Certifier la conformité aux autorisations uniques de la CNIL

1.3 Les fondements juridiques et normatifs

La Directive 95/46/CE modifiée pourrait définir une série de principes minimaux et obligatoires à respecter par les procédures de transferts de données à caractère personnel vers un pays hors de l'Union européenne n'assurant pas un niveau de protection adéquat.

Ces principes pourrait être rédigés de façon telle à ce que les organismes chargés d'en évaluer la conformité puisse le faire sans difficultés.

On pourrait envisager que la nouvelle Directive s'appuie de la même manière que les directives «nouvelle approche» sur un ou plusieurs textes normatifs auxquels les organismes candidats à la certification pourraient être inviter à faire valider leur conformité par un organisme tiers.

On pourrait s'appuyer sur les principes définis dans la norme ISO/IEC 29100 qui sont en cours de validation et qui devraient être publiés dans le courant de l'année 2011 ou début 2012 au plus tard. On pourrait également envisager de rédiger un texte normatif spécifiquement dédié à ce type de processus.

Les principes pourraient être à minima ceux qui sont déjà décrits dans l'appendice des Clauses Contractuels Types entre deux responsables de traitements:

- Limitation des transferts à une finalité spécifique,

- Qualité et proportionalité,

- Transparence,

- Sécurité et confidentialité,

- Droits d'accès, de rectification, d'effacement et d'opposition,

- Restrictions aux transferts ultérieurs,

- Protections concernant les catégories particulières de données.

2. Certifier : quel intérêt ?

2.1 Des avantages pour les différentes parties prenantes

115

Il nous semble que l'introduction d'une procédure de certification des transferts de données hors de l'Union présenterait certains avantages comparativement aux procédures actuellement en vigueur.

2.1.1 Les avantages pour les entreprises

La certification pourrait s'avérer plus facile, plus rapide, donc moins coûteuse et plus accessible aux petites et moyennes entreprises, que la mise en place de Binding Corporate Rules (BCR) dont une récente étude parue en décembre 2010 en France souligne la complexité²³².

Cela pourrait être une procédure juridiquement plus sécurisante que les Clauses Contractuelles Types (CCT) dont la même étude souligne les limites dans certaines configurations²³³.

Ce serait l'occasion de mettre à la disposition des entreprises un moyen de sécurité juridique supplémentaire au moment ou certaines d'entre elles, notamment dans les communications électroniques, doivent rendre compte des brèches de sécurité impliquant les données de leurs clients. La certification pourrait leur offrir un moyen de preuve appréciable.