillé la procédure plus haut.

La transposition de ce privilège dans la législation française sur le principe est tout à fait envisageable. Cela signifierait au niveau pratique que les entreprises seraient dispensées de déclaration de conformité pour les traitements relevant d'une Autorisation unique pour laquelle ces entreprises seraient en mesure de prouver qu'elle ont été certifiées par un organisme tiers.

Ce privilège pourrait avoir un intérêt pratique pour les entreprises si la déclaration de conformité était contraignante. Cependant, il faut à peine cinq minutes²⁰⁰ pour s'auto-déclarer conforme à une Autorisation unique sur le site de la CNIL. La dispense de déclaration ne présente donc pas d'intérêt dans le cas des Autorisations uniques.

Cette dispense au titre de la certification pourrait présenter un intérêt dans le cadre des transferts de données hors de l'Union européenne. Transferts pour lesquels une autorisation préalable de la CNIL est nécessaire hors cas particuliers énumérés à l'article 69 de la loi 78-17 du 6 janvier 1978 modifiée par la loi du 6 août 2004²⁰¹.

Malheureusement, ce type de traitement ne relève pas de l'article 25 de la loi 78-17 mais des articles 68 et 69 qui n'évoquent étonnamment pas cette possibilité. Il parait donc peu probable que les flux transfrontières puissent dans l'état actuel du droit faire l'objet d'une Autorisation unique, à moins de modifier la loi en ce sens.

Une autre piste pourrait consister à dispenser les organismes certifiés de contrôle au sens de l'article 44 de la loi 78-17 du 6 janvier 1978 modifiée. Ceci sur le périmètre des Autorisations uniques certifiées.

Cette solution parait séduisante dans la mesure ou elle apporterait un intérêt tangible aux entreprises même si le risque «informatique et libertés» est encore aujourd'hui considéré comme marginal par les services chargés de gérer le risque dans les entreprises. Ce privilège pourrait constituer également un moyen pour la CNIL d'encourager la certification et pourrait lui permettre de concentrer son effort de contrôle sur les entreprises non certifiées.

Ce privilège ne nous semble malheureusement pas viable dans la mesure ou l'on pourrait y voir un élément de rupture d'égalité devant les charges publiques. Comment justifier que certains organismes puissent bénéficier d'une dispense de contrôle dès lors qu'ils ont les moyens de faire certifier leur produits et leurs procédures alors que d'autres, plus petites et moins riches, n'en auraient pas les moyens.

Un autre privilège pourrait consister, nous l'avons déjà évoqué, dans la possibilité de faire certifier son matériel dans un Etat pour être considéré conforme dans les autres Etats de l'union ou au moins auprès de ceux participant dans un premier temps au programme EuRoPriSe. Un équivalent de marquage «CE» dans le domaine de la protection des données personnelles qui pourraient être à terme intégré dans la procédure standard de marquage «CE».

On pourrait également imaginer que cette certification conforme devienne nécessaire pour pouvoir soumissionner à un appel d'offre public pour équiper administrations, collectivités française et européennes.

Il pourrait être intéressant que ce type de certification devienne un élément de choix lors des appels d'offres pour des systèmes faisant appel à la biométrique dans les établissements publics ou les écoles. Ce pourrait également être le cas pour les etylotests anti-démarrage et les systèmes de vidéo-surveillance si ceux-ci venaient un jour à relever de la compétence de la CNIL.

200 Le formulaire de déclaration de conformité est disponible à cette adresse : https://www.correspondants.cnil.fr/CilExtranetWebApp/declaration/declarant.action

201 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

JORF du 7 janvier 1978 page 227

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20101106

Cette mesure constituerait à notre sens un pas intéressant vers la mise en pratique du concept de «privacy by design» dont l`intérêt et la nécessité ont été rappelées lors de la récente Conférence des Commissaires à protection des données personnelles qui s'est tenue à Jérusalem en octobre 2010²⁰².

On pourrait enfin imaginer comme le proposait M. Xavier Leclerc lors de l'une de ces interventions dans le cadre du Mastère Spécialisé "Informatique et Libertés" de l'ISEP de faire bénéficier aux organismes certifiés d`une baisse attractive de leur prime d'assurance. Une sorte de bonus à la conformité qui pourrait être intéressante dans le cadre des primes que les entreprises vont être appelées à payer pour couvrir le risque lié à l'obligation de notifier aux clients les «failles de sécurité» concernant leur données personnelles. Dispositif qui a été introduit par la révision en 2009 de la Directive 2002/58/CE «vie privée et communications électroniques»²⁰³.