Memoire Online - Certifier la conformité aux autorisations uniques de la CNIL

Sous la direction de Mme Claire Levalois-Barth
Enseignant-Chercheur - Docteur en Droit
Télécom - Paristech

AELE - Association européenne de libre-échange. EFTA en anglais qui comprend l'Islande, le Liechtenstein, la Norvège

OCPD - Ordonnance suisse sur les certifications en matière de protection des données

PFPDT - Préposé fédéral suisse à la protection des données et à la transparence

TC - Comités techniques de l'ISO chargés sous la responsabilité du Bureau de gestion technique (TMB) de la gestion au

TMB - Bureau de gestion technique de l'ISO charge de la gestion des projets de normes

Nous souhaitons remercier en premier lieu Mme Claire Levallois-Barth pour son soutien, son patient travail de relecture et pour les pistes de réflexion qu'elle nous a suggérées.

Nous tenons également à remercier les personnes qui nous ont aimablement renseigné et orienté sur les différents sujets qui sont abordés dans le cadre de cette thèse professionnelle:

Mme Johanna Carvais de la CNIL pour ses explications sur le processus d'élaboration des Autorisations uniques.

M. Xavier Leclerc, Correspondant Informatique et Libertés mutualisé auprès de l'Association pour le Développement du Service Notarial, également pour ses explications sur le processus d'élaboration des Autorisations uniques.

M. Félix Müller de la société suisse SQS pour ses précisions sur les programmes de certifications de sa société.

M. Pierre-Yves Baumann du service du Préposé fédéral à la protection des données et à la transparence pour ses précisions sur la procédure de certification suisse.

RESUME

Ce mémoire de troisième cycle a été rédigé dans le cadre du mastère spécialisé "informatique et libertés" que j'ai suivi auprès de l'Institut d'Electronique de Paris entre octobre 2009 et décembre 2010 dans le cadre formation continue.

-j'ai la conviction que ce type de procédure peut constituer un moyen privilégié pour faire progresser la question de la protection des données à caractère personnel.

- il m'a semblé qu'il existait assez peu d'études sur ce type d'approche de la régulation des données à caractère personnel et qu'une contribution aussi modeste soit elle pourrait éventuellement susciter le débat.

- Je suis intéressé à titre professionnel pour aborder cette question des données personnelles sous l'angle de la normalisation et de la certification. Spécialisation que je compte d'ailleurs poursuivre au delà de cette formation dans le cadre d'un travail doctoral.

Je souhaitais dans un premier temps traiter de cette question de la certification de la conformité à travers les travaux en cours à l'ISO. Cependant, toutes les normes de la série ISO/CEI 29000 demeurent inachevées et sont encore susceptibles d'être modifiée. Situation un peu inconfortable qui aurait pu invalider les résultats de ce travail avant même qu'il ne soit terminé.

L'annonce au mois de juin 2010 de la volonté de la CNIL de délivrer un label pour distinguer les produits et les procédures conformes aux prescriptions de la loi « informatique et libertés » m'a donné l'idée de m'intéresser à la manière dont on pourrait en France mettre en oeuvre ce principe de certification de la conformité.

J'ai choisi de m'intéresser à la certification conforme aux Autorisations uniques de la CNIL dans la mesure ou il m'a semblé que ces textes étaient assez proches des normes (industrielles) d'application volontaire dans leur finalité comme dans leur forme. Je me suis demandé s'il était possible d'en faire des référentiels auditables dans l'optique de certifier la conformité des entreprises vis à vis de leurs prescriptions.

On pourait de prime abord s'interroger sur l'intérêt de certifier l'application conforme de ce qui est par nature obligatoire. En effet, Les Autorisations uniques de la CNIL sont des textes réglementaires publiés au Journal Officiel. L'intérêt se situe principalement à deux niveaux.

Il s'agit d'un moyen pour les autorités de régulation d'inviter ou d'obliger les responsables de traitement à rendre compte par eux mêmes de leur conformité. C'est d'ailleurs une des voies de régulation mise en avant récemment par le groupe de l'article 29 et la Commission européenne sous le vocable «d'accountability».

Il s'agit également pour les entreprises d'un moyen de sécurité juridique vis à vis du risque lié à d'éventuelles pertes, fuites ou malversations concernant les données à caractère personnel. La certification constitue pour les elles une assurance de l'application conforme de la réglementation et un moyen de preuve de leur bonne foi en cas d'incident.

J'ai essayé de démontrer qu'il était possible de certifier la conformité aux Autorisations uniques de la CNIL dès lors que cette démarche hypothétique remplissait les quatre conditions posées par le code de la consommation en matière de certification.

1- Qu'aucune restriction légale ne s'y oppose et qu'il existe une volonté de le faire,

3 - Que l'on dispose d'évaluateur qualifié et d'une méthodologie d'évaluation,

4 - Que l'on délivre une récompense officielle pour distinguer les organismes conformes.

Au terme de cette étude, on s'aperçoit que rien du point de vue juridique ne s'oppose au principe de certifier la conformité à une réglementation. Il s'agit d`une démarche déjà utilisée en droit français dans lequel la certification conforme est appliquée dans le domaine de la génération de signature électronique pour ne prendre que cet exemple.

C'est également une procédure qui est mise en oeuvre avec succès dans deux autres pays européens, La Suisse et l'Allemagne, et ceci dans le domaine de la protection des données à caractère personnel.

Certes, les Autorisations uniques n'ont pas été conçues comme des référentiels certifiables. Elles présentent des caractéristiques qui pourraient leur permettre de le devenir sans peine. Les règles qu'elles imposent aux entreprises correspondent dans l'esprit aux objectifs définis par une norme industrielle. Un travail d'interprétation et parfois de clarification serait nécessaire pour les rendre parfaitement exploitables en tant que référentiels auditables. Il nous semble que ce travail n'est pas insurmontable et qu'il pourrait être effectué dans le cadre de leurs révisions périodiques ou bien initié au moment de l'élaboration des futurs textes.

Il convient également de s'interroger sur la manière dont on pourrait évaluer la conformité aux Autorisations uniques. Il apparait nécessaire que cette évaluation pour être valide soit confiée à des organismes tiers dont la compétence aura été préalablement validée. Compétences qu'ils conviendraient de vérifier dans le cadre d'une procédure d'accréditation. Les instances capables d'effectuer ce travail existent et la mise en place d'une telle procédure ne soulève pas de difficultés particulières.

Le choix s'avère plus délicat lorsqu'il s'agit de déterminer quel type d'évaluateur il convient d'accréditer. Confier l'évaluation à des experts individuels imposerait le recours à une autorité de certification chargée de valider l'admission et délivrer le titre; à moins de confier l'ensemble de la procédure à ces individus. Ce qui parait délicat et n'a d'ailleurs jamais été fait à notre connaissance. Il nous semble d'un point de vue pratique qu'il serait souhaitable d'inscrire la certification de la conformité aux Autorisations uniques dans le cadre normal des autres programmes de certification; ceci afin d'éviter que cette procédure ne soit marginale et considérée comme telle. Nous sommes de ce fait favorable à l'accréditation d'organismes certificateurs plutôt que des individus.

La méthodologie d'audit à employer pour évaluer la conformité doit aussi faire l'objet d'une réflexion afin de déterminer si elle doit être un élément à la charge du candidat à l'accréditation ou si elle doit être imposée par l'autorité de certification comme les allemands ont choisi de le faire. Ce dernier choix va néanmoins à l'encontre de la démarche habituelle dans le monde de la certification qui veut que l'organisme en charge de l'évaluation de la conformité utilise sa propre méthodologie qui constitue souvent son savoir faire et sa valeur ajoutée.

La solution de laisser aux organismes certificateurs le soin d'apporter leur méthodologie nous parait également la plus viable d'un point de vue pratique pour les mêmes raisons de nécessité d'intégration dans le processus standard de normalisation. Nous avons conscience que ce choix exclut le recours à des experts individuels indépendants. Ce choix nous parait le plus judicieux afin d'éviter, nous l'avons déjà dit, de marginaliser cette procédure qui a besoin de reconnaissance pour devenir pérenne.

La question de savoir quel titre de certification et quelle autorité sera en charge de le délivrer est réglé par L'article 11.3 c de la loi 78-17 du 6 janvier 1978 modifiée par la loi du 12 mai 2009. Celui-ci dispose en effet qu'il appartient à la CNIL de délivrer ce titre sous la forme d'un label. Cette solution ne nous semble pas forcément la plus judicieuse d'un point de vue pratique dans la mesure ou la certification n'est pas le « coeur de métier » de la CNIL. La prise en charge d'un telle procédure exigerait forcément des ressources supplémentaires au risque de créer sinon, en cas de forte demande, un «goulet d'étranglement». Nous pensons qu'il serait donc plus efficace de déléguer au moins en partie aux organismes privés l'évaluation et la certification comme cela se fait dans la plupart du temps. Il reviendrait à la CNIL de contrôler les organismes certificateurs comme le font d'ailleurs d'autres autorités administratives.

Force est de constater que cette procédure de certification dans les pays ou elle existe déjà suscite plus d'espoir que de réel engouement. Les avantages concrets apportés par ce type certification sont somme toute assez limités. A l'inverse, Il n'existe aucun risque réel en cas de non conformité.

Un contrevenant est le plus souvent soumis à une injonction de se mettre en conformité dès lors qu'il a été pris en faute. En France, seuls sont sanctionnés les récidivistes vraiment impénitents. On pourrait cyniquement défendre l'idée que la procédure de contrôle de la CNIL constitue pour les entreprises une sorte d'audit de conformité réalisé au frais de l'Etat.

Une récente décision du Conseil dÔEtat en juillet 2010 qui a annulé une sanction financière à l'encontre d'une société d'agents privés spécialisés dans le recouvrement de créance pour vice de forme risque encore de renforcer un sentiment d'impunité assez généralement partagé par les entreprises.

aujourd'hui et non pas leur protection qui est considéré par certains comme un combat d'arrière garde. Il faut à notre sens bien garder les éléments de cette équation à l'esprit pour espérer trouver un moyen d'encourager la certification conforme dans ce domaine.

L'investissement dans ce type de procédure ne sera consenti par une entreprise ou une institution que si elle y est obligée ou si elle peut en tirer un bénéfice concret. Nous sommes dans un monde de contraintes budgétaires toujours plus fortes et de bénéfices toujours plus immédiats. Il nous semble que dès lors que l'on a pris la pleine mesure de l'environnement dans lequel se place notre projet, il demeure possible de le faire avancer.

Deux pistes nous semblent envisageables pour mettre en oeuvre ce projet de certification de la conformité aux Autorisations uniques.

Il nous semble qu'un certain nombre de fabricants d'équipements de contrôle d'accès pour ne prendre que cet exemple sont en attente d'une marque distinctive pour valoriser leur matériel.

Il pourrait être intéressant d'initier ce projet par la certification conforme de produits par rapport par exemple aux AU-007, AU-009 qui traitent de matériel de contrôle d'accès faisant appel à la technologie biométrique ou encore l' AU-026 qui traite elle des éthylotests anti-démarrage.

Les exemples que nous avons pu trouver semblent indiquer que ces industriels recherchent avant tout une marque distinctive pour différencier leur offre commerciale. Ils n'attendent pas nécessairement de privilèges liés à ce titre. Cette configuration présenterait un double avantage :

- l'assurance qu'il existe une réelle attente pour justifier le travail nécessaire à la mise en oeuvre,

- la possibilité de délivrer un titre de certification sans être obligé de définir de privilèges associés.

Ce premier projet pourrait constituer un test sur un nombre limité d'Autorisations uniques afin de vérifier la validité du concept et la pertinence de la procédure. On pourrait imaginer de l'étendre progressivement aux autres Autorisations uniques et notamment à celles traitant de procédures.

La certification des procédures nous parait plus délicate à mettre en oeuvre. Elle nécessite d'associer un privilège au titre de certification dans la mesure où ces procédures n'étant pas en concurrence, une simple différentiation s'avère insuffisante.

Il serait donc intéressant de trouver une procédure qui présente un intérêt « stratégique » pour les entreprises et dont le privilège associé à la certification apporterait une réelle valeur ajoutée à celles-ci.

Les flux transfrontières s'inscrivent selon nous parfaitement dans cette perspective. Ils sont soumis à une autorisation préalable de la CNIL sauf exception décrite dans l'article 69 de la loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004 et sont pour un nombre croissant d'entreprises un lien vital pour leur activité.

Ces traitements soumis à autorisation préalable ne sont pas susceptibles dans l'état actuel de la loi de faire l'objet d'une Autorisation unique.

On pourrait imaginer qu'à l'occasion de la transposition de la prochaine Directive européenne ou d'une modification de la loi, la CNIL se dote des moyens légaux pour pouvoir élaborer une Autorisation unique dans le domaine des flux transfrontières. Cette mesure reprendrait ainsi le voeux de la Commission européenne de faciliter ces transferts internationaux en allégeant les formalités.

Cette Autorisation pourrait être élaborée sous la forme d'une norme auditable applicable par exemple au domaine des données RH, marketing ou bien bancaires.

Cette Autorisation pourrait être également élaborée sous la forme d'un texte « cadre » renvoyant à la conformité aux normes internationales telle que la norme ISO/CEI CD 29100 par exemple qui devrait être publiée dans le courant de l'année 2011.

Les entreprises candidates à une dispense d'autorisation préalable pour ce type de traitements pourraient avoir l'obligation de faire certifier leurs procédures par un tiers afin de pouvoir en bénéficier.

l'APEC aient du mal à s'accorder sur les modalités d'application pratique, il s'agit néanmoins d'un pas en avant qui va dans le sens d'une meilleure responsabilisation des responsables de traitement.

Le volume des flux transfrontières est indubitablement appelé à se développer. La dématérialisation croissante des procédures, l'essor du stockage partagé (cloud computing) et plus généralement celui du commerce électronique mondial y concourent.

Il apparait par ailleurs nécessaire de trouver des moyens de contrôle internationaux qui s'accordent sur des principes communs à respecter comme le souligne le point 6 de la déclaration de Madrid.

La normalisation et la certification peuvent être une solution réaliste pour parvenir à un contrôle optimal comme cela a été fait au niveau du contrôle qualité des produits et des procédures.

Cette proposition de certification des flux transfrontières s'inscrit dans la recherche d'un plus petit commun dénominateur entre les communautés d'intérêts économiques mondiales. Il nous semble qu'elle pourrait être pertinente à l'heure ou la Commission européenne interroge ses citoyens sur les axes d'améliorations à apporter à la Directive chargée de la protection des données à caractères personnel.

Une solution de ce type rejoint les préoccupations et les pistes qui ont été exposées dans le programme de Stockholm et dans les axes d'améliorations proposés par le G29 et plus récemment encore par la Commission européenne, à savoir :

- Homogénéiser les niveaux de protection entre les différents pays de l'union, -Obliger les responsables de traitement à rendre compte de leur conformité.

PARTIE I : EST-IL POSSIBLE DE CERTIFIER LA CONFORMITE AUX AUTORISATIONS UNIQUES ? 15

PARTIE II : LES AUTORISATIONS UNIQUES SONT-ELLES DES REFERENTIELS AUDITABLES ? 32

2.3 L'exemple des directives du Préposé à la Protection des Données à caractère personnel suisse 42

2.5 Peut-on considérer les Autorisations uniques comme des référentiels normatifs ? 45

PARTIE III : QUEL EVALUATEUR POUR LA CONFORMITE AUX AUTORISATIONS UNIQUES ? 58

PARTIE IV : QUELLE METHODOLOGIE POUR EVALUER LA CONFORMITE AUX AUTORISATIONS UNIQUES 78

PARTIE V : QUEL TITRE POUR ATTESTER DE LA CONFORMITE AUX AUTORISATIONS UNIQUES ? 90

Annexe 1 : Contribution à la consultation publique de la Commission européenne sur les contours de la

Certifier la conformité des flux transfrontières de données Eric Lachaud - Consultant IT 113

INTRODUCTION

"Technology drives uses. Where there is a way there is a will." R. Erickson & K. Haggerty¹

Nous nous sommes intéressés à la certification de la conformité car nous avons la conviction que ce type de procédure peut constituer un moyen privilégié pour faire progresser la question de la protection des données à caractère personnel.

Nous avions pensé dans un premier temps aborder cette question en la traitant à un niveau international. Solution qui nous est apparue d'autant plus séduisante qu'une nouvelle tentative d'élaborer des référentiels normatifs est actuellement en cours dans le cadre de l'International Standardization Organisation (ISO).

Toutes les normes de la série ISO/CEI 29000² demeurent encore à l'état de projet et sont susceptibles d'être modifiées. Ce qui aurait pu invalider les résultats de ce travail avant même qu'il ne soit terminé.

L'annonce au mois de juin 2010 de la volonté de la CNIL de délivrer un label pour distinguer les produits et les procédures conformes aux prescriptions de la loi « informatique et libertés » nous a suggéré l'idée de nous intéresser à la manière dont on pourrait en France mettre en oeuvre un principe de certification de la conformité.

Nous avons choisi de nous intéresser à la certification conforme aux Autorisations uniques³ de la CNIL dans la mesure ou il nous semble que ces textes sont assez proches des normes d'application volontaire dans leur finalité comme dans leur forme⁴.

Nous nous sommes donc demandé s'il était possible d'en faire des référentiels auditables dans l'optique de certifier la conformité des entreprises à leurs prescriptions.

1. Pourquoi ce sujet ?

L'idée de traiter un tel sujet pourrait paraître superflue. L'application de la loi n'a pas besoin d'être certifiée puisque «nul n'est censé ignorer la loi ». La certification a pour objectif d'apporter l'assurance que des règles supplémentaires à la loi, celles-ci d'application volontaire, sont bien respectées. Ce principe demeure vrai. Cependant, deux évolutions récentes sont venus le contredire.

La complexité croissante des systèmes et des procédures rend leur contrôle difficile. Les autorités de régulation s'en sont aperçues une première fois lors de la faillite retentissante en 2002 du courtier en énergie Enron. Elles ont découvert

2 Les Normes ISO sont de normes d'application volontaire élaborées par l'International Standardization Organization (ISO) sur lequel nous reviendrons dans la partie 2 de ce document dans lequel nous présenterons l'institution et la manière dont elle travaille. La série des normes ISO/CEI 29100, 29101, 29190 et 29193 en cours d'élaboration dans les différentes comités techniques est consacrée à la protection des données personnelles

3 Les Autorisations uniques sont des actes administratifs élaborés par la CNIL permettant aux entreprises qui s'engagent à s'y conformer volontairement de profiter d'une dispense d'autorisation préalable pour les traitements relevant de l'article 25 de la loi 78-17 du 6 janvier 1978 modifié le 6 août 2004.

4 Nous avons écarté l'idée de nous intéresser à la certification de la conformité par rapport à la loi 78-17 du 6 janvier 1978 dite « loi informatique et libertés » car ce projet qui nous a semblé beaucoup trop ambitieux dans le cadre d'une thèse professionnelle. C'est un sujet qui exige à notre sens une réflexion beaucoup plus fouillée et il ne nous semblait pas possible de mener en un laps de temps aussi cours.

(trop tard) que cette société usait d'artifices comptables⁵ pour masquer une situation financière catastrophique. La crise financière en 2008 et notamment celle des produits structurées a apporté une nouvelle démonstration que la complexité était devenue incontrôlable.

Par ailleurs, les systèmes et les procédures sont de plus en plus souvent « transnationaux » du fait de la globalisation des échanges et du développement d'Internet. Il devient aujourd'hui très difficile d'obliger les grands acteurs du web à respecter une législation nationale qui ne s'applique au mieux qu'à leurs utilisateurs.

Ces deux phénomènes ont tendance à s'accélérer. Contrôler la conformité des données recueillies par les nanotechnologies exigera demain des moyens et des compétences techniques hors du commun. Il devient difficile avec le «cloud computing»⁶ de savoir à un instant donné de quelle juridiction relève les données appartenant à une entité ou un individu. Une « zone virtuelle de non droit » semble se créer sous nos yeux.

2. Parce qu'il existe un besoin

L'idée d'obliger les entreprises à donner des preuves de leur conformité à la réglementation prend alors tout son sens. Cette idée s'est développée progressivement aux Etats-Unis dans le cadre des réformes qui ont été introduites après les scandales Enron et Worldcom⁷.

Comme le souligne l'avocat d'affaire Philippe Bouchez El Gouzi dans un article consacré à l'essor de la conformité⁸, cette pratique est «née aux États-Unis dans les années 1980 pour prendre en considération les efforts fournis par les entreprises et leur bonne foi quant à l'application des réglementations, les programmes de conformité ne cessent de se développer avec l'internationalisation des échanges commerciaux, les scandales financiers tels que Enron, WorldCom ou Siemens - qui ont conduit à la naissance de législations spécifiques - et se trouvent renforcés par les conséquences de la crise actuele ».

Ce concept visant à obliger les entreprises à « rendre compte » de leur conformité a été récemment mis à l'honneur dans le domaine de la protection des données à caractère personnel. L'idée défendue par le Groupe de l'article 299 consiste à obliger les responsables de traitement10 à rendre compte de leur conformité vis-à-vis de la Règlementation dans ce domaine. Cette idée fait aujourd'hui partie des axes que la Commission européenne entend explorer dans le cadre de la révision de la Directive 95/46/CE11. Nous y reviendrons en détail dans le corps de ce document. Le développement de programmes de certification pourrait constituer un élément de solution comme le souligne le G29 dans l'un de ses avis9. Ces procédures de certification pourraient s'accompagner une fois obtenue de dispenses de formalités comme le propose également le G29 dans son avis sur la responsabilité publié en juillet 201010

Face à cela, les entreprises sont aujourd'hui en quête de sécurité juridique. Cette évolution constitue de leur part une réponse à la multiplication des réglementations et à leur aspect toujours plus contraignant.

6 «Le Cloud computing est un concept de déportation sur des serveurs distants des traitements informatiques traditionnellement localisés sur le poste utilisateur» précise l'article de l'encyclopédie Wikipedia consacré à ce principe " http://fr.wikipedia.org/wiki/Cloud computing

7 On trouvera une présentation claire bien que technique sur les implications induites par les évolutions comptables et financières introduites à la suite des scandales Enron et Worldcom dans le cours de Jacques Mistral - Ministre Conseiller financier à l'Ambassade de France à Washington

«Rendre compte fidèlement de la réalité de l'entreprise - Remarques sur la réforme comptable et la qualité de l'information financière»

Lorenzi 24.pdf;jsessionid=CFE0E1FBC7BABDF904B6FD6D882BA618?sequence=1" http://basepub.dauphine.fr/xmlui/bitstream/ handle/123456789/130/Lorenzi24.pdf;jsessionid=CFE0E1FBC7BABDF904B6FD6D882BA618?sequence=1

Les entreprises cherchent par la démonstration volontaire de leur conformité à prouver aux régulateurs qu'elles ont mis en oeuvre tous les moyens qui étaient à leur disposition pour se conformer à la réglementation. La certification conforme est alors conçue comme un moyen de preuve. Preuve qui peut être opposée en cas d'incident ou de procédure judiciaire.

Philippe Bouchez El Gouzi le confirme lorsqu'il conclut que « les programmes de conformités deviennent, par l'évolution du droit, un élément de l'obligation de moyens qui pèse sur l'entreprise de justifier qu'ele a mis en oeuvre les outils permettant de prévenir, détecter et sanctionner les fraudes et manquements commis en son sein.»⁹

3. Parce que cela présente des avantages

Une procédure de ce type pourrait donc être un premier pas pour obliger les responsables de traitement à "rendre des comptes" sur leur conformité comme le groupe de l'article 29 entend l'imposer.

Cela pourrait constituer un moyen pour les entreprises de différencier leur offre de services ou de produits comme le souligne le G29¹⁰. Il semble d'ailleurs que la délivrance d'un titre de conformité officiel soit une attente assez forte de la part de certains fabricants de produits mais aussi d'entreprises qui aimeraient grâce à cela valoriser et valider l'investissement de mise en conformité qu'elles ont pu faire. Cela pourrait être un moyen pour les entreprises de valoriser le rôle du Correspondant Informatique et Libertés en l'investissant d'un rôle dans l'obtention et le maintien de cette certification.

On pourrait envisager que la certification conforme aux Autorisations uniques devienne une exigence préalable dans le cadre de passage de marchés publics pour certains domaines sensibles tels que le contrôle d'accès biométrique et pourquoi pas demain dans le cadre de la vidéosurveillance si ce sujet relevait un jour de la compétence de la CNIL. On pourrait également imaginer sans créer d'obligation que la préférence soit donnée lors des passations de marchés publics ou privées à des entreprises qui sont certifiées ou qui proposent des produits qui le sont. Ce type de recommandations pourrait par exemple être intégrées dans les modèles de documents d'appel d'offre utilisés par les établissements publics.

La mise en place d'une telle procédure pourrait être un moyen pour la CNIL de démultiplier son pouvoir de contrôle. Cela pourrait constituer une manière de s'assurer de la conformité des entreprises vis-à-vis de ces normes et ceci de manière régulière au moment du renouvellement périodique de la certification.

Il nous semble que ce pourrait être aussi un moyen de favoriser le développement d'une démarche visant à intégrer la protection des données à caractère personnel au moment de la conception des produits et des procédures. Notion que les anglo-saxons désignent sous le vocable de « privacy by design » et qui a été développé par les canadiens dans les années 90. Ce principe de «protection par défaut» a été récemment rappelé comme un objectif majeur dans le cadre d'une résolution commune votée à l'initiative de Mme Ann Cavoukian¹¹ lors de la 32ème conférence de Commissaires à la protection de données et à la vie privée qui s'est tenu les 29 et le 30 octobre dernier à Jérusalem.

Il nous semble pour terminer cet inventaire que ce pourrait être un moyen de créer un marché de la conformité «informatique et libertés» régulé par la CNIL. Ce qui permettrait de créer une profession dédiée à ce type de conformité et incidemment de diffuser la culture « informatique et libertés ».

Ann Cavoukian est Commissaire à la protection de données personnelles de L'Ontario canadien et elle est l'instigatrice de cette approche novatrice qu'elle s'est évertuée de mettre en pratique dans sa Province. L'ouvrage qu'elle a publié sur le sujet présente les différentes expériences qu'elle a pu mettre en oeuvre en intégrant cette approche de manière pragmatique. Son livre est en accès libre en anglais à cette adresse

4. Parce qu'il est possible de le mettre en oeuvre

Cette étude a pour ambition de démontrer qu'une démarche de certification de la conformité aux Autorisations uniques est possible dès lors que quatre conditions définies dans le Code de la consommation concernant la certification sont remplies.

Première condition: Il faut une volonté nous dit l'article L.115-27 du Code de la consommation; « Cele des professionnels de s'engager dans une démarche de certification des produits industriels ou des services de commercialisation qu'ils proposent aux consommateurs ». Dans notre cas, il s'agit de valider l'idée selon laquelle certifier la conformité à une réglementation est une procédure légalement envisageable.

Deuxième condition nous dit également l'article L.115-27: il faut mettre en place un « référentiel définissant ce sur quoi s'engage l'entreprise qui demande la certification du produit ou du service et qui est soumis à l'examen de l'organisme certificateur ». Dans le cas qui nous occupe, il s'agit de vérifier si les Autorisations uniques peuvent être des référentiels auditables.

Troisième condition: il faut définir une procédure dans laquelle doit intervenir un « organisme certificateur régulièrement déclaré auprès du Ministre de l'Industrie et accrédité par le Comité Français d'accréditation (COFRAC) » comme l'exige l'article L.115-28 du code de la consommation. Ce qui signifie pour nous déterminer à qui, individu ou organisme, sera confié la procédure d'évaluation et quel type de méthodologie devra être utilisée pour que cette évaluation soit valable.

Enfin, quatrième et dernière condition, un but. Il s'agit nous dit le texte¹² de « donner aux consommateurs un signe de qualité des produits et des services véritablement connu et aux professionnels un instrument de gain de part de marché. Ce qui nous amènera à nous interroger sur la nature du titre à délivrer mais également sur les avantages qui pourraient y être associés.

12 Décret n°95-354 du 30 mars 1995 relatif à la certification des produits industriels et des services

PARTIE I : EST-IL POSSIBLE DE CERTIFIER LA CONFORMITE AUX AUTORISATIONS UNIQUES ?

Cette partie a pour objectif de démontrer que certifier l`application conforme à une norme réglementaire ou légale est une procédure courante. Elle est déjà utilisée en France mais également à l'étranger dans le domaine de la protection des données à caractère personnel.

1. Définitions

1.1 Qu'est ce que la normalisation ?

Le Décret n° 2009-697 du 16 juin 2009¹³ définit la normalisation comme « une activité d'intérêt général qui a pour objet de fournir des documents de référence élaborés de manière consensuele par toutes les parties intéressées, portant sur des règles, des caractéristiques, des recommandations ou des exemples de bonnes pratiques, relatives à des produits, à des services, à des méthodes, à des processus ou à des organisations. Ele vise à encourager le développement économique et l'innovation tout en prenant en compte des objectifs de développement durable. »

La normalisation est née au 19ème siècle¹⁴ avec la révolution industrielle lorsque des tentatives d'abord partielles de créer des « catalogues de savoir-faire » sont lancées dans les différents pays européens. Le British Standard Institution (BSI) qui constitue la première institution publique à s'occuper de ces questions est créée en 1901.

Le véritable essor de la normalisation est lié aux deux conflits mondiaux qui favorisent le développement des productions industrielles standardisées en grand nombre. L'Association Française de Normalisation (AFNOR) est créée en 1926 et une première tentative de fédération mondiale est lancée également en 1926. Cette association internationale sera dissoute durant la guerre et le projet n'aboutira réellement qu'à l'issue du conflit avec la création de l'International Organization for Standardisation (ISO) en 1946.

La normalisation connaîtra un nouvel élan important avec le développement de la gestion de la qualité à la fin des années 70 et la publication dans les années 80 des normes de la série ISO 9 000 et 9001 appliquées aujourd'hui par plus d'un million d'entreprises dans le monde.

La normalisation est un processus qui tend à se développer et à se substituer à la réglementation et ceci pour deux raisons :

- La normalisation évite de superposer des réglementations nationales dans un contexte de globalisation croissante des échanges,

- Le nombre et la complexité croissante des processus mis en oeuvre par des acteurs parfois éloignés géographiquement et culturellement nécessitent des règles afin de maintenir un degré de qualité élevé que la seule réglementation n'est pas en mesure d'assurer,

- Le législateur n'a pas toujours les compétences requises dans des domaines très techniques et il préfère en déléguer la régulation à des textes normatifs. La conformité à certaines normes est parfois rendue obligatoire par

14 Des éléments intéressants concernant l'histoire de la normalisation sont présentés dans le document « Histoire de la normalisation autour du livre et du document » de Sylvie Fayet-Scribe et Cyril Canet disponible à cette adresse : http://biblio-fr.info.unicaen.fr/bnum/jelec/Solaris/d06/6fayet.html

la loi. C'est le cas par exemple dans la Directive 2001/95/CE ¹⁵ relative à la sécurité générale des produits qui précise dans son article 3 que « Les producteurs sont tenus de ne mettre sur le marché que des produits sûrs(...) Un produit est présumé sûr (É) quand il est conforme aux normes nationales non obligatoires. » Nous reviendrons plus en détail sur cette méthode originale de gestion de la conformité.

1.2 Que signifie certifier ?

Certifier nous dit la norme NF EN 45020/X 50-080¹⁶ est «une procédure par laquele une tierce partie donne une assurance écrite qu'un produit, un processus ou un service est conforme aux exigences spécifiées.»

L'article. L.115-27 du Code de la Consommation modifié par l'article 1er de la loi n° 94-442 du 3 juin 1994 précise quant à lui que «constitue une certification de produit ou de service (...) la procédure par laquele un organisme, distinct du fabricant, de l'importateur, du vendeur ou du prestataire, atteste, à la demande de celui-ci effectuée à des fins commerciales, qu'un produit ou un service est conforme à des caractéristiques décrites dans un référentiel et faisant l'objet de contrôle.»¹⁷

1. 3 Qu'est-ce que la conformité?

La conformité nous dit la norme ISO/CEI 17000:2004¹⁸ est «la démonstration que les spécifications relatives à un produit, un processus, un système, une personne ou un organisme ont été respectées»

La conformité est donc à la fois un processus (la démonstration) et un résultat (l'adéquation).

1.4 Qu'est-ce qu'une norme?

Le guide 2:2004 de ISO/CEI¹⁹ définit la norme comme « un document établi par consensus par une institution reconnue qui fournit un ensemble de règles, de guides et de caractéristiques pour un usage régulier dans le but d'atteindre un

15 Directive 2001/95/CE du Parlement européen et du Conseil du 3 décembre 2001 relative à la sécurité générale des produits. JOUE L 11 du 15.1.2002

16 NF EN 45020 / X 50-080 - Termes généraux et leurs définitions concernant la normalisation et les activités connexes - vocabulaire général 2007

La Nomenclature des normes internationales est organisée de la manière suivante :

- Les normes notées NF EN sont celles qui sont élaborées par le Comité Européen de Normalisation (CEN) et transposées sans

- Les normes ISO sont celles publiées par l'International Standardization Organisation (ISO),

- Les normes ISO/CEI sont celles qui sont publiées conjointement par l'ISO et le Comité International Electrotechnique (CEI) qui

comme son nom l'indique s'occupe de la normalisation des matériels et procédures liées à l'électricité et l'électrotechnique

- Les normes notées ISO EN NF sont celles qui ont été transposées dans les catalogues européens et français sans

17 Loi n° 94-442 du 3 juin 1994 modifiant le code de la consommation en ce qui concerne la certification des produits industriels et des services et la commercialisation de certains produits

degré d'ordre optimal dans un contexte donné ». L'article 1 du Décret n° 2009-697 du 16 juin 2009²⁰ relatif à la normalisation définit celle-ci comme "une activité d'intérêt général qui a pour objet de fournir des documents de référence élaborés de manière consensuele par toutes les parties intéressées, portant sur des règles, des caractéristiques, des recommandations ou des exemples de bonnes pratiques, relatives à des produits, à des services, à des méthodes, à des processus ou à des organisations. Elle vise à encourager le développement économique et l'innovation tout en prenant en compte des objectifs de développement durable".

Mme Agnès Grenard dans une étude consacrée à la normalisation²¹ définit la norme comme : «Une spécification technique, se présentant sous la forme d'un document, qui définit et détermine les caractéristiques de biens, services ou processus. Ele est accessible au public et fait l'objet de publication officiele. Ele résulte d'un choix colectif; elle est établie avec le consensus et l'approbation de toutes les parties intéressées participant à sa création;

La norme sert de base d'action pour la solution de problèmes répétitifs; ele est destinée à des usages communs et répétés et doit comporter des solutions à des problèmes techniques ou commerciaux qui se posent entre partenaires économiques, scientifiques, techniques et sociaux.

La norme apparait donc comme une donnée de référence, publique, établie avec la coopération de tous les intéressés et mise au service des différents agents économiques.(..) On peut souligner le caractère non obligatoire des normes. En effet, d'application volontaire, la norme possède la propriété d'être facultative»

- Il fait l'objet d'une démarche d'adoption consensuelle, - Il est reconnu par un organisme officiel,

1.5 Quelle différence entre norme et réglementation ?

La norme légale ou réglementaire se différencie de la norme d'adoption volontaire par le fait qu'elle n'est pas adoptée de manière consensuelle. Elle est élaborée et adoptée, en démocratie au moins, par les représentants élus du peuple ou par une autorité administrative dépositaire par délégation d'une partie de l'autorité publique.

En outre, leur application est obligatoire et fait l'objet de sanctions, parfois lourdes, en cas de non respect. L'article 226-16 du Code Pénal²² prévoit ainsi « cinq ans d'emprisonnement et de 300 000 Euros d'amende » en cas de non respect des formalités déclaratives auprès de la CNIL.

1.6 Qu'est ce qu'une Autorisation Unique ?

La mise en oeuvre de certains types de traitements notamment ceux définis par l'article 25 de la loi 78-17 du 6 janvier 1978 modifiée le 6 aout 2004 sont soumis à la délivrance d'une autorisation préalable de la part de la Commission Nationale Informatique et Libertés (CNIL). Il s'agit nous dit l'article 25 :

- des traitements sur des données relatives aux infractions, condamnations ou mesures de sûreté,

- des traitements susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat,

- des traitements automatisés ayant pour objet l'interconnexion de fichiers dont les finalités principales sont différentes,

- des traitements portant sur des données parmi lesqueles figure le numéro d'inscription des personnes au répertoire, national d'identification des personnes physiques,

- Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes, - Les traitements automatisés comportant des données biométriques..»

L'autorisation préalable de mettre en oeuvre les traitements contenant ce type de données doit être obtenue auprès de la CNIL en complétant un dossier disponible aujourd'hui sur internet ²³. Dossier qui demande de préciser :

- si ces données font l'objet d'un transfert vers des pays hors de l'Union européenne,

- Les mesures de sécurité qui ont été prises pour les sauvegarder au niveau architecture, authentification et

- si des mesures ont été prises pour assurer un droit d'accès aux personnes intéressées.

La CNIL dispose alors d'un délai de deux mois renouvelables une fois « sur décision motivée de son président » précise l'article 25 alinéa III pour se prononcer sur cette demande.

Contrairement à la règle générale en droit administratif, le silence de l'administration vaut refus. L'acceptation peut être assortie de restrictions particulières. Une demande refusée une première fois peut être représentée sous une forme amendée. Le temps moyen d'obtention d'une autorisation préalable est de l'ordre de 6 mois en moyenne.

La loi prévoit dans l'article 25 alinéa II que (...) les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation."²⁴

Les Autorisations uniques sont donc des actes administratifs publiés au Journal Officiel sous la forme de délibérations adoptées en séances plénières de la CNIL permettant aux entreprises qui s'engagent à s'y conformer volontairement de profiter d'une dispense d'autorisation préalable pour les traitements relevant de l'article 25 de la loi 78-17 du 6 janvier 1978 modifié le 6 août 2004.

24 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Dès lors qu'une entreprise constate que son ou ses traitements correspondent point pour point aux prescriptions définies dans une Autorisation unique, elle est en droit d'effectuer une déclaration volontaire de conformité directement sur le site de la CNIL²⁵ dans laquelle sera simplement précisée l'Autorisation unique à laquelle l'entreprise s'engage à être conforme pour chacun des traitements qu'elle entend justifier ainsi.

Les Autorisations uniques sont aujourd'hui au nombre de 25. Elles sont numérotées selon une nomenclature du type AU pour Autorisation Unique et le numéro noté sur trois chiffres de 001 à 026. Les autorisations Uniques vont à ce jour de l'AU-001 à AU-026 sachant que l'AU-020 à été retirée.

Ces prescriptions s'adressent à des produits (technologiques) mais aussi à des procédures. Les thèmes couverts vont du matériel de contrôle d'accès utilisant la technologie biométrique (AU-007, AU-009 et AU-019) aux procédures inter et intra-bancaires (AU-005, AU-018) en passant par les procédures administratives (AU-001, AU-002)²⁶

1.7 Pourquoi des Autorisations uniques ?

La faculté pour la CNIL d'édicter des Autorisations uniques a été introduite au moment de la modification en 2004²⁷ de la loi 78-17 du 6 janvier 1978.

L'introduction de cette nouvelle faculté répondait à la volonté de préserver une certaine souplesse au système d'autorisation préalable introduit lors de cette réforme. Ceci dans le but revendiqué de simplifier les formalités

déclaratives comme le souligne M. Francis. Delattre ²⁸, rapporteur de la commission des lois à l'Assemblée Nationale, et en charge du projet de refonte de la loi.

Il s'agissait, d'une part, d'alléger le travail de la CNIL en termes de traitement de dossier d'autorisations. D'autre part, de faciliter et d'accélérer la mise en oeuvre des traitements soumis à autorisation pour les entreprises qui déclarent se conformer aux dispositions d'une Autorisation unique.

En termes de statistiques, le nombre d'entreprises s'étant déclarées conforme aux Autorisations uniques en septembre 2010 s'élevaient :

- à plus de 3000 pour l'AU-001 concernant la gestion de l'urbanisme ou du service public de l'assainissement non collectif,

25 Le formulaire de déclaration simplifié relatifs aux Articles 24-I, 25-II, 26-IV et 27-III de la loi du 6/01/78 modifiée) est disponible à cette adresse sur le site de la CNIL.

26 L'ensemble des Autorisations uniques sont présentées dans notre bibliographie et sont accessibles sur le site de la CNIL à cette adresse.

- et déjà plus de 300 entreprises pour l'AU-026 concernant les éthylotests anti-démarrage dans les véhicules affectés au transport de personnes qui a été publiées le 28 janvier 2010²⁹.

1.8 Comment les Autorisations uniques sont-elles élaborées ? Deux cas peuvent se présenter :

- Le nombre de demandes d'autorisations similaires en attente est suffisamment important pour que la CNIL 30

élabore des règles communes auxquelles les entreprises seront invitées à se conformer. Ce qui évite à la CNIL d'avoir à gérer un trop grand nombre de demandes.

- Une entreprise, une association professionnelle ou une institution publique représentant potentiellement un nombre de demande d'autorisation important introduit une demande d'élaboration d'Autorisation unique³¹ auprès de la CNIL.

Quelque soit le cas de figure, la décision d'élaborer ou non l'Autorisation unique appartient uniquement à la CNIL. Pour qu'une Autorisation unique soit élaborée, plusieurs conditions doivent être réunies :

- Le traitement doit relever du régime d'autorisation défini par l'article 25 ou 26 de la loi 78-17 du 6 janvier 1978.

- Une telle mesure de simplification doit présenter un intérêt pour la CNIL. Par exemple, que le nombre d'organismes susceptibles d'effectuer un engagement de conformité soit potentiellement élevé; qu'il existe un besoin de clarifier les obligations légales en fonction du contexte, notamment celles concernant la sécurité des données ou la durée de conservation.

Le travail d'élaboration débute par une phase préliminaire qui relève des services techniques et juridiques de la CNIL en vue d'élaborer une première proposition.

Celle-ci est alors soumise au Commissaire rapporteur en charge du domaine couvert par cette proposition. Une position de principe est alors arrêtée par celui-ci afin de savoir si cette Autorisation est opportune et si la position de la CNIL est suffisamment «mûre» vis à vis du sujet pour faire l'objet d'une Autorisation unique.

Dans la mesure où la décision est prise de donner suite à ce projet, la proposition est alors successivement amendée par les services techniques, juridiques et par le Commissaire rapporteur.

Il arrive, mais ça n'a rien de systématique, que les parties prenantes du secteur privé, public ou associatif soient consultées sur le projet afin de recueillir leurs éventuelles remarques.

Dans le cas ou elles sont à l'origine de la demande d'Autorisation unique, les parties prenantes participent dans le cadre de réunions conjointes avec la CNIL à l'élaboration du texte.

Au terme de cette phase d'élaboration, le projet est soumis à approbation en séance plénière de la CNIL par le Commissaire rapporteur en charge du projet. L'autorisation peut être soumise à approbation avec ou sans débat en fonction de la sensibilité du sujet ou du degré de consensus qui entoure le sujet.

Le projet est adopté ou rejeté. Il peut être représenté en séance plénière autant de fois que nécessaire jusqu'à son adoption.

30 Cette démarche est initiée à partir d'une cinquantaine de demandes en attente nous a précisé Mme Johanna Carvais de la CNIL que nous avons interrogé à ce sujet.

31 Tel fut le cas par exemple pour l'AU-006 concernant les traitements de données à caractère personnel aux fins d'exercice des activités notariales et de rédaction des documents des offices notariaux comme nous l'a précisé M. Xavier Leclerc; Correspondant Informatique et Libertés mutualisé auprès de l'Association pour le Développement du Service Notarial.

C'est également à la demande du Ministère des transports que l'AU-026 concernant la mise en place d'éthylotests anti-démarrage dans les véhicules affectés au transport de personnes à été élaborée.

Une fois adopté, il doit encore être publié au Journal Officiel de la République Française (JORF) pour devenir opposable le lendemain de sa publication.

1.9 Quel est le statut juridique des Autorisations Uniques ?

Il s'agit « d'actes réglementaires uniques» comme le stipule les articles 25 II et 26 IV de la loi 78-17 du 6 janvier 1978 modifiée.

1.9.1 Qu'est ce qu'un acte réglementaire ?

En droit français, le Règlement est un acte administratif unilatéral de portée générale. Les actes Réglementaires sont hiérarchisés en fonction :

- Les Règlements d'exécution des lois qui peuvent être pris lorsque la loi demande explicitement au Gouvernement un décret afin de préciser une disposition législative. Il s'agit en général d'un décret en Conseil d'État.

- Les Règlements autonomes édictés sans qu'il soit nécessaire que la loi le demande. Ils sont pris sur le fondement de l'article 37 de la Constitution de 1958, qui attribue une compétence générale au Règlement alors que la loi jouit pour sa part d'une compétence d'attribution. C'est à dire qu'il appartient à la loi de définir l'autorité qui sera en droit d'édicter ces Règlements. Il est donc possible sur ce fondement pour le gouvernement de prendre des actes qui ne nécessitent pas une loi mais qui doivent néanmoins respecter la Constitution.

Cette pratique des Règlements autonomes, si elle était encouragée par les constituants de 1958, tend aujourd'hui à être de moins en moins utilisée. Il apparaît souvent plus opportun politiquement de donner une base plus solide à une disposition de nature Règlementaire en l'intégrant dans un texte législatif.

1.9.2 La place des Autorisations uniques dans la hiérarchie des normes

La hiérarchie des normes représente une vision synthétique du droit mise au point par le philosophe du Droit, Hans Kelsen. Il s'agit d'une vision hiérarchique des normes juridiques.

Selon cette pyramide, les Règlements et donc les Autorisations uniques se placent au dessus et prévalent sur les actes administratifs de type arrêtés ou circulaires. En revanche, la constitution et la loi prévalent sur ces Autorisations uniques.

Ce qui signifie que les Autorisations uniques ne peuvent contenir des dispositions contraires à ces textes sous peine d'être remis en cause devant le juge compétent. Comme tout acte émanant de la CNIL, les Autorisations uniques peuvent faire l'objet d'un recours devant le Conseil d'Etat.

D'une manière plus surprenante si l'on s'en tient à cette hiérarchie, les Règlements se placent également sous l'autorité les principes généraux du Droit. Les principes généraux du droit ³² étant des règles de portée générale qui répondent à trois critères :

32 On peut citer pour l'exemple quelques principes généraux du Droit reconnus par le Conseil d'Etat :

- la possibilité de former un recours contentieux contre les actes de l'administration,

- ils s'appliquent même en l'absence de texte, - ils sont dégagés à partir de la jurisprudence,

- ils ne sont pas créés de toutes pièces mais révélés par le juge à partir de l'état du droit et de la société à un instant donné.

On peut donc imaginer que le contenu des Autorisations uniques puisse être contesté devant le juge administratif dès lors qu'une entreprise pourrait faire valoir que l'une d'elle s'inscrit à l'encontre de ces principes généraux du droit.

Cette possibilité de pouvoir être contestée devant le juge constitue d'ailleurs une autre différence majeure avec les normes d'application volontaires.

1.10 Quel est le champ d'application des Autorisations uniques ? Le champ d'application des Autorisations uniques est circonscrit soit :

- A une technologie dans un contexte. C'est le cas de la biométrie (AU-007, AU-008, AU-009, AU-019) dans le cadre du contrôle d'accès dans les écoles ou les entreprises.

- A une profession ou un groupement professionnel. C'est le cas de l'AU-006 pour les notaires, de l'AU-005 pour les établissements de crédit.

- A une entreprise ou un groupe d'entreprises. L'AU-022 est ainsi uniquement destinée au groupe Caisse d'épargne. L'AU-023 au Crédit Agricole.

- A une collectivité ou une administration comme c'est le cas de l'AU-001 concernant la gestion de l'urbanisme ou l'AU-010 sur le recouvrement des contraventions au Code de la route.

On peut s'interroger sur la question de savoir si les Autorisations uniques sont simplement contraignantes pour les entreprises qui déclarent s'y conformer ou si elles sont également contraignantes pour toutes celles dont les traitements entrent dans leur champ d'application.

Seules deux alternatives sont possibles pour une entreprise souhaitant mettre en oeuvre un traitement dont les données relèvent de l'article 25. Elle doit demander une autorisation préalable ou se conformer à une Autorisation unique. Dans le cadre de la procédure d'autorisation préalable, la CNIL procède à une analyse de conformité. En outre, l'entreprise ne s'est résolue à demander une autorisation préalable que parce que son traitement n'entrait pas dans le cadre défini par une Autorisation unique.

Ces raisons font que la question n'a donc pas lieu d'être. Cela signifierait sinon que la CNIL aurait autorisé un traitement dont les caractéristiques s'opposeraient à l'une des règles qu'elle a édictée dans une Autorisation unique. Donc, que ce traitement n'aurait finalement pas dû être autorisé puisqu'il contrevenait à la doctrine de la CNIL.

Une autre question consiste à déterminer quel degré de conformité la CNIL exige des entreprises. En d'autres termes, La possibilité pour une entreprise de se déclarer conforme à une Autorisation unique oblige-t-elle celle-ci à être conforme en tous points aux dispositions contenues dans cette Autorisation ?

Bien que nous n'ayons pas trouvé de dispositions particulières dans la loi ou dans la doctrine à ce sujet, on peut penser qu'il s'agit d'une conformité stricte au risque sinon de dérives incontrôlables. Cela pose néanmoins le problème de savoir comment apprécier la conformité aux dispositions qui peuvent être sujettes à interprétations.

Peut-on s'appuyer sur la notion de « bonne foi » dès lors qu'une mauvaise interprétation a été faite sur un point délicat mais qu'une mesure a néanmoins été prise en fonction de cette fausse interprétation ? On peut le penser. Il s'agit là d'une interprétation qui n'engage évidemment que l'auteur.

1.11 Existe t-il des sanctions spécifiques aux Autorisations uniques ?

L'Article 226-16-1-A du code pénal³³ précise que « lorsqu'il a été procédé ou fait procéder à un traitement de données à caractère personnel dans les conditions prévues par le I ou le II de l'article 24 de la loi n° 78-17 du 6 janvier 1978 précitée, le fait de ne pas respecter, y compris par négligence, les normes simplifiées ou d'exonération établies à cet effet par la Commission nationale de l'informatique et des libertés est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. »

Bien que cet article s'adresse plus spécifiquement aux « normes simplifiées », il nous semble que les Autorisations uniques pourraient être considérées comme les «normes d'éxonération» évoqué par l'article 226-16-1 et donc entrer dans son champ d'application.

Dans la pratique, la CNIL nous a confirmé ne pas effectuer de contrôles spécifiques dans ce domaine et ne tient pas de statistiques sur la non conformité par rapport aux Autorisations uniques.

Pourtant, l'exemple médiatisé en 2009 de la société exploitante du transport public Rennais indique que les cas de non conformité existent³⁴.

1.12 Les limites des Autorisations uniques

1.12.1 Des déclarations de conformité sans contrôle

Le formalisme des déclarations de conformité volontaire aux Autorisations uniques est assez sommaire et vient d'être encore simplifié avec la possibilité de pouvoir être effectuée à partir d'un simple formulaire disponible sur internet. Cette déclaration repose entièrement sur la bonne foi du déclarant et aucun contrôle de ces déclarations n'est effectué par la CNIL durant ou après la déclaration de conformité.

On peut s'interroger sur ce qui se passerait si quelqu'un de mal intentionné déclarait une entreprise conforme alors qu'elle ne l'est pas et la dénonçait aussitôt à la CNIL dans l'espoir de déclencher un contrôle pour faire interrompre un traitement qui par exemple le concurrence.

1.12.2 Une procédure uniquement déclarative

L'examen des demandes d'autorisation préalable pour les traitements relevant de l'article 25.1 se fonde également sur du déclaratif. De ce fait, l'inexistence de contrôle sur les déclarations de conformité aux Autorisations uniques n'a donc pas fondamentalement entamé le pouvoir de contrôle limité de la CNIL dans le cadre de ces deux procédures.

33 Article 226-16-1-A du code pénal - version en vigueur depuis le 7 août 2004 Créé par Loi n°2004-801 du 6 août 2004 - art. 14 () JORF 7 août 2004

idSectionTA=LEGISCTA000006165313&cidTexte=LEGITEXT000006070719&dateTexte=20090326

34 Délibération n°2009-002 du 20 janvier 2009 de la formation restreinte à prononcé un avertissement à l'encontre de la société KEOLIS RENNES

La délibération n° 2008-161 du 3 juin 2008 portant Autorisation unique (AU n°015) de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion des applications billettiques par les exploitants et les autorités organisatrices de transports public, s'inspirant, ainsi, de l'article premier de la loi du 6 janvier 1978 précité, prévoit, dans son préambule, que « la possibilité de circuler de façon anonyme doit, dans tous les cas, être préservée : chaque responsable de traitement qui met à disposition des usagers des titres nominatifs de transport doit également prévoir de leur laisser le choix d'utiliser des titres de transport anonymes ». La société a souscrit un engagement de conformité à l'Autorisation unique n° 15 le 7 novembre 2008.

«Le rapporteur a constaté qu'il existe de véritables obstacles à souscrire un passe KORRIGO anonyme. En effet, l'abonnement avec ce passe n'offre que la possibilité de le charger à l'unité, ce qui est très contraignant et très coûteux pour un utilisateur régulier. En outre, à l'inverse du passe nominatif, le passe anonyme est payant et d'une valeur de cinq euros. Ainsi, le passe anonyme coûterait entre 2,5 et 4 fois plus cher que le passe nominatif, selon l'âge de l'utilisateur.»

En revanche, l'introduction de cette facilité a modifié l'étendue au moins théorique de ce contrôle. La procédure de déclaration de conformité volontaire dans le cadre de l'Autorisation unique laisse en effet au seul déclarant le soin d'apprécier la conformité de son traitement.

Dans le cadre de l'autorisation préalable, la CNIL est appelée à apprécier le degré de conformité du traitement à partir des déclarations faites par le demandeur. On peut imaginer que le demandeur aura, préalablement à l'introduction de sa demande, pris soin de faire en sorte que ses déclarations répondent aux exigences de la réglementation. Ce qui constitue selon nous déjà une certaine forme de contrôle.

Il existe de ce fait un double niveau de contrôle dans le cadre de la demande d'autorisation préalable (demandeur puis CNIL) qui est réduit à un seul (déclarant) dans le cadre de la déclaration volontaire de conformité à une Autorisation unique.

Le risque de refus d'autorisation qui pèse sur le demandeur dans le cadre de la procédure d'autorisation préalable et qui l'invite à s'assurer de sa conformité, au moins dans ces déclarations, avant d'introduire sa demande n'existe plus dans celui de la déclaration de conformité volontaire à une Autorisation unique.

On peut craindre que cette procédure d'auto-certification n'encourage certaines entreprises à se déclarer conforme alors qu'elles ne le sont en réalité que de manière fort approximative. Il n'existe malheureusement pas de statistiques disponibles sur ce type de manquement constaté lors des contrôles sur place de la CNIL.

On peut néanmoins évoquer à ce titre la récente dénonciation M. Thilo Weichert, Commissaire à la protection des données du Schleswig-Holstein concernant la procédure d'auto-certification des entreprises américaines au programme de « Safe Harbour »³⁵.

Les entreprises américaines qui le souhaitent peuvent se déclarer par elles-mêmes conformes à certain nombre de principes généraux, les « Safe Harbour principles », concernant la protection des données à caractère personnel.

Cette auto-certification validée sans vérification par le Federal Trade Commission (FTC) américaine permet aux entreprises américaines qui s'y soumettent d'être reconnues comme assurant un« niveau de protection adéquat » au sens de l'article 25 alinéa 1 de la Directive 95/46/CE ; reconnaissance indispensable pour être destinataire de flux de données à caractère personnel en provenance d'Europe.

Dix ans après la décision de la Commission européenne de reconnaitre les adhérents aux principes du Safe Harbor comme offrant un niveau de protection adéquat, cette auto certification serait, selon l'autorité de contrôle allemande, très mal respectée par les entreprises américaines adhérentes³⁶.

1.12.3 Une source d'insécurité juridique pour les entreprises

Cette procédure d'auto-certification à une Autorisation unique nous semble également porteuse d'insécurité juridique pour les entreprises que les utilisent.

La délivrance d'une autorisation préalable par la CNIL constitue pour l'entreprise un élément de sécurité juridique dans la mesure où elle donne l'assurance formelle à celle-ci que le traitement mis en oeuvre dans les conditions présentées lors de sa demande d'autorisation respecte bien la réglementation.

35 Le « Safe Harbour principles» est un programme d'auto-certification initié par la Federal Trade Commission américaine (FTC) afin de répondre aux exigences de l'Union Européenne en matière de niveau «protection adéquat» pour des flux de données personnelles transitant entre l'Europe et les Etats-Unis.

Une présentation du dispositif de «Safe Harbor» est disponible sur le site de la CNIL à cette adresse http://www.cnil.fr/fileadmin/documents/Vos responsabilites/Transferts/CNIL-transferts-SAFE HARBOR.pdf

C'est de surcroît l'autorité publique en charge d'édicter ces règles que le lui assure. L'entreprise peut donc croire que sa responsabilité ne sera pas engagée dès lors qu'elle se conforme aux conditions validées par la CNIL.

Cette validation formelle par l'autorité de contrôle n'existe pas dans le cadre de la déclaration de conformité volontaire aux Autorisations Uniques. Seule une application stricte des dispositions contenues dans l'Autorisation unique assure l'entreprise de sa conformité sans qu'aucun élément de preuve ne vienne l'assurer.

Un premier risque réside dans le fait que les dispositions contenues dans l'Autorisation Unique puissent être sujettes à interprétation. Nous en avons parlé plus haut. Un autre risque réside dans le fait qu'elles peuvent être mal appliquées car éventuellement mal comprises. L'entreprise ne peut alors compter que sur sa bonne foi pour prouver qu'elle ne l'a pas fait intentionnellement. Bonne foi qui n'est pas toujours facile à prouver.

Cette situation génère à notre sens une insécurité juridique qui pour des grands groupes dotées de nombreuses filiales peut constituer un incertitude inconfortable.

Il y a fort à parier que le jour ou le risque « informatique et libertés » deviendra plus pressant en termes de responsabilité juridique et financière, cette procédure de déclaration de conformité volontaire sera remise en cause sous sa forme actuelle ou alors « sécurisée » par une certification émanant d'un tiers.

Nous irions même jusqu'à conseiller aux entreprises qui souhaitent sécuriser ces procédures de faire une demande d'autorisation préalable plutôt qu'une déclaration de conformité. Il n'est pas sûr d'ailleurs que la CNIL la prenne ne considération et ne renvoie pas le responsable de traitement vers la procédure simplifiée si au cours de l'analyse de la demande elle constatait que le cas s'inscrit parfaitement dans le cadre d'une Autorisation unique.

On peut douter qu'il soit possible d'exiger de la part de la CNIL qu'elle délivre une Autorisation préalable dans le cas ou le traitement relève d'une Autorisation unique même si cela est justifié volontairement pour des raisons de sécurité juridique. En revanche, rien n'empêche de modifier quelque peu le traitement pour qu'il n'entre plus exactement dans le cadre défini par l'Autorisation unique.

2. Certifier la conformité à une réglementation : une pratique

Certifier la conformité à norme réglementaire pourrait sembler une incongruité. Le respect de la loi est un des fondements de l'Etat de droit. «Nul n'est censé ignoré la loi» comme nous le disions en introduction. Pourtant des exemples existent déjà en France et dans d'autres pays européens.

2.1 En France

2.1.1 L'état des lieux relatif à la conformité du logement aux normes de surface et d'habitabilité au terme du Décret 2005-69 du 31 janvier 2005 et l'annexe 4 de l'arrêté du 7 Mars 1978

Lorsque le logement qu'il souhaite acquérir est achevé depuis plus de 20 ans, le demandeur d'un prêt à taux zéro doit faire réaliser un état des lieux relatif à la conformité aux normes de surface et d'habitabilité précise l'article R318-1 du Code de la Construction et de l'Habitation.

L'article Art. R. 318-3. Alinéa 2 du Décret 2005-69 du 31 janvier 2005³⁷ précise qu' «un état des lieux relatif à la conformité du logement aux normes de surface et d'habitabilité doit être établi par un professionnel (É) l'octroi du prêt à taux 0% étant subordonné à sa réalisation ».

37 Décret n° 2005-69 du 31 janvier 2005 relatif aux avances remboursables sans intérêt pour l'acquisition ou la construction de logements en accession à la propriété et modifiant le code de la construction et de l'habitation

Cet état des lieux doit être établi par un « diagnostiqueur professionnel indépendant » de la transaction et titulaire d'une assurance professionnelle.

Vingt-six points de contrôle sont listés et étalonnés dans l'article annexe du Décret 2005-69 du 31 janvier 2005. Ces points de contrôle définis par le décret sont les suivants :

- Le gros oeuvre (mur, charpente, escalier, plancher, balcon) de l'immeuble est en bon état,

- Les pièces principales ont une surface et une hauteur sous plafond supérieures aux limites réglementaires (hauteur

- L'instalation du gaz est conforme aux textes (la présence du gaz n'étant pas obligatoire).

Seule une certification conforme obtenue de la part du « diagnostiqueur profesionnel indépendant » peut permettre au requérant d'obtenir son prêt bonifié.

2.2.2 La certification de la conformité des dispositifs de création de signature électronique selon le décret 2001-272 du 30/04/2001 relatif à la mise en place d'un dispositif sécurisé de création de signature électronique.

Une signature électronique pour être considérée comme juridiquement fiable doit répondre à un certain nombre d'exigences dont l'une est d'avoir été créée par un système sécurisé. Il existe deux types de signatures électroniques :

Pour que le dispositif de création soit reconnu comme sécurisé et la signature « fiable », il doit répondre aux exigences posées par l'art 3.1 du décret 2001-272 du 30 avril 2001³⁸ aux termes duquel le système technique doit garantir que la signature :

Le dispositif technique de création de cette signature électronique doit être certifié conforme à ces exigences selon une procédure d'attribution d'un certificat de conformité.

L'évaluation du dispositif est confiée à un centre d'évaluation agréé et le certificat de conformité aux exigences posées par l'art 3.1 du décret 2001-272 est délivré par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) sur délégation du 1er Ministre dont cette agence dépend directement. Nous verrons plus loin de quelle manière.

2.3 Au niveau international

La certification conforme par rapport à la législation concernant la protection des données à caractère personnel est déjà mise en oeuvre dans deux pays européens et en partie dans les adhérents de lÔAsian Pacific Economic Coopération (APEC)

2.3.1 L'ICPP du Schleswig-Holstein

La loi du 9 février 2000 relative à la protection des données à caractère personnel³⁹ crée dans sa partie IV l' « Independent Centre for Privacy Protection Schleswig-Holstein » (ICPP).

L'article 43 al 2 de la loi précise que L'ICPP est l'autorité de contrôle en matière de protection des données à caractère personnel du Schleswig-Holstein.

Celui-ci a la facculté entre autres « d'auditer et d'expertiser » les dispositifs de protection des données à caractère personnel des institutions publiques qui lui en font la demande.

l'ICPP propose sur cette base une procédure de certification des produits et des procédures au terme de laquelle elle délivre un label - le « Privacy Seal » - en cas de conformité aux principes de protection posés par la loi.

Seuls les produits et les procédures des institutions publiques sont éligibles à cette procédure de certification.

L'évaluation de la conformité est confiée à des organismes ou des experts accrédités auprès de l'ICPP. La certification est délivrée par l'ICPP après réception et approbation du rapport d'évaluation remis au candidat par l'évaluateur externe⁴⁰.

L'intérêt de cette procédure par rapport à notre sujet réside dans son existence même. Existence qui démontre qu'il est possible de mettre en place une procédure de certification de la conformité vis à vis de textes réglementaires dans le domaine de la protection des données à caractère personnel.

2.3.2 Le PFDPT Suisse

La loi fédérale Suisse de protection des données du 19 juin 1992 (LPD) prévoit elle aussi une « procédure de certification des systèmes et procédures traitant des données personnelles ».

L'article 11 de la loi précise qu'« afin d'améliorer la protection et la sécurité des données, les fournisseurs de logiciels et de traitement de données ainsi que les personnes privées ou les organes fédéraux qui traitent des données personneles peuvent soumettre leurs systèmes, leurs procédures et leur organisation à une évaluation effectuée par des organismes de certification agréés et indépendants »⁴¹. La législation Suisse envisage la possibilité de certifier la conformité des entreprises aux principes posés par la loi.sous la forme d'une démarche:

Le principe général de certification posé par la loi de 1992 a été précisé par l'Ordonnance du 28 septembre 2007⁴² sur les certifications en matière de protection des données.

42 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données dite OCPD http://www.admin.ch/ch/f/rs/c235 13.html

Cette ordonnance dispose dans son article 4 qu'il appartient au « préposé d'émettre des directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir. Il tient compte des normes internationale relatives à l'instalation, l'exploitation, la surveillance et l'amélioration de systèmes de gestion dont en particulier les normes ISO 9001 et ISO/CEI 27001 ».

Le Préposé à la protection des données et à la transparence (PFPDT), l'équivalent suisse de la CNIL, est chargé d'élaborer ou de préciser les règles qui serviront de référence aux évaluateurs dans le cadre du processus de certification. Ceci par le biais de directives qui s'apparentent à nos règlements dans le droit Suisse.

L'ordonnance du 28 septembre 2007 définit le référentiel sur lequel va s'appuyer la procédure de certification sur les neuf principes contenues dans la loi de 1992. C'est-à-dire :

Cette Ordonnance introduit, ce qui est plus original, des principes et des procédures issus des normes ISO 9001:2005 et 27001:2005 ⁴³relative à la sécurité des systèmes d'information qui sont précisés par la Directive du 16 juillet 2008.

La Directive du 16 juillet 2008⁴⁴ établit les exigences minimales attendues d'un système de gestion de la protection des données afin que celui-ci soit éligible pour la certification. Sont attendus à minima de la part de l'entreprise ou de l'institution candidate à la certification :

- Un plan organisé de revue des violations ou des incidents liés à la protection des données.

Ces exigences correspondent à la transposition dans le domaine de la protection des données à caractère personnel d'exigences édictées par la norme ISO 27001:2005 en matière de système de management de la sécurité des systèmes d'information (SMSI)⁴⁵.

L'évaluation et la certification sont confiées à des organismes tiers accrédités par le Préposé fédéral à la protection des données et à la transparence en vertu de la procédure générale d'accréditation suisse décrite dans l'Ordonnance du 17 juin 1996⁴⁶.

43 Qu'est-ce qu'une norme ISO ? C'est une norme publiée par l'International Standardization Organisation.(ISO). Ces normes sur lesquelles nous reviendrons en détail dans la partie 2 de ce document sont présentées selon la convention suivante :

ISO car cette institution est à l'origine de sa publication auquel s'ajoute éventuellement un organisme sectoriel associé tel que le CEI par exemple pour Comité Electrotechnique International si celui-ci est associé au projet dans la mesure où le sujet a trait à l'électrotechnique. Enfin, l'année de publication.

44 Directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir (Directives sur la certification de l'organisation et de la procédure)

Préposé fédéral à la protection des données et à la transparence - 16 juillet 2008

45 Protection des données personnelles : la mise en oeuvre de l'ISO 27001 par la Cnil Suisse, un exemple à suivre ?

46 Ordonnance sur le système suisse d'accréditation et la désignation de laboratoires d'essais et d'organismes d'évaluation de la conformité, d'enregistrement et d'homologation dite OAccD du 17 juin 1996

Une fois certifiée, l'entreprise peut introduire une demande de dispense de déclaration de ses fichiers de données à caractère personnel au titre de l'article 11 alinéa 5 de la loi du 19 juin 1992. Elle devra pour cela justifier d'un titre de certification et présenter son rapport d'évaluation aux services du Préposé.

- Elle constitue un nouvel exemple de certification de conformité à la loi et même plus précisément à un corpus réglementaire au premier rang duquel figure des Règlements (les directives) émanant directement de l'autorité de contrôle Suisse.

- Elle constitue également un exemple du rôle qu'une autorité de contrôle peut jouer dans la définition du référentiel à la base de la procédure de certification.

L'exemple suisse montre que non seulement la certification conforme à la réglementation est possible mais qu'elle peut s'appuyer sur des textes émanant d'une autorité administrative chargées de la protection des données à caractère personnel.

2.3.4 Le Privacy framework de l'APEC

Bien que l'on ne puisse pas à proprement parler de norme réglementaire dans ce cas précis, il nous a apparu intéressant d'aborder le «Privacy Framework» dont les 21 membres l'Asian Pacific Economic Cooperation (APEC ) se sont dotés en 2004 pour faciliter lle transfert de flux de données à caractères personnel dans et hors de cette zone de libre échange.

Le «Privacy Framework» de l'APEC propose neuf principes de protection des données à caractère personnel qui sont largement inspirés des Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de

données ⁴⁷; document fondateur publié en 1980 par l'Organisation de Coopération et de Développement Economique sur ce sujet (OCDE) .

Le 9^ème et dernier principe du «Privacy Framework propose de mettre en place un principe de «responsabilité» (accountablity) tel que nous l'avons déjà exposé plus haut.

Cela signifie, comme le souligne le point 26 du «Privacy Framework »⁴⁸, que les entreprises ou les institutions qui transfèrent des données à caractère personnel dans et hors de la zone doivent être à même de prouver qu'elles ont pris toutes les mesures nécessaires et notamment celles contenues dans le « Privacy Framework » afin de protéger ce type de données.

Pour que ce transfert soit conforme au « Privacy Framework », l'entreprise doit obtenir le consentement de la personne ou faire appel à un tiers accrédité « accredited accountability agent » afin que celui-ci certifie que le récepteur du flux traite ces données de manière conforme aux principes contenus dans le référentiel.

47 Le texte intégral des « Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel » est disponible en anglais à cette adresse :

«A personal information controller should be accountable for complying with measures that give effect to the principles stated above. When personal information is to be transferred to another person or organisation, whether domestically or internationally, the personal information controller should obtain the consent of the individual or exercise due diligence and take reasonable steps to ensure that the recipient person or organisation will protect the information consistently with these principles.

Le texte intégral du « Privacy Framework » de l'APEC est disponible à cette adresse :

Cette procédure peut être effectuée sous la forme d'un audit préalable (« due diligence » en droit anglo-saxon) sans qu'il soit réellement précisé dans quelles circonstances cet audit doit être spécifiquement diligenté.

Un certain nombre de critiques se sont élevées contre ce référentiel pour son imprécision ainsi que sur le peu de détails qu'il donne quant à la mise en oeuvre des principes qu'il défini et notamment celui de responsabilité.⁴⁹

Un projet complémentaire a d'ailleurs été initié par l'APEC en 2008, le « Privacy Pathfinder Projects Implementation »50 qui avait pour but de donner corps à ce principe et à en organiser l'exercice. Malgré quelque avancées, il peine encore aujourd'hui à produire des résultats concrets comme le souligne Nigel Waters qui en est l'un des animateurs⁵¹.

L'introduction de ce principe de responsabilité a tout de même permis de faire avancer la question de la protection des données à caractère personnel dans une zone marquée jusqu'alors par une très grande hétérogénéité des législations dans ce domaine.

Il constitue pour nous un exemple qu'il est même possible de certifier la confomité à une norme supranationale.

2.3.5 La loi du 12 mai 2009 en France

La loi du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures⁵² offre à la CNIL la possibilité de délivrer un label a des produits et des procédures qu'elle juge conforme à la loi 78-17 du 6 janvier 1978 modifiée.

L'article 11-3 c du Chapitre III de la loi 78-17 modifiée par l'article loi n°2009-526 du 12 mai 2009 stipule en effet qu' « A la demande d'organisations professionneles ou d'institutions regroupant principalement des Responsables de traitements : (É) Ele (la CNIL) délivre un label à des produits ou des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'ele les a reconnus conformes aux dispositions de la présente loi : dans le cadre de l'instruction préalable à la délivrance du label par la commission, le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ».

Cette faculté apparait plus restrictive que dans la procédure suisse et allemande. Elle ne peut être demandée que par des organisations professionnelles ou des "institutions regroupant principalement des Responsables de traitements". Dernière notion dont les contours restent à définir.

49 Critical elements of the Cross Border Privacy Rules system yet to be resolved - some APEC economies progress privacy

Asia-Pacific developments in information privacy law and its interpretation Graham leaf - Faculty of Law, University of New South Wales

50 APEC Data Privacy Pathfinder Projects Implementation Work Plan 17th Electronic Commerce Steering Group Meeting

52 Article 105 de loi n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures JORF n°0110 du 13 mai 2009 page 7920

Malgré tout, cette disposition confirme que la certification conforme à une réglementation est une procédure aujourd'hui intégrée dans le corpus légisaltif qui promeut la protection des données à caractère personnel. Ce qui ouvre la voie à la possibilité de certifier la conformité aux Autorisations uniques .

Nous pouvons établir à l'issue de cette première partie que la certification conforme à une réglementation est une pratique courante en France et dans certains autres pays européens et extra européens. La Suisse, les Pays de l'APEC et le Land du Schleswig-Holstein se sont engagés dans cette voie dans le domaine de la protection des données à caractère personnel. En France, le Parlement vient de donner la faculté à la CNIL de certifier les produits et procédures qu'ele jugera conforme aux dispositions de la loi « Informatique et Libertés ». Certifier la conformité aux Autorisations uniques devient donc possible. Reste à savoir si les textes des Autorisations uniques se prêtent à l'évaluation.

PARTIE II: LES AUTORISATIONS UNIQUES SONT-ELLES DES REFERENTIELS AUDITABLES ?

L'objectif de cette partie consiste à démontrer que les Autorisations uniques sont des référentiels « auditables » au même titre que n'importe quel autre référentiel normatif.

1. Qu'est ce qu'un référentiel ?

1.1 Définition d'un référentiel normatif

Sigle

Phase

Le terme de référentiel est aujourd'hui employé dans de nombreux domaines. Nous souhaitons uniquement l'aborder sous l'angle du référentiel normatif. C'est à dire d'un document qui fixe des règles à respecter dans le cadre d'une procédure de certification.

L'article L.115-27 du code de la consommation modifié par l'art. 1er al.2 de la loi n° 94-442 du 3 juin 1994⁵³ concernant la certification des produits industriels et des services définit un référentiel comme « un document technique définissant les caractéristiques que doit présenter un produit ou un service et les modalités du contrôle de la conformité du produit ou du service à ces caractéristiques ».

Le British Standard Institution (BSI) définit pour sa part un référentiel normatif comme un « document de spécification technique ou non technique précisant les critères à utiliser en tant que référence, guide ou définition» .

Normes qui définissent les exigences que doivent satisfaire des produits, des matériaux, des systèmes ou des services ainsi que les procédures pour contrôler la conformité à ces exigences.

Normes qui décrivent la manière dont une activité doit être mise en oeuvre, le degré de précisions qui doit être atteint dans le résultat et si besoin les équipements qui doivent être utilisés.

53 Loi n° 94-442 du 3 juin 1994 modifiant le code de la consommation en ce qui concerne la certification des produits industriels et des services et la commercialisation de certains produits

Normes qui listent les définitions des termes utilisés dans un secteur particulier.

Il s'agit de normes qui compilent des informations théoriques et pratiques recommandées et acceptées par les praticiens d'un secteur.

Ce sont des normes qui classifient les désignations et les descriptions des différents états d'un produit.»

1.2 Quelle différence entre une norme et un standard ?

Une norme est en général un référentiel normatif publié par un organisme de normalisation reconnu comme tel.

Du point de vue sémantique, le terme de « standard » constitue la traduction anglaise du terme « norme » français et du terme « norm » allemand. On parle de « standardization » en anglais là ou on utilise le terme de « normalisation » en français.

Un standard peut également être un référentiel publié par une entité privée autre qu'un organisme de normalisation. C'est par exemple le cas de la norme SA 8000 sur la responsabilité sociale d'entreprise (RSE) publiée par une association de défense des droits de l'homme américaine, le Social Accountability International (SAI). Nous y reviendrons plus en détail un peu plus loin.

On parle également de standard à partir du moment où le référentiel bénéficie d'une large diffusion auprès des industriels. Un standard peut être ouvert ou bien fermé. Comme le précise la loi n¹/⁴ 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique,⁵⁵ « On entend par standard ouvert tout protocole (..) dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en oeuvre ».

On peut citer l'exemple le standard ouvert PostScript publié par la société américaine Adobe Inc., ou ceux publiés par des organismes privés à but non lucratifs tels que ceux du W3C en charge des standards de publication sur Internet (html, xml, etc).

Le format .pdf ou .swf (Flash) constitue à l'inverse un exemple de standard fermé provenant de la même société américaine Adobe Inc. Standard de fait qui a encore récemment fait l'objet d'un échange peu amène entre la société Adobe et Apple qui entend contester sa suprématie⁵⁶.

Un référentiel normatif constitue donc une série de prescriptions émanant d'une source autorisée (publique ou privée) ayant pour objectif de servir de référence à un processus d'organisation ou de production.

Le respect de ce référentiel peut être obligatoire car imposé par la loi ou bien facultatif comme c'est majoritairement le cas pour les normes industrielles.

Lorsque le référentiel normatif émane d'une autorité publique, on parle alors d'une réglementation qui peut prendre en France la forme d'une loi, d'un règlement encore d'un arrêté.

Une Autorisation unique constitue un référentiel normatif émanant d'une autorité publique. Elle constitue un ensemble de spécifications techniques et organisationnelles auxquelles les entreprises sont invitées à se conformer si elles souhaitent éviter d'avoir à faire une demande d'autorisation préalable à la mise en oeuvre de leur traitement.

2. Comment s'élabore un référentiel ?

Il nous a semblé intéressant d'aborder cette question à travers quatre démarches différentes:

- Le processus d'élaboration par voie de consensus de l'International Standardization Organisation (ISO)

- Le processus d'élaboration par voie de délégation législative dans le cadre de la «Nouvelle Approche» mise en place par le Conseil européen à partir de 1985.

- Le processus d'élaboration par voie législative dans le cadre des Directives élaborées par le Préposé à la protection des données à caractère personnel suisse.

- Le processus d'élaboration par voie de délégation réglementaire à travers l'exemple du Décret n°2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique en France

2.1 L'exemple de L'International Standardization Organisation (ISO)

Créé en 1926 de la fédération de différentes institutions de normalisation nationale, l' International Federation of the National Standardizing Associations (ISA) fut le premier à normaliser au niveau mondial les processus d'ingénierie mécaniques. L'ISA fut dissoute au cours de la seconde guerre mondiale. L'International Standardization Organisation (ISO) a pris sa suite en 1946 à l'initiative de 25 pays. Il compte aujourd'hui 163 pays membres⁵⁷.

L'ISO intervient sur tous les types de sujets qu'ils soient techniques, organisationnels, social avec la publication le 1er Novembre 2010 de la norme ISO 26000 sur la responsabilité sociale des entreprises ou encore sur les sujets environnementaux avec la famille des normes ISO 14000. L'ISO est surtout connu du grand public à travers le succès des normes ISO 9000 et 9001 élaborées à la fin des années 80.

Le rôle de l'ISO consiste à élaborer, éditer et mettre à jour un catalogue de normes mais en aucun cas de vérifier la conformité de ceux, entreprises ou institutions, qui déclarent s'y conformer.

l'ISO collabore avec deux partenaires internationaux sectoriels: la CEI (Commission électrotechnique internationale) et l'UIT (Union internationale des télécommunications) sur les sujets qui relèvent de leur compétence. Ces trois organisations sont toutes trois basées à Genève. Elles forment la Coopération Mondiale de la Normalisation (WSC).

L'ISO fonctionne selon un mode participatif. Chaque pays a la possibilité de désigner l'organisme national le plus représentatif de la normalisation dans son pays comme membre de l'ISO. Un seul organisme par pays est accepté en qualité de membre de l'ISO. En France, il s'agit de l'Association Française de Normalisation (AFNOR) qui tient ce rôle de comité membre (NB) permanent auprès de l'ISO.

Une Assemblée Générale des membres se tient chaque année. Elle réunit les principaux dirigeants de l'ISO ainsi que les délégués nommés par les comités membres (NB). Cette Assemblée Générale traite des orientations stratégiques de l'organisation et du bilan des actions menées au cours de l'année écoulée.

Les fonctions de gouvernance de l'ISO sont assurées par le Conseil. Celui-ci se réunit deux fois par an et ses membres sont renouvelés par rotation de manière à assurer la représentativité de tous les membres de l'ISO. Tous les comités membres sont éligibles au Conseil.

Différents comités sont chargés de l'élaboration des orientations politiques. Ils dépendent du Conseil. Ces comités qui fournissent une assistance stratégique pour l'élaboration du travail des normes sur les aspects intersectoriels sont au nombre de trois:

- le CASCO qui se charge plus particulièrement des questions liées à l'évaluation de la conformité - le COPOLCO, de la politique en matière de consommation,

L'organisation administrative de l'ISO relève du Secrétariat Général qui participe à la coordination, à l'organisation ainsi qu'à la commercialisation des normes. Parmi les personnalités dirigeantes figurent le Président, le Vice-président en charge des questions de politique, le Vice-président en charge de la gestion technique, le Trésorier et le Secrétaire Général. Tous sont élus par le conseil.

L'élaboration des normes ISO est du ressort des groupes techniques qui reçoivent des contributions des comités membres et d'organisations de liaison ayant des connexions régionales ou internationales. Les travaux techniques sont gérés par le Bureau de gestion technique (TMB).

Ce dernier est responsable de la création des différents comités techniques (TC), de la nomination des présidents de comités techniques et de la surveillance de l'avancement des travaux techniques. Il est également responsable des Directives qui sont les règles régissant l'élaboration des Normes internationales.

Les comités techniques (TC), qui sont environ 200 actifs actuellement à l'ISO, sont créés par le bureau de gestion technique (TMB) pour servir des industries spécifiques ou traiter de sujets génériques en vue d'élaborer des normes internationales.

Un comité technique peut à son tour créer un ou plusieurs sous-comités (SC) qui se consacreront à une ou plusieurs partie du projet. Il est ensuite possible de créer d'autres sous-groupes sous la forme de groupes de travail (WG) chargés de tâches spécifiques dans le cadre du programme général.

L'élaboration d'une norme à l'ISO suit différents stades. Stades dont l'appellation ainsi que le passage de l'une à l'autre sont normalisés au sein de l'ISO⁵⁸.

Il s'agit à ce stade préliminaire de s'assurer que le projet répond bien à un besoin. Le sujet est proposé sous la forme d'un «nouvelle question» (NP) aux membres du comité (TC) ou du sous-comité technique (SC) concernés. Ce nouveau projet est considéré comme accepté lorsque la majorité des membres du comité (TC) ou du sous-comité technique (SC) vote en sa faveur et qu'au moins cinq membres s'engagent à suivre le projet. Un chef de projet est désigné à ce moment.

Un avant-projet est alors préparé par le groupe de travail (WG) mis en place par le comité (TC) le sous-comité technique (SC) concerné. Plusieurs avant-projets peuvent être examinés avant que le groupe de travail parvienne à un consensus sur son contenu. A ce stade, le projet est transmis au comité (TC) responsable du groupe de travail (WG) et passe au stade de projet de comité.

Le projet de norme est distribué aux différents comités pour examiner et si besoin amendement afin d»atteindre un degré de consensus suffisant pour être présenté en tant que projet de norme internationale (DIS).

Le projet de norme (DIS) est alors diffusé auprès de tous les comités membres de l'ISO pour vote et observations dans un délai de cinq mois. Il est approuvé en tant que projet final de Norme internationale (FDIS) si une majorité des deux tiers des membres du TC/SC se prononce en sa faveur et que pas plus d'un quart de l'ensemble des voix exprimées ne lui est défavorable. S'il n'est pas approuvé, le texte retourne au stade précedent pour être révisé.

Le projet final de norme internationale (FDIS) est distribué à tous les comités membres de l'ISO par le Secrétariat central de l'ISO pour vote final par oui ou non dans un délai de deux mois. Aucune observation technique ne peut plus être intégréé au document à ce niveau. Le texte est approuvé à la majorité des deux tiers des membres du TC/SC dans la mesure une fois encore que pas plus d'un quart des voix exprimées ne lui est défavorable. En cas de vote défavorable, le texte est renvoyé au TC/SC d'origine pour étude complémentaire.

Lorsque le projet final de norme est approuvé, le texte définitif est envoyé au Secrétariat central de l'ISO qui publie la norme. Ce qui vient d'être fait pour la norme ISO 2006 le 1^er novembre 2010⁵⁹

Stade 7 : Examen périodique: confirmation, révision ou annulation de la norme

58 L'organisation du travail d'élaboration des normes de l'ISO est présenté de manière didactique dans « l'ISO en pratique » p.9 et suivantes accessible à cette adresse : " http://www.iso.org/iso/fr/my iso job.pdf

Les normes font l'objet d'un réexamen trois ans après leur publication et ensuite tous les cinq ans après le premier examen. Elles sont revues par tous les comités membres de l'ISO. La majorité des membres du TC/SC décident à l'issue d'un vote si une norme internationale doit être confirmée, révisée ou annulée⁶⁰.

La démarche participative et consensuelle de l'ISO présente de nombreux avantages mais aussi quelques

- la recherche de consensus qui conduit leur élaboration est en théorie la garantie de l'acceptation des normes ISO.

- la démarche participative offre également la possibilité de balayer de nombreux sujets et d'y apporter des points de vue différents qui enrichissent incontestablement la profondeur de la réflexion.

- cette démarche est en revanche relativement lente. Le temps moyen de publication est aujourd'hui de 2,8 ans.

- de nombreux projets de normes ne débouchent sur aucun résultat. Le « taux de déperdition » du fait de cette démarche collaborative s'avère relativement important. L'exemple des tentatives de normalisation dans le domaine de la protection des données est cet égard exemplaire.

Une première tentative a été initiée entre 1994 et 1999 afin de transposer au niveau international les principes établis par le Canada. Les travaux pour établir un «code de protection de la vie privée » ont étéì entamés dès 1993 par un comité technique de l'Association de Normalisation du Canada (CSA). Le « Code type » comme les canadiens appelle une norme a été adopté en septembre 1995 et publié par le Conseil canadien des normes (CCN) en mars 1996.

Comme le rappelle Colin J. Bennett et Robin Bayley⁶¹ « la mise en oeuvre du Code type n'a jamais été réalisée dans sa totalité puisqu'en 1999 le gouvernement du Canada a décidé d'élaborer une loi sur la protection de la vie privée s'appliquant au secteur privé. La mise en application graduele de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) a débuté en 2001»

Au même moment, certains acteurs notamment européens ont émis le souhait que la norme nationale canadienne soit transformée en norme internationale. Ceci afin de faciliter les échanges de flux de données transfrontières et donner un cadre de «protection adéquat» pour reprendre les termes de l'article 25 alinéa 1 de la Directive 95/46/CE aux pays n'en disposant pas encore.

En mai 1994, le Comité pour la politique en matière de consommation (COPOLCO) fut donc chargé de mettre en place un groupe de travail afin de déterminer si la norme de la CSA pouvait servir de base à une norme internationale.

Deux ans plus tard, en avril 1996, ce groupe de travail recommanda au COPOLCO de l'ISO de préparer une norme internationale. Recommandation qui fut approuvée par le Conseil général de l'ISO en septembre 1996.

Cependant, les représentants de l'American National Standards Institute (ANSI) ont très tôt manifesté leurs réserves vis-à-vis de cette initiative lui préférant une démarche sectorielle plutot qu'une approche globale à leur sens voué l'échec du fait des différences fondamentales existant entre chaque continent. Le comité consultatif spécial de l'ISO fut donc dissous en juin 1999 et le projet abandonné par l'ISO fut repris par le Comité Européen de Normalisation (CEN).

C'est dans ce cadre que l' «Initiative for Privacy Standardization in Europe» (IPSE) a été initié en 2002 par le CEN dans le but comme il l'indique lui-même de «définir un ensemble de pratiques exemplaires volontaires et communes en Europe en matière de protection des données; (d') établir un ensemble de clauses contractueles génériques qui tiennent compte des exigences de l'article 17 de la Directive de l'UE; dresser un inventaire des pratiques de vérification de la protection des données; effectuer une enquête sur les programmes de sceaux comme base d'une meileure normalisation; mettre au point une approche cohérente pour l'évaluation des incidences sur les avancées

60 La procédure d'élaboration aux différents stades est détaillé dans les Directives ISO/CEI, Partie 1: Procédures pour les travaux techniques disponible à cette adresse :

61 « Dire ce que l'on fait et faire ce que l'on dit » : Arguments et observations en faveur d'une norme internationale de protection des renseignements personnels Par: Colin J. Bennett et Robin Bayley p.7

technologiques; et compiler et produire des documents de formation et de directives, sur des sujets ciblés, portant sur les enjeux relatifs à la normalisation en matière de protection de la vie privée.»⁶²

Constatant par ailleurs qu'« il n'y avait pas de demande urgente de la part de l'industrie, en Europe, pour une norme de gestion en matière de protection de la vie privée », les travaux du CEN ont pris la forme d'une série d'ateliers⁶³

Ces ateliers ont débouché sur une série de rapports entre 2005 et 2010. Rapports qui ont étaient publiés sous la forme de CEN Workshop Agreements (CWA) qui se différencient des normes européennes (EN) par le fait que leur élaboration est ouverte à toute personnes, institution ou entreprise intéressée qu'elles soient ou non membre de l'Union européenne 64. Ont été à ce jour publiées les normes suivantes:

Nom

Thème

Analysis of Privacy Protection Technologies, Privacy-Enhancing Technologies (PET), Privacy Management Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the need for standardization

Personal Data Protection Audit Framework (EU Directive EC 95/46) Part II: Checklists, questionnaires and templates for users of the framework - The protection of Personal Data in the EU

Standard form contract to assist compliance with obligations imposed by article 17 of the Data Protection Directive 95/46/EC (and implementation guide

Personal Data Protection Audit Framework (EU Directive EC 95/46) Part I: Baseline Framework The protection of Personal Data in the EU

Analyse des meilleures pratiques européennes en matière d'audit de conformité aux principes de la Directive 95/46 CE.

Analyse des technologies disponibles de protection des données à caractère personnel (PET)

Modèle de contrat de sous-traitance qui prend en compte compte les obligations posées par l'article 17 de la Directive 95/46/CE en matière de sécurité des systèmes d'information gérant des données personnelles.

Guide d'audit de conformité par rapport aux dispositions de la Directive 95/46 CE.

64 Guidance - Characteristics of the CEN Workshop Agreement and CEN Workshop guidelines

Synthèse des bonnes pratiques en matière de protection des données à caractère personnel concernant la sécurité, le transfert, la détention et le droit d'accès.

Guide de gestion de projet pour la prise en compte de la dimension protection des données à caractère personnel dans le processus d'élaboration de systèmes de traitement de l'information.

Guide d'auto-évaluation de la conformité par rapport aux dispositions de la Directive 95/46 CE

ISO/CEI 24745 Information technology - Security techniques - Biometric information protection

personnelles du fait de la technologie envisagée Elle s'intéresse à l'aspect sécurisation de ces données en proposant un modèle de référence.

Parallèlement à cette initiative du CEN qui ne sera d'ailleurs pas reconduite en 2011 faute de financement (l'industrie n'a décidemment aucun besoin dans ce domaine), un second projet de normalisation a été initiée à l'ISO depuis 2006.

L'idée directrice qui sous-tend cette nouvelle tentative consiste à transposer le succès de la série ISO 27000 au niveau de la protection des données à caractère personnel. L'intérêt et le succès de la série ISO 27000 tenant en grande partie au caractère complet et «intégré» du référentiel normatif. Nous y reviendrons un peu plus tard.

Une nouvelle série de normes a été initiée dans le cadre du groupe déjà en charge de la rédaction des normes 27000.

Un nouveau groupe de travail le Working Group 5 (WG 5) du Sous-Comité 27 du Comité Technique Commun 1 (JTC 1) commun à l'ISO et au CEI connu dans le « jargon » de la normalisation sous l'appellation ISO/CEI-JTC 1/S7/WG5 en a aujourd'hui la charge. Le WG5 a en effet pour mandat d'élaborer et de «mettre à jour des normes et des lignes directrices traitants des aspects liés à la sécurité et à la gestion de l'identité, la biométrie et la protection des données à caractère personnel». Au moment ou nous écrivons ces lignes, fin octobre 2010, les normes en cours d'élaboration et leur niveau d'avancement sont les suivants :

Nom

Sujet

Stade

Commentaires

ISO/CEI 24760 Information technology - Security techniques - A framework for identity management

dans l'optique de fournir «un cadre de gestion fiable au niveau de la sécurité des identités « en ligne », à l'aide des définitions, des concepts et des modèles appropriés. Il procure une description des éléments de base de la gestion de l'identité et de leur cycle de vie au moment où celes-ci sont créées, modifiées, mises hors service et archivée».

Cette norme est élaborée dans l'optique de jeter les bases des futures normes ISO en matière d'identité numérique.

ISO/CEI 24761 Information technology - Security techniques - Authentication context for biometrics

personnelles de la même manière que la norme ISO/CEI CD 24745 du fait de la technologie envisagée comme moyen d'autenthification

d'établir un rapport entre, d'une part, les exigences relatives à la protection de la vie privée et, d'autre part, les normes et les lignes directrices existantes en matière de sécurité, et plus particulièrement celes qui font partie des séries ISO 27000.

De prime abord, la norme ISO 29100 peut être assimilée à une norme de protection de la vie privée d'ordre plus général, de portée similaire et dont la mise en application est semblable à celes étudiées vers la fin des années 1990.

Mais il est aussi évident que la principale raison justifiant l'élaboration d'une tele norme est la nécessité d'atténuer les risques liés à l'utilisation d'Internet en vue de protéger la vie privée. La norme proposée va de pair avec la norme ISO/CEI 29101 qui vise à uniformiser les pratiques exemplaires pour une mise en oeuvre technique cohérente des exigences liées à la protection de la vie privée et des renseignements personnels, en posant pour hypothèse que le cadre de protection de la vie privée devrait être établi avant l'architecture. »

ISO/CEI 29176 Information technology. Automatic identification and data capture techniques. Mobile item identification and management. Consumer privacy-protection protocol for Mobile RFID services

un cadre générique d'évaluation de la protection des données à caractère personnel semble «moribonde».

Tous ces projets n'aboutiront pas. Ceux qui sont les plus avancées et devraient déboucher sur une publication dans le courant de l'année 2011 ou 2012 sont les suivants :

- ISO/CEI 24745 : Information technology - Security techniques - Biometric information protection - ISO/CEI 24760 : Information technology -Security techniques - A framework for identity management - ISO/CEI 24761- Information technology - Security techniques - Authentication context for biometrics - ISO/CEI 29100 : Privacy framework

Il n'y a aucune certitude que les autres projets débouchent sur une publication, du moins sous leur forme actuelle. Un consensus semble être difficile à établir sur les contours de la norme ISO/CEI 29101 qui a pour vocation de définir une architecture standard privilégiant la protection des données à caractère personnel ainsi que sur la norme ISO/CEI 29 190 qui entend normaliser l'évaluation du degré de protection assurée par ces architectures.

On touche ici à une des limites de l'approche participative de l'ISO qui réside dans le fait que de nombreux et parfois trop nombreux sujets sont proposés au sein des comités techniques. Sujets dont la pertinence n'est d'ailleurs pas toujours avérée.

Profusion oblige, le travail d'analyse et de prise de position (vote et commentaires) s'avère assez «chronophage». On compte ainsi dans le groupe miroir français de l'ISO/CEI JTC 1/SC 27 consacré à la sécurité des systèmes d'information (GCSSI) de l'AFNOR auquel nous participons et dans lequel sont notamment traités les projets liés à la protection de données personnelles pas moins d'une vingtaine de projets de normes en cours d'étude et des nouveaux projets qui apparaissent sans arrêt.

Un chef de projet est certes en charge de l'animation et de la coordination des travaux. Cependant, les membres du comité qui sont souvent des représentants de grandes et petites entreprises avec une activité professionnelle par ailleurs doivent prendre sur leur temps de travail mais aussi sur leur temps libre pour participer de manière efficiente à ce que l'on pourrait qualifier «d'avalanche» normative. Il nous semble qu'un premier tri sous la forme d'un comité de lecture devrait être mis en place pour disqualifier certains projets qui ne relèvent pas des priorités préalablement définies ou d'un degré de maturité suffisant. Proposition que n'est pas sans poser de problèmes pratiques dans une structure on peut plus démocratique.

Enfin, cette approche consensuelle s'avère particulièrement bien adaptée à des sujets techniques pour lesquels il est possible d'établir un consensus sur la base de données objectives et mesurables. Elle s'avère en revanche plus délicate à mettre en oeuvre sur des sujets dans lesquels entrent en ligne de compte des considérations juridiques, culturelles ou même tout simplement sémantiques.

On peut ainsi prendre l'exemple du projet de norme ISO 29 100 actuellement à l'étude dans le cadre du comité ISO/CEI JTC 1/S7/WG5 dans lequel la notion anglo-saxonne de «privacy» a posé problème dans la mesure ou elle diluait la notion de protection des données à caractère personnel qui, en Europe et particulièrement en France, constituent une notion fondamentale et un sujet à part entière.

Il convient de noter comme nous l'a fait judicieusement remarquer M. Eric Gheur ⁶⁵ lors de son intervention dans le cadre du Mastère spécialisé « informatique et libertés » de l'ISEP que la tradition juridique anglo-saxonne diffère de la tradition latine et ceci pour des raisons historiques. La tradition anglo-saxonne est fondée sur une approche beaucoup plus pratique et jurisprudentielle du droit que le droit latin. Ceci tient en partie au fait que la «Common Law» à dû s'adapter à des conditions d'exercices très hétérogènes aux quatre coins de l'empire britannique, dans des régions dans lesquelles il n'y avait pas toujours de juristes qualifiés. Les règles ont donc dues se plier à ces conditions en adoptant des principes fondamentaux simples et en laissant une large place à la pratique du droit. Cette philosophie «pratique» imprègne encore aujourd'hui le droit anglo-saxon. Il s'agit là d'un antagonisme qui n`est pas toujours conciliable avec la tradition juridique latine qui est beaucoup plus formaliste.

2.2 L'exemple de la "nouvelle approche"

Le Comité Européen de Normalisation (CEN) dont le siège se situe à Bruxelles a été créé en 1961 dans le but d'harmoniser les normes élaborées en Europe. Le CEN est aujourd'hui composé des 27 membres de l'Union Européenne et des 3 membres de l'AELE (Islande, Norvège et Suisse). Les membres du CEN sont également membres de l'ISO.

Le CEN, de la même manière que l'ISO avec l'CEI et de l'UIT collabore, avec deux partenaires sectoriels :

- Le Comité Européen de Normalisation ELECctrotechnique (CENELEC) est composé des comités électrotechniques nationaux des 30 pays européens (UTE - Union Technique de l'Electricité pour la France). Il est chargé d'élaborer les normes dans ce domaine pour le compte du CEN.

- L'European Telecommunications Standards Institute (ETSI) dont le siège se situe à Sophia Antipolis qui est en charge de l'élaboration des normes en matière de télécommunications. Il regroupe plus de 600 membres entreprises et institutions venant de 55 pays européens. L'ETSI est notamment à l'origine de la norme DECT et de la norme GSM.

2.2.1 Le principe de "nouvelle approche"

Ce principe a été défini par la résolution du Conseil de l'Union européenne du 7 mai 1985 relatif à la «nouvelle approche en matière d'harmonisation technique et de normalisation»⁶⁶. Il crée une articulation originale entre la réglementation et la normalisation.

La réglementation européenne fixe, sous forme d'exigences essentielles et obligatoires, les objectifs à atteindre. Elle fixe des obligations de résultats. Des normes, dont l'élaboration est confiée aux organismes européens de normalisation (CEN, CENELEC et ETSI) sur mandat de la Commission européenne, décrivent les solutions permettant d'atteindre les objectifs obligatoires définis par la directive correspondante.

Ces normes sont dites « harmonisées » dans la mesure où elles sont « en harmonie » avec la réglementation européenne correspondante restent d'application volontaire.

Les produits conçus selon leurs prescriptions sont alors présumés conformes avec les exigences essentielles fixées par la réglementation dès lors qu'ils ont été certifiés comme tels par un organisme tiers. Ces produits doivent porter le marquage «CE» que l'on voit apparaitre au dos des produits.

Afin d'éviter de conférer aux normes harmonisées un caractère indirectement obligatoire, le fabricant dispose de la possibilité de fabriquer conformément à un modèle lui même déclaré conforme aux exigences réglementaires après une procédure dite d'« examen de type ». Autrement dit, il peut fabriquer en série après avoir fait certifier un prototype et s'être engagé à le reproduire à l'identique. Cette démarche peut s'avérer intéressante pour les produits pour lesquels les normes harmonisées existantes ne sont pas utilisables ou ne le sont que partiellement.

65 M. Eric Gheur est membre suppléant de la Commission de Protection de la Vie Privée belge http://www.privacycommission.be/fr/sectoral committees/central enterprise database/composition/

Cette "nouvelle approche" a été jusqu'à présent appliquée à une trentaine de directives européennes dont une seule, la Directive 1999/5/CE du 9 mars 1999, s'intéresse à la protection des données à caractère personnel⁶⁷.

Cette «nouvelle approche» a été conçue afin d'éviter aux instances de réglementation de longues procédures décisionnelles qui obligeaient jusque-là à établir une harmonisation technique par le biais de Directives très techniques, détaillées produit par produit. Elle offre aux fabricants qui ont apposé le marquage CE la capacité de pouvoir circuler librement dans l'espace économique européen.

Le principe qui anime cette démarche est intéressante pour qui comme la CNIL a aujourd'hui besoin d'établir des normes sur des sujets très techniques et assez évolutifs. On pourrait imaginer que celle-ci élabore les Autorisations uniques en termes généraux et qu'elle invite les entreprises et les institutions à se référer à des référentiels normatifs existants pour mettre en oeuvre ces objectifs. Démarche qui a d'ailleurs été en partie adoptée en suisse avec le recours à la norme ISO 27001.

2.3 L'exemple des directives du Préposé à la Protection des Données à caractère personnel suisse

La loi fédérale du 16 Juin 1992 sur la protection des données à caractère personnel prévoit comme nous l'avons déjà dit la possibilité de procéder à des certifications en matière de protection des données à caractère personnel.

Conformément à l'art. 4, al. 3 de l'ordonnance du 28 septembre 2007⁶⁸, il revient par délégation au Préposé fédéral à la protection des données à caractère personnel et à la transparence (PFPDT) d'émettre lui-même les Directives (Règlements) pour fixer les règles et les conditions en vue d'«obtenir une certification de l'organisation ou de la procédure au sens de l'art. 4 OCPD».

L'originalité du référentiel suisse réside nous l'avons déjà dit dans le fait qu'il s'appuie en partie sur le contenu des normes ISO/CEI 27 001 :2005 et ISO/CEI 27 005 :2008 concernant la sécurité des systèmes d'information. Il transpose les dispositions contenues dans ces normes dans le domaine de la protection des données à caractère personnel.

La norme ISO/CEI 27000:2009 définit les contours d'un Système de Management de la Sécurité des Systèmes d'Information (SMSI ou ISMS en anglais). Il s'agit précise le point 3.2 de la norme d'un ensemble de règles de gestion que l'entreprise ou l'institution est invitée à mettre en oeuvre pour optimiser la sécurité de son système d'information dans la durée⁶⁹.

Cette démarche d'optimisation constante proposée par la norme s'appuie sur la procédure d'amélioration constante de la qualité popularisée dans les années 50 par William Edwards Deming sous la forme de la démarche PDCA⁷⁰ (Plan-Do-Check-Act) dit roue de Deming dont l'objectif consiste à maintenir un système (informatique en l'occurence) à son niveau optimal (de sécurité dans notre cas) à chaque instant.

67 L'article 3c imposent aux terminaux « qu'ils comportent des sauvegardes afin d'assurer la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés »; Directive 1999/5/CE du Parlement européen et du Conseil, du 9 mars 1999, concernant les équipements hertziens et les équipements terminaux de télécommunications et la reconnaissance mutuelle de leur conformité

68 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) http://www.admin.ch/ch/f/ rs/c235 13.html

69 « Le système de management de la sécurité de l'information (SMSI) partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en oeuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information » nous dit la norme» précise le point 3.2 de la norme ISO/CEI 27000:2009

70 La démarche PDCA⁷⁶ (Plan-Do-Check-Act) est une méthode d'assurance qualité qui comporte quatre étapes, chacune entraînant l'autre cherchant à créer un «cercle vertueux». Les étapes sont les suivantes :

Le référentiel suisse s'est donc appuyé sur cette démarche pour en transposer l'esprit dans le domaine de la protection des données à caractère personnel. Comme le précise les points 3.1 et 3.2 des directives du Préposé à la protection des données à caractère personnel et à la transparence (PFPDP) du 16 juillet 2008:

« Un SGPD (ndlr : un Système de Gestion de la Protection des Données) répond aux exigences minimales s'il se fonde sur des référentiels internationaux en usage, en particulier la norme ISO 27001 interprétée au sens de l'al. 2; Les exigences de la norme ISO 27001 portant sur le système de gestion de la sécurité de l'information (SGSI) doivent être reprises en transposant la notion de sécurité de l'information (SI) par cele de protection des données (PD) et en remplaçant son annexe A, qui correspond à la table des matières de la norme ISO/CEI 27002:2005, par les objectifs et mesures énumérés au point 5».

Les objectifs et mesures «énumérés au point 5» des directives constituent pour leur part une transposition des dispositions de la norme ISO/CEI 27002:2005. La norme ISO 27002:2005 décrit au total 133 mesures de sécurité à implémenter et à évaluer régulièrement pour mesurer le degré de sécurité du système d'information.

La protection des données à caractère personnel n'étant abordé que de manière anecdotique dans le point 15.1.4 de la norme ISO/CEI 27002:2005, les services du PFPDP ont entrepris d'établir leurs propres mesures de sécurité des données personnelles.

Neuf principes généraux de la loi sur la protection des données ont été retenus comme objectifs essentiels. Ces objectifs se traduisent par 20 mesures concrètes de protection des données, reprenant les principales exigences de la loi sur la protection des données à caractère personnel (FPD) du 16 juin 1992 ou de son ordonnance d'application (OCPD) du 28 septembre 2007.

Principes

Mesures

Références légales

Loi de Protection des Données (LPD) du 16 juin 1992 et Ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD)

Ce référentiel présente un certain nombre d'avantages et d'inconvénients qu'il convient de souligner.

- La sécurité des données personnelles n'est pas dissociable de la sécurité du système d'information. La sécurité des données personnelles est un sous ensemble plus ou moins sensible en fonction de l'activité de l'entreprise. Elle est par exemple plus sensible dans le domaine de la santé et du marketing pour des raisons d'ailleurs différentes. Il s'agit d'un actif stratégique pour le marketing alors qu'il s'agit plutôt d'un risque juridique et d'images majeurs pour le secteur de la santé.

- Le fait que le référentiel ISO 27000 et suivants soient connus et utilisés peut faciliter la démarche de prise en compte de la problématique «données personnelles». Cela peut aussi permettre de l'intégrer dans la démarche sécurité de l'entreprise.

- En revanche, il existe un risque réel de diluer la question de la «protection des données à caractère personnel» dans une approche uniquement «sécurité» de l'information. Comme le souligne les services du PFPDT, il existe une problématique spécifique de gestion de la conformité pour laquelle l'acceptation d'un «risque résiduel»⁷¹ n'est pas possible. On est conforme ou on ne l'est pas. On ne peut pas être conforme par degré.

- En outre, le référentiel suisse demeure à ce jour incomplet. Il ne couvre que les critères de certification des procédures et il n'aborde pas la question des produits comme le prévoit pourtant explicitement l'article 4 de la LPD. Le PFPDT était chargé selon l'art. 5 al. 3 de l'ordonnance sur les certifications en matière de protection des données (OCPD) d'édicter avant 1er janvier 2010 des directives fixant les critères spécifiques en matière de protection des données qu'un produit doit remplir dans le cadre d'une certification. Comme le confirme les services du PFPD «Ce délai n'a malheureusement pas pu être tenu, car différents problèmes méritant une analyse approfondie se sont posés». Nous n'avons malheureusement pas réussi à obtenir de part des autorités suisses les raisons qui expliquent ce retard, ceci malgré nos relances répétées.

2.4 L'exemple du Décret n°2001-272 du 30 mars 2001

Nous avons déjà abordé plus haut la procédure de certification conforme mise en place dans le cadre de la réglementation portant sur les dispositifs techniques de création de signature électronique. La délivrance d'un certificat de conformité par L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) est soumise au respect des exigences posées par le décret n° 2001-272 du 30/04/2001 relatif à la mise en place d'un dispositif sécurisé de création de signature électronique.

71 La notion de « risque résiduel» constitue la conclusion de la démarche ISO 27000 et représente les risques « irréductibles » qui ont été mis à jour à l'issue de l'audit de sécurité du système d'information et qui doivent être acceptés par l'organisme évalué.

Seul l'article 3 du Chapitre I du Décret sert de référentiel à cette procédure de certification⁷². Il dispose que : « Un dispositif sécurisé de création de signature électronique doit :

1. Garantir par des moyens techniques et des procédures appropriés que les données de création de signature électronique :

2. N'entraîner aucune altération du contenu de l'acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.

II. - Un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définies au I :

1° Soit par le Premier ministre, dans les conditions prévues par le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. La délivrance du certificat de conformité est rendue publique.

2° Soit par un organisme désigné à cet effet par un Etat membre de la Communauté européenne »

C'est sur cette base relativement succincte mais néanmoins précise que s'appuie la procédure de certification mise en oeuvre par les prestataires accrédités auprès de l'ANSSI. Ce qui démontre que l'origine comme la forme d'un référentiel importe finalement assez peu dès lors qu'il est accepté (ou imposé) comme tel.

2.5 Peut-on considérer les Autorisations uniques comme des référentiels normatifs ?

Rien ne s'oppose selon nous au niveau juridique ou même pratique à ce que les Autorisations uniques bénéficient d'un statut de référentiel au même titre que n'importe quelle autre norme d'origine publique ou privée.

Ces textes constituent des référentiels «de fait» dans la mesure où les entreprises et les institutions sont appelées à s'y conformer pour profiter de la dispense d'autorisation préalable à la mise en oeuvre d'un traitement dont les données relèvent de l'article 25 de la loi 78-17 du 6 janvier 1978 modifiée en 2004.

Comme nous l'avons vu plus haut, il n'y a pas «d'origine contrôlée» pour qu'un texte puisse être considéré comme tel. Certains le sont par nature puisqu'ils ont été conçus dans ce but. D'autres le devienne au gré des circonstances.

L'exemple de la norme SA 8000 du Social Accountability International (SAI) est à cet égard évocateur. Elaborée et promue dans les années 1990 par une association américaine de défense des droits de l'homme dans le cadre du monde du travail (SAI), cette norme n'a pas été conçue selon les «canons» défendus par les institutions internationales de normalisation.

Cette norme est malgré tout devenue la référence mondiale en matière de responsabilité sociale des entreprises. Les raisons de ce succès sont plus liés aux circonstances qu'aux qualités intrinsèques du texte⁷³. Il n'existait dans les années 1990 aucun texte de référence pouvant permettre aux entreprises multi-nationales de prouver leur bonne

73 Le texte de la SA 8000 est disponible en anglais à cette adresse : http://www.sa-intl.org/ data/n 0001/resources/live/2008StdEnglishFinal.pdf

volonté en matière conditions décentes de travail dans le cadre de leurs activités délocalisées dans les pays émergents. La norme SA 8000 proposait un cadre succinct mais auditable⁷⁴.

Comme l'a reconnu en 1998 le président de PricewaterHouse de l'époque, Dominic A. Tarantino, la SA 8000 constituait à cette époque "le premier standard universel sur les informations éthiques.»⁷⁵

L'exemple du référentiel Marianne est également intéressant dans la mesure il s'agit d'un référentiel de certification qui a été construit «ex-nihilo» pour répondre aux besoins de certifier la qualité de l'accueil des services publics.

Ce référentiel a été élaboré à partir d'une charte non contraignante, «la charte Marianne»⁷⁶, dont 19 points ont été extraits pour les rendre auditables et par conséquent certifiables.

Il nous semble de ce fait que les Autorisations uniques pourraient être éligibles, de la même façon que ces textes, au titre des référentiels normatifs.

2.5.1 Quel formalisme doit avoir un référentiel normatif ?

On constate dans ce domaine encore qu'il n'existe aucune obligation mais seulement des recommandations et des règles de bon sens qui participent du succès du référentiel auprès des ceux qui sont chargés de l'auditer et de le certifier.

2.5.1.1 Les recommandations de l'ISO

Les Directives ISO/CEI partie 2 ⁷⁷ proposent une série de recommandations pour élaborer une norme.

2.5.1.1.1 En termes de contenu

Il convient de définir des objectifs qui soient clairs et compréhensibles même par des non initiés. «(...) être aussi complet que possible dans les limites définies par son domaine d'application, être cohérent, clair et précis, tenir pleinement compte de l'état de la technique, pouvoir être compris par des personnes qualifiées qui n'ont pas pris part à son élaboration, prendre en considération les principes pour la rédaction des documents» nous dit le point 4.1 des Directives ISO/CEI partie 2.

Il est également souhaitable précise le point 4.2 que ces objectifs soient exprimés en termes de performances et non de conception : «Chaque fois que possible, (...) exprimées en termes de performance plutôt qu'en termes de conception ou de caractéristiques descriptives. Cette approche laisse le maximum de liberté au progrès technique», précise la norme.

74 Elle reste à ce jour un « best seller » des grands cabinets d'audit et de certification qui continuent de proposer aux entreprises des programmes sur la base de cette norme

On trouvera un exemple de programme de certification sur la base de la SA 8000 proposé par le Bureau Veritas à cette adresse : http://www.bureauveritas.fr/wps/wcm/connect/bv fr/Local/Home/bv com serviceSheetDetails? serviceSheetId=1427&serviceSheetName=Certification+SA+8000

Cette hégémonie de la norme SA 8000 dans le domaine de la responsabilité sociale des entreprises risque d'être remise en question avec l'arrivée de la nouvelle norme ISO 26000 publiée le 1er novembre 2010 qui entend s'occuper également de la responsabité sociale des entreprises. «Parution de l'ISO 26000 lignes directrices sur la responsabilité sociétale»

75 Déclaration citée dans l'article de Wikipedia consacré à la norme SA 8000.

Le point 6 .7 précise quant à lui que les normes doivent être élaborées de façon telle à ce qu'elle soit auditables par des tiers. « Les normes de produit, de processus et de service doivent être écrites de tele manière que la conformité puisse être évaluée par un fabricant ou un fournisseur (première partie), un utilisateur ou un acheteur (deuxième partie) ou un organisme indépendant (tierce partie). Ces documents ne doivent pas inclure d'autres aspects relatifs à l'évaluation de la conformité que les dispositions d'essai des produits, des processus ou des services spécifiés. »

Un seul document doit être élaboré par sujet. Un « document individuel doit être élaboré pour chaque sujet faisant l'objet d'une normalisation et publié en tant qu'entité complète » précise le point 4.2.

Elles doivent contenir un titre précis et compréhensible. Le titre nous dit le point 6.1 « doit être rédigé avec le plus grand soin; tout en étant aussi concis que possible, il doit indiquer, sans aucune ambiguïté et sans détails superflus. Le titre doit être composé d'éléments séparés, aussi brefs que possible, allant du général au particulier.»

Le document doit contenir un avant-propos qui spécifie «sans ambiguïté le sujet traité, les aspects couverts et les limites d'application du document» nous dit le point 6.2. Avant-propos qui ne doit pas contenir «ni exigences, ni recommandations, ni figures, ni tableaux. ». Le document peut faire appel à des références si besoin précise également le point 6.2.

Le point 6.3 souligne que le document doit donner « les définitions nécessaires à la compréhension de certains termes utilisés.... Dans le cas où tous les termes et les définitions sont donnés dans le document lui-même, le texte introductif suivant doit être utilisé: «Pour les besoins du présent document, les termes et définitions suivants s'appliquent.»

2.5.1.1.2 En termes de structuration et de rédaction

La directive ISO/CEI partie 2 précise dans son point 4.3 que « L'uniformité de la structure, du style et de la terminologie doit être maintenue non seulement dans chaque document, mais aussi dans une série de documents associés.»

Le point 6.6 ajoute quant à lui que le style doit être clair et compréhensible. « Un document doit être rédigé de manière que les exigences que l'utilisateur est obligé de respecter afin de prétendre à la conformité avec le document soient facilement identifiables É le style doit être aussi simple et concis que possible. Cela est particulièrement important pour les lecteurs dont la langue maternelle n'est pas l'une des langues officielles de l'!SO et de la CE! ».

« Lorsqu'ils constituent la manière la plus efficace de présenter une information de façon aisément compréhensible» L'utilisation de tableau est recommandée précise également le point 6.6

2.5.1.2 Les recommandations du British Standard Institution (BSI)

La norme BS 0-2:2005 du British Standard Institution⁷⁸ (BSI) définit le cadre d'élaboration des normes anglaises. Elle présente un intérêt dans la mesure où elle va jusqu'à préciser les formes verbales et les temps qu'elle recommande d'employer dans la rédaction des normes.

Elle suggère dans ses points 8.1, 8.2 et 8.3 d'employer autant que possible les auxiliaires, le présent pour les descriptions et l'impératif pour les obligations.

La norme BS 0-2:2005 dans son point 5.1 précise également qu'un référentiel normatif doit être pensé comme « un ensemble cohérent d'exigences dont chacune d'elle doit être objectivement vérifiable et construite de façon telle qu'elle puisse être vérifiable par un auditeur externe» de la même façon que le point 6.7 de la Directive ISO/CEI partie 2

2.5.1.3 Les exigences de l'article L.115-27 du code de la consommation

78 BS 0-2:2005 «A standard for standards - Part 2: Structure and drafting - Requirements and guidance» First edition as Part 2, December 2005

Cette exigence est également précisée dans L'article L.115-27 du code de la consommation modifié par l'art.1er alinéa 2 de la loi n° 94-442 du 3 juin 1994⁷⁹ concernant la certification des produits industriels et des services.

- Des spécifications techniques servant de référence à l'élaboration de produits et l'organisation de services, - Des modalités de contrôle de la conformité de ceux-ci aux spécifications de référence.

L'article L. 115-28 dispose en outre que «l'existence des référentiels fait l'objet d'une mention au Journal Officiel de la République Française. Leur consultation s'effectue soit gratuitement sur place auprès de l'organisme certificateur, soit par la délivrance de copies aux frais du demandeur.»

Faut-il comprendre que la valeur de référentiel normatif au sens de l'article L. 115-28 modifié par la loi n° 94-442 du 3 juin 1994 est conditionné par une existance légale du texte, la citation au Journal Officiel (J.O), et par sa gratuité d'accès ? Cette définition correspondrait parfaitement au cas qui nous occupe puisque les Autorisations Uniques sont publiées au J.O et sont accessibles gratuitement mais qui en revanche invaliderait toutes les normes internationales issues de l'AFNOR, du CEN ou de l'ISO dont l'accès est payant.

2.5.2 Qu'est ce qui fait un bon référentiel normatif? Si l'on se réfère aux textes présentés ci-dessus, un bon référentiel normatif :

- construit ces règles de façon telle à ce qu'elles soient facilement vérifiables/auditables par un organisme tiers.

- des règles de formes visant à rendre le référentiel compréhensible et sans ambiguïtés.

- des protocoles de tests/vérification qui doivent permettre à des tiers de vérifier la conformité. Ces protocoles doivent contenir à minima les points à vérifier et si cela s'avère possible la manière de les vérifier et les valeurs (la métrique) à respecter pour être conforme.

Pour illustrer ces exigences, nous évoquerons trois référentiels dans le domaine des technologies de l'information qui nous paraissent contenir des éléments intéressants pour notre sujet:

- Le référentiel de gestion du risque du Secrétariat Général de la Défense Nationale (SGDN) - Les normes de la série ISO/CEI 27000

Les normes ISO/IEC 15408-1:2005 et ISO/IEC 15408-2:2005 dite de critères Communs (CC)⁸⁰ proposent une synthèse des critères à respecter en matière de sécurité des systèmes d'information à partir des prescriptions d'origines européennes et Nord américaines.

L'accord CCRA (Common Criteria Recognition Arrangement) a permis la reconnaissance mutuelle de la certification accordée en matière de sécurité des équipements dans 5 puis 7 pays : Allemagne, Australie et Nouvelle-Zélande, Canada, Etats-Unis, France, Grande-Bretagne.

Le chapitre 9 de la partie II - «Exigences fonctionnelles de sécurité» du référentiel ISO 15408-1:2005 précise les attentes en matière de protection de la vie privée. Y sont successivement traités les exigences :

80 Le texte des normes ISO/IEC 15408-1:2005 et ISO/IEC 15408-2:2005 sont en libre accès sur le site de l'ANSSI http:// www.ssi.gouv.fr/site article135.html

- d'impossibilité d'établir un lien entre des données à caractère personnel (9.3)

Pour ce qui est de l'anonymat, la norme indique son exigence minimale sous forme de transcription d'un logigramme :

« La TSF doit garantir que [affectation : ensemble d'utilisateurs ou de sujets] sont incapables de déterminer le véritable

nom de l'utilisateur associé à [affectation : liste de sujets, d'opérations ou d'objets] La TSF doit fournir [affectation :
liste de services] à [affectation : liste de sujets] sans solliciter une quelconque référence au véritable nom de l'utilisateur».

Elle précise également le point de contrôle à effectuer pour s'assurer d'atteindre et de maintenir l'objectif ci dessus : « Les actions suivantes doivent être auditables (...) a) Minimal : l'appel du mécanisme d'anonymat.»

Elle n'apporte en revanche pas plus de précisions quant à la manière dont le mécanisme d'anonymat doit être audité ni sur le mécanisme (logicielle ou matérielle) qui doit permettre au système d'assurer l'anonymat.

Cette démarche est évidemment volontaire. Elle correspond aux recommandations de l'ISO qui précise dans le point 4.2 de la directive ISO/CEI partie 2 que : «Chaque fois que possible, les exigences de la norme devront être exprimées en termes de performance plutôt qu'en termes de conception ou de caractéristiques descriptives. »

La relation étroite entre objectifs et points de contrôle est également en partie à la base de la démarche retenue dans le référentiel de gestion des risques mise au point en 1995 par l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI anciennement DCSSI) pour le compte du Secrétariat Général de la Défense Nationale (SGDN) dont elle dépend.

Fondée sur la méthode d'audit des systèmes d'information EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité), ce référentiel est structuré autour de 5 modules dans chacun desquels les risques sont analysés et décrits selon le formalisme suivant :

Intitulé

Description

Avantages Liste des principaux avantages apportés par la mise en oeuvre de l'activité.

Parties prenantes Liste des compétences (savoir, savoir-faire, niveau de responsabilité...) requises pour

réaliser l'activité et exemples de personnes ou de fonctions capables de les exercer.

Données d'entrée Liste des informations d'entrée, nécessaires à la mise en oeuvre de l'activité.

Données produites Liste des informations de sortie, produites par les actions de l'activité.

Communication Liste des principales idées pour obtenir de l'information (techniques à employer) et la

Surveillance et revue Liste des points de contrôle pour vérifier la qualité de la réalisation de l'activité et la tenue à

De la même manière que la norme ISO/CEI 15 408-1, le référentiel du SGDN définit pour chaque processus un objectif et une série de points de contrôle visant à évaluer le degré de complétude de cet objectif.

Une «métrique», c'est à dire une échelle de valeur doit être préalablement définie afin de mesurer, de classer et de comparer les résultats obtenus; permettant au final de construire l'évaluation des risques et d'en piloter l'évolution.

La série des normes ISO 27000:2009 que nous avons déjà évoquées plus haut dans le cadre de l'élaboration du référentiel de certification suisse propose ce que l'on pourrait qualifier comme un «écosystème» référentiel complet.

Les normes ISO 27000:2009 et suivantes couvrent en effet l'ensemble du cycle de qualité totale définit selon les critères de la roue de Deming (PDCA) sur lequel le référentiel se fonde et ce depuis la création jusqu'à la certification.

Information technology - Security techniques - Information security management systems - Overview and vocabulary

Information technology -- Security techniques -- Information security management systems -Requirements

Information technology -- Security techniques - Code of practice for information security management

Information technology - Security techniques - Information security management system implementation guidance

Information technology -- Security techniques -- Information security management -- Measurement

Information technology -- Security techniques -- Information security risk management

Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems

Information technology -- Security techniques -- Guidelines for Information Security Management Systems auditing

d'un SMSI. Elle n'est pas encore publiée. Elle est actuellement en cours délaboration au stade de 2ème CD.

Parmi les 39 objectifs et les 133 mesures de sécurité définis par le référentiel ISO/CEI 27002:2005 figure le point 15.1.4 de la norme est consacré à la «protection des données et confidentialité des informations relatives à la vie privée».

Ce point 15.1.4 définit que le SMSI devra poursuivre l'objectif de «garantir la protection et la confidentialité des données teles que l'exigent la législation ou les réglementations applicables, et les clauses contractueles le cas échéant».

Le point 15.1.4 définit également les mesures à mettre en oeuvre en vue d'atteindre cet objectif. Il indique «qu'il convient d'élaborer et de mettre en oeuvre la protection des données de l'organisme et une politique de confidentialité. (..) que cette politique soit connue de toutes les personnes impliquées dans le traitement des informations relatives à la vie privée.... La meileure façon de mettre en place une telle structure est de désigner un responsable, par exemple un administrateur de la sécurité des données; il convient que cet administrateur conseile les responsables, utilisateurs et prestataires de services sur leurs responsabilités individueles et les procédures spécifiques qu'il convient de respecter.

Il convient que la responsabilité afférente à la gestion des informations relatives à la vie privée et au maintien de la sensibilisation aux principes de protection des données prenne en compte la législation et les réglementations applicables.

Il convient de prendre les mesures techniques et organisationneles appropriées pour protéger les informations relatives à la vie privée».

Ces mesures de sécurité peuvent ensuite faire l'objet d'une évaluation (dans le sens de « mesurage ») continue ou circonstancielle dans le cadre d'une procédure de pilotage du SMSI décrit dans la norme ISO/CEI 27004:2009 ou bien encore dans le cadre d'une procédure de certification basé sur ce référentiel ISO/CEI 27002:2005.

L'intérêt (et le succès) de la série ISO 27000:2009 tient nous l'avons déjà dit en grande partie au caractère complet et «intégré» du référentiel. Celui-ci propose en effet un cadre pour la gestion de la sécurité des systèmes d'information (ISO 27001). Il apporte les outils pour le mettre en oeuvre (ISO/CEI 27002:2005), le piloter (ISO/CEI 27004:2009) et l'évaluer (ISO/CEI 27005:2008).

C'est d'ailleurs cette démarche «d'intégration verticale» que l'ISO essaie de dupliquer, nous l'avons déjà dit, dans le domaine de la protection des données à caractère personnel avec l'élaboration de la série des normes ISO 29 000.

2.6 Les Autorisations uniques sont-elles auditables en l'état ?

Nous sommes bien conscients que vouloir faire des Autorisations uniques des référentiels auditables relève du détournement de finalité dans la mesure où cette éventualité n'a pas été prévue au moment de leur rédaction. Les commentaires développés ci-après doivent être relativisés dans ce sens.

Les Autorisations uniques ne constituent pas un référentiel unique. Leur nombre évolue en fonction des sujets qui apparaissent ou disparaissent. On ne peut pas parler d'une norme mais plutôt d'un corpus normatif. Ces autorisations uniques traitant à chaque fois d'un sujet différent, on retrouve la même diversité que dans le monde de la normalisation.

Malgré ces limites dont nous avons pleinement conscience mais qui ne nous semblent en aucun cas rédhibitoires, il nous a semblé intéressant d'analyser celle des Autorisations uniques qui synthétisait le mieux à nos yeux les opportunités et les limites de l'auditabilité des Autorisations uniques sous leur forme actuelle.

L'Autorisation unique N°005 (AU-005) relative à certains traitements de données à caractère personnel mis en oeuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit nous nous parait ntéressante pour quatre raisons principales :

- l'AU-005 s'applique au score ou scoring de crédit qui est la fois une procédure mais peut être produit. Les systèmes de score étant aujourd'hui souvent des progiciels⁸¹.

- l'AU-005 reprend le formalisme des autres Autorisations uniques tout en proposant un mode de présentation sous forme de tableau qui nous a semblé intéressant.

81 Progiciels d'analyse du risque dont en autres la société américaine Experian s'est d'ailleurs fait une spécialité. Son offre en la matière est relativement complète et peut être consultée sur son site http://www.experian-da.com/solutions/customer management.html

- Elle s'inscrit dans le mode rédactionnel commun aux autres Autorisations uniques tout en proposant une approche plus «normative» fait de points successifs et de verbe à l'infinitif.

- Elle définit clairement un certain nombre d'objectifs dont certians soulevent des questions d'interprétation qui prêtent à conséquences.

2.6.1 Un formalisme proche de celui recommandé par les institutions de

L'AU-005 ne traite que d'un seul sujet comme le préconise le point 5.1 de la directive ISO/CEI partie 2.

Elle est pourvue d'un titre précis et compréhensible qui va du général au particulier comme le suggère également le point 5.1 de la directive ISO/CEI partie 2.

La présentation sous forme de tableau facilite la lecture. Ce qui rejoint la recommandation de l'ISO défini dans le point 6.6 de la directive ISO/CEI partie 2.

Elle contient un avant-propos qui spécifie «sans ambiguïté le sujet traité, les aspects couverts et les limites d'application du document» et ne contient «ni exigences, ni recommandations, ni figures, ni tableaux. » comme le recommande le point 6.2.

Finalités des traitements. Seuls peuvent faire l'objet d'un engagement de conformité à la présente Autorisation

unique les traitements automatisés relatifs à l'élaboration, à l'actualisation et à l'utilisation de modèles de score pour l'attribution de prêts personnels, de crédits à la consommation, de crédits immobiliers ou professionnels, lorsque ceux-ci visent à :

- mesurer le risque statistique de défaut de remboursement qui correspond aux demandes de crédit (ou de moyen de paiement adossé à un contrat de crédit) présentées par des clients personnes physiques ;

- apporter une aide à la sélection des demandes dont le niveau de risque, ainsi évalué, permet la conclusion d'un contrat de crédit, sous la seule réserve de la production de pièces justificatives.

Le recours aux verbes à l'infinitif ainsi qu'aux verbes devoir et pouvoir indiquent clairement les objectifs de l'Autorisation Unique. Ce qui rejoint les recommandations de l'ISO et du BSI en matière de rédaction.

Finalités des traitements. Conformément à l'article 10 de la loi du 6 janvier 1978, le résultat du score ne peut, en

toute hypothèse, avoir qu'un caractère indicatif lorsqu'il ne conclut pas à l'attribution du crédit sous la seule réserve de la production de pièces justificatives.

Les traitements d'aide à la décision ne peuvent être mis en oeuvre par les établissements de crédit que selon l'une des modalités suivantes :

- dans leurs agences commerciales ou autres services chargés de l'instruction des demandes de crédit ;

- directement à partir de leur site internet ou d'un site internet marchand, sur l'initiative du client ;

- dans les locaux d'un apporteur d'affaires ; - par voie de démarchage à domicile.

Bien que la notion d'objectifs et de points de contrôle ne soient pas explicitement prévus dans le texte de l'AU-005, le mode de rédaction de celle-ci permet à notre sens de les extrapoler. On peut en effet considérer que les finalités, les données, les personnes, les tiers et les durées autorisées dans l'Autorisation uniques sont autant d'objectifs à respecter.

Les points de contrôle quant à eux peuvent être extrapolés par opposition. Autrement dit, on peut considérer qu'ils sont sous entendus :

- lorsque l'objectif consiste à limiter les finalités du traitement, le point de contrôle consiste à vérifier que le ou les traitements relevant de cette Autorisation unique n'ont pas d'autres finalités que celle(s) qui a (ont) été spécifiquement prévu(es),

- lorsque l'objectif consiste à limiter les données collectées dans le traitement, le point de contrôle consiste à vérifier que chacun des traitements ne contient pas d'autres données que celles qui ont été spécifiquement prévues,

Dès lors que l'on accepte cette interprétation, on peut considérer que l'AU-005 est conforme aux attentes du point 6 .7 de la directive ISO/CEI partie 2 lorsqu'elle précise que les « normes( ..). ne doivent pas inclure d'autres aspects relatifs à l'évaluation de la conformité que les dispositions d'essai des produits, des processus ou des services spécifiés. »

Pour ce qui est de l'évaluation de la conformité ou pour le dire autrement de la métrique a considérer, il apparait possible de répondre par «oui» ou par «non» à la majorité des points de contrôle de l'Autorisation Unique.

Enfin, il nous semble que l'on peut affirmer que l'AU-005 établit ces objectifs en terme de performance et non pas en termes de conception ou de caractéristiques descriptives comme le préconise le point 4.2 des directives ISO/CEI Partie 2. Ainsi, lorsqu'il est dit que «Les données prises en compte pour le calcul du score sont choisies et pondérées en fonction du lien de corrélation qu'elles présentent avec le risque attaché à l'opération» on constate que l'autorisation définit bien un objectif à atteindre en terme de performance du système. Elle n'intervient pas sur la manière de parvenir à ce résultat.

2.6.2 L'AU-005 est-elle auditable en l'état ?

On pourrait considérer l'AU-005 comme une norme auditable car la plupart des objectifs sont suffisamment précis et mesurables pour que l'on puisse envisager de les évaluer en vue de les certifier.

Certains objectifs posent néanmoins des problèmes dans la mesure où ils s'avèrent difficile à évaluer alors qu'ils correspondent pour certains à des principes fondamentaux posés par la loi n° 78-17 du 6 janvier 1978 modifiée.

Cet objectif par exemple ne permet pas dans sa rédaction actuelle d'être valablement évaluer :« Conformément à l'article 10 de la loi du 6 janvier 1978, le résultat du score ne peut, en toute hypothèse, avoir qu'un caractère indicatif

lorsqu'il ne conclut pas à l'attribution du crédit sous la seule réserve de la production de pièces justificatives.» Comment en effet évaluer précisément le caractère indicatif du score dans une décision de refus d'octroi de crédit ? Ce caractère indicatif est-il caractérisé lorsque le score est produit mais qu'il est uniquement indiqué au décideur ? Ou bien est-ce dans le cas où la décision de refus n'est pas prise automatiquement sur la base du score que ce caractère indicatif est caractérisé ? Ce point demeure à préciser.

De la même manière, l'objectif rédigé en ces termes: « Le responsable de traitement doit s'assurer du caractère suffisant des mesures prises en vue d'assurer la sécurité et la confidentialité des données» s'avère difficile à évaluer du fait de son imprécision. Quand peut-on considérer que l'on a atteint un niveau suffisant ? Selon quelle métrique ? Dans quelles circonstances ? Là aussi, il est nécessaire d'être plus précis.

Ce point est pourtant fondamental puisqu'il relève également des prescriptions contenues dans l'article 34 de la loi n° 78-17 modifiée qui dispose que «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'eles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.»

D'autres objectifs notamment ceux contenus dans la dernière partie de l'Autorisation unique dans les «autres conditions à remplir» soulèvent des questions.

L'autorisation précise que «Les techniques statistiques utilisées pour l'élaboration et l'actualisation des modèles de score doivent régulièrement faire l'objet de tests de fiabilité et de pertinence ». De quel type de pertinence parle-t-on ? Qu'entend-on par fiabilité ? La notion de régularité se mesure-t-elle en mois ou en année ?

Autre exemple : «Les données prises en compte pour le calcul du score sont choisies et pondérées en fonction du lien de corrélation qu'eles présentent avec le risque attaché à l'opération». Sur quelle base cet objectif peut-il être évalué ? Quelle métrique doit-on utiliser pour mesurer cet objectif ? Sera-t-elle toujours la même quelque soit l'établissement ? ou doit-on envisager d'édicter une règle plus générique qui évite la discrimination tout en préservant une certaine marge de manoeuvre aux établissements financiers qui jouent sur ce point leur différence concurentielle ?

2.6.3 Un travail d'interprétation préalable

Il nous semble donc qu'un travail d'interprétation devrait être effectué en préalable à toute volonté de faire des Autorisations unique des référentiels auditables. Ceci dans le but d'éviter que chaque évaluateur n'applique sa propre interprétation.

C'est d'ailleurs un travail de ce type qui a été effectué en février 2009 par la Fédération Française des Sociétés d'Assurance en collaboration avec la CNIL afin de permettre une application conforme et homogène de l'Autorisation unique n°AU-018⁸² dans l'ensemble des établissements bancaires et financiers chargé par de nouvelles disposation légales de rechercher des assurés et des bénéficiaires de contrats d'assurance sur la vie dont le souscripteur initial est décédé.

Cet exemple démontre simplement qu'une procédure d'interprétation est parfaitement envisageable même si elle n'avait pas dans ce cas pour but de rendre ce texte auditable mais simplement applicable.

Ce travail d'interprétation pourrait ans sa forme s'inspirer de celui qui a déjà été effectué à titre didactique sur la loi 78-17 du 6 Janvier 1978 par la CNIL⁸³.

Un autre exemple intéressant de travail d'interprétation de normes a également été réalisé par l'European co-operation for Accréditation (EA) dans les guides que cette institution publie à l'intention de ses membres.

82 Délibération n°2008-579 du 18 décembre 2008 portant Autorisation unique des traitements automatisés des entreprises d'assurance, des institutions de prévoyance et de leurs unions, et des mutuelles et de leurs unions mis en oeuvre aux fins de recherche des assurés et des bénéficiaires de contrats d'assurance sur la vie décédés.

Les guides de l'EA⁸⁴ proposent aux organismes chargés d'accréditer les organismes de certification (voir partie III point 2 ) une série d'interprétations des dispositions contenus dans les normes publiées à cet effet et notamment la norme ISO/CEI 17021 : 2006

Le British Standard Institution (BSI) effectue également un travail d'interprétation directement dans la marge de certaines de ces normes⁸⁵ afin d'en faciliter l'application pour ceux qui sont chargés de le faire.

2.6.4 Une approche «d'auditabilité by design»

Une autre solution pourrait consister à élaborer les Autorisations uniques pour en faire initialement des textes auditables. Rendre auditable un texte normatif est aussi un moyen de le rendre plus facilement applicable. Autrement dit, plus un texte est précis, plus il est facile à appliquer.

Les Autorisations uniques font l'objet d'une revue régulière (tous les 2 ans) comme les normes internationales pour lesquelles cette revue périodique est prévue tous les 3 puis 5 ans. Une réécriture dans ce sens pourrait être envisagée sans pour autant remettre en cause les fondements du texte.

Prenons le cas de l'AU-004 issue de la Délibération n° 2005-305 du 8 décembre 2005 portant Autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle qui est actuellement en cours de révision. On pourrait imaginer que cette AU-004 soit analysée sous la forme d'une matrice qui pourrait ressembler à celle ci-dessous :

Conformité

Non conformité

Vérifier si le traitement correspond point par point aux obligations posées par la section 301(4) la loi Sarbannes-Oxley

85 BS 0-2:2005 «A standard for standards - Part 2: Structure and drafting - Requirements and guidance» First edition as Part 2, December 2005

Vérifier la nature des mesures visant à assurer la confidentialité de l'identité de l'émetteur

- (exemple d'interprétation possible) le système doit assurer une confidentialité absolue : seul le destinataire initial ou autorisé doit connaitre l'identité de l'émetteur. Toute autre personne venant à le connaître dans le cadre du fonctionnement normal du processus de recueil de l'alerte rend le système non conforme.

(exemple d'interprétation possible) Seul, l'adresse IP, le nom, le prénom, le prénom et l'adresse email peuvent servir à l'identification de l'émetteur.

Selon si absolue ou relative. Définir les interlocuteurs qui ne peuvent dans tous les cas pas connaitre cette identité.

Il nous semble qu'un travail de ce type pourrait être effectué sur l'ensemble du texte avant sa rédaction afin de laisser à l'interprétation le moins de place possible.

Concernant les Autorisations uniques destinées à réglementer des produits, le recours à des exigences techniques spécifiques comme la préconisation d'une technologie plutôt qu'à une autre (du réseau veineux et le support individuel dans le cadre des systèmes biométriques) devrait être remplacé par des objectifs de performances tels qu'ils sont décrits dans la norme ISO/CEI 15408-1⁸⁶ pour assurer :

- l'impossibilité d'établir un lien entre des données à caractère personnel, - la non-observabilité.

Une approche de ce type rendrait sans aucun doute le référentiel plus technique mais plus facilement auditable et surtout moins dépendant des évolutions technologiques.

On pourrait également imaginer, nous l'avons déjà évoqué, que la CNIL ait recours à une forme de procédure «nouvelle approche» sur le même mode opératoire que la Commission européenne. Elle définirait dans les Autorisations uniques des objectifs en termes de protection des données à caractère personnel. L'atteinte de ces objectifs relèverait de l'application des normes comme l'ISO/CEI 15408 dans le cas que nos venons d'évoquer.

En termes de présentation, il pourrait être judicieux de systématiser la mise en page inaugurée par l'AU-005 sous la forme de tableau afin de rendre les différents objectifs plus facilement identifiables.

Il nous semble enfin qu'un mode de rédaction plus concis et moins juridique faciliterait la compréhension pour les non initiés et permettrait ainsi de répondre à la recommandation du point 6.6 des directives ISO/CEI partie 2 qui prescrit que «le style doit être aussi simple et concis que possible.»

Il pourrait être enfin profitable de faire intervenir des professionnels de la normalisation dans le processus d'écriture ou de réécriture des Autorisations uniques. Un représentant qualifié de l'AFNOR pourrait être consulté ou impliqué dans la rédaction. Les rédacteurs de la CNIL pourraient également suivre la formation au travail de normalisation qui est proposée à tout nouvel expert lors de son admission dans un comité technique.

Au terme de cette deuxième partie, il nous semble possible d'établir deux constats :

Il n'y a pas «d'origine contrôlée» des textes normatifs. Il convient seulement qu'ils soient reconnus comme tels par les entreprises et les institutions qui sont chargés de les appliquer et qu'ils établissent des règles suffisamment claires pour qu'il soient applicables dans la durée.

Les Autorisations uniques nous paraissent par aileurs auditables. Les dispositions qu'eles contiennent sont dans la majorité des cas suffisamment claires et précises pour que l'on puisse envisager d'en évaluer l'application. Un certain nombre de dispositions mériteraient néanmoins d'être clarifiées afin d'éviter tout risque d'interprétation divergente de la part d'évaluateurs potentiels. Travail qui pourrait être fait sur la base des textes existants ou mieux encore, au moment de leur révision ou de leur élaboration.

Nous nous interrogerons dans le cadre de cette partie sur la nature des personnes ou des institutions qui pourraient être habilitées à évaluer la conformité aux Autorisations uniques.

1. Que signifie évaluer la conformité ?

Le point 2.1 de la norme ISO/CEI 17000:2004⁸⁷ définit l'évaluation de la conformité comme « une procédure visant à vérifier que des produits, matériaux, services, systèmes ou individus sont bien conformes aux spécifications définis dans une norme»

1.1 Evaluer la conformité peut être une obligation

L'évaluation de la conformtié est parfois une démarche indispensable avant la mise sur le marché pour certains produits; ceux-ci nécessitant des essais de conformité à des spécifications ou à des règlements de sécurité ou règlements sanitaires avant d'être commercialisés.

C'est le cas de la procédure dite de «marquage CE» qui s'inscrit dans la démarche de «nouvelle approche» de l'Union européenne mise en place suite à la Résolution du Conseil du 7 mai 1985⁸⁸

Ce marquage obligatoire est apposé sur les produits commercialisés dans l'Union européenne à l'issue d'une procédure d'évaluation de leur conformité. Une fois obtenu, il permet de commercialiser ces produits dans tous les pays de l'Union sans avoir à refaire certifier ce produit.

Le niveau de vérification de la procédure varie en fonction de la dangerosité des produits et de la directive dont ils dépendent.

Cela peut aller de la simple attestation de conformité émise par le fabricant, à la vérification à l'unité par un organisme notifié (habilité) en passant par à la mise en oeuvre d'un système d'assurance qualité de type ISO contrôlé par un organisme accrédité⁸⁹.

Il existe huit niveaux d'évaluation matérialisés par des " modules " catalogués de A à H. Chaque Directive désigne, en fonction des produits et des risques, les modules qui doivent être utilisés.

Il s'agit de la procédure par laquelle un fabricant ou un importateur déclare qu'un produit type est conforme aux règles techniques qui lui sont applicables. Cette procédure est également appelée "auto-certification".

Lorsqu'un échantillon (un type) satisfait aux dispositions fixées par la directive, un organisme notifié (accrédité) délivre au fabricant une "attestation d'examen CE de type" qui est l'équivalent d'une certification, valable la plupart du temps 10 ans.

87 ISO/CEI 17000:2004 Évaluation de la conformité - Vocabulaire et principes généraux

88 Résolution 85/C 136/01 du Conseil européen concernant une nouvelle approche en matière d'harmonisation technique et de normalisation. Journal officiel C 136 du 4 juin 1985

89 Décision du Conseil 93/465/CEE du 22 juillet 1993, concernant les modules relatifs aux différentes phases des procédures d'évaluation de la conformité et les règles d'apposition et d'utilisation du marquage «CE» de conformité, destinés à être utilisés dans les directives d'harmonisation technique

Le fabricant doit s'assurer que toutes les mesures nécessaires ont été prises pour que le procédé de fabrication soit conforme au type certifié. Une attestation d'examen CE de type a du être préalablement délivrée pour que cette procédure soit envisageable.

Le fabricant soumet son processus de fabrication à un système de gestion qualité approuvé et contrôlé par un organisme habilité (accrédité). Une attestation d'examen CE de type a du être préalablement délivrée pour que cette procédure soit également envisageable.

Le fabricant se soumet à un système de gestion qualité approuvé et contrôlé par un organisme habilité qui vérifie tous les produits au moment de la certification.

La vérification CE consiste en un examen systématique des produits finaux ou par tirage de lots aléatoires

Il s'agit d'une vérification de chaque produit qui est mise en oeuvre dans la cadre de production limitées.

C'est la procédure la plus contraignante qui impose de soumettre la conception, la fabrication et la vérification des produits à un système de gestion qualité approuvé et contrôlé par un organisme habilité qui vérifie tous les produits avant commercialisation.

L'évaluation de la conformité peut également relever d'une obligation légale. Nous l'avons déjà vu plus haut concernant la certification en matière de signature électronique .

En vertu du décret 2001-272 du 30/04/2001 relatif à la mise en place d'un dispositif sécurisé de création de signature électronique, celle-ci ne peut avoir valeur de preuve légale que si elle est qualifiée de «fiable».

Pour cela, la signature électronique doit répondre à un certain nombre d'exigences dont l'une est d'avoir été créée par un système sécurisé et reconnu comme tel par un tiers accrédité.

Pour que le dispositif de création soit reconnu comme sécurisé il doit répondre aux exigences posées par l'art 3.1 du décret 2001-272 du 30/04/2001⁹⁰.

La loi oblige tout système de signature électronique à être certifié conforme par rapport aux dispositions du décret pour être considéré comme fiable.

1.2 Evaluer la conformité peut être une condition

L'évaluation de la conformité constitue la plupart du temps un acte volontaire dans le but d'obtenir une reconnaissance, (un certificat ou un label) attestant de la conformité d'un produit ou d'une procédure par rapport à un référentiel donné. Ce peut être aussi une condition pour obtenir un droit ou un privilège. L'objectif premier de l'évaluation de la conformité est d'apporter à ceux qui y ont recours l'assurance que les exigences applicables aux produits, services, systèmes, processus et matériaux sont satisfaites comme précise la norme CW 15499 du CEN⁹¹.

90 Décret n° 2002-692 du 30 avril 2002 pris en application du 1° et du 2° de l'article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics

2. Qui peut évaluer la conformité ?

2. 1. Un évaluateur indépendant et objectif

Une procédure d'évaluation de la conformité présuppose le recours à un évaluateur externe. On parle aussi de certification par un tiers ou de certification par tiers. Comme le souligne la norme NF EN 45020, la certification est une procédure « par laquele une tierce partie donne une assurance écrite qu'un produit, un processus ou un service est conforme aux exigences spécifiées ».

L'article 1er de la loi n° 94-442 du 3 juin 1994 ⁹²modifiant L' article L.115-27 du Code de la consommation ajoute pour sa part que « constitue une certification (É ) l'activité par laquele un organisme, distinct du fabricant, de l'importateur, du vendeur ou du prestataire, atteste, à la demande de celui-ci effectuée à des fins commerciales, qu'un produit ou un service est conforme à des caractéristiques décrites dans un référentiel et faisant l'objet de contrôle ».

Le recours à un évaluateur externe s'impose dans la majorité des cas afin d'assurer l'indépendance et l'objectivité de l'évaluation par rapport aux intérêts de l'entreprise ou de l'institution évaluée comme le souligne le rapport CWA 15 499 partie 1 du CEN⁹³.

Le recours à un évaluateur interne demeure possible dès lors nous dit le texte de norme européeen dès lors «que l'on ne se place pas dans le cadre d'une démarche certifiante mais simplement dans une démarche d'auto-évaluation éventuelement préparatoire à une procédure de certification ou lorsqu'il n'est pas possible de trouver un évaluateur externe maîtrisant l'environnement fonctionnel dans lequel l'audit doit se dérouler.»⁹⁴

2. 2 . Un évaluateur compétent

Une deuxième condition soumet l'évaluateur à des conditions de compétences qui doivent être reconnues et ceci comme le souligne le CWA 15499 -2 :2005 à trois niveaux⁹⁵ :

- sur la législation spécifique à la protection des données à caractère personnel, - sur les technologies de l'information,

Comme le souligne la norme CWA 15 499 - 1, l'audit de certification a pour objectif de donner une assurance à l'audité afin que celui-ci puisse ensuite s'en prévaloir comme un élément de preuve à des fins juridiques ou autres. De ce fait, tout ce qui peut entacher cette preuve de nullité ou la mettre en doute doit être soigneusement évité. Il va ainsi du soupçon de non objectivité ou de non indépendance de l'évaluateur ou de l'évaluation ou encore du soupçon d'incompétence de l'évaluateur⁹⁶.

92 Loi n° 94-442 du 3 juin 1994 modifiant le code de la consommation en ce qui concerne la certification des produits industriels et des services et la commercialisation de certains produits

Ce rapport initié par le cabinet d'audit PriceWaterHouseCoopers et édité en 2006 par le Workshop WS/DPP du CEN dans le cadre de `l'Initiative on Privacy Standardization in Europe» avait pour objectif de décrire les principes généraux à suivre dans le cadre d'un audit de conformité aux principes posés par la Directive 95/46 CE. Il précise en p 9 :«The difference between `audit' and `self-assessment' lies with the attitude of the person carrying out the review towards the object of the review / outcome of the review. An auditor needs to be independent and shall not have any interest in the outcome of the audit. Whereas a manager conducting a self assessment of his organisation is likely to be directly concerned with the outcome.» ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15499-01-2006-Feb.pdf

Il n'est pas toujours évident de trouver une seule personne possédant cette triple compétence. Raison pour laquelle on peut faire appel, nous dit la norme CWA 15 499 - 2, à plusieurs évaluateurs dont chacun disposera d'une partie des compétences qu'il pourra mettre en commun dans le cadre d'un travail collaboratif⁹⁷.

2. 3. Un évaluateur dont la compétence a été reconnue

La troisième condition est liée à la nécessité de contrôler les qualifications des évaluateurs en fonction d'un niveau de compétence attendu. Cette certification des compétences que l'on appelle communément «l'accréditation» peut être effectuée au niveau individuel ou au niveau d'une entreprise.

2.3.1 L'accréditation : un moyen de reconnaître la compétence

2.3.1.1 Qu'est ce que l'accréditation ?

La norme ISO/CEI 17011:2005 paragraphe 3.1 définit l'accréditation comme une « Attestation délivrée par une tierce partie, ayant rapport à un organisme d'évaluation de la conformité, constituant une reconnaissance formele de la compétence de ce dernier à réaliser des activités spécifiques d'évaluation de la conformité ».

2.3.1.2 Qui accrédite-ton ?

On accrédite « les laboratoires, les organismes d'inspection et les organismes de certification afin d'attester de leur compétence pour réaliser des étalonnages, des essais, des inspections ou pour certifier des produits, des systèmes ou des personnes» comme le précise le COFRAC⁹⁸ dont c'est l'activité exclusive.

On accrédite également des individus. Cette accréditation peut avoir pour objectif de s'assurer de la fiabilité d'une personne (c'est le cas de l'accréditation de Défense Nationale) ou bien pour s'assurer d'un certain niveau de compétence.

2.3.1.3 Pourquoi accrédite-t-on ?

L'accréditation constitue le niveau ultime de contrôle de la compétence technique des personnes ou des organismes charge de l'évaluation en vue d'obtenir une certification. Comme le souligne la présentation du COFRAC 99« L'accréditation a pour objectif d'établir la confiance dans les prestations de contrôle de conformité réalisées par des tiers. Ele indique au demandeur de l'organisme de certification que sa compétence pour mener ces certifications a été confirmée par un organisme indépendant »

Le recours à l'accréditation est par nature volontaire mais elle tend à se développer au niveau réglementaire. Elle peut être exigée par exemple comme préalable à un agrément en vue d'appliquer une réglementation ou en vue d'une notification visant à certifier la conformité aux Directives européenne dites de «nouvelle approche».

Comme nous l'avons vu dans la partie consacrée à ce sujet , l'évaluation et la certification de la conformité aux Directives «Nouvelle approche» est déléguée à des organismes tiers appelés organismes notifiés. Un organisme notifié comme le précise le British Standard Institution (BSI) est «une organisation nommée par un gouvernement membre et notifiée par la Commission européenne. Pour être désigné, il doit observer certaines exigences en matière de

98 et ⁹⁸ La procédure d'accréditation est présentée sur le site du COFRAC dans la rubrique «Tout sur l'accréditation» à cette adresse:

connaissances, d'expérience, d'indépendance et de ressources en vue de mener des évaluations de conformité. Sa tâche principale consiste à fournir des services d'évaluation de la conformité selon les dispositions stipulées dans les directives «Nouvele approche» qui régissent le marquage CE. Généralement, cette responsabilité impose d'évaluer la conformité des fabricants en fonction des exigences essentieles de chaque directive¹⁰⁰».

Les organismes notifiés sont donc des organismes qui sont reconnus compétents par la Commission européenne sur proposition des gouvernements des Etats membres afin d'évaluer la conformité aux Directives «Nouvelle Approche». La liste des organismes notifiés pour chacune des directives est publiée au Journal officiel de l'Union européenne (JOUE).

Constatant certaines dérives notamment en termes de qualification des organismes, des axes d'améliorations de la procédure de notification ont été proposés par la Commission européenne en 2003¹⁰¹.

La Commission a notamment proposé d'avoir recours à l'accréditation ¹⁰² comme préalable à la notification des organismes d'évaluation de la conformité dans le but d'assurer un niveau homogène de compétence aux organismes notifiés et de faciliter la reconnaissance mutuelle des procédures d'évaluation.

Cette tendance au recours à l'accréditation comme pré-requis à la notification s'est développée depuis la parution du Règlement européen du 9 juillet 2008 relatif à l'accréditation et à la surveillance du marché¹⁰³.

En France, l'accréditation constitue un préalable au processus de certification depuis la loi n°2008-776 du 4 août 2008 dont l'article. 137 - V modifie lÔ art. L. 115-28 du code de la consommation. Article qui précise que : « Peuvent seuls procéder à la certification de produits ou de services les organismes qui bénéficient d'une accréditation délivrée par l'instance nationale d'accréditation, ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne, membre de la coopération européenne pour l'accréditation et ayant signé les accords de reconnaissance mutuele multilatéraux couvrant la certification considérée»¹⁰⁴.

2.4 Qui a la responsabilité d'accréditer ?

Deux organismes au niveau mondial regroupent tous les organismes nationaux et régionaux chargés de l'accréditaion dans le domaine de la certification :

- ILAC (International Laboratory Accreditation Coopération) pour l'accréditation des laboratoires

- IAF (International Accreditation Forum) pour l'accréditation des organismes certificateurs et des organismes d'inspection.

100 La meilleure définition que nous ayons trouvé sur les organismes «notifiés» se trouvent étonnamment sur la version canadienne du site du British Standardization Institute. Cette définition est accessible en anglais à cette adresse: " http://www.bsigroup.ca/fr-ca/product-testing/ce-marking/what-is-a-notified-body/

101 Communication de la Commission du 7 mai 2003 au Conseil et au Parlement européen. « Améliorer l'application des directives « nouvelle approche » » final - Non publié au Journal officiel

102 Amélioration de l'application des directives « nouvelle approche » Synthèses de la législation de l'Union européenne - décembre 2006

103 Règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixe les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et il abroge le Règlement (CEE) no 339/93 du Conseil (JOUE L 218 du 13 août 2008) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:218:0030:0047:fr:PDF

Les organisations régionales ont une compétence limitée au niveau géographique. C'est le cas par exemple de l'EA (European cooperation for Accreditation) dont la compétence couvre les 27 membres de l'Union Européenne, les pays de l'AELE¹⁰⁵ et la Turquie. l'EA est compétent pour tous les types d'accréditation.

Ces organisations régionales constituent des relais pour les organisations mondiales. Elles ont également signé des accords de reconnaissance qui évitent à ILAC et IAF d'avoir à évaluer systématiquement tous leurs membres.

2.5 Comment accrédite-t-on ?

2.5.1 Les organismes accréditeurs

L'article 4 du Règlement européen du 9 juillet 2008 relatif à l'accréditation et à la surveillance du marché impose aux Etats membres de désigner un seul organisme accréditeur¹⁰⁶.

Cette démarche a été imposée dans le but d'éviter toute concurrence entre les organismes accréditeurs nationaux qui pourrait nuire à leur crédibilité. Crédibilité qui s'avère essentielle puisqu'il n'existe aucune instance supérieure aux organismes d'accréditation pouvant attester de leur compétence.

En France, c'est l'article 1er du Décret n° 2008-1401 du 19 décembre 2008¹⁰⁷ relatif à l'accréditation et à l'évaluation de conformité pris en application de l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie qui a désigné le COmité FRancais d'ACcréditation (COFRAC), association créée en 1994 comme seule instance nationale d'accréditation.

Tous les autes membres i de l'ILAC et de l'IAF se sont engagés à respecter par eux-mêmes les dispositions de la norme ISO/CEI 17011:2004¹⁰⁸ qui définit les exigences générales pour les organismes d'accréditation procédant à l'accréditation d'organismes certifcateurs. Ces exigences sont au nombre de quatre principales :

Il appartient ensuite à l'ILAC, à l'IAF ou à leurs correspondants régionaux : EA (European cooperation for Accreditation), APLAC (Asia Pacific Laboratory Accreditation Cooperation), PAC (Pacific Accreditation Cooperation), l'IAAC (Inter American Accreditation Cooperation) ou SADCA (South African Development Commity's cooperation in Accreditation) d'évaluer régulièrement la conformité des organismes accréditeurs de chaque pays aux dispositions de la norme.

2.5.2 L'accréditation des individus

2.5.2.1 La procédure de contrôle des connaissances de l'AMF

L'Autorité des Marchés Financiers (AMF) a mis en place depuis 1er juillet 2010 un dispositif de certification et de validation des connaissances de certains opérateurs de marchés financiers et notamment des responsables de la conformité qui sera sanctionné à terme par une amende en cas de défaut de formation.

105 Association européenne de libre-échange. En anglais EFTA qui comprend l'Islande, le Liechtenstein, la Norvège et la Suisse

106 Le Règlement 765/2008/CE du Parlement européen et du Conseil du 9 juillet 2008 fixe les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et il abroge le Règlement (CEE) no 339/93 du Conseil (JOUE L 218 du 13 août 2008) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:218:0030:0047:fr:PDF

107 Décret n° 2008-1401 du 19 décembre 2008 JORF n°0300 du 26 décembre 2008 page 20014

Évaluation de la conformité -- Exigences générales pour les organismes d'accréditation procédant à l'accréditation d'organismes d'évaluation de la conformité

L'arrêté du 30 janvier 2009 portant homologation des modifications du Règlement général de l'Autorité des Marchés Financiers a modifié l'article 313-7-1 et suivants du livre III du Règlement général de l'AMF afin d'établir dans son alinéa 1er que «Le prestataire de services d'investissement s'assure que les personnes physiques placées sous son autorité ou agissant pour son compte disposent des qualifications et de l'expertise appropriées ainsi que d'un niveau de connaissances suffisant.»¹⁰⁹

L'article 313-7-1 al 4 précise quant à lui que «Pour conduire la vérification mentionnée au II, le prestataire de services d'investissement dispose d'un délai de six mois à partir de la date à laquele le collaborateur concerné commence à exercer l'une des fonctions visées (..)»

L'article 313-7-3 al 2 souligne enfin que «Après avis du Haut Conseil certificateur de place, l'AMF :

« 1° Définit le contenu des connaissances minimales devant être acquises par les personnes physiques placées sous l'autorité du prestataire de services d'investissement ou agissant pour son compte(...) Ele publie le contenu de ces connaissances ;

« 3° Définit et vérifie les modalités des examens qui valident l'acquisition des connaissances minimales ; « 4° Délivre une certification des examens»¹¹⁰

L'aspect opérationnel du contrôle de connaissance a été délégué à des sociétés spécialisées¹¹¹ dans la formation dont le programme ainsi que le contenu des examens ont fait l'objet d'une homologation préalable de la part de l'AMF.

Cette forme d'accréditation s'apparente à la procédure plus ou moins formalisée que l'on peut retrouver dans d'autres métiers, qu'il soient manuels (caristes, grutiers, pilotes) ou intellectuels (avocats ou experts-comptables)

2.5.2 La procédure d'accréditation des experts EuroPriSe

L'European Privacy Seal¹¹² est un projet de coopération européenne initié en juin 2007 par l'autorité de protection des données à caractère personnel du Schleswig-Holstein - l'Unabhngiges Landeszentrum für Datenschutz (ULD) - auquel 8 pays de l'Union européenne dont la France se sont associés.

Ce projet avait pour objectif initial de valoriser l'expérience allemande en matière de certification dans le but de créer un label européen, l'European Privacy Seal, certifiant la conformité des produits et des procédures par rapport à la réglementation européenne en matière de protection des données à caractère personnel et principalement la Directive 95/46/CE¹¹³.

La procédure d'évaluation de l'European Privacy Seal s'appuie sur des experts indépendants qui sont accrédités par

109 Arrêté du 30 janvier 2009 portant homologation de modifications du Règlement général de l'Autorité des marchés financiers JORF n°0031 du 6 février 2009 page 2105

110 Arrêté du 30 janvier 2009 portant homologation de modifications du Règlement général de l'Autorité des marchés financiers JORF n°0031 du 6 février 2009

113 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

l'European Privacy Seal Board sur la base d'une procédure équivalente à celle mise en place par l'ULD pour son propre programme certification.

Les deux premières exigences font l'objet d'une simple déclaration « sur l'honneur »¹¹⁴ de la part des candidats.

La procédure de vérification des compétences passe quant à elle par une évaluation. Les candidats à l'accréditation sont d'abord invités à suivre un séminaire de présentation du programme de certification auprès de l'European Privacy Seal Board à Kiel.

A l'issue de ce séminaire, un cas d'étude leur est soumis sur lequel ils doivent présenter un rapport d'audit dont le périmètre sera défini en fonction du champ d'accréditation auquel ils ont postulé. Le programme propose en effet d'être accrédité sur l'aspect juridique ou technique de l'évaluation ou encore sur les deux aspects. Les candidats sont invités à envoyer leur évaluation à l'European Privacy Seal Board pour validation et décision d'admission au titre d'expert EuroPriSe¹¹⁵.

L'accréditation leur est accordée pour une période de 3 ans reconductible ¹¹⁶ si l'expert a mené au moins un audit dans ce domaine dans l'intervalle ou s'il a suivi une formation de remise à niveau proposée par lÔEuropean Privacy Seal Board.

2.5.3 Les avantages et les inconvénients de l'accréditation à titre individuel

Cette procédure d'accréditation à titre individuel est intéressante pour assurer un niveau de connaissances minimal et homogène sur un sujet complexe ou présentant certains risques. Ce type de procédure pourrait être intéressant si l'on souhaitait par exemple s'assurer du niveau de connaissance des Correspondants Informatiques et Libertés¹¹⁷ désignés dans les entreprises et les institutions.

L'international Association of Privacy Professionnal (IAPP) américaine propose d'ailleurs ce type de certification individuelle sur la base du volontariat dans le cadre de ses programmes « Certified Information Privacy

116 La liste des experts accrédités est publiée sur le site de l'EuroPriSe https://www.european-privacy-seal.eu/

117 Les entreprises domiciliées en France et dont les effectifs en charge des traitements automatisés de données à caractère personnel dépassent 50 personnes ont la possibilité de désigner parmi leur salarié un correspondant Informatique et Libertés (CIL).

Celles dont les effectifs en charge des traitements automatisés de données à caractère personnel ne dépassent pas 50 personnes ont également la possibilité de faire appel à une personne externe en lieu et place d'un salarié pour prendre en charge ces questions.

La désignation du CIL présente l'intérêt comme le souligne l'article 23 de la loi 78-17 du 6 janvier 1978 modifiée le 6 Août 2004¹³⁸ d'alléger les formalités déclaratives de l'entreprise vis à vis de la CNIL. Le CIL comme le précise l'article 49 du décret du 20 octobre 2005 qui définit ses missions, a la charge de tenir un registre des traitements qui dispense l'entreprise de déclarations préalables mais pas des demandes d'autorisation préalable pour les traitements relevant de l'article 25 -1 de la loi 78-17 ni des déclarations de conformité aux Autorisations uniques au sens de l'article 25-4 de la loi. Nous verrons un peu plus loin (p 69 et suivantes) le détail de ces missions et de ces privilèges qui sont détaillés sur le site de la CNIL à cette adresse :

Professional » (CIPP)¹¹⁸. Certification qu'elle essaie d'implanter en Europe en proposant un programme dédié 119.

Ces programmes proposent de certifier les connaissances des professionnels de la protection des données à caractère personnel par le biais d'une évaluation des connaissances ¹²⁰ . Cette reconnaissance professionnelle n'a aucune incidence légale bien qu'elle soit recommandée aux professionnels américains et étrangers souhaitant travailler aux Etats-Unis dans ce domaine.

Cette procédure d'accréditation individuelle peut également être un moyen d'accompagner la création d'un programme de certification pour lequel on n'est pas sûr qu'il existe encore un marché suffisamment « mature » pour intéresser les organismes de certification. Elle peut permettre de s'assurer d'un nombre minimal de certificateurs accrédités selon des exigences normalisées. C'est peut être d'ailleurs l'une des raisons pour lesquelles cette démarche d'accréditation à titre individuel a été choisie dans le cadre du label EuroPriSe.

Cette solution pourrait être envisagée dans le cadre d'un programme de certification des Autorisations uniques. Elle peut s'avérer lourde à gérer pour un organisme comme la CNIL dont les ressources et le budget ne sont pas extensibles à moins de la rendre payante ou encore de la déléguer à des organismes de formation privée comme l'a fait l'AMF.

Cette procédure individuelle présente des inconvénients qu'il cnvient de souligner:

Elle ne nous semble pas très adaptée à l'évaluation technique de la conformité des produits qui exigent des compétences et mais aussi parfois des installations qu'un expert seul n'est pas toujours en mesure de mettre en oeuvre.

Il est courant que, par commodité, les organismes certificateurs se voient déléguer le soin d'évaluer mais également de certifier eux mêmes la conformité. L'AFNOR, le bureau Veritas¹²¹ évaluent et certifient la conformité à de nombreuses normes. Cette délégation complète du processus de certifiction n'est pas possible si on la confie à un individu seul. Celui-ci ne pouvant être juge et partie au moment de contrôler l'évaluation. De ce fait l'évaluation de la conformité par des experts indépendants n'est pas la démarche la plus courante.

Il n'est pas forcément nécessaire d'accréditer chaque intervenant dans un processus de certification dans la mesure ou la capacité à se prévaloir d'un certain niveau de formation ou/et d'une expérience peut s'avérer suffisante. Il est également possible d'avoir recours à des équipes pluri-disciplinaires ou chaque intervenant possède une partie des compétences requises et de les mettre en commun comme la procédure d'accréditation suisse le propose. Nous le verrons un plus loin.

Les sujets sont en outre suffisamment complexes et étendus pour qu'il s'avère délicat de déterminer sur quelle base certifier les compétences d'un individu dans ce domaine (juridique, technique, fonctionnelle). C'est d'ailleurs pour contourner cette difficulté que l'IAPP et l'EuroPriSe proposent plusieurs types de certification. L'IAPP en propose trois. L'un à dominante régionale (fondée sur la réglementation Américaine, canadienne et maintenant européeenne). Un autre à dominante technique ou juridique et une dernière avec une orientation fonctionnelle (administration en l'occurrence).

2.6 Accréditer les organismes certificateurs On distingue deux types d'organismes certificateurs:

119 l'European Privacy (CIPP/E) est proposé dans le cadre de la session d'examen de certification du 1er décembre 2010 qui se tiendra dans les locaux de l'Institut Catholique de Paris. https://community.privacyassociation.org/eweb/DynamicPage.aspx? webcode=EventInfo&Reg_evt_key=41178e6b-553b-4da7-abf1-b721d6525e7a&RegPath=EventRegFees

121 Le Bureau Veritas pour ne prendre que cet exemple est un organisme certificateur qui intervient sur l'évaluation et la certification de nombreuses normes au premier rangs desquelles les normes ISO 9000 et 9001. http://www.bureauveritas.fr/wps/wcm/connect/bv fr/Local/Home/About-Us/Our-Business/Certification/

Seuls les seconds portent étonnamment le nom « d'organisme de certification » dans les textes normatifs. Les autres sont désignés sous le terme de «laboratoires d'essais».

Les accréditations des organismes certificateurs sont délivrées à partir d'un rapport d'évaluation mené par l'organisme accréditeur sur la base de référentiels adaptés au type de certifications que l'organisme demandeur est appelé à délivrer.

Ces référentiels ont été élaborés dans le courant des années 90 pour accompagner le développement de la certification autour des normes ISO 9000 et ISO 9001 et harmoniser les règles d'accréditation des organismes évaluateurs. Les référentiels les plus connus sont :

L'expérience a démontré que le manque de précisions de ces référentiels et la compétition régnant entre les organismes de certification pouvait nuire à la qualité des accréditations et au processus de normalisation dans son ensemble comme le souligne M. Allister Dalrymple de l'ISO.¹²²

La volonté de s'extraire de ce « cercle vicieux de le certification»¹²³ comme il le défini lui même a encouragé l'ISO à publier une nouvelle norme, la norme ISO/CEI 17021:2006¹²⁴ - plus complète et plus précise qui fusionnent les référentiels ISO/CEI guide 62 et ISO/CEI guide 66.

Cette norme ISO/CEI 17021:2006 constitue aujourd'hui la référence au niveau mondial en matière d'accréditation. Elle a été déclinée en plusieurs versions à l'intention d'activités spécifiques comme le présente le tableau ci-dessous :

Finalité des organismes

Référentiel d'évaluation ISO

Transpositions

françaises et européens des normes ISO

Laboratoires de biologie médicale ISO 15189 NF EN ISO 15189 : Laboratoires d'analyses de biologie

Organismes de Certification de systèmes de management et de qualification technique d'entreprises

Organismes d'inspection ISO/CEI 17020 NF EN 45004 - EN ISO/CEI17020 - Critères généraux pour le

conformité - Exigences pour les organismes procédant à l'audit et à la certification de systèmes de management

122 Présentation de la normes ISO/CEI 17021:2006 et du contexte qui a donnée lieu à son élaboration :

124 ISO/CEI 17021:2006 -Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

Exigences générales pour les organismes de certification procédant à la certification de personnes

2.7 Comment accréditer les organismes certificateurs ?

La procédure d'accréditation des organismes certificateurs est menée selon une procédure d'audit classique organisée en trois temps :

L'organisme se voit délivrer en cas de rapport d'évaluation positif une accréditation initiale pour une durée qui est variable en fonction des pays. Elle est de 4 ans initialement pour la procédure d'accréditation du COFRAC. Un contrôle est effectué tous les ans afin de vérifier si les conditions de maintien de l'accréditation sont réunies. Un renouvellement est possible au terme de la période initiale. Il est valable pour 5 ans en cas de succès de l'évaluation de renouvellement.

L'accréditation peut être retirée de manière temporaire ou définitive si des manquements sont constatés lors des contrôles périodiques ou des audits de renouvellement.

La procédure d'audit en vue d'obtenir une accréditation vérifie un certain nombre de points clés dans la procédure de certification de l'organisme demandeur:

L'accréditeur va vérifier si la procédure de certification de l'organisme demandeur n'exclut aucune catégorie de demandeurs entrant dans son champ de certification comme l'impose le point 2.1.1.1 de la norme NF EN 45012 - EN ISO/CEI 17021¹²⁵.

L'accréditeur va vérifier que l'entreprise ou l'institution demandeuse est organisée selon les prescriptions de la norme au niveau de son organisation hiérarchique, de ses règles de management, de sa prise de décision, de la qualité de son personnel qui doit au demeurant être régulièrement formé et dont le programme de formation doit être tenu à disposition comme le précise les points 2.2.2.1 et 2.2.2.2 de la norme.

L'audit d'accréditation va vérifier que la procédure de certification correspond aux prescriptions en termes de documentation (3.2), d'organisation, de qualification du personnel engagé dans l'évaluation (point 2.2.3.1), de méthodologie d'audit, de contenu de rapport d'audit (3.4), de délivrance de la certification (3.5), de fréquence et de contenu des audits périodiques de contrôle (3.6).

L'audit d'accréditation va vérifier que le demandeur n'entretien aucun lien avec des intérêts qui pourraient compromettre la qualité ou la probité de son travail d'évaluation (2.1.12). L'Indépendance de l'organisme va être vérifiée au niveau :

125 NF EN 45012 - ISO/CEI 17021:2006 est la traduction française intégrée au catalogue de l'AFNOR de la norme ISO/CEI 17021:2006- Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

L'audit va vérifier la transparence des procédures internes de délivrance de la certification (3.5) et de recours éventuel à la sous-traitance (2.1.3)

L'audit d'accréditation va prendre en considération l'existence ou non d'un processus de gestion de la qualité, organisé, documenté et évalué périodiquement (2.1.4).

L'audit d'accréditation va s'intéresser aux procédures en place visant à assurer la confidentialité (2.1.9) des informations échangées avec l'audité au cours de la procédure de certification.

La procédure d'évaluation peut s'appuyer sur des guides¹²⁶ qui sont mis à disposition des organismes d'accréditation nationaux par les fédérations mondiales (ILAF ou IAF) et régionales (EA).

Ces guides proposent aux organismes accréditeurs des précisions et des interprétations (parfois bienvenues) sur les différents points de contrôle à vérifier et les objectifs à atteindre.

Ces guides sont libres d'accès et offrent la possibilité aux organismes demandeurs d'effectuer une auto-évaluation préalable à leur demande d'accréditation.

2.8 Quelle différence entre accréditation et agrément ? 2.8.1 Un statut et une origine différente

« Le terme d'agrément désigne en droit administratif l'accord donné par une autorité à la nomination d'une personne ou à l'exécution d'un projet nécessitant son autorisation ou son avis préalable».

L'agrément se distingue de l'accréditation par le fait que l'agrément émane d'une autorité publique alors que l'accréditation est normalement le fait d'un organisme de droit privé.

L'agrément semble en France prévaloir sur l'accréditation puisque l'Etat a lui-même agréé le COFRAC comme seule instance capable d'accréditer.¹²⁷

2.8.2 Une démarche et une finalité similaire

Le Décret n°2002-535 du 18 avril 2002¹²⁸ a pour vocation d'organiser l'évaluation et l'agrément des systèmes

126 Le guide EA 7- 03 - EA Guidelines for the Accreditation of bodies operating certification/ registration of Information Security Management Systems - mis en à jour le 31/08/2009 est par exemple utile pour les organismes qui souhaitent accréditer des entreprises certificatrices dans le domaine de la sécurité informatique. Un référentiel spécifique, la norme ISO/IEC 27006:2007 - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information a également été publiée par l'ISO pour guider cette démarche spécifique.

127 Décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité pris en application de l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie

128 Le Décret n°2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information

Comme le précise l'article 1er du Décret « la sécurité offerte par des produits ou des systèmes des technologies de l'information, au regard notamment de leur aptitude à assurer la disponibilité, l'intégrité ou la confidentialité de l'information traitée face aux menaces dues en particulier à la malveillance peut être certifiée dans les conditions prévues au présent décret»

Le Décret précise dans son article 3 que cette évaluation ne sera pas directement effectuée par les services de l'Etat mais sera réalisée par des «centres d'évaluation agréés» par l'Agence Nationale de Sécurité de Systèmes d'Information (ANSSI) qui dépend du 1er Ministre.

L'article 2 du chapitre II du Décret dispose que pour obtenir l'agrément de l'ANSSI, le centre d'évaluation doit faire la preuve :

« a) De sa conformité à des critères de qualité selon les règles ou les normes en vigueur ;

La conformité mentionnée au a) et l'aptitude mentionnée au b) sont attestées soit par une accréditation délivrée par une instance d'accréditation mentionnée à l'article L. 115-28 du code de la consommation, soit par l'Agence nationale de la sécurité des systèmes d'information.

La compétence technique mentionnée au c est appréciée par l'Agence nationale de la sécurité des systèmes d'information, notamment à partir des moyens, des ressources et de l'expérience du centre d'évaluation.»

L'agrément est délivré, précise l'article 12 du Décret n°2002-535 du 18 avril 2002, pour une période de deux ans renouvelable et peut être assorti de conditions restrictives. Il est délivré par le Premier Ministre après avis du comité directeur de la certification représenté par l'ANSSI.

Il est intéressant de noter que l'organisme peut se prévaloir d'une accréditation obtenue du COFRAC ou d'un organisme étranger dont la procédure d'accréditation est reconnue. En revanche nous dit le texte, seule une évaluation technique positive de la part de l'ANSSI peut valoir, condition sine qua none, agrément pour l'organisme. Une accréditation ne peut valoir agrément, du moins dans ce cas. L'agrément semble donc une fois encore prévaloir sur l'accréditation.

2.8.3 Pourquoi un agrément plutôt qu'une accréditation?

L'accréditation reconnaît la compétence des organismes proposant des certifications à destination des entreprises. L'agrément lui s'impose là ou l'Etat a besoin de s'assurer de compétences spécifiques ou de donner une valeur juridique particulière à sa reconnaissance.

3. Faut-il des évaluateurs spécifiques pour les Autorisations uniques ?

3.1 L'exemple suisse

L'article 1er de l'ordonnance du 28 septembre 2007¹²⁹ sur les certifications en matière de protection des données précise que « Les organismes qui effectuent des certifications au sens de l'art. 11 de la loi sur la protection de données doivent être accrédités».

L'accréditation de ces organismes relève de l'ordonnance du 17 juin 1996¹³⁰ relative aux règles générales régissant l'accréditation des organismes de certification ainsi que des dispositions spécifiques contenues dans l'article 1er de l'ordonnance du 28 septembre 2007 qui précise dans son alinéa 2 que :

130 Ordonnance sur le système suisse d'accréditation et la désignation de laboratoires d'essais et d'organismes d'évaluation de la conformité, d'enregistrement et d'homologation (Ordonnance sur l'accréditation et la désignation, OAccD) du 17 juin 1996 http://www.admin.ch/ch/f/rs/9/946.512.fr.pdf

«Une accréditation distincte est requise pour les certifications portant sur:

L'audit d'accréditation doit vérifier que la procédure de certification de l'organisme demandeur est adaptée à ce sujet spécifique. Comme le précise l'article 1 alinéa 3 de l'Ordonnance :

«3 . Les organismes de certification doivent disposer d'une organisation et d'une procédure de certification (programme de contrôle) déterminées. Les points suivants doivent notamment être réglés:

L'ordonnance du 28 septembre 2007 impose un niveau minimal de qualifications au personnel chargé d'évaluer la conformité aux dispositions de la loi du 19 juin 1992 sur la protection des données à caractère personnel¹³¹.

Ces exigences sont fixées en annexe de l'ordonnance du 28 septembre 2007 qui précise les compétences minimales du personnel impliqués dans la certification des procédures et des produits :

«L'organisme de certification doit prouver que le personnel qui certifie les systèmes de gestion de la protection des données, pris dans son ensemble, possède les qualifications suivantes:

- connaissance du droit de la protection des données: doit être prouvée une activité pratique d'au moins deux ans dans le domaine de la protection des données ou un diplôme d'une haute école ou d'une haute école spécialisée sanctionnant des études d'une année au moins, avec comme matière principale le droit de la protection des données;

- connaissances dans le domaine de la sécurité informatique: doit être prouvée une activité pratique d'au moins deux ans dans le domaine de la sécurité informatique ou un diplôme d'une haute école ou d'une haute école spécialisée sanctionnant des études d'une année au moins, avec comme matière principale la sécurité informatique;

- formation d'auditeur de systèmes de management (selon le guide ISO/CEI 62 [ISO/CEI 17021:2006]).

L'organisme de certification doit prouver qu'il dispose de personnel qualifié pour chacun des domaines qu'il couvre. L'évaluation des systèmes de gestion par une équipe interdisciplinaire est autorisée.»

Les exigences imposées par l'ordonnance du 28 septembre 2007 sont appréciées au niveau collectif et non au niveau individuel. Ce qui laisse une marge de manoeuvre aux organismes pour constituer des équipes pluri-disciplinaires capables de répondre à ces exigences.

Concernant le déroulement de la procédure d'accréditation, l'ordonnance dispose dans son article 2 que « Le Service d'accréditation suisse associe le Préposé fédéral à la protection des données et à la transparence (le préposé) à la procédure d'accréditation et au contrôle ainsi qu'à la suspension et à la révocation de l'accréditation ».

L'article 3 de l'ordonnance du 28 septembre 2007 précise dans son alinéa 1 que les organismes suisses mais aussi les organismes d'origine étrangère mais domiciliés en Suisse - alinéa 2 - peuvent être accrédités. Les organismes étrangers d'accréditation peuvent également accréditer des sociétés d'origine suisse - alinéa 3- et domiciliées en Suisse.

Il revient au Service d'Accréditation Suisse (SAS) de délivrer l'accréditation qui comme le précise l'article 14 de l'ordonnance est accordée pour une durée maximale de 5 ans. Période qui peut être prolongée d'autant en cas de réussite de l'évaluation de renouvellement.

131 Loi fédérale du 19 juin 1992 sur la protection des données dite LPD RS 235.1

Il revient également au SAS de retirer de manière temporaire ou définitive l'accréditation (article 21) si les conditions de maintien de cette accréditation ne sont plus réunies par l'organisme concerné. Ces manquements pouvant être constaté à tout moment.

La liste des organismes accrédités fait l'objet d'une publication de la part du SAS comme le précise l'article 15 et 23 alinéa 2 de l'Ordonnance du 28 septembre 2007.

3.2 Est-ce un rôle pour Le Correspondant Informatique et Libertés (CIL) ?

Les entreprises domiciliées en France et dont les effectifs en charge des traitements automatisés de données à caractère personnel dépassent 50 personnes ont la possibilité de désigner parmi leur salarié un correspondant Informatique et Libertés (CIL).

La désignation du CIL présente l'intérêt comme le souligne l'article 23 de la loi 78-17 du 6 janvier 1978 modifiée le 6 Août 2004¹³² d'alléger les formalités déclaratives de l'entreprise vis à vis de la CNIL. Le CIL comme le précise l'article 49 du décret du 20 octobre 2005¹³³ qui définit ses missions, a la charge de tenir un registre des traitements qui dispense l'entreprise de déclarations préalables mais pas des demandes d'autorisation préalable pour les traitements relevant de l'article 25 -1 de la loi 78-17 ni des déclarations de conformité aux Autorisations uniques au sens de l'article 25-4 de la loi.

Dans le cadre de cette mission de « facilitateur » souhaitée par la loi, il nous est apparu intéressant de nous interroger sur le rôle que pourrait jouer le CIL dans l'évaluation de la conformité aux Autorisations uniques, ceci dans l'optique d'une certification.

Le CIL interne est un salarié de l'entreprise dont le contrat de travail prévoit par nature un lien de subordination¹³⁴ à son employeur.

Situation qui exclut toute indépendance organique même si l'article 46 du décret du 20 octobre 2005 qui définit le statut et les missions du CIL précisent que « le correspondant ne reçoit aucune instruction pour l'exercice de sa mission ».

Cette absence d'indépendance organique présente un risque quant à son objectivité. Règle qui nous l'avons vu est une condition indispensable pour assurer la validité de l'évaluation en vue d'une certification. Ce qui exclut à notre sens le CIL interne en tant que salarié du rôle d'évaluateur possible.

Un Correspondant Informatique et Libertés (CIL) externe ou bien un CIL mutualisé pourrait éventuellement remplir ces conditions. La possibilité de lui confier cette mission d'évaluation nous semble cependant subordonnée à l'existence d'une relation de travail en cours entre l'entreprise auditée et le CIL externe ou mutualisé. Dès lors que le CIL entretient des relations déjà formalisées avec le futur audité, son indépendance et par conséquent son objectivité risque d'être compromises par une trop grande dépendance ou proximité.

132 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

133 Décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004

«Le lien de subordination est caractérisé par l'exécution d'un travail sous l'autorité de l'employeur qui a le pouvoir de donner des ordres et des directives, d'en contrôler l'exécution et de sanctionner les manquements de son subordonné ; É le travail au sein d'un service organisé peut constituer un indice du lien de subordination lorsque l'employeur détermine unilatéralement les conditions d'exécution du travail » Cass. soc., 13 novembre 1996, Bull. civ., V, n° 386

Il nous semble que seul un prestataire totalement indépendant et donc sans relation préalable avec l'audité pourrait être valablement chargé d'une mission de ce type. Prestataire qui pourrait très bien être un CIL externe dès lors que celui-ci n'entretient pas de relation préalable avec le futur audité. Ce pourrait également être un CIL mutualisé dès lors que celui-ci n'entretient pas de relation de subordination ou de dépendance avec l'audité; si son activité est supporté (financièrement et hiérarchiquement) par un syndicat, une association professionnelle ou un groupement d'intérêt.

L'article 49 du Décret n°2005-1309 du 20 octobre 2005 délimite les missions du CIL de la manière suivante:

« Le correspondant veile au respect des obligations prévues par la loi du 6 janvier 1978 susvisée pour les traitements au titre desquels il a été désigné. A cette fin, il peut faire toute recommandation au responsable des traitements.

Il est consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements appelés à figurer sur la liste prévue par l'article 47.

Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur la liste prévue par l'article 47. Lorsqu'eles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés.

Il informe le responsable des traitements des manquements constatés avant toute saisine de la Commission nationale de l'informatique et des libertés.

Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission. »

L'article 49 n'évoque en revanche aucune mission pour le CIL qui soit liée de près ou de loin à la certification. La question se pose alors de savoir si il est juridiquement envisageable que le CIL remplisse d'autres missions que celles qui ont été expressément prévues par la loi ? Pour le dire autrement, ses missions sont-elles strictement limitées à celles qui sont expressément prévues par le Décret ou peut-on considérer l'article 49 comme une série de dispositions « planchers » à laquelle d'autres missions pourraient s'ajouter dès lors qu'elles entrent dans le cadre de sa mission de protection des données à caractère personnel ?

La deuxième option nous paraîtrait plus conforme à l'esprit de la loi qui vise à diffuser la culture Informatique et Libertés au sein des entreprises et des institutions. Cela reste néanmoins une interprétation qui n'engage que l'auteur. Aucune jurisprudence n'est venue jusqu'à présent confirmer ou infirmer cette interprétation.

Pour illustrer ce point de vue, nous pourrions prendre l'exemple de la mise en place d'outils de pilotage de l'activité du CIL; mission qui n'est pas expressément prévue par le Décret du 20 Octobre 2005. Cette activité constitue pourtant une tâche essentielle pour le CIL qui souhaite remplir pleinement sa mission et pouvoir identifier les « manquements, les signaler au responsable de traitements et consigner son action dans le bilan » comme l'article 49 du décret l'enjoint à le faire.

Certains objecteront que l'évaluation de la conformité en vue d'obtenir une certification ne correspond pas à un moyen de parvenir à la réalisation d'un quelconque objectif définis par l'article 49. Cette mission non explicitement prévue par les textes pourrait même détourner le CIL de la réalisation des missions qui elles sont explicitement prévues par le décret. Ceci d'autant plus qu'il est encore rare que le CIL consacre tout son temps de travail à cette activité.

Ces critiques nous paraissent justifiées et ceci d'autant plus si le nombre de traitements relevant de la conformité aux Autorisations uniques s'avèrent nombreux et dispersés au sein d'entités ou de filiales éloignées.

Il nous semble néanmoins que le CIL qu'il soit interne, externe ou mutualisé pourrait jouer un rôle de supervision dans cette procédure d'évaluation/certification et ceci en accord avec les dispositions de l'article 49 du Décret du 20 octobre 2005.

- Il pourrait superviser ce projet de certification depuis le choix du prestataire jusqu'à l'obtention de la certification.

- il pourrait également s'assurer que les mesures sont prises pour maintenir la conformité de ces traitements spécifiques afin de garantir la certification dans le temps. Son obligation demeurant une obligation de moyen et non de résultat dans la mesure ou son rôle se borne à alerter le responsable de traitement des manquements comme le précise l'article 49 alinéa 4.

Ces deux tâches entrent à notre avis dans le champ définit par le décret du 20 Octobre 2005 puisque celui-ci dispose dans l'article 49 que « Le correspondant veille au respect des obligations prévues par la loi du 6 janvier 1978 ».

Loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004 dans laquelle il est clairement énoncé dans l'article 25-4 que « le Responsable de Traitement prend un « engagement de conformité de celui-ci (ndlr : le traitement) à la description figurant dans l'autorisation» lors de sa déclaration volontaire de conformité. Conformité qu'il est censé assurer dans la durée.

3.3 Est-ce un rôle pour des experts indépendants ?

L'accréditation d'experts indépendants sur le même mode que celui proposé par le label EuroPriSe ou par l'ICPP du Schleswig Holstein évoqué plus haut nous parait tout à fait possible sur le principe. On pourrait même envisager de reconnaître directement les experts accrédités par ce label. La France étant partie prenante du projet EuroPriSe, ce pourrait être une manière de l'intégrer de manière active.

Une autre piste pourrait consister à accorder une accréditation « sur titre » à des experts dont la formation ou l'expérience dans le domaine de la protection des données personnelles à été reconnue par la CNIL.

L'accréditation individuelle dont nous avons souligné plus haut les avantages et les inconvénients pourrait néanmoins s'avérer une «arme à double tranchant».

L'accréditation d'experts individuels risque en effet de créer une concurrence vis-à-vis des organismes de certification et par la même, de détourner ces organismes de ce type de certification. Ce qui présente le risque qu'elle demeure marginale du fait qu'elle est traitée de manière différente des autres programmes de certification.

3.4 Est-ce un nouveau marché pour les organismes de certification ?

L'évaluation de la conformité aux Autorisations uniques dans l'optique d'obtenir une certification pourrait constituer un premier pas pour les organismes de certification dans le domaine de la certification de la protection des données personnelles.

L'Association suisse pour les Systèmes de Qualité et de Management (SQS)¹³⁵ a fait en oeuvre de pionnier puisqu'elle propose déjà deux programmes de certifications :

- Le label «Good Priv@cy» mis en place place en 2002 et qui a pour vocation d'évaluer ce type de conformité dans tous les pays quelque soit leur législation. Il s'appuie sur un référentiel d`évaluation «propriétaire». SQS délivre elle même le label en cas de succès de la procédure. 50 entreprises sont aujourd'hui certifiées dont certaines en Autriche et au Brésil grâce au réseau international des organismes de certification IQnet auquel SQS participe.

- Le programme «Data Protection Certification Decree» (VDSZ, SR 235.13) lancé en 2009 qui s'adresse plus spécifiquement aux entreprises suisses. Le référentiel d'évaluation s'appuie sur les dispositions légales suisses en matière de protection des données à caractère personnel. La certification est directement délivrée par SQS. 8 entreprises sont certifiées sur cette base.

On pourrait imaginer, une fois la procédure d'accréditation organisée qu'une société comme la société SQS propose un programme de certification adapté aux Autorisations uniques. Son antériorité sur ce type de certification qui existe en Suisse depuis maintenant 8 ans pourrait s'avérer un argument de vente intéressant.

On peut également imaginer que certains laboratoires d'essai qui interviennent dans la certification des systèmes d'information pourraient être intéressés pour ajouter ce volet à leur offre de services.

Le réseau IQnet a pour vocation de délivrer des certifications dans le monde entier en faisant appel à des correspondants locaux ou à des spécialistes d'un type de certifications. Il comprend une trentaine de membres dans autant de pays dont l'AFNOR en France. http://www.iqnet-certification.com/

Il semble qu'il existe une attente dans ce domaine puisque certains constructeurs de matériels notamment de contrôle d'accès tentent déjà de se prévaloir d'une forme de certification de la part de la CNIL¹³⁶.

Il nous semble que le choix entre l'accréditation à titre individuel et l'accréditation d'organismes de certification constitue un choix crucial car la préférence donnée à l'un ou à l'autre aura d'importantes répercussions sur l'organisation de la procédure et peut être également sur son succès.

Le choix de l'accréditation individuelle nécessite, à moins qu'elle ne soit déléguée, la mise en place d'une procédure adaptée et oblige à résoudre la question de savoir qui délivrera le titre. Le choix fait par le Schleswig-Holstein implique un engagement important de la part de l'autorité de contrôle qui vérifie les rapports et délivre elle-même les labels. La question se pose de savoir si dans un pays bien plus grand, une telle procédure serait «gérable» d'un point de vue pratique.

Le choix inverse qui consiste à déléguer l'évaluation et éventuellement la certification à des organismes externes dont c'est l'activité habituelle est incontestablement moins exigeant en termes d'implication de la part de l'autorité de contrôle. Sa réussite tient en revanche au potentiel que recèle ce marché dans la mesure où ces organismes qui sont soumis aux exigences du marché et en attendent un retour sur investissement.

4. Comment accréditer les évaluateurs de la conformité aux Autorisations

4.1 Quel organisme responsable doit être désigné ?

Les procédures en vigueur en Suisse ou en Allemagne nous paraissent parfaitement transposables.

La procédure d'accrédiation mise en place par EuroPriSe parait néanmoins plus contraignante que la procédure suisse dans la mesure ou elle oblige l'autorité de contrôle à organiser un service de gestion des accréditations.

On pourrait envisager d'établir un cahier des charges pour en confier l'exécution au COFRAC. On pourrait mettre en place un processus d'accréditation conjoint entre la CNIL et le COFRAC dans lequel la CNIL aurait un rôle d'expertise.

On pourrait encore envisager de déléguer cette accréditation à l'Agence Nationale pour la Sécurité des Systèmes d'Information dans le cadre d'une procédure d'agrément qui pourrait aussi être également conjointe avec la CNIL.

On pourrait enfin imaginer qu'une procédure d'accréditation soit proposée par le COFRAC aux organismes certificateurs des entreprises privées et qu'une procédure d'agrément soit réservée aux organismes certificateurs de l'administration et des services de l'Etat manipulant des données sensibles au niveau de la sécurité de l'Etat.

4.2 Une accréditation sur quels fondements ?

Il n'existe à ce jour aucun fondement juridique ou normatif en France sur la base duquel on pourrait accréditer des certificateurs dans le domaine de la protection des données à caractère personnel.

Il conviendrait de déterminer si il est nécessaire de définir des exigences particulières comme en Suisse pour accréditer dans ce domaine.

La CNIL pourrait en toute logique être à l'origine de cette démarche. Ceci d'autant plus que l'article 11-3 c du Chapitre III de la loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004¹³⁷ lui en donne le pouvoir lorsqu'il dit que «(..) dans le cadre de l'instruction préalable à la délivrance du label par la commission, le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation(...) ».

136 «L'agrément CNIL n'existe pas» nous rappelle l'auteur malgré les nombreuses usurpations qu'il voit fleurir ici et là Arnaud Belleil - Cecurity.com - 4 novembre 2010

137 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Les exigences en matière d'accréditation pourraient être définies dans le Réglement Intérieur de la CNIL de la même manière que les conditions de certifications des personnels financiers sont décrites dans celui de l'AMF.

Cette partie consacrée à «l`accréditation des organismes de certification » pourrait faire l'objet d'un titre spécifique ou bien être intégrée au chapitre IV relatif à l'« Examen de règles professionnelles et des produits et procédures».

Les exigences pourraient être en partie les mêmes que celles qui sont définies en Suisse. C'est à dire :

- Prise en compte des spécificités de la protection des données à caractère personnel dans la méthode d'évaluation de la conformité,

D'autres exigences pourrait s'y ajouter comme le fait par exemple de disposer dans l'équipe d'évaluation d'une personne au moins dont le diplôme ou l'expérience a été reconnu ou labellisé par la CNIL.

Ces exigences particulières viendrait s'ajouter à celles définies dans le référentiel ISO/CEI 17021 et ISO/CEI 17025 qui fondent habituellement l'accréditation des organismes certificateurs.

4.3 Une accréditation sur quel périmètre ?

ll conviendrait de définir le périmètre de ces accréditations afin de déterminer si elles peuvent être accordées pour l'ensemble des Autorisations uniques ou simplement pour un nombre défiini d'Autorisations uniques.

Les Autorisations uniques couvrent en effet des domaines fonctionnels et techniques relativement larges. Elles s'intéressent aux produits comme aux procédures dont l'application peut être destinée au grand public (AU-010), aux services publics (AU-001), aux banques (AU-005) mais aussi à des entreprises de tous horizons (Location d'automobiles dans l'AU-011).

L'usage dans le domaine de la normalisation veut que la certification des produits relèvent de la compétence des laboratoires d'essais et que celle des procédures soit le fait des organismes de certification. Il nous semble qu'il n'existe aucune raison valable de déroger à ce principe. Ce qui signifie que les laboratoires d'essai pourraient être accrédités pour évaluer uniquement les Autorisations uniques consacrées aux produits et les organismes de certification ou les experts indépendants uniquement pour celles consacrées au procédures.

Cette solution imposerait aux organismes de demander l'extension de leur accréditation à chaque fois qu'une nouvelle Autorisation est publiée à moins d'accréditer les organismes dans un domaine fonctionnel ou technique. De ce fait, toute nouvelle autorisation publiée et relevant du domaine d'accréditation de l'organisme serait intégrée de droit dans son périmètre de certification. A charge ensuite pour les entreprises de choisir l'expert ou l'organisme qui connait le mieux leur domaine d'activité.

Une autre question consiste à savoir si l'accréditation pourrait être accordée à des entreprises étrangères ayant ou non une implantation en France. Dès lors que l'entreprise ou le laboratoire font la démonstration de leur compétence, il nous parait difficile de le leur refuser ne serait-ce que pour respecter les différents accords de réciprocité qui existent en la matière. Ceci à moins que la procédure de certification ne soulève des questions sensibles liées à la sureté de l'Etat par exemple.

4.4 Quelle procédure de délivrance pour l'accréditation ?

La procédure de délivrance de l'accréditation relève du COFRAC qui dispose du monopole de l'accréditation depuis 2008. Cette proccédure pourrait recueillir l'avis préalable de la CNIL.

Pour ce qui est de la durée de validité de l'accréditation, il parait souhaitable se se calquer sur ce qui se fait dans le monde de la certification. Une durée initiale de 4 ans comme celle qui est accordée dans le cadre de l'accéditation COFRAC nous parait tout à fait convenir à notre sujet.

La responsabilité de renouveller ou de retirer l'accréditation ou l'agrément pourrait être de la responsabilité de l'organisme qui l'a délivré. Le rôle de la CNIL pourrait être à nouveau consultatif ou suspensif.

La mise en place d'une procédure pour accréditer des évaluateurs compétents afin d'évaluer la conformité aux Autorisations uniques ne présente pas de difficultés particulières. Les structures et et les procédures existent et celes-ci pourraient prendre en charge cette procédure avec ou sans le concours de la CNIL.

Il convient en revanche de déterminer si il faut accréditer des individus ou des organismes. Il s'agit là d'un choix stratégique qui aura des conséquences importantes sur la procédure d'évaluation comme nous allons le voir.

PARTIE IV : QUELLE METHODOLOGIE POUR EVALUER LA CONFORMITE AUX AUTORISATIONS UNIQUES

Nous essaierons dans cette partie de déterminer s'il est nécessaire d'élaborer une méthodologie d'audit spécifique à l'évaluation de la conformité aux Autorisations uniques ou s'il est possible de s'appuyer sur une des méthodologies génériques proposées par certaines autorités de contrôle.

1. Qu'entend-on par audit de conformité ?

La norme CWA 15499 -1 du CEN ¹³⁸ définit l'audit comme l'«évaluation d'une situation à un instant donnée par rapport à un référentiel effectué par un tiers n'ayant aucun intérêt dans le résultat de cette évaluation».

Cette évaluation nous dit la norme a pour but de donner une assurance à son commanditaire. Dans le cas de l'audit de conformité, il s'agit d'une assurance :

- de qualité des procédures mises en place dans l'organisme pour maintenir cette conformité.

Les normes élaborées dans le cadre de «l'Initiative for Privacy Standard Initiative» (IPSE) du CEN dont nous avons déjà parlé plus haut se sont fixées pour objectif de proposer un référentiel générique d'audit de conformité dans le domaine des données à caractères personnelles; ceci à partir d'un inventaire des meilleures pratiques dans ce domaine.

La norme CWA 15262 du CEN¹³⁹ rend compte des meilleures méthodologies d'évaluation de la conformité dans le domaine des données à caractère personnel. Elle retient sept référentiels pour des raisons différentes:

140 Privacy Audit Framework under the new Dutch Data Protection Act (WBP) Co-operation Group Audit Strategy - Version 1 - 2001 - 53 p

141 Anwendungsbestimmungen des Unabhngigen Landeszentrums für Datenschutz zur Durchführung eines Datenschutzaudits. Amtsblatt Schl.-H 13/2001, S.196-200

- à proposer un cadre adapté à la fonction publique qui s'avère très flexible. C'est à dire qu'il permet d'auditer soit un seul traitement ou un seul service ou bien un organisme dans son intégralité,

- à proposer aux audités des règles à suivre pour préparer et participer à l'audit, - à délivrer un label pour 3 ans si l'organisme passe l'audit avec succès.

3. Le référentiel d'audit de l'Information Commissioner Office¹⁴² (ICO) britannique dont l'intérêt consiste à proposer deux types d'audit qu'il est possible de mener de manière consécutive ou exclusive.

- Un audit "d'adéquation" qui consiste à vérifier si le contenu des différents documents légaux de l'entreprise liés à la protection des données à caractère personnel respectent la législation,

- Un audit de "conformité" qui consiste à vérifier si l'organisme agit en accord avec les règles qu'il a défini.

4.Le référentiel proposé par la société Deutsche Telecom¹⁴³ (Allemagne) dont l'intérêt consiste :

- à proposer un audit à destination des chefs de service par voie de questionnaires en ligne,

- à proposer un classement par services afin de créer une émulation et favoriser la conformité.

5. Celui de IMS Health¹⁴⁴ au Royaume-Uni encore dont l'intérêt consiste à proposer des questionnaires organisés autour des activités de l'entreprise (intranet, internet, video-surveillance, Ressources Humaines,etc ....) et donc par typologies de données. Ce qui permet aux auditeurs d'établir une cartographie des flux de données assez précise.

6. L'entreprise-Wide privacy task Force de l'American Institute of Certified Public Accountant (AICPA) et du Canadian Institute of Chartered Accountants (CICA)¹⁴⁵ dont le mérite consiste à proposer une liste très précise des exigences à satisfaire.

7. Enfin, La démarche proposée par le Préposé fédéral à la protection des données et à la transparence¹⁴⁶ (PFPDT) suisse dont l'intérêt consiste, nous l'avons déja dit, dans sa prise en compte de la dimension «sécurité des données» et dans sa transposition de la méthodologie décrite dans la norme ISO/CEI 27001:2005.

Les deux normes CWA 15499 -1 et CWA 15499 -2 du CEN ont tenté de synthétiser ces meilleures pratiques afin de proposer un référentiel d'audit visant à évaluer la conformité par rapport aux principes contenus dans la Directive 95/46CE.

143 Deutsche Telekom Data Practice report: the internal data protection audit, Dr. Claus D. Ulmer and Werner Zwick, Deutsche Telekom - 2003

Assurance Services Executive Committee of the AICPA and the Assurance Services Development Board of the CICA Novembre 2003

146 Ordonnance sur les certifications en matière de protection des données (OCPD) du 28 septembre 2007

1.2.1 Les propositions de la norme CWA 15499-1 du CEN

Le point 2 de la norme¹⁴⁷ CWA 15499-1 propose d'organiser la procédure d'audit selon quatre phases :

La lettre de mission précise le point 2.01¹⁴⁸ a pour but de définir les conditions de l'audit et les faire valider conjointement par l'audité et l'auditeur. Cette lettre de mission doit définir au minimum :

- et de mettre en évidence l'importance de la tâche et des éventuelles difficultés afin d'éviter ensuite tout malentendu entre l'auditeur et l'audité.

La préparation de l'audit, précise le point 2.02, doit permettre d'élaborer un plan d'audit qui soit l'exacte représentation des actions qui vont être menées par l'auditeur pour évaluer le cycle de vie des données à caractère personnel dans l'organisme. Ce travail devra être effectué à trois niveaux :

- Au niveau des documents de référence: L'auditeur va vérifier l'existence et la conformité de l'ensemble des doments et des procédures qui conduisent le traitement des données à caractère personnel.

- Au niveau de l'implémentation opérationnelle : L'auditeur va vérifier si les traitements opérationnels sont conformes à ceux qui sont décrits dans les documents¹⁴⁹

- Au niveau de la pérennité du système de management: L'auditeur va vérifier à intervalle régulier le maintien de la conformité des procédures précédemment auditées.

La phase d'audit en elle-même est une phase qui a pour but «de colecter une quantité suffisante d'éléments de preuve afin d'étayer le rapport d'audit» précise le point 2.03 du CWA 15449-1. Ces éléments de preuve peuvent prendre la forme entre autres :

149 On constate ici que le modèle proposé par le CEN s'est inspiré de la méthode de l'ICO britannique qui lui même propose un audit à double niveau.

- Des résultats de sondages informatiques avec la possibilité d'avoir recours à des «computer assisted audit tools»¹⁵⁰

Il est important nous dit la norme dans le point 2.02 ¹⁵¹ que toutes ces preuves soient validées par l'audité au même titre que les comptes-rendus d'interviews.

Dans le rapport d'audit, «Le commanditaire attend de l'auditeur qu'il exprime son opinion» précise le point 2.04¹⁵². Autrement dit que celui-ci qualifie les non conformités selon une échelle de risque que la norme CWA 15499-1 décompose selon 3 niveaux :

- Les éléments de gestion qui doivent être traités pour des raisons d'efficacité et de bonne gouvernance.

D'autres paramètres peuvent également être pris en compte nous dit le texte dans le même point 2.04:

La norme invite à mettre en parallèle les résultats obtenus et les résultats attendus afin d'en faciliter la compréhension. Au niveau du formalisme du rapport, la norme recommande toujours dans le point 2.04¹⁵³ que le rapport soit organisé de la manière suivante:

La norme CWA 15499-1¹⁵⁴ précise qu'il appartient à l'auditeur dans son rôle de conseil de mettre en évidence les points de l'audit qui devront faire l'objet d'un suivi de la part de l'entreprise ou de l'institution auditée ainsi qui la manière dont ce suivi devra être effectué. La norme prescrit dans son point 3155

150 Les «Computer Assisted Audit Techniques or Computer Aided Audit Tools (CAATS) également connus sous le nom de «Computer Assisted Audit Tools and Techniques (CAATTs) sont des outils informatiques qui permettent automatisent certains processus d'audits.

une série de mesure que l'audité est invité à prendre préalablement à la mise en oeuvre d'un audit de conformité des données à caractère personnel. Ces mesures de mise en conformité préalable s'organisent autour de deux thèmes :

> Des mesures procédurales que l'audité est invité à souscrire avant d'entreprendre une démarche d'évaluation de sa conformité :

- La notion «d'adhérence»: C'est à dire de respect de l'ensemble des dispositions légales pour chaque opération du traitement,

- La notion de «conformité durable»: C'est à dire la garantie par des procédures adéquates du maintien de la conformité dans le temps,

- La notion de «sur mesure»: C'est à dire d'adaptation des procédures au cadre légal local ou à celui du secteur d'activité.

- La notion de «bonne gouvernance»: C'est à dire l'engagement du management dans le respect de la loi dans tous les domaines de l'activité. Une définition claire des rôles et des responsabilités. Un pilotage de la conformité.

Une gestion opérationnelle précise et raisonnée des données à caractères personnel comme le précise le point 3.02¹⁵⁶. Celle-ci préconise notamment :

- La mise en place d'un système de protection des données à caractère personnel (Personal Data Protection System ou PDPS ). C'est à dire d'un ensemble de documents et de procédures visant à assurer et à maintenir la conformité de l'organisation par rapport à un référentiel normatif.

- d'un plan de gouvernance: C'est à dire d'un ensemble des moyens de contrôle mis en place dans l'organisme afin de s'assurer que les données personnelles sont gérées de manière efficace et transparente. Ce qui devrait se traduire par :

- La définition de processus visant à prévenir et à traiter les problèmes dans ce domaine.

1.2.2 Les propositions de la norme CWA 15499-2 du CEN

La norme CWA 15499-2¹⁵⁷ propose quant à elle un guide " pas à pas " (une check-list) pour mener à bien cet audit de conformité dans le domaine de la protection des données à caractère personnel. Ce guide est structuré autour des grands principes contenus dans la Directive 95/46/CE :

Pour chacun de ces thèmes, la norme propose de suivre une démarche identique :

Ce canevas a pour but d'aider les auditeurs à recueillir l'ensemble des données nécessaires à la rédaction de leur rapport dans un domaine fondamentalement pluri-disciplinaire dans lequel il n'est pas toujours évident de balayer tous les aspects d'une question.

1.2.3 L'exemple de l' EuroPriSe Criteria

L'European Privacy Seal Board dont nous avons parlé plus haut propose également une méthodologie d'audit aux experts accrédités chargés d'évaluer la conformité des produits et des procédures dans le cadre de la démarche de labelisation EuroPriSe.

Cette méthodologie s'apparente à celle proposée par le norme CWA 15499 -2 dans la mesure ou elle organisée autour des thèmes de la Directive 95/46/CE pour chacun desquels elle propose un certain nombre de questions visant à recueillir l'ensemble des données nécessaires à la rédaction du rapport d'expertise.

- qu'il s'appuie sur la notion de périmètre d'audit¹⁵⁸ tel qu'il est défini dans la Norme ISO/CEI 15408 -1:2009 sous le nom de Target Of Evaluation (TOE) qui constitue un élément essentiel pour mener à bien une évaluation comme le rappelle le référentiel.

- qu'il traite de l'évaluation des procédures et mais également à celle des produits. La partie 3.2¹⁵⁹ du référentiel traite par exemple des technologies de cryptage, d'anonymisation et de pseudonymisation.

- qu'il prend en compte les plus récentes avancées de la législation européenne puisque la dernière version en date de mai 2010 intègre les notions de «data breaches» contenus dans la Directive 2002/58/CE modifiée par la Directive 2009/136/CE¹⁶⁰ et celles concernant le consentement préalable à l'utilisation de cookies «optin» introduite par la Directive 2006/24/CE¹⁶¹.

- qu'il laisse la possibilité d'ajouter aux exigences définies dans le référentiel des exigences spécifiques. C'est un référentiel ouvert¹⁶². Ce qui dans notre cas peut s'avérer intéressant. Nous y reviendrons.

- qu'il propose une démarche d'assurance qualité originale. L'évaluation effectuée par l'expert accrédité à la demande de l'entreprise donne lieu à deux rapports. Le premier est remis à l'organisme de certification pour évaluation et attribution du label. Le second est remis à l'entreprise après validation par l'organisme de certification. Il doit être publié par l'entreprise pour attester que la procédure d'évaluation a bien été effectuée et en livrer les conclusions, ceci par souci de transparence¹⁶³.

158 La notion de «Target Of Evaluation» (TOE) est une notion définie par la norme ISO/CEI 15408 -1:2009 dite de Critères Commun dont nous avons déjà parlé dans la partie 2 de ce document.

162 Description of EuroPriSe Criteria and Procedures p16 et 17 et 18 Version 1.1 février 2009

2. Quelle méthodologie pour évaluer la conformité au Autorisations uniques ?

2.1 Quel référentiel d'évaluation ?

Il pourrait être intéressant de s'inspirer ou de reprendre certains éléments des référentiels présentés ci-dessus.

Les normes CWA 15499 partie 1 et 2 du CEN proposent une méthodologie d'audit qui nous parait relativement complète. Elles sont en outre proposées par des professionnels reconnus dans ce domaine; en l'occurrence le cabinet suédois de PriceWaterhouseCoopers. Ce qui constitue un gage de qualité pour qui souhaiterait utiliser ces référentiels. On pourrait simplement reprocher à la norme CWA 15499-1 de ne pas proposer un référentiel adapté à l'audit de certification mais plutôt a un pré-audit dans la mesure ou il s'intéresse aux non conformités et à la manière de les résoudre. Ce qui est inutile dans le cadre d'une certification ou la seule finalité du référentiel consiste à valider (ou non) la conformité. Il conviendrait donc de l'adapter ou de s'en inspirer pour élaborer un référentiel d'audit centré sur la certification.

Ces deux normes sont en accès libre. Il est donc possible les utiliser sans restrictions. Ils sont en revanche couverts par le droit d'auteur et ne peuvent être modifiés sans l'accord préalable du CEN. Autorisation qu'il est sans doute possible d'obtenir si une autorité publique telle que le CNIL souhaitait adapter ce référentiel à l'évaluation des Autorisations uniques.

Le référentiel proposé par l'European Privacy Seal board présente l'avantage quant à lui de traiter de l'évaluation de la conformité en prenant en compte les produits et les procédures. Ce qui correspond au périmètre couvert par les Autorisations uniques.

En outre, ce référentiel présente l'avantage d'être ouvert et permet la prise en compte des législations nationales. Il pourrait servir de base à l'élaboration d'un référentiel plus spécifiquement adapté à la législation française et au contenu des Autorisations uniques.

2.2 Quelles sont les spécificités à prendre en compte ?

Un référentiel d'audit qui aurait pour objectif d'évaluer la conformité aux Autorisations uniques devrait nécessairement s'appuyer sur les principes contenus dans la loi 78-17 du 6 janvier 1978 modifiée le 6 Août 2004 plutôt que sur ceux contenus dans la Directive 95/46/CE bien qu'ils ne soient pas incompatibles.

Il serait également souhaitable que le canevas d'analyse tienne compte de la structure des Autorisations uniques qui s'organisent toutes selon le plan suivant:

On pourrait imaginer de reprendre le formalisme proposé par la norme CWA 15499-2

et de le décliner à partir des thèmes contenus dans les Autorisations uniques.

2.3 Faut-il un ou plusieurs référentiels ?

Une approche ambitieuse pourrait consister à dégager des principes généraux afin d'élaborer un référentiel d'audit utilisable pour tous les types d'évaluation. On pourrait s'appuyer sur les principes contenus dans la norme ISO/CEI CD 29100¹⁶⁴ actuellement en cours de validation qui propose les principes suivants :

- obligation de rendre des comptes sur la conformité pour les responsables de traitement,

Ces principes intégrent bien ceux contenus dans les Autorisations uniques et pourrait y ajouter des principes supplémentaires qu'il serait peut être intéressant d'intégrer dans l'évaluation.

La question se pose également de savoir si ce référentiel doit être unique comme c'est le cas de l'EuroPriSe criteria ou si le référentiel d'audit doit être distinct selon qu'il s'agit d'évaluer les Autorisations uniques traitant de produits ou celles traitant de procédures.

Il nous semble que la méthodologie d'évaluation des produits diffère de celle des procédures dans la mesure où l'évaluation des produits est souvent plus technique et requiert des protocoles qui peuvent s'avérer parfois complexes. Il n'est qu'a voir ceux qui sont proposés par la norme ISO/CEI 15408-1:2005 pour s'en convaincre.

Ces deux types d'évaluation sont d'ailleurs traités de manière distincte par les normes ISO, que ce soit pour l'accréditation des organismes de certification ou pour l'évaluation de la conformité.

Thème

Produits

Procédure

Évaluation de la conformité - Exigences générales concernant la compétence des laboratoires d'étalonnages et d'essais

Technologies de l'information - Techniques de sécurité -- Critères d'évaluation pour la sécurité TI -- Partie 1: Introduction et modèle général

Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

Lignes directrices pour l'audit des systèmes de management de la qualité et /ou de management environnemental

2.4 A qui appartient-il d'élaborer ce référentiel d'évaluation ?

La question se pose en effet de savoir si il incombe à l'autorité de certification d'élaborer elle-même le référentiel d'évaluation de la conformité. L'intérêt de le faire réside :

- dans le contrôle que l'on peut exercer ainsi sur la manière dont l'évaluation va être menée,

- dans l'homogénéité des rapports d'évaluation que l'autorité de contrôle va recueillir . Ce qui facilitera son travail de contrôle.

- dans la possibilité d'être indépendant des organismes de certification et de leur imposer éventuellement un cahier des charges plus ou moins contraignant.

- dans la possibilité d'offrir à des évaluateurs individuels un outil de travail qu'ils n'auraient pas forcément pu élaborer seuls, faute de temps et ou de moyens suffisants.

Il nous semble que cette tâche pourrait aussi être confiée aux entreprises qui souhaitent se positionner sur ce marché. Il serait possible ainsi de les accréditer, au moins en partie, sur la base de la méthodologie qu'elles proposent.

Cette démarche de délégation pourrait permettre à la CNIL de profiter du savoir faire et de l'imagination de ces entreprises pour ensuite la synthétiser et pourquoi pas, imposer un cahier des charges sur cette base aux futurs candidats à l'accréditation.

Le succès d'une telle démarche est évidemment dépendante de l'intérêt que les organismes professionnels de certification percevront dans ce marché aujourd'hui virtuel.

3. Quelle procédure pour évaluer la conformité aux Autorisations uniques ?

3.1 Quel périmètre ?

La notion de périmètre d'évaluation est une notion centrale dans la réussite d'une procédure d'audit. Il doit comprendre nous dit la norme CWA 15499-1¹⁶⁵ du CEN :

- Un aspect: que va-t-on auditer ? La confidentialité, l'intégrité, la disponibilité ou l'auditabilité,

- Un ou plusieurs textes de référence. Par rapport à quel(s) référentiels l'audit va-t-il être mené ?

Le point 5.2 de la norme ISO/CEI 15408-1:2009 définit la notion de périmètre d'audit sous le vocable de «Target Of Evaluation» (TOE).

Le TOE nous dit la norme ISO/CEI 15408-1:2009 doit contenir la description précise des fonctionnalités du produit qui vont faire l'objet d'une évaluation¹⁶⁶. Celui-ci constitue le périmètre de l'audit sur lequel les deux parties, auditeur et audité, sont appelés à s'engager avant le début de la procédure d'évaluation. Cette définition du périmètre d'évaluation doit être effectué de la même manière dans la cadre de l'audit de procédures. Nous l'avons vu plus haut avec la norme CWA 15499-1 au moment de la défnition de la « lettre de mission» comme le précise le point 2.01 de la norme¹⁶⁷.

Il convient de s'interroger sur le périmètre de l'évaluation de la conformité aux Autorisations Uniques. Est-ce que les règles définies ci-dessus sont transposables au cas qui nous occupe ? Est-il envisageable qu'une partie seulement d'un produit ou d'une procédure puisse être évaluée ? Pourrait-il y avoir des périmètres obligatoires et d'autres facultatifs ? Quelle est le degré de liberté que l'on peut laisser aux évaluateurs en terme de définition de périmètre d'évaluation ?

Il nous semble que pour être valable l'audit de conformité devra traiter l'ensemble des points soulevés par une Autorisation unique. Il s'agit d'un tout indivisible.

Nous ne voyons pas comment il pourrait être possible de gérer une évaluation partielle. C'est à dire simplement sur certains points clés d'une Autorisation Unique. Autrement dit, soit la procédure ou le produit sont conformes à tous les points contenus dans l'autorisation unique, soit il ne sont pas conformes.

ISO/CEI 15408-1:2009 Technologies de l'information -- Techniques de sécurité -- Critères d'évaluation pour la sécurité TI -- Partie 1: Introduction et modèle général . La norme est en accès libre sur le site de l'ANSSI à cette adresse :

Il nous semble qu'il faut considérer que le périmètre minimal se situe au niveau de l' Autorisation unique. L'évaluation de conformité ne peut pas s'effectuer en dessous de «cette unité».

En revanche, le périmètre pourrait être étendu à plusieurs Autorisations uniques dans le cadre d'une même évaluation.

On pourait aussi imaginer, nous l'avons déjà évoqué plus haut, que les organismes de certifications accrédités uniquement pour l'évaluation de certaines Autorisations ne soient pas en en mesure d'évaluer les autres. Ainsi, Les laboratoires pourrait prétendre à évaluer les Autorisations uniques consacrées aux produits et les organismes de certification celles consacrées aux procédures.

3.2 Evaluer à quel moment ?

La déclaration de conformité aux Autorisations uniques est aujourd'hui effectuée à chaque fois qu'une entreprise différente met en place par exemple le même système de contrôle d'accès utilisant la même technologie biométrique même si ce système est similaire et provient du même constructeur. Faudrait-il faire de même dans le cadre d'une procédure de certification ?

Le choix d'une telle démarche signifie que l'on n'évaluerait pas tant le produit que son installation dans un cadre spécifique. Ca n'est pas la règle commune qui veut que l'on certifie tout ou partie d'un produit dans le cadre, nous l'avons vue d'un périmètre préalablement défini (TOE). Le produit est alors certifié pour un temps défini dans les conditions définies dans le protocole d'évaluation. C'est le principe qui conduit par exemple le marquage CE.

Cette solution nous parait transposable pour les produits et les systèmes dits «propriétaires» dans lesquels les fonctionnalités ainsi que le code source font l'objet d'un dépôt de brevet. Ces éléments ne pouvant être modifiés sans l'accord préalable de l'éditeur. Ce qui signifierait que les tous les acheteurs potentiels de cette solution certifiée bénéficieraient de cette certification et n'auraient pas besoin de faire de déclaration de conformité.

Cette solution nous semble moins évidente dès lors qu'il s'agit de systèmes spécifiques développées à partir d'un cahier des charges. Ces systèmes ne peuvent évidemment pas être certifiés avant d'exister et elle ne peuvent exister que lorsqu'ils ont été décrits ou spécifiés pour user du jargon informatique.

Peut-on pour autant envisager d'évaluer une application ou une procédure de traitement de données à caractère personnel «sur plan». C'est à dire au moment où elle a été décrite mais avant qu'elle soit véritablement en fonction.

Toute proportion gardée, c'est un peu comme si l'on souhaitait certifier les qualités d'un bâtiment uniquement au moment de sa conception par l'architecte. Ce qui est évidemment insuffisant. Des vérifications sur site doivent être effectuées au moment des travaux mais également une fois le bâtiment terminé.

La certification «préalable» d'un produit du marché lui bénéficierait doublement dans la mesure ou il permettrait à son acheteur en l'adoptant d'avoir le certitude d'être conforme et par la même occasion de s'éviter une procédure de certification spécifique ou d'autorisation.

Cette prime au produit du marché qui privilégie incontestablement les éditeurs pourrait constituer un moyen de pousser ceux-ci à intégrer la démarche de «Privacy by Design»¹⁶⁸ dans leurs process de conception.

168 Le concept de «Privacy by Design» est un concept nous l'avons déja dit élaboré dans les années 90 par Mme A. Cavoukian, Commissaire à la protection des données et à la vie privée de l'Ontario au Canada. Ce concept invite les fabricants et concepteurs de produits et de procédures à intégrer les principes fondamentaux de protection des données à caractères personnel au moment de la conception de leurs systèmes. Ce concept défendu et mis en place progressivement au Canada grâce à la persévérance de Mme Cavoukian a fait récemment l'objet d'une déclaration commune de la part des Commissaires à la protection des données et à la vie privée en vue de son adoption généralisée.

«Une résolution marquante est adoptée pour assurer la protection de la vie privée dans l'avenir»

3.3 Contrôler l'évaluation de la conformité

3.3.1 Quel contenu pour le rapport d'audit ?

Dans la mesure ou l'on se place dans le cadre d'un audit de certification, la méthodologie proposée par la norme CWA 15499-1, nous l'avons dit plus haut, n'est pas totalement adaptée dans la mesure ou elle se fixe pour objectif de rapporter le détail des non-conformités ainsi que leur échelle de risque comme le point 2.04 le précise¹⁶⁹.

L'objectif de l'audit de certification consiste à s'assurer de la conformité et d'en apporter la preuve à l'organisme chargé du contrôle. Le détail des non conformités peut être utile à l'entreprise dans le cadre d'un audit de pré-certification mais n'a pas sa place dans un audit de certification.

La question se pose également de savoir si le rapport d'audit doit présenter un rapport d'évaluation sur l'ensemble des points soulevés par l'Autorisation unique sans qu'aucun ne soit écarté et apporter si besoin une preuve tangible de cette conformité pour chaque point. La réponse dépend du degré de contrôle que l'on souhaite exercer sur ces évaluations, du nombre d'évaluation à contrôler et de la confiance que l'on accorde aux évaluateurs.

La procédure proposé par le label EuroPriSe qui requiert la rédaction de deux rapports d'évaluation, l'un pour l'autorité de certification et l'autre à l'intention du commanditaire est intéressante en terme de qualité de contrôle.

Elle pourrait s'avérer cependant très lourde à gérer si le nombre de demande devenait important. Seules 15 entreprises ont reçu à ce jour le label EuroPriSe alors que plus de 3 000 entreprises se sont déjà déclarées conformes à l'Autorisation unique AU-026 sur les Etylotest anti-démarage publiée en début d'année 2010. Si la demande de certification n'était seulement que de 5 %, cela représenterait déjà beaucoup de travail pour l'autorité de contrôle chargée de cette double vérification.

On peut également s'interroger sur le degré possible d'interprétation des résultats des rapports d'audit. Un rapport d'audit de certification initial ou de renouvellement est rarement présenté si il ne répond pas rigoureusement aux exigences de certification. Il s'agit sinon d'un pré-audit de certification qui a pour but de préparer la certification mais qui est présentée au commanditaire et non pas à l'autorité de certification.

Seuls les audit de contrôles pour le maintien de la certification pourraient rapporter des situations nécessitant éventuellement une part d'interprétation.

Cette part de subjectivité dans un travail d'appréciation est toujours délicate à gérer car elle susceptible de contestation. Les solutions «miracles» n'existent pas mais il convient de notre point de vue de mettre en place une procédure la plus transparente et rigoureuse possible afin d'éviter au maximum les risques de contestation. Un rapport d'audit détaillé et argumenté est à notre sens le plus sûr moyen d'y parvenir.

Il convient également de penser à mettre en place une procédure de gestion des réclamations afin de savoir selon quel formalisme elles peuvent être reçues, sur quels points elles peuvent porter, par qui elles seront traitées et selon quel délai.

Bien que cet aspect ne soit pas capital, une certaine normalisattion au niveau de la présentation du rapport d'audit pourrait être un moyen de gagner du temps dans le contrôle.

Au niveau de la structure du rapport, Il nous semble que les recommandations de la norme CWA 15499-1 sont intéressantes lorsqu'elle propose dans le point 2.04¹⁷⁰ que le rapport soit organisé de la manière suivante :

Quant à la forme du rapport, celui proposé par l'Information Commissioner Office (ICO) dans le cadre de son «Data Protection Audit Manual» nous parait assez convaincant¹⁷¹.

Il nous semble au terme de cette quatrième partie que nous pouvons conclure qu'il est possible d'élaborer un référentiel d'audit qui réponde aux exigences de certification de la conformité aux Autorisations uniques. Les exemples abondent. Ils ne correspondent pas toujours précisémment au besoin qui est le notre mais ils peuvent constituer une source d'inspiration pour ceux qui pourraient être chargés d'élaborer cet outil. Appartient-il à la CNIL ou aux candidats à l'accréditation de s'en charger, il s'agit là d'un choix qui doit être fait avant de lancer un tel projet.

PARTIE V : QUEL TITRE POUR ATTESTER DE LA CONFORMITE AUX AUTORISATIONS UNIQUES ?

Nous chercherons à déterminer dans cette partie quel titre de certification doit être délivré pour distinguer la conformité aux Autorisations uniques. Nous essaierons également de voir si il est possible d'intégrer la délivrance de ce titre dans le cadre de programmes de certification existants ou si il est nécessaire de créer un titre ex-nihilo et d'en définir le mode de délivrance.

1. Qu'est ce qu'un titre de certification ?

Le point 5.5 de la norme ISO/CEI 17000:2004¹⁷² définit un titre de certification comme « une attestation émanant d'une tierce partie attestant de la conformité d'un produit, d'un processus, d'un système ou d'une personne ».

La norme ISO/CEI Guide 23:1982¹⁷³ introduit quant à elle une différence entre ce qu'elle définit dans son point 3.1 comme :

- une «marque de conformité» qui constitue une «marque de certification légalement déposée appliquée ou délivrée selon les procédures d'un système de certification par une tierce partie pour un produit ou un service qui est conforme à des normes déterminées ou à d'autres spécifications techniques»,

- un «certificat de conformité» qui est défini dans le point 3.2 comme un «document établi conformément aux procédures d`un système de certification par une tierce partie, et attestant qu'un produit ou service est conforme à des normes déterminées ou à d'autres spécifications techniques».

2. Quelle forme un titre de certification peut-il prendre ?

2.1 Les labels

Le label correspond en France à la définition de «marque de conformité» présentée plus haut. Il s'agit en effet d'un signe distinctif qui peut être uniquement délivré par une autorité publique.

2.1.1 Définition d'un label en France

Il est surprenant de constater qu'il n'existe en France aucun texte officiel qui définisse la notion de label. Cette absence s'explique semble-t-il par le fait que les labels sont délivrés par de nombreux organismes publics selon des règles qui leurs sont propres.

L'encyclopédie Wikipédia¹⁷⁴ propose la définition la plus complète que nous ayons pu trouver sur le sujet. Elle définit les labels comme «des décisions par lesqueles une autorité publique (ou parapubliques ndlr) reconnaît qu'une personne, un site, un territoire ou un produit possèdent un certain nombre de qualités énumérées et définies dans un acte législatif ou Règlementaire».

Modes d'indication de la conformité aux normes dans les systèmes de certification par une tierce partie

- Il doit être décerné en application d'un texte officiel édicté par un ministère ou un service public délégué,

- Il ne peut être utilisé à des fins commerciales sans agrément public. L'appellation "Saveur de l'année"¹⁷⁵ a ainsi été condamnée en 2003 par le tribunal de grande instance de Versailles puis en 2004 par la Cour d'Appel de la même ville pour avoir utilisé le mot « label » dans un slogan publicitaire sans agrément public.

2.1.2 Les différents types de labels

Les labels français peuvent prendre la forme de certificats de provenance, de labels de qualité ou encore de certificats de conformité. Cette notion de label est également utilisée dans d'autres pays européens dans lesquels elle est beaucoup moins règlementée.

2.1.2.1 Les labels patrimoniaux

Les labels patrimoniaux tels qu'ils ont été définis initialement dans la loi du 2 mai 1930 abrogée et remplacée par l'ordonnance n° 2000-914 du 18 septembre 2000¹⁷⁶ distinguent les monuments historiques et les sites naturels classés.

Ces labels sont décernés par le Ministère de la Culture sur la base d'un cahier des charges défini par le Code du Patrimoine.

Ce label est décerné sur la base¹⁷⁷ du caractère «remarquable» du site du fait de son histoire, de son architecture ou pour les sites naturels de la singularité de sa faune ou de sa flore.

42 644 bâtiments, 2086 parcs et 89 villes sont ainsi couverts en France par le label Monument historique et sites naturels classés.

Ce type de label patrimonial existe également au niveau international. Le plus connu d'entre eux demeure la « liste du patrimoine mondial » créé 1972 par L'Organisation des Nations unies pour l'éducation, la science et la culture (UNESCO en anglais).

Ce label a pour vocation de distinguer les sites remarquables, construits , naturels ou même immatériel¹⁷⁸

Le Centre de développement des Certifications des Qualités Agricoles et alimentaires (CERQUA) a obtenu la condamnation (en première instance et en appel) de la société Monadia qui gère l'appellation « Saveur de l'année » sur la base de publicité mensongère dans la mesure ou cette société faisait référence dans un de ses slogans « label 100 % saveur, 100 % consommateur » à une notion de label qui n'émanait d'aucune décision de la part d'une autorité publique ou parapublic. Cette décision est d'autant plus étonnante que la notion de label ne fait l'objet à ce jour d'aucune définition juridique claire.

176 Loi du 2 mai 1930 relative à la protection des monuments naturels et des sites de caractère artistique, historique, scientifique, légendaire ou pittoresque

177 Le Décret n°2007-487 du 30 mars 2007 relatif aux monuments historiques et aux zones de protection du patrimoine architectural, urbain et paysager modifie le titre II du livre VI du code du patrimoine qui précise la procédure et les conditions d'inscription http://www.legifrance.gouv.fr/ affichTexte.do;jsessionid=6B30CEA334801F664736F46F4D6084E9.tpdjo02v 1&dateTexte=? cidTexte=JORFTEXT000000461294&categorieLien=cid

Les gourmets pourront s'en réjouir, la cuisine française vient d'être inscrite sur la liste du patrimoine mondial de l'UNESCO Le Point - Le 16 octobre 2010

qui répondent à un cahier des charges relativement strict, défini dans la convention du patrimoine mondial de 1972. 890 sites dont 689 sites culturels, 176 sites naturels et 25 sites mixtes, dans 148 pays sont aujourd'hui distingués.

2.1.2.2 Les labels d'origine

Les appellations d'origine constituent des certifications de qualité délivrées par un organisme officiel en fonction d'une origine géographique.

Il s'agit en France des Appellations d'Origine Contrôlée (AOC) créées en 1935 et décernées par l'Institut National des Appellations d'origine (INAO), organisme dépendant du Ministère de l'Agriculture.

Les AOC ont pour objectif de garantir les caractéristiques et les qualités gustatives en fonction de l'origine (le terroir) du produit. Le terroir étant considérés comme la combinaison d'un milieu naturel et d'un savoir-faire. Les AOC sont des appellations à destination des produits agro-alimentaires dont les plus connus en France sont ceux qui s'appliquent aux vins.

Le nombre et la qualité des produits bénéficiant du label AOC font l'objet d'un cahier des charges précis¹⁷⁹ qui est contrôlé en France par l'lNAO.

Un équivalent européen, les Appellations d'Origine Protégées (AOP) a été créé en 1992 par la France, la Belgique et le Luxembourg. Il a été étendu à l'ensemble des pays de l'Union européenne par le Règlement du Conseil n°510/2006 du 20 mars 2006¹⁸⁰.

Dans un souci d'harmonisation et de lisibilité, aucun label régional n'est plus créé en Europe. Des équivalences avec les labels existants ont été mis en place. Les Appellations d'Origine Contrôlée nationales (AOC) ont pour équivalent européen les Appellations d'Origine Protégée (AOP).

Depuis 2002, un label ou une AOC ne peut plus exister sans être inscrite en tant qu'Indication Géographique Protégée (IGP) ou en tant qu'Appellations d'Origine Protégée (AOP).

En Italie, l'AOP national est la Denominazione di Origine Controllata (DOC). En Allemagne, le Qualitätswein bestimmter Anbaugebiete (QbA). En Espagne, c'est le D.O. pour Denominaci--n de origen.

Il est intéressant de noter que les AOC du vin et notamment ceux de Bordeaux ont atteint aujourd'hui une tel degré de complexité qu'elles sont devenues illisibles pour les consommateurs à fortiori étrangers. Une réforme a été initiée en 2002 pour tenter de rationaliser et de simplifier ces appellations afin d'en faciliter la lisibilité dans un marché du vin devenu très concurrentiel. En vain semble-t-il comme le souligne l'étude réalisées par l'association «Que Choisir» en septembre 2007¹⁸¹.

La multiplication des labels et des certificats peut donc s'avérer contre-productive et ne plus permettre de distinguer quoique ce soit du fait de la surabondance des titres et des distinctions.

2.1.2.3 Les labels de qualité

Les labels de qualité agro-alimentaires ont été créés dans les années 60 pour distinguer les produits de qualité au moment de l'industrialisation de l'agriculture française.

180 Règlement du Conseil n°510/2006 du 20 mars 2006 relatif à la protection des indications géographiques et des appellations d'origine des produits agricoles et des denrées alimentaires

Le plus connu d'entre eux, le Label Rouge, a été créé en 1965¹⁸² par le Ministère de l'agriculture. Il est décerné comme les AOC par l'INAO. Il atteste d'un niveau de qualité supérieure (à la moyenne) d'un produit agro-alimentaire.

Le produit candidat au label doit répondre à des exigences définies dans un cahier des charges homologué par l'INAO. Le respect du cahier des charges par les producteurs est contrôlé tout au long de la production par des organismes certificateurs indépendants à la différence des AOC dont le contrôle relève exclusivement de l'INAO.

Le 1er Label Rouge a été obtenu en 1965 par les volailles des Landes et du Périgord sur la base du cahier des charges « poulet jaune fermier élevé en liberté ». Produit qui reste aujourd'hui encore emblématique du label.

2.1.2.4 Les labels de conformité

2.1.2.4.1 Le marquage «CE»

Le marquage « CE » peut être considéré comme une marque de conformité dans la mesure ou il correspond à la définition qu'en donne la norme ISO guide 23:1982 lorsque celui définit cette marque comme une « marque de certification légalement déposée appliquée ou délivrée selon les procédures d'un système de certification par une tierce partie.»

Le marquage « CE » est un emblème «légalement déposé» qui doit être apposé sur les produits commercialisés dans l'Union européenne dès lors qu'ils ont répondu favorablement à une évaluation de leur conformité par des tiers accrédités.

Le certificat qui permet d'apposer ce label est délivré par l'organisme accrédité pour une durée indéterminée sauf si il s'agit d'un certificat délivré en conformité d'un agrément technique européen¹⁸³ pour lequel la durée de validité est fixée à 5 ans renouvelables.

2.1.2.4.2 Le «Gutesiegel»184 de l'Independent Centre for Privacy Protection du Schleswig-Holstein (ICPP)

L'Independent Centre for Privacy Protection du Schleswig-Holstein (ICPP) délivre aux institutions publiques qui en font la demande un label de conformité à la loi sur la protection des données de ce Land du nord de l'Allemagne.

Ce label est accordé à des produits et à des procédures dès lors que leur conformité aux principes définis par la loi a été évaluée avec succès par un expert accrédité auprès de l'ICPP.

Le label est accordé par l'ICPP après validation du rapport d'expertise remis par l'expert indépendant pour une période de deux ans. Il est renouvelable à l'issue d'une procédure de contrôle plus ou moins approfondie en fonction des modifications intervenues dans ce laps de temps.

182 Le statut et les contours du label rouge ont été récemment redéfinis dans le cadre de la loi n° 2006-11 du 5 janvier 2006 d'orientation agricole

183 « L'agrément technique européen est une spécification technique qui existe pour des produits non couverts par une norme » précise le guide sur le marquage « CE »

184 «Gutesiegel» signifie «certificat de qualité» en allemand. Une présentation des caractéristiques du label est accessible en anglais à cette adresse.

2.1.2.4.3 Le label EuroPriSe

L'European Privacy Seal Board constitue nous l'avons déjà dit un prolongement du programme de certification de l'ICPP. De ce fait, les conditions de délivrance et de durée de validité sont identiques au Gutesiegel de l'ICPP.

- le référentiel de certification de l'EuroPriSe s'appuie sur le corpus législatif européen en matière de protection des données à caractère personnel et notamment sur la Directive 95/46/CE et non seulement sur la loi du Schleswig-Holstein,

- le label EuroPriSe a pour vocation à certifier toute entreprise, qu'elle soit publique ou privée.

- et ce, quelque soit sa domiciliation, dans ou hors de l'Union européenne dès lors que celle-ci souhaite faire valider sa conformité par rapport à la réglementation européenne.

C'est dans cette optique que la société américaine Microsoft a fait labelliser en novembre 2008 sa solution logicielle de protection contre les logiciels contrefaits - Microsoft Software Protection Platform - par L'European Privacy Seal Board¹⁸⁵.

2.1.2.4.3 Le label « GoodPriv@cy»

Le label délivré par l'Association Suisse pour les Systèmes de Qualité et de Management (SQS)¹⁸⁶ certifie les produits comme les procédures par rapport à un référentiel qui a été spécifiquement élaboré par SQS à cet effet.

Ce label s'adresse aux entreprises publiques et privées quelque soit leur domiciliation en Suisse ou à l'étranger. M. Felix Müller de la société SQS que nous avons interrogé à ce sujet nous a affirmé avoir même certifié des entreprises brésiliennes dans le cadre de ce programme.

Le label «Good Priv@cy» est délivré pour une période de 3 ans et il est également renouvelable. Des audits de contrôle sont programmés tous les ans afin s'assurer que les conditions d'attribution du label sont maintenues.

2.2 Les certificats

2.2.1 Les certificats de conformité émanant d'organismes de certifications privés

2.2.1.1 La marque «Normalisé Français» (NF)

La marque NF¹⁸⁷ est un certificat de conformité au sens de La norme ISO/CEI Guide 23:1982 créé en 1938 par le

187 Une étude réalisée par L'IPSOS pour le compte de l'AFNOR en avril 2009 fait apparaître des résultats intéressants. En effet nous dit cette étude :

Cette étude confirme que l'impact d'un emblème n'est pas négligeable sur la confiance des consommateurs quelque soit la nature de celui-ci (label, marque, certificat ou autre).

Décret loi du 12 novembre 1938. Il est délivré depuis le Décret du 10 janvier 1939 par l'Association Française de NORmalisation (AFNOR) à travers sa filiale AFNOR certification qui constitue l'organisme certificateur de l'AFNOR accrédité auprès du COFRAC.

La marque NF atteste de la conformité des produits et depuis peu des services (hors agro-alimentaire) aux normes françaises et internationales Elle se décline entre trois grands programmes :

- la marque «NF environnement» créée en 1991 pour la certification «respect de l'environnement» des produits et des services.

- la marque «NF services» créée en 1994 pour la certification des services de toute nature à destination des professionnels comme des particuliers

Elle est délivrée pour une période de 3 ans renouvelables et fait l'objet d'un audit annuel afin de vérifier les conditions de maintien de la certification. 5 400 entreprises et plusieurs dizaine de milliers de produits sont certifiées NF.

On pourrait voir dans la marque NF l'équivalent français du «marquage CE» dont nous avons déjà parlé plus haut. Mais à la différence du marquage CE, La marque NF est :

- Valable uniquement sur le territoire français. Le marquage CE étant valable lui dans tous les pays de l'Union dès lors que le producteur est capable de présenter dans chaque pays le certificat de validité qui l'accompagne.

- La marque NF est un titre obtenu à l'issue d'une démarche de certification volontaire. Elle distingue uniquement le produit aux yeux du consommateur contrairement au marquage CE qui est une condition impérative d'entrée et de circulation d'un produit sur le marché unique européen.

2.2.1.2 L'association française pour l'amélioration et le management de la qualité (AFAQ)

Cette marque de certification créée en 1988 propose aux entreprises qui le souhaitent un programme de certification des systèmes de management par rapport la norme ISO 9001. L'AFAQ qui a fusionné avec les autres activités de certifications de l'AFNOR en 2004 pour devenir l'AFAQ AFNOR, filiale d'AFNOR certification certifie qu'une organisation, un service, ou des compétences professionnelles sont conformes aux normes internationales ou nationales dont elles dépendent.

- AFAQ Engagement de Service® qui permet de certifier son activité de service à partir d'un référentiel spécifique élaboré conjointement avec l'AFNOR dans cette intention.

- AFAQ Service Confiance® qui a pour vocation de certifier plusieurs entreprises dans un même métier à partir d'un référentiel élaboré conjointement avec l'AFNOR dans cette intention.

La certification est délivrée par AFAQ AFNOR pour une durée de 3 ans. Un audit de surveillance est réalisé chaque année afin de vérifier la pérennité de la certification.

Nous aurions pu prendre d'autres exemples auprès d'autres organismes de certifications privés. Les exemples sont nombreux mais ils sont tous organisés en général sur le même mode. Leur offre étant plus ou moins complète en fonction de leur taille. Certains ne certifiant que des produits tandis que d'autres ne certifient que les procédures. Les grands organismes tels que le BureauVeritas ou Moody¹⁸⁸ certifient les deux .

188 L'offre de certification assez complète du Bureau Veritas est présentée sur son site à cette adresse : http://www.bureauveritas.fr/wps/wcm/connect/bv fr/Local/Home/Our-Services/

L'offre de Moody certifcation est également présentée sur son site http://www.moody-certification.fr/

2.2.2 Les certificats issus d'une réglementation

2.2.2.1 Le certificat de conformité au Décret n° 2002-535 du 18 avril 2002

L'Agence Nationale de Sécurité de Systèmes d'Information (ANSSI) délivre sur délégation du 1er Ministre des certificats de conformité par rapport aux dispositions contenues dans le Décret n° 2002-535 du 18 avril 2002¹⁸⁹.

L'ANSSI a reçu pour mission entre autres de certifier la sécurité concernant « les logiciels de chiffrement permettant de protéger des données sur un ordinateur portable, les boîtiers permettant de chiffrer les informations lors de leur transmission sur un réseau, ou les cartes à puce, destinées à des applications bancaires ou d'identité électronique.»

L'évaluation de la conformité est confiée à des laboratoires externes qui sont accrédités auprès de l'ANSSI. C'est l'ANSSI qui délivre le titre après vérification du rapport d'évaluation.

En revanche, il n'est nul part précisé de durée de certification ni de conditions de renouvellement. Interrogé à ce propos, Pour l'anecdote, un agent de l'ANSSI nous a déclaré lorsque nous l'avons interrogé que la certification n'était valable je cite «que pour l'instant ou elle était accordée» dans la mesure ou les choses évoluent à une telle vitesse dans le monde de la sécurité informatique qu'il était impossible de certifier au delà de l'instant. A la question de savoir en ce cas à quoi pouvait servir cette procédure de certification si elle n'offrait aucune garantie dans le temps, nous n'avons jamais eu de réponse jusqu'au moment d'écrire ces lignes. Gageons néanmoins que cette opinion surprenante ne représente pas le point de vue officiel de l'agence.

L'ANSSI par ailleurs participe à entretenir la confusion qui existe entre la notion de label et celle de certificat puisqu'elle déclare elle même délivrer un label¹⁹⁰ alors que la réglementation parle bien elle de certificat. L'article 7 et 8 du Décret déclarant en effet que «(...) La direction centrale de la sécurité des systèmes d'information élabore un rapport de certification dans un délai d'un mois. Ce rapport, qui précise les caractéristiques des objectifs de sécurité proposés, conclut soit à la délivrance d'un certificat, soit au refus de la certification.» nous dit l'article 7. L'article 8 précise quant à lui que «Le certificat est délivré par le Premier ministre (...)»

Pour achever de semer la confusion sur cette distinction déjà bien floue, l'ANSSI accorde au produit, une fois certifié, la possibilité d'arborer une marque distinctive sans qu'aucun fondement juridique ne vienne réellement le justifier.

2.2.2.2 L'Ordonnance suisse sur les certifications en matière de protection

L'Ordonnance du 28 septembre 2007¹⁹¹ sous entend sans que cela ne soit clairement énoncé dans le texte que le titre de certification est délivré par un organisme externe qui doit être accrédité.

La société suisse SQS a d'ailleurs reçu une accréditation¹⁹² de la part du Service d'Accréditation Suisse (SAS) pour délivrer des certification dans le cadre de son programme «Data Protection Certification Decree» (VDSZ, SR 235.13) lancé en 2009 sur la base de cette Ordonnance du 28 septembre 2007.

L'Ordonnance du 28 septembre 2007 est relativement précise sur les conditions de certification. L'article 1 de l'Ordonnance stipule en effet qu'une certification distincte doit être délivrée selon qu'il s'agit de certifier ;

189 Décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information

191 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) http://www.admin.ch/ch/f/rs/c235 13.html

- Une organisation et ou une procédure en matière de protection des données ou - un produit

L'article 6 précise quant à lui que la durée de validité de la certification diffère selon qu'il s'agit de produits ou de procédures.

«La durée de validité de la certification d'un système de gestion de la protection des données est de trois ans» nous dit l'Ordonnance. Une «vérification annuelle sommaire » des conditions de maintien de certification doit être effectuée par l'organisme certificateur. Le mot «sommaire» laisse un peu songeur quant à son appréciation par les évaluateurs.

«La durée de validité de la certification d'un produit est de deux ans. Le produit est soumis à une nouvele certification si des modifications essentieles y sont apportées» indique l'ordonnance toujours dans l'article 6. La raison qui fonde cette différence n'est en revanche pas explicitée par le texte. Il faut croire que les produits ont été considérés comme évoluant plus rapidement que les procédures.

L'admission à un titre de certification dans ce domaine doit être déclarée auprès des services du Préposé Fédéral à la Protection des données et de la Transparence (PFPDT) qui en publie la liste dès lors nous dit l'article 8 alinéa 3 que les entreprises sont «déliées de leur obligation de déclarer leurs fichiers au sens de l'article 28, al. 3, de l'Ordonnance du 14 juin 1993 relative à la Loi Fédérale sur la protection des données».

Ce qui signifie que la liste des organismes certifiés n'est publiée qu'à la triple condition :

- qu'il ait déclaré sa certification aux services du PFPDT , - qu'il ait demandé et obtenu une dispense de déclaration.

Ce même article 28 de l'Ordonnance du 14 juin 1993 dispose que les responsables de traitements suisses (appelé le maître des fichiers) sont tenus de déclarer auprès du PFPDT leurs fichiers contenant des données à caractère personnel à moins comme le précise l'article 11a alinéa 5 de la Loi Fédérale du 19 juin 1992 sur la protection des données (LPD) ¹⁹³ qu'ils ne se soient « soumis à une procédure de certification au sens de l'art. 11, (ait) obtenu un label de qualité et (qu'ils aient) annoncé le résultat de la procédure de certification au préposé».

L'obtention d»un titre de certification permet à l'entreprise de ne plus déclarer ses traitements dès lors :

- que cette certification à été dûment communiquée au PFPDT, - qu'elle a obtenue cette dispense de la part du PFPDT.

Aucun des textes de la législation suisse ne précise en revanche le périmètre de cette dispense ni les conditions de son octroi.

Peut-on considérer qu'une certification obtenue sur un produit ouvre droit à une dispense de déclaration pour l'ensemble des traitements de l'entreprise qui a obtenue cette certification ? Faut-il au contraire considérer que seule la certification sur un périmètre défini de traitements vaut dispense pour les traitements à venir sur ce même périmètre ? Cela paraitrait plus logique. Nous avons interrogé les autorités suisse sur ce sujet. Nous n'avons pas eu de réponses de leur part.

Seules deux entreprises ont obtenu aujourd'hui cette dispense de déclaration en Suisse¹⁹⁴. Les raisons de ce très faible résultat sont-elles à rechercher dans la complexité de la procédure ou dans le peu d'intérêt qu'elle suscite ? Nous avons également interrogé les autorités suisses à ce sujet qui ne nous avaient pas répondues au moment d'écrire ces lignes.

L'article 9 de l'Ordonnance précise quant à lui les conditions de suspension et de révocation de la certification. Elles peuvent être prononcées par l'organisme de certification qui en informe le Préposé Fédéral à la Protection des données et de la Transparence (PFPDT) si de manquements graves sont constatés lors des vérifications annuelles. Ce qui est le

194 Les entreprises certifiées qui sont libérées de leur obligation de déclaration des fichiers sont référencées sur le site du PFPDT à l'adresse suivante:

cas nous dit l'Ordonnance lorsque «les conditions essentielles de la certification ne sont plus remplies, ou que l'organisme au bénéfice d'une certification utilise un certificat de manière trompeuse ou abusive».

On peut également s'interroger sur la notion de «conditions essentielles» et se demander ce qu'elles recouvrent et si elles sont toujours les mêmes. Nous y reviendrons.

3. Quel titre décerner pour la conformité aux autorisations uniques ?

La question se pose de savoir quel titre de certification serait le mieux adapté pour distinguer la conformité aux Autorisations uniques. Pourrait-on envisager d'intégrer un ou plusieurs programmes de certifications existants ou vaut-il mieux en créer un de toute pièce ?

3.1 Intégrer un programme de certification existant

3.1.1 Participer au programme « Good Priv@cy »

Le programme «Good Priv@cy» de la société SQS en suisse, nous l'avons déjà dit, a vocation à s'appliquer au delà des frontières suisses.

Rien ne s'oppose sur le principe à ce qu'une société étrangère propose directement ou par le biais d'une filiale une certification pour laquelle elle a été préalablement accréditée. D'autres organismes de certification le font sur d'autres programmes de certifications sans que cela ne pose le moindre problème.

Ce type de certification faisant appel à un organisme tiers d'origine étrangère est déjà utilisé par la Haute Autorité de Santé (HAS) qui propose de faire certifier par la fondation suisse Health On the Net (HON)¹⁹⁵ l'engagement des éditeurs de sites consacrés à la santé de diffuser des informations fiables et de qualité.

Le programme «Good Priv@cy» est en place en Suisse depuis 2002. Ce qui donne à SQS une antériorité et expertise dans ce domaine qui est plutôt rassurante quand à sa compétence. SQS peut également se prévaloir de son expérience hors de suisse (Autriche, Brésil). Ce qui signifie qu'elle dispose de correspondants capables d'effectuer un tel travail à l'étranger et a fortiori sur le sol français.

On pourrait néanmoins rétorquer que la société SQS ne dispose pas d'une notoriété équivalente à celle d'autres organismes de certifications tel que l'AFNOR, Bureau Veritas, ou encore Moody dans notre pays. Ce manque de notoriété international pourrait constituer un frein au développement de cette offre à moins qu'elle ne soit supportée par une autorité reconnue dans le domaine comme le fait la Haute Autorité de Santé avec HON.

195 La présentation de la procédure de certification HON est disponible à cetet adresse http://www.has-sante.fr/portail/jcms/c 334538/la-certification-des-sites-internet-sante

3.1.2 Participer au label EuroPriSe

Une autre solution pourrait consister à intégrer le label EuroPriSe dont la CNIL est partie prenante au même titre que 8 autres institutions européennes¹⁹⁶.

L'intérêt d'intégrer un tel programme réside en premier lieu dans le fait qu'il existe et qu'il fonctionne. 15 entreprises ont déjà été labélisées depuis 2008 que le programme est opérationnel. Certification qui pour moitié environ s'adressent à des produits et pour l'auter moitié à des procédures¹⁹⁷.

Il s'agit d'un programme européen qui peut présenter un intérêt en termes de reconnaissance réciproque des certifications dans les différents pays européens. On pourrait même imaginer que ce label devienne à terme une forme de marquage « CE » consacré à la protection des données à caractère personnel.

Les produits et les procédures qui auraient obtenues la certification EuroPriSe dans l'un des Etats membres auprès d'un expert ou d'un organisme accrédité pourraient librement circuler au sein du marché unique avec ce marquage.

Objectifs qui rejoignent les axes de d'amélioration recherchés dans le cadre de la révision de la Directive 95/46/CE¹⁹⁸.

Ce Label EuroPriSE pourrait s'avérer intéressant pour certifier la conformité aux Autorisations uniques qui s'appliquent à des produits comme les produits de contrôle d'accès biométriques dont les fabricants pourraient voir là un moyen idéal pour valoriser leurs produits sur le marché européen.

Le bénéfice est en revanche moins évident pour les Autorisations uniques qui traitent de procédures très localisées comme celles qui s'adressent aux banques ou aux services publics français. L'intérêt d'obtenir un label européen

ULD - Unabhngiges Landeszentrum für Datenschutz Schleswig-Holstein http://www.datenschutzzentrum.de/

3.1.4 Participer aux programmes de certification d'assurance qualité

On pourrait envisager d'inscrire la certification de la conformité aux Autorisations uniques dans le cadre des programmes de certification d'assurance qualité proposés par les organismes privées.

L'idée selon laquelle la conformité à la réglementation fait partie du processus d'assurance qualité est une idée qui a déjà été débattue et à laquelle il a été répondu par l'affirmative dans le cadre d'une étude menée dans le cadre du Mastère Spécialisé « Informatique et libertés» de l'ISEP sur la Norme ISO 9001¹⁹⁹.

Pour autant, il nous semble difficile d'inscrire la certification de conformité aux Autorisations uniques dans le cadre de programmes d'assurance qualité (de type NF ou AFAQ) au risque :

- de brouiller la lisibilité de ces marques en pratiquant le mélange des genres,

- de diluer la notion de conformité dans des programmes dont ca n'est pas la préoccupation principale.

3.1.5 Participer à plusieurs programmes

Il pourrait être intéressant de proposer différents programmes et plusieurs niveaux de certification en fonction :

On pourrait ainsi imaginer que les programmes internationaux du type EuropriSe ou Good Priv@cy soient accrédités pour certifier la conformité de produits et de procédures qui ont une «vocation internationale» comme cela peut être le cas de systèmes de contrôle d'accès biométriques ou encore des procédures de flux transfrontières si un jour la possibilité était offerte à la CNIL d'élaborer une Autorisation unique sur ce sujet pour en préciser les règles d'exercice.

Par ailleurs, un ou plusieurs programmes spécifiques de certification pourraient s'adresser aux procédures qui ont uniquement vocation à s'appliquer sur le sol national ou dans des domaines particuliers tel que la banque, le crédit, les services publiques, la vidéo-surveillance, la géo-localisation ou encore d'autres thèmes qui n'ont pas été traités par les Autorisations uniques mais qui pourraient l'être un jour comme les données de santé.

3.2 Créer un titre de certification

On s'aperçoit que la possibilité d'insérer cette procédure de certification dans des programmes existants n'est pas évidente même si elle demeure envisageable sous certaines conditions.

Il pourrait donc être plus efficient de créer un titre de certification ex-nihilo comme cela a été fait partout ou cette conformité est certifiée.

Créer un titre de certification soulève néanmoins un certain nombre de questions. La première d'entre elle consiste à savoir quels privilèges, si il doit y en avoir, seront attachés à la délivrance de ce titre.

3.2.1 Quels privilèges associer à ce titre ?

La mise en place de droit ou de privilège attaché à la délivrance du titre de certification n'a rien d'obligatoire ni de systématique. Le simple fait d'obtenir un titre permet souvent de distinguer un produit ou un service par rapport à ses concurrents. Ce qui constitue déjà un privilège. Il en va ainsi des certificats d'assurance qualité qui valident un résultat ou une démarche et offre une assurance au client final par rapport aux concurrents non certifiés.

Thèse professionnelle ISEP Mastère spécialisé «informatique et libertés» - Aurélie Banck - promotion 2007/2008

La question se pose de savoir si l'octroi de cette distinction est suffisante dans le cadre de la conformité aux Autorisations uniques. Il nous semble qu'elle pourrait constituer un privilège intéressant pour les produits dès lors que tous ne l'obtiennent pas. Ce qui annihile sinon l'effet concurrentiel comme dans le cas évoqué plus haut des AOC du vin de Bordeaux. Cet effet est en revanche beaucoup moins vrai pour des procédures qui sont rarement en concurrence directe.

L'exemple de dispense accordé par les autorités suisses est de ce fait intéressant. La réglementation suisse accorde en une dispense de déclaration pour les traitements qui ont été certifiées. Nous en avons détaillé la procédure plus haut.

La transposition de ce privilège dans la législation française sur le principe est tout à fait envisageable. Cela signifierait au niveau pratique que les entreprises seraient dispensées de déclaration de conformité pour les traitements relevant d'une Autorisation unique pour laquelle ces entreprises seraient en mesure de prouver qu'elle ont été certifiées par un organisme tiers.

Ce privilège pourrait avoir un intérêt pratique pour les entreprises si la déclaration de conformité était contraignante. Cependant, il faut à peine cinq minutes²⁰⁰ pour s'auto-déclarer conforme à une Autorisation unique sur le site de la CNIL. La dispense de déclaration ne présente donc pas d'intérêt dans le cas des Autorisations uniques.

Cette dispense au titre de la certification pourrait présenter un intérêt dans le cadre des transferts de données hors de l'Union européenne. Transferts pour lesquels une autorisation préalable de la CNIL est nécessaire hors cas particuliers énumérés à l'article 69 de la loi 78-17 du 6 janvier 1978 modifiée par la loi du 6 août 2004²⁰¹.

Malheureusement, ce type de traitement ne relève pas de l'article 25 de la loi 78-17 mais des articles 68 et 69 qui n'évoquent étonnamment pas cette possibilité. Il parait donc peu probable que les flux transfrontières puissent dans l'état actuel du droit faire l'objet d'une Autorisation unique, à moins de modifier la loi en ce sens.

Une autre piste pourrait consister à dispenser les organismes certifiés de contrôle au sens de l'article 44 de la loi 78-17 du 6 janvier 1978 modifiée. Ceci sur le périmètre des Autorisations uniques certifiées.

Cette solution parait séduisante dans la mesure ou elle apporterait un intérêt tangible aux entreprises même si le risque «informatique et libertés» est encore aujourd'hui considéré comme marginal par les services chargés de gérer le risque dans les entreprises. Ce privilège pourrait constituer également un moyen pour la CNIL d'encourager la certification et pourrait lui permettre de concentrer son effort de contrôle sur les entreprises non certifiées.

Ce privilège ne nous semble malheureusement pas viable dans la mesure ou l'on pourrait y voir un élément de rupture d'égalité devant les charges publiques. Comment justifier que certains organismes puissent bénéficier d'une dispense de contrôle dès lors qu'ils ont les moyens de faire certifier leur produits et leurs procédures alors que d'autres, plus petites et moins riches, n'en auraient pas les moyens.

Un autre privilège pourrait consister, nous l'avons déjà évoqué, dans la possibilité de faire certifier son matériel dans un Etat pour être considéré conforme dans les autres Etats de l'union ou au moins auprès de ceux participant dans un premier temps au programme EuRoPriSe. Un équivalent de marquage «CE» dans le domaine de la protection des données personnelles qui pourraient être à terme intégré dans la procédure standard de marquage «CE».

On pourrait également imaginer que cette certification conforme devienne nécessaire pour pouvoir soumissionner à un appel d'offre public pour équiper administrations, collectivités française et européennes.

Il pourrait être intéressant que ce type de certification devienne un élément de choix lors des appels d'offres pour des systèmes faisant appel à la biométrique dans les établissements publics ou les écoles. Ce pourrait également être le cas pour les etylotests anti-démarrage et les systèmes de vidéo-surveillance si ceux-ci venaient un jour à relever de la compétence de la CNIL.

201 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Cette mesure constituerait à notre sens un pas intéressant vers la mise en pratique du concept de «privacy by design» dont l`intérêt et la nécessité ont été rappelées lors de la récente Conférence des Commissaires à protection des données personnelles qui s'est tenue à Jérusalem en octobre 2010²⁰².

On pourrait enfin imaginer comme le proposait M. Xavier Leclerc lors de l'une de ces interventions dans le cadre du Mastère Spécialisé "Informatique et Libertés" de l'ISEP de faire bénéficier aux organismes certifiés d`une baisse attractive de leur prime d'assurance. Une sorte de bonus à la conformité qui pourrait être intéressante dans le cadre des primes que les entreprises vont être appelées à payer pour couvrir le risque lié à l'obligation de notifier aux clients les «failles de sécurité» concernant leur données personnelles. Dispositif qui a été introduit par la révision en 2009 de la Directive 2002/58/CE «vie privée et communications électroniques»²⁰³.

3.2.2 Quel titre de certification

3.2.2.1 Un titre générique ou un titre spécifique ?

La question consiste à savoir si il convient de créer un titre de certification spécifique ou si la conformité aux Autorisations uniques pourrait s'inscrire dans le cadre d'un titre générique.

Nous entendons par titre générique un titre de certification qui pourrait être utilisable pour tous les types de conformité que l'on souhaiterait distinguer; non seulement la conformité aux Autorisations uniques mais également celle par rapport à un cahier des charges spécifique visant par exemple à certifier des programmes de formation comme la CNIL a émis le voeux de le faire²⁰⁴. Ce principe rejoindrait celui qui anime la marque NF de l'AFNOR qui distingue la qualité sous toutes ses formes pour de nombreux types de produits et services.

Cette démarche visant à mettre en place un titre générique présenterait en outre l'avantage d'inscrire la certification de la conformité aux Autorisations uniques dans une démarche plus générale de «discrimination positive»²⁰⁵ des produits et des procédures introduite par la loi n° 2009-526 du 12 mai 2009²⁰⁶ et encouragée par le récent rapport du Conseil National de la Consommation consacré à la question des données personnelles²⁰⁷.

202 32ème conférence des commissaires à la protection des données et de la vie privée Jerusalem 27 -29 octobre 2010

«Une résolution marquante est adoptée pour assurer la protection de la vie privée dans l'avenir»

203 L' article 4 alinéa 2 de la Directive 2002/58/CE dispose que tout fournisseur de communications électroniques ou fournisseur d'accès à Internet (FAI) impliqué dans une violation de données personnelles devra informer les individus concernés si la violation est susceptible de leur nuire. Cela concernera par exemple une situation où la perte de données peut occasionner un vol d'identité ou une fraude, ou être à l'origine d'une humiliation ou de dommages à la réputation. La notification contiendra des recommandations pour éviter ou réduire les risques.

205 Démarche de «discrimination positive» comme l'appelle MM. Naftalski et Desgens-Pasanau dans un récent article commentant la Proposition n°16 du rapport Conseil National de la Consommation

207 Avis et rapport relatifs à la protection des données personnelles des consommateurs

La mise en place d'un titre spécifique à la conformité aux Autorisations uniques pourrait éventuellement apporter un supplément de visibilité à ce titre. Mais celui-ci s'adressant principalement à une cible professionnelle, le titre en lui même importe finalement assez peu par rapport aux privilèges qui pourrait y être attachés.

3.2.2.2 Un label ou un certificat

Comme nous l'avons évoqué plus haut, la notion de label en France est une appellation :

- qui doit être définie sur la base d'un texte réglementaire, - qui doit être délivrée par une autorité publique.

La mise en place d'un label dans le cadre de la certification de la conformité aux Autorisations uniques aurait pour conséquence d'obliger la CNIL ou un autre organisme dépositaire de l'autorité publique à délivrer lui même ce label.

Le «label Marianne» visant à certifier la qualité d'accueil de services public est géré de cette manière. Il est en effet décerné par le Laboratoire National d'Essai (LNE) dont l'une des missions consiste à être un organisme de certification de la qualité et de la conformité des produits et des procédures auprès des entreprises du secteur privé²⁰⁸.

L'intérêt du label se situe principalement dans la certification de produits qui s'adressent aux grand public. Cependant, Les produits qui font aujourd'hui l'objet d'Autorisations uniques s'adressent au marché professionnel. L'intérêt d'emettre un label pour distinguer la conformité aux Autorisations uniques est relatif.

L'article 11.3 c de la loi 78-17 modifiée par la loi n°2009-526 du 12 mai 2009 précise qu'il est du ressort de la CNIL de «délivre(r) un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'eles les a reconnus conformes aux dispositions de la présente loi (...)» La rédaction de l'article laisse à penser que le label CNIL sera unique pour toutes les formes de conformité . On parle bien « d'un label » pour »des produits et des procédures ».

Si l'on considère que la certification de la conformité aux Autorisations uniques entre dans le champ d'application de cet article, le titre devra donc être un label.

Cela permettrait aux industriels qui le souhaitent d'apposer une marque distinctive sur leur site ou leurs documents commerciaux et d'éviter ainsi la prolifération de marquages «faits maisons»²⁰⁹.

3.2.2.3 Le périmètre de certification

La question s'était déjà posée au moment de l'évaluation. Elle revêt encore plus d'acuité au moment ou il s'agit de décerner un titre qui peut être porteur de privilèges.

Nous l'avons dit, il nous ne semble pas envisageable de certifier autre chose qu'une Autorisation unique dans son intégralité. Certifier des principes ou des points «piochées» dans une ou plusieurs Autorisations ne nous parait pas une solution viable.

On pourrait en revanche très bien imaginer qu'une certification soit délivrée au titre de l'évaluation de plusieurs Autorisations uniques dès lors que chacune d'elle a fait l'objet une procédure d'évaluation et de validation indépendante.

Il nous parait envisageable de certifier l'ensemble des autorisations Uniques auxquelles une entreprise se soumet et de le faire éventuellement pour chaque entité qui déclare s'y soumettre. Le certificat pourrait alors être délivré à chaque entité juridique si elles sont indépendantes ou sur un périmètre de services ou de filiales si l'on se place dans le cadre d'une même entité juridique.

209 «L'agrément CNIL n'existe pas» nous rappelle l'auteur malgré les nombreuses usurpations qu'il voit fleurir ici et là Arnaud Belleil - Cecurity.com - 4 novembre 2010

On pourrait également envisager que toutes les Autorisations uniques ne soient pas certifiables. Que l'on puisse par exemple ne faire certifier que celles qui traitent de produits et non celles qui traitent de procédures si le processus s'avérait trop compliqué ou trop aléatoire.

On pourrait enfin imaginer que ces restrictions soient levées progressivement au fur et à mesure que la procédure se met en place et que les référentiels sont adaptés à cette nouvelle finalité.

3.2.2.4 La procédure de délivrance

La question qui se pose ici consiste à savoir selon quel formalisme et quelles conditions le titre sera délivré à l'organisme certifié.

3.2.2.4.1 Les documents d'admission

Faut-il, comme dans la procédure de l'EuroPriSe, prévoir trois rapports²¹⁰ ?

- Un rapport d'évaluation à destination de l'autorité de certification à partir duquel l'éligibilité du candidat à la certification sera évaluée

- Un rapport d'évaluation public qui à vocation à être publié par le candidat une fois la certification obtenue, - Un rapport de certification détaillant les résultats de la procédure et qui n'a pas vocation à être diffusé.

Cette démarche présente un intérêt en terme de transparence et de documentation de la procédure. Elle pourrait s'avérer intéressante pour ce qui est du rapport public dans le cadre d'une certification de produits ou de procédure grand public afin que celui-ci soit informé des conditions de certification du produit ou de la procédure qui a été mise en oeuvre. Une sorte de droit d'information pourrait être institué par ce biais comme il l'est parfois sur les produits alimentaires.

On pourrait aussi envisager de normaliser la présentation des rapports d'évaluation afin d'en faciliter le contrôle ainsi que le propose certains référentiels d'évaluation tels que celui de l'autorité anglaise de protection des données à caractère personnel (ICO)²¹¹. Cela pourrait pourrait faciliter le travail de contrôle et sa rapidité.

3.2.2.4.2 La durée de validité

Il serait peut être intéressant comme en Suisse de définir des durées de validité différentes selon que l'on certifie un produit ou une procédure.

Deux ans pour les produits et trois pour les procédures comme le précise l'article 6 de l'Ordonnance suisse du 28 septembre 2007²¹². Cette dichotomie ne nous parait un peu superflue Une durée de 2 ou 3 ans renouvelables pour les produits et les procédures nous semble convenir. Elle pourrait être de 3 ans au lieu de 2 afin d éviter une trop grande charge de travail en cas de succès.

Il serait également souhaitable de prévoir des audits de contrôle périodiques.

3.2.2.4.3 Les conditions de renouvellement

Il est nécessaire d'établir des conditions de maintien et de renouvellement qui soient claires.

212 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) http://www.admin.ch/ch/f/rs/c235 13.html

La notion de «vérification annuele sommaire » définit dans l'article 6 de l'Ordonnance suisse du 28 septembre 2007 nous semble par exemple difficilement exploitable.

- le degré de tolérance: c'est à dire le degré de différence acceptable pour le maintien de la certification pour chacin des points de contrôle certifié,

- l'autorité décisionnaire : définir si il appartient à l'évaluateur ou au certificateur si ils sont différents de décider du maintien ou non du bénéfice de la certification.

Une procédure similaire devrait également être mise en place pour définir les règles de renouvellement de la certification.

3.2.2.4.4 Les conditions de révocation

Les conditions proposées par l'Ordonnance suisse du 28 septembre 2007 nous semble intéressantes mais elles mériteraientt également d'être précisées pour être parfaitement exploitables.

L'article 9 de l'Ordonnance suisse du 28 septembre 2007 parle en effet de révocation si «les conditions essentielles de la certification ne sont plus remplies, ou que l'organisme au bénéfice d'une certification utilise un certificat de manière trompeuse ou abusive»

Qu'entend-on par «conditions essentielles» ? Dans le cas qui nous occupe, faudrait-il considérer que le non respect d'un seul objectif contenu dans une Autorisation pourrait être susceptible de remettre en cause le bénéfice de la certification ? Sinon, conviendrait-il de définir pour chaque Autorisation un certain nombre d'objectifs clés, essentiels au maintien de la certification ?

Cela pourrait signifier qu'une fois connus par les organismes candidats, ceux-ci se focaliseraient uniquement sur la conformité de ces points clés. Ce qui, peu ou prou, revient à imposer le respect d'une conformité stricte, sauf à ne pas pouvoir l'atteindre pour des raisons indépendantes de la volonté du candidat.

3.2.2.5 Le responsable de la délivrance du titre

La question à laquelle nous souhaitons répondre pour terminer cette étude consiste à savoir si la délivrance du titre de certification doit relever d'une autorité publique et à fortiori de la CNIL ou si elle peut être déléguée aux organismes privées de certifications.

L'exemple Suisse montre que la certification de la conformité à un référentiel légal peut être confiée à organisme privé. Le référentiel suisse, l'ordonnance du 28 septembre 2007, le prévoyant implicitement comme nous l'avons déjà précisé.

Cette démarche de délégation est également mise en oeuvre par d'autres Autorités Administratives Indépendantes françaises.

C'est le cas de l'Autorité de Régulation des Jeux en Ligne (ARJEL). L'article 23 alinéa 2 de la loi n° 2010-476 du 12 mai 2010 ²¹³ prévoit en effet que "dans un délai de six mois à compter de la date de mise en fonctionnement (...) l'opérateur de jeux ou de paris en ligne transmet à l'Autorité de régulation des jeux en ligne un document attestant de la certification qu'il a obtenue,(...) Cette certification est réalisée par un organisme indépendant choisi par l'opérateur au sein d'une liste

213 Loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne

établie par l'Autorité de régulation des jeux en ligne. Le coût de cette certification est à la charge de l'opérateur de jeux ou de paris en ligne.»

L'Autorité de Régulation des Communications Electroniques et des Postes (ARCEP) impose également dans sa décision n° 2008-1362²¹⁴ à chaque opérateur de téléphone fixe ayant plus de 100 000 abonnés de publier tous les 3 mois sur leur site internet des indicateurs de qualité de service à partir d'un référentiel normalisé par l'ETSI²¹⁵. L'ARCEP impose de faire certifier par un auditeur indépendant l'objectivité, la sincérité et la conformité des mesures pour les indicateurs liés à l'accès, qui sont mesurés par l'opérateur lui-même.

La Haute Autorité de Santé (HAS) propose en vertu de la loi n°2004-810 du 13 août 2004²¹⁶ un programme de certification volontaire aux éditeurs d'information de santé sur Internet en collaboration de la fondation de Health On Net (HON)²¹⁷.

Cette certification vise à s'assurer du respect de 8 principes définis par la fondation suisse en terme de qualité d'information et de fiabilité des sources. Elle est délivrée pour 1 an par la fondation HON et fait l'objet d'une réévaluation systématique à l'issue de ce délai. Les sites certifiés ont la possibilité d'arborer un signe distinctif et de participer à un «cercle de confiance» qui regroupe les sites certifiés HON dans un moteur de recherche commun.

Enfin, la gestion du «label Marianne» de la Direction Générale pour le Modernisation de l'Etat (DGPME) dont nous avons parlé plus haut est confiée pour une part à l'AFNOR²¹⁸ qui en assure l'évaluation et au Laboratoire National d'Essai qui, lui, délivre le titre après vérification de l'évaluation.

Il nous semble que rien ne s'oppose sur le principe à ce que la procédure de certification de conformité aux Autorisations uniques soit déléguée à un ou plusieurs organismes de certification préalablement accrédités.

Cette délégation pourrait éviter à la CNIL un travail qui n'est pas au coeur de sa mission et pour lequel elle n'a pas forcément aujourd'hui de compétences. C'est sans doute la raison pour laquelle ce type de procédure a été déléguée par la plupart des Autorités Administratives Indépendantes qui y ont recours.

Cependant, l'article 11.3 c de la loi 78-17 modifiée par la loi n°2009-526 du 12 mai 2009 précise bien qu'il appartient à la CNIL de délivrer un label et en France, un label ne peut être délivré que par une autorité publique.

Une seconde limite pratique celle-là réside dans le fait que les Autorisations uniques ne sont justement pas uniques. Leur nombre et leur domaine d'application sont appelés à évoluer sans arrêt. Ce caractère évolutif et multi-sujets pourraient éventuellement apparaitre comme un obstacle à la délégation du processus de certification à des organismes qui n'en maîtrise pas la source. Les organismes de certifications privées n'ayant pas forcément toutes les compétences «fonctionnelles»pour traiter de tous des sujets soulevés par les Autorisations uniques.

Une solution pour remédier à ce problème pourrait consister, nous l'avons déjà dit, à accréditer les organismes pour la certification de certains types d'autorisations. De ce fait, toute nouvelle autorisation publiée et relevant du domaine d'accréditation de l'organisme serait intégrée de droit dans son périmètre de certification.

214 Décision n° 2008-1362 de l'Autorité de régulation des communications électroniques et des postes en date du 4 décembre 2008 relative à la publication des mesures d'indicateurs de qualité de service fixe par les opérateurs.

215 Guide ETSI 202 057 « Speech Processing, Transmission and Quality Aspects (STQ) - User related QoS parameter definitions and measurements »

De la même manière, il convient de relativiser cette instabilité des référentiels dans la mesure ou les référentiels normatifs sont eux aussi nombreux, complexes et évolutifs. Les experts qui sont appelés à les certifier sont souvent rompus à cette complexité.

En sens inverse, on peut s'interroger sur les avantages mais également les inconvénients liés au fait que la CNIL pilote elle-même la procédure de délivrance d'un titre de certification.

Il est évident qu'étant elle-même rédactrice des référentiels à certifier, elle est sans aucun doute la mieux placée pour en cetifier la conformité. Elle est également la plus légitime pour donner une éventuelle interprétation de ces référentiels.

Cela pourrait également permettre d'ouvrir la procédure d'évaluation à des experts individuels comme cela se fait dans le cadre du label EuRoPrise. Dans la mesure ou l'on confie à une autorité reconnue la charge de l'évaluation finale, il devient envisageable de confier l'évaluation préalable à des individus accrédités sans remettre en cause la crédibilité de la procédure.

On peut s'interroger sur l'opportunité pour la CNIL de prendre en charge une telle mission qui nous semble lourde à gérer. Ceci pour des résultats assez incertains si le programme n'est pas assorti d'une réelle obligation ou d'un réel avantage. Le programme EuRoPrise qui a été doté d'un budget de 1,2 million d'Euros par an n'a certifié que 15 entreprises en 2 ans.

En ces temps de rationalisation de la dépense publique, la solution réside peut-être dans une bonne articulation entre le secteur privé et le secteur public.

La CNIL pourrait se charger de définir les règles du jeu, de contrôler des certificateurs et de travailler en partenariat avec des organismes privés pour leur laisser le soin d'effectuer la certification et délivrer un certificat de conformité.

On pourrait également envisager qu'une partie de programme de certification soit confié à des organismes privés qui auraient la charge du processus dans son entier (évaluation et certification). La CNIL se réserverait la certification par labelisation de périmètres particuliers et pourquoi pas, les plus sensibles. Aujourd'hui la biométrie ou les traitements relevant de la sécurité publique; Demain peut-être des traitements liés aux nanotechnologies et à la génétique.

Ce partage des tâches dont on peut imaginer qu'il soit évolutif pourrait permettre de créer deux niveaux de certification. Le certificat émanant des organismes privés serait le premier niveau. Le label serait le deuxième éventuellement réservé a certaines activités «à risque» ou touchant au domaine public.

Cette double démarche pourrait permettre de ne pas être dépendant du bon vouloir des organismes privés au moment du démarrage du programme de certification. L'intérêt de ces organismes privés étant évidemment commercial, il serait souhaitable de donner à ce programme un réel attrait pour que l'initiative privée y voit un intérêt et s'empare du sujet.

Conclusion

La première est que ce projet s'inscrit opportunément à la confluence d'un besoin croissant de sécurité juridique de la part des entreprises et de la volonté des autorités de régulation d`obliger les entreprises à rendre compte de leur conformité.

Il nous semble que rien du point de vue juridique ne s'oppose au principe de certifier la conformité à une réglementation. Il s'agit d`une démarche qui a déjà été empruntée par le droit français dans lequel la certification conforme est appliquée dans des domaines contigus à celui qui nous occupe, notamment dans le domaine de la génération de signature électronique. C'est également une procédure qui est mise en oeuvre avec succès dans deux autres pays européens, La Suisse et l'Allemagne, dans le domaine de la protection des données à caractère personnel.

Nous sommes tout à fait d'accord pour reconnaître que les Autorisations uniques n'ont pas été conçues comme des référentiels certifiables. On constate néanmoins qu'elles présentent des caractéristiques qui pourraient leur permettre de le devenir sans peine. Les règles qu'elles imposent aux entreprises correspondent dans l'esprit aux objectifs définis par une norme industrielle. Un travail d'interprétation et parfois de clarification serait sûrement nécessaire pour les rendre parfaitement exploitables en tant que référentiels auditables. Il nous semble que ce travail n'est pas insurmontable et qu'il pourrait être effectué dans le cadre de leurs révisions périodiques ou bien initié au moment de l'élaboration des futurs textes.

Il convient également de s'interroger sur la manière dont on pourrait évaluer la conformité aux Autorisations uniques. Il apparait nécessaire que cette évaluation pour être valide soit confiée à des organismes tiers dont la compétence aura été préalablement validée. Compétences qu'ils conviendraient de vérifier dans le cadre d'une procédure d'accréditation. Les instances capables d'effectuer ce type de travail existent et la mise en place d'une telle procédure ne soulève pas à notre avis de difficultés particulières.

Le choix s'avère plus délicat lorsqu'il s'agit de déterminer quel type d'évaluateur il convient d'accréditer. Faut-il en effet accréditer des experts individuels ou seulement des organismes ? Ce choix, nous l'avons souligné, aura des répercussions importantes au niveau de l'organisation de la procédure de certification. Confier l'évaluation à des experts individuels impose le recours à une autorité de certification afin de valider l'admission et délivrer le titre; à moins de confier l'ensemble de la procédure à des évaluateurs individuels. Ce qui nous parait délicat et n'a d'ailleurs jamais été fait à notre connaissance.

Il nous semble d'un point de vue pratique qu'il serait souhaitable d'inscrire la certification de la conformité aux Autorisations uniques dans le cadre normal des autres programmes de certification; ceci afin d'éviter que cette procédure ne soit organisée de manière marginale et, par la même, considérée comme telle. Nous sommes de ce fait favorable à l'accréditation d'organismes plutôt qu'à celle d'évaluateurs individuels.

La méthodologie d'audit à employer pour évaluer la conformité doit faire l'objet d'une réflexion afin de déterminer si elle doit être un élément d'accréditation à la charge du candidat ou si elle doit être imposée par l'autorité de certification comme nos voisins allemands ont choisi de le faire. Choix qui peut se justifier par la volonté d'imposer un cadre normalisé plus facile à contrôler. Ce dernier choix va néanmoins à l'encontre de la démarche habituelle dans le monde de la certification qui veut que l'organisme en charge de l'évaluation de la conformité utilise sa propre méthodologie qui constitue souvent son savoir faire et sa valeur ajoutée.

Cette solution qui consiste à confier l'intégralité de la procédure nous parait également la plus viable d'un point de vue pratique pour les mêmes raisons de nécessité d'intégration dans le processus standard de certification. Nous avons conscience que ce choix exclut le recours à des experts individuels indépendants. Ce choix nous parait le plus judicieux afin d'éviter, nous l'avons déjà dit, de marginaliser cette procédure qui a besoin de reconnaissance.

La question de savoir quel titre de certification et quelle autorité sera en charge de le délivrer est réglée par L'article 11.3 c de la loi 78-17 du 6 janvier 1978 modifiée la loi du 12 mai 2009. Celui-ci dispose en effet qu'il appartient à la CNIL de délivrer ce titre sous la forme d'un label. Cette solution ne nous semble pas forcément la plus judicieuse d'un point de vue pratique dans la mesure ou la certification n'est pas le « coeur de métier » de la CNIL. La prise en charge d'un telle

procédure exigerait forcément des ressources supplémentaires au risque de créer sinon, en cas de forte demande, un «goulet d'étranglement». Nous pensons qu'il serait sans doute plus efficace de déléguer au moins en partie l'évaluation et la certification aux organismes privés comme cela se fait dans la plupart du temps. Il reviendrait en revanche à la CNIL de contrôler les organismes certificateurs comme le font d'ailleurs déjà d'autres autorités administratives.

Notre deuxième remarque est un constat. Certains programmes comportent plus d'experts accrédités que d'entreprises certifiées. Il y a par exemple une centaine d'experts accrédités dans le monde pour délivrer le label EuroPriSe alors que seules 15 entreprises l'ont officiellement obtenu.

La société suisse SQS a certifié 50 entreprises en 8 ans. Ce qui ne représente qu'une infime proportion du million d'entreprises qui ont été certifiées ISO 9000 et 9001 en 20 ans²¹⁹.

Pour finir, seules deux entreprises ont obtenu une dispense de déclaration au titre de la certification dans le cadre de l'Ordonnance suisse du 26 septembre 2008 depuis 2 ans que la procédure est en place.

Force est de constater que cette procédure de certification suscite plus d'espoir que de d'engouement. Les raisons de ce relatif échec sont-elles à rechercher dans le fait que la procédure est trop compliquée ou qu'elle ne présente pas suffisamment d'intérêt pour justifier la dépense ? D'autres programmes qui visent à certifier la qualité ou la conformité sont d'un niveau de complexité équivalent sans que cela ne constitue un frein à leur développement. Il faudrait donc plutôt pencher vers la seconde explication.

Les avantages concrets apportés par ce type certification sont somme toute assez limités. A l'inverse, Il n'existe aucun risque réel en cas de non conformité.

Colin J. Bennett et Robin Bayley²²⁰ faisait remarquer qu'en 2006, au moment ou ils publiaient leur étude, seules 21 % des 424 plaintes instruites par le Commissariat à la Protection de la Vie Privée du Canada s'étaient avérées infondées, prouvant par la même que la législation en la matière était très peu respectée faute de sanctions suffisamment dissuasives.

En France, un contrevenant est le plus souvent soumis à une injonction de se mettre en conformité dès lors qu'il a été pris en faute. Seuls sont sanctionnés les récidivistes vraiment impénitents. On pourrait cyniquement défendre l'idée que la procédure de contrôle de la CNIL constitue pour les entreprises une sorte d'audit de conformité réalisé au frais de l'Etat.

La récente décision du Conseil dÔEtat en juillet 2010²²¹ qui a annulé une sanction financière à l'encontre d'une société d'agents privés spécialisés dans le recouvrement de créance pour vice de forme risque encore de renforcer un sentiment d'impunité assez généralement partagé par les entreprises.

L'exploitation des données à caractère personnel est aujourd'hui considérée comme un moyen de croissance économique bienvenu dans des pays ou celle-ci est anémiée. La plus grande réussite économique de la décennie exploite ce filon sans retenue. C'est bien l'exploitation des données à caractère personnel qui rapporte aujourd'hui de l'argent et non pas leur protection qui est considéré par certains comme une combat d'arrière garde²²². Il faut à notre sens bien garder les éléments de cette équation à l'esprit pour espérer trouver un moyen d'encourager la certification conforme dans ce domaine.

220 « Dire ce que l'on fait et faire ce que l'on dit » : Arguments et observations en faveur d'une norme internationale de protection des renseignements personnels - Colin J. Bennett et Robin Bayley p.7

222 «The Age of Privacy is Over» nous assurait récemment le fondateur de Facebook, Mark Zuckerberg. Affirmation qui a fait l'objet d'une abondante littérature dans laquelle la notion de vie privée à l'heure numérique a été discutée. On trouvera un article intéressant sur cette question sur le site américain de readwriteweb http://www.readwriteweb.com/archives/facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php

Notre troisième remarque consiste justement à proposer deux pistes qui nous semblent possibles d'explorer pour mettre en oeuvre ce projet de certification de la conformité aux Autorisations uniques.

Un certain nombre de fabricants d'équipements de contrôle d'accès, nous l'avons vu, sont en attente d'une marque distinctive pour valoriser leur matériel .

Les exemples que nous avons pu trouver semblent indiquer que ces industriels recherchent avant tout une marque distinctive pour différencier leur offre commerciale²²³. Ils n'attendent pas nécessairement de privilèges liés à ce titre. Cette configuration présenterait un double avantage :

- l'assurance qu'il existe une réelle attente pour justifier le travail nécessaire à la mise en oeuvre,

- la possibilité de délivrer un titre de certification sans être obligé de définir de privilèges associés.

Les flux transfrontières s'inscrivent selon nous parfaitement dans cette perspective. Ils sont soumis à une autorisation préalable de la CNIL, sauf exception décrite dans l'article 69 de la loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004, et sont pour un nombre croissant d'entreprises un lien vital pour leur activité.

Ces traitements soumis à autorisation préalable ne sont pas susceptibles dans l'état actuel de la loi de faire l'objet d'une Autorisation unique.

On pourrait néanmmoins imaginer qu'à l'occasion de la transposition de la prochaine Directive européenne ou d'une modification de la loi, la CNIL se dote des moyens légaux pour pouvoir élaborer une Autorisation unique dans le domaine des flux transfrontières. Cette mesure reprendrait ainsi le voeux de la Commission européenne de faciliter ces transferts internationaux en allégeant les formalités déclaratives²²⁴.

Cette Autorisation pourrait être élaborée sous la forme d'une norme auditable applicable par exemple au domaine des données RH, marketing ou bien bancaires.

Cette Autorisation pourrait être également élaborée sous la forme d'un texte « cadre » exigeant la conformité de ces flux aux normes internationales telle que la norme ISO/CEI CD 29100 par exemple qui devrait être publiée dans le courant de l'année 2011.

223 C'est notamment le cas du lecteur biométrique de reconnaissance du réseau veineux du doigt commercialisé par la société Tech Eden - http://www.tech-eden.fr

Cette proposition n'est pas d'une grande originalité puisqu'elle est déjà à l'oeuvre dans les pays de l'APEC depuis que ceux-ci ont adopté leur «Privacy Framework» en 2004. Bien qu'elle soit encore balbutiante et que les Etats membres de l'APEC aient du mal à s'accorder sur les modalités d'application pratique, il s'agit néanmoins d'un pas en avant qui va dans le sens d'une meilleure responsabilisation des responsables de traitement.

La normalisation et la certification peuvent de ce fait être une solution réaliste pour parvenir à un contrôle optimal comme cela a été fait au niveau de la qualité des produits et des procédures.

Une solution de ce type rejoint nous semble-t-il les préoccupations et les pistes qui ont été exposées dans le programme de Stockholm ²²⁶, dans les axes d'améliorations proposés par le G29 et plus récemment encore par la Commission européenne²²⁷, à savoir :

- Homogénéiser les niveaux de protection entre les différents pays de l'union, - Obliger les responsables de traitement à rendre compte de leur conformité.

Il pourrait être intéressant nous semble-t-il de prolonger ce travail en réfléchissant à une procédure de certification à l'échelle européenne concue comme une alternative ou un complément aux différentes solutions, (Safe Harbor, Binding

225 Le point 6 de la déclaration de Madrid pour Standards mondiaux de respect de la vie privée dans un monde globalisé

Adopté dans le cadre du 31^ème sommet des Commissaires à la protection des données et de la vie privée en novembre 2009 à Madrid.

« Inviter les États qui ont déjà établi des cadres juridiques pour la protection de la vie privée à en assurer l'application effective et le respect, et à coopérer au niveau international et régional »

d'«examiner la mise en place d'un système de certification européenne pour les technologies, les produits et les services «respectueux de la vie privée»

«Une approche globale de la protection des données à caractère personnel dans l'Union européenne»

Corporate Rules ou clauses conrtactuelles types) qui ont été explorées jusqu'à présent pour réguler les flux transfrontières de données à caractère personnel²²⁸.

228 Proposition qui s'inscrit selon nous parfaitement dans le calendrier proposé par la résolution commune adoptée lors de la 32ème conférence des commissaires à la protection des données et à la vie privée qui s'est tenue du 27 au 29 octobre 2010 à Jerusalem. Cette résolution prévoit en effet dans son point 4 p.3 de mettre en place «une conférence intergouvernementale, en 2011, ou au plus tard en 2012, en vue de parvenir à un accord sur un instrument international contraignant garantissant le respect de la protection des données personnelles et de la vie privée et favorisant la mise en place d'une coopération internationale pour la mise en oeuvre de ces droits»

Annexe 1 : Contribution à la consultation publique de la Commission européenne sur les contours de la révision de la Directive 95/46/CE 229

Cette contribution suggère à la Commission d'introduire dans la Directive la possibilité pour les organismes qui souhaitent transférer des données à caractère personnel hors de l'Union européenne de pouvoir faire certifier leurs procédures comme mode de dérogation supplémentaire à l`interdiction posée par l'article 25. Cette procédure présenterait selon nous le double avantage de valider la conformité de manière pratique et périodique et de dépasser les limites imposées par les règles juridiques nationales ou régionales.

«Emphasis on a data exporter remaining accountable for compliance is at the heart of the Cross Border Privacy Rules approach, and the limitations of enforcement remain an issue for all data protection regime»

1. Notre proposition

Introduire, comme cela a déjà été en partie suggéré²³¹ par le Groupe de l'article 29, la certification comme moyen pour rendre compte de la conformité aux principes de protection des transferts de données à caractère personnel effectués hors de l'Union européenne vers des pays non reconnus comme assurant un niveau de protection adéquat.

1.1 Le principe

On pourrait introduire une dérogation supplémentaire à l'article 26.1 de la Directive 95/46/CE. Cette nouvelle dérogation pourrait préciser que « le transfert de données à caractères personnel est autorisé si tous les processus liés à ce transfert ont reçu de la part d'un organisme tiers accrédité un titre de certification consacrant leur conformité aux principes définis par la Directive.»

Cette procédure de certification pourrait être proposée en tant qu'alternative aux procédures dérogatoires existantes, Clauses Contractuelles Types (CCT), Binding Corporate Rules (BCR) et Safe Harbor Principles.

On pourrait envisager que cette procédure de certification soit également proposée comme un complément obligatoire à la mise en place de Clauses Contractuelles Types (CCT) ou de Binding Corporate Rules (BCR) pour le transfert de catégories de données sensibles (médicales, biométriques, génétiques).

229 Contribution personnelle to the «Consultation on the Commission's comprehensive approach on personal data protection in the European Union»

230 Dans "The APEC Asia-Pacific Privacy Initiative - a new route to effective data protection or a trojan horse for self-regulation?" p 6 Nigel Waters

Cette procédure de certification pourrait aussi devenir un complément obligatoire pour sécuriser les transferts effectués sous couvert du programme de «Safe Harbour» américain.

La certification serait à la charge de l'initiateur du transfert et ceci quelque soit le nombre de sous-traitants impliqués.; L'initiateur du transfert devant être capable à tout instant de dire qui est en train de traiter ses données et comment celles-ci sont traitées. La certification devrait être obtenue pour l'ensemble de la chaine de sous-traitance.

1.2 La procédure

La procédure de certification pourrait être confiée aux organismes privés de certification dans chaque pays de l'Union dès lors qu'ils auraient été préalablement accrédités pour effectuer ce type de certification.

Les organismes de certifications accrédités pourraient se charger de l'évaluation de la conformité et de la délivrance du titre de certification. Cette procédure laisserait aux autorités de contrôle nationales le soin de vérifier le bien fondé des titres de certification délivrés par le biais de contrôles aléatoires.

Le programme européen de labelisation EuroPriSe pourrait également prendre en charge ce type de certification pour les pays qui manquent de compétences dans ce domaine et qui souhaiteraient l'accréditer.

La procédure de certification devrait être annuellement contrôlée afin de vérifier que les conditions de maintien du titre de certification sont réunies.

Le périmètre de certification devrait être mise à jour à chaque fois qu'une modification substantielle est effectuée sur le processus de transfert de données déjà certifié.

La procédure de certification pourrait ne plus être nécessaire dès lors que le pays de destination est reconnu comme assurant un «niveau de protection adéquat» par la Commission européenne.

Le titre de certification et les rapports de contrôle pour le maintien de la certification pourraient être à déposés auprès des autorités de contrôle du pays dont l'initiateur de l'export de données dépend.

1.3 Les fondements juridiques et normatifs

La Directive 95/46/CE modifiée pourrait définir une série de principes minimaux et obligatoires à respecter par les procédures de transferts de données à caractère personnel vers un pays hors de l'Union européenne n'assurant pas un niveau de protection adéquat.

Ces principes pourrait être rédigés de façon telle à ce que les organismes chargés d'en évaluer la conformité puisse le faire sans difficultés.

On pourrait envisager que la nouvelle Directive s'appuie de la même manière que les directives «nouvelle approche» sur un ou plusieurs textes normatifs auxquels les organismes candidats à la certification pourraient être inviter à faire valider leur conformité par un organisme tiers.

On pourrait s'appuyer sur les principes définis dans la norme ISO/IEC 29100 qui sont en cours de validation et qui devraient être publiés dans le courant de l'année 2011 ou début 2012 au plus tard. On pourrait également envisager de rédiger un texte normatif spécifiquement dédié à ce type de processus.

Les principes pourraient être à minima ceux qui sont déjà décrits dans l'appendice des Clauses Contractuels Types entre deux responsables de traitements:

2. Certifier : quel intérêt ?

2.1 Des avantages pour les différentes parties prenantes

Il nous semble que l'introduction d'une procédure de certification des transferts de données hors de l'Union présenterait certains avantages comparativement aux procédures actuellement en vigueur.

2.1.1 Les avantages pour les entreprises

La certification pourrait s'avérer plus facile, plus rapide, donc moins coûteuse et plus accessible aux petites et moyennes entreprises, que la mise en place de Binding Corporate Rules (BCR) dont une récente étude parue en décembre 2010 en France souligne la complexité²³².

Cela pourrait être une procédure juridiquement plus sécurisante que les Clauses Contractuelles Types (CCT) dont la même étude souligne les limites dans certaines configurations²³³.

Ce serait l'occasion de mettre à la disposition des entreprises un moyen de sécurité juridique supplémentaire au moment ou certaines d'entre elles, notamment dans les communications électroniques, doivent rendre compte des brèches de sécurité impliquant les données de leurs clients. La certification pourrait leur offrir un moyen de preuve appréciable.

2.1.2 Les avantages pour les autorités de contrôle

La certification pourrait permettre aux autorités de s'assurer d'une manière pratique que les procédures sont bien conformes car pour être certifiées, celles-ci doivent obligatoirement faire l'objet d'un audit conditionnant l'obtention du titre.

La certification nous apparait aussi comme un moyen pour les autorités de démultiplier leur pouvoir de contrôle. La certification leur offrant le moyen de s'assurer régulièrement de la conformité des transferts par le biais des audits de contrôle périodiques nécessaires au maintien du titre de certification.

2.2 Une volonté des autorités d'explorer de nouvelles voies de régulation

La déclaration approuvée à l'issue de la 32ème conférence des commissaires à la protection des données personnelles qui s'est tenue à Jérusalem le 29 et le 30 octobre 2010 précise que :

«Au vu du développement fulgurant des traitements de données personnelles et des transferts internationaux, la dépendance croissante des sociétés à l'égard des nouveles technologies, l'élaboration de règles internationales qui garantissent d'une façon uniforme le respect de la protection des données et de la vie privée est aujourd'hui devenue une absolue nécessité»²³⁴

Le programme de Stockholm suggère à la Commission européenne «d'examiner la mise en place d'un système de certification européenne pour les technologies, les produits et les services «respectueux de la vie privée » 235

232 Livre Blanc : La gestion des données à caractère personnel dans les projets d'externalisation offshore

234 Projet de résolution appelant à la convocation d'une conférence intergouvernementale aux fins d'adopter un instrument international

contraignant sur le respect de la vie privée et la protection des données personnelles

32e Conférence mondiale des commissaires à la protection des données et de la vie privée

L'avis n° 168 émis par le G 29 en décembre 2009 sur l'avenir de la protection des données personnelles précise que²³⁶ « La rédaction de rapports de conformité et la réalisation d'audits, la certification par des organismes tiers pour contrôler et évaluer si les mesures internes adoptées pour garantir le respect des obligations permettent de gérer efficacement, de protéger et d'assurer la sécurité des données à caractère personnel». La certification constitue l'une des mesures pro-actives que les responsables de traitements devraient envisager de mettre en place.

L'avis n° 173 du G 29 présenté en Juillet 2010 et consacré au principe «d'accountability» envisage de recourir à des programmes de certification en complément des engagements juridiques puisqu'il précise que « Si des BCR sont utilisées comme base juridique des transferts de données internationaux, les responsables du traitement des données sont tenus de démontrer qu'ils ont mis en place des garanties suffisantes, auquel cas les autorités chargées de la protection des données peuvent autoriser les transferts. Il s'agit également d'un domaine dans lequel des services de certification pourraient s'avérer utiles. De tels services analyseraient les garanties fournies par le responsable du traitement des données et, le cas échéant, les certifieraient. Les autorités chargées de la protection des données pourraient alors utiliser ces certificats délivrés au titre d'un programme de certification donné lorsqu'eles analysent les BCR pour savoir si un responsable du traitement des données a fourni des garanties suffisantes aux fins de transferts de données internationaux. Le processus d'autorisation de ce type de transferts en serait simplifié.»²³⁷

Enfin, le point 2.2.5 de la communication de Commission européenne du 4 novembre 2010 souligne quant à lui le voeux de la Commission d'examiner « la possibilité d'instaurer des régimes européens de certification (par exemple, des «labels de protection de la vie privée») pour les processus, technologies, produits et services conformes aux normes de protection de la vie privée»²³⁸

2.3 L'auto-régulation ne fonctionne pas

Le Dr Thilo Weichert, responsable de l'autorité de protection des données à caractères personnel dans le Land allemand du Schleswig-Holstein, soulignait dans un communiqué de presse en juillet 2010 les doutes qu'il nourrit quant à la validité des engagements des entreprises américaines vis à vis du programme de « Safe Harbor»²³⁹.

La polémique autour de la messagerie financière SWIFT et autour du transfert de données exigé par le gouvernement américain dans le cadre du Passager Name Record (PNR) sont autant d'exemples qui démontrent les limites de l'auto-régulation. L'absence de transparence et de mécanismes de régulation laisse planer un doute sur la légalité et la finalité de ces procédures comme l'a signalé à plusieurs reprises le Parlement européen.

2.4 Le cadre réglementaire présente des lacunes

238 point 2.2.5 p 12 dans « Une approche globale de la protection des données à caractère personnel dans l'Union européenne» Communication de la Commission au parlement européen - Novembre 2010 http://ec.europa.eu/justice/news/consulting public/0006/com 2010 609 fr.pdf

239 «On July 5th, 2010 the Australian privacy researcher Chris Connolly presented at an international privacy conference in Cambridge, UK, results from his second study on US companies' compliance with the safe harbor principles. According to his findings, 2170 US companies claim to be safe harbor privileged; whereof 388 were not even registered with the Department of Commerce (DOC). Among the registered companies 181 certificates were found to be not current due to lapse of time. The check on the 7th principle concerning enforcement alone showed that 940 out of the 2170 US companies do not provide information on how to enforce individuals' rights. 314 companies provide a dispute resolution scheme that costs between 2000 and 4000 US dollars. Thus, it is hardly surprising that not a single complaint procedure has been carried out. Despite the more than 2000 annual complaints about non-compliance with the safe harbor principles, the Federal Trade Commission (FTC) has prosecuted only seven organisations for falsely claiming safe harbor self-certification. The detailed results of the study will be published in August 2010»

Comme le souligne une étude récente de l'European Outsourcing Association (EOA) parue en décembre 2010, étude que nous avons déjà cité plus haut²⁴⁰, certaines configurations dans les procédures d'export de données à caractère personnel s'avèrent difficiles à traiter juridiquement dans le cadre défini par les Clauses Contractuelles Types.

L'étude évoque le fait par exemple que «si l'entreprise externalisatrice ne dispose pas d'une visibilité effective sur les flux de données entre son prestataire et les éventuels sous-traitants de celui-ci, ele prendra un risque en signant le Modèle (de CCT) puisqu'ele assumera dans ce cas, seule, la responsabilité de flux transfrontaliers de données dont elle ne contrôle ni le traitement, ni les sous-traitements ».

L'étude de conclure que «pour assurer une visibilité effective à l'entreprise externalisatrice, il conviendra d'imposer, sur toute la chaîne contractuelle, au moyen d'un contrat ad hoc, la reproduction à l'identique des engagements pris par le prestataire envers l'entreprise externalisatrice»

Cette situation donne parfois lieu à des aberrations cocasses comme le souligne Boris Wojtan dans la revue International Data privacy law²⁴¹ . «L'absurdité des clauses contractueles types» précise-t-il « devient rapidement évident si l'on considère un exemple récent où eles ont été utilisés par un responsable un traitement et un prestataire de services dans le contexte d'un accord global d'externalisation comprenant 5 volets de service, impliquant 20 entités exportatrices et 4 prestataires importateurs de données. Cet exercice a donné lieu à 140 signatures de la part le responsable de traitements, 308 signatures pour le prestataire, 1.540 pages de documents papier, 123 Mo de données électroniques et plusieurs dizaines d'heures de travail, à la fois pour le client et le prestataire.»

Autre exemple. Lorsqu'un « prestataire situé au sein de l'UE sous-traite à un tiers situé hors UE. Ce scénario est fréquent car l'entreprise française recourt souvent à un prestataire installé en France ou dans un autre pays européen, qui dispose de filiales étrangères appelées à participer au projet d'externalisation. ... () les modèles de clauses types ne couvrent pas ces situations et le rapport du 11 octobre 2010 de la CNIL ne détaile pas les solutions pour couvrir ce scenario» nous dit l'étude.

Pour ce qui est des Binding Corporate Rules (BCR), leur mise en place demeure longue et coûteuse malgré les aménagements²⁴² qui ont été apportées afin de pouvoir les faire valider par une seule autorité. Elles ne peuvent donc constituer une option pour les petites et moyennes entreprises et demeurent uniquement envisageables pour des groupes internationaux pour lesquels ce type de transfert est stratégique.

2.5 L'approche géographique qui sous-tend la régulation est dépassée

C. Kuner, chercheur à l'université néerlandaise de Tilburg, démontre dans une étude publiée en octobre 2010 que l'approche géographique qui sous-tend actuellement la régulation des flux transfrontières est remise en cause par les plus récents développements technologiques. L'internet et le cloud computing font transiter les données d'un endroit à un autre sans que l'on sache toujours où elles se trouvent géographiquement à un instant donné. Une approche organisationnelle²⁴³ , centrée sur la régulation des processus, serait selon lui bien mieux adaptée.

3. Des questions en suspends

La certification n'est surement pas une panacée. Les exemples dans le domaine de la contrôle qualité et du marquage CE ont montré qu'elle n'était pas exempte de défauts notamment quant au contrôle de compétence des évaluateurs et la qualité des évaluations.

240 Livre Blanc : La gestion des données à caractère personnel dans les projets d'externalisation Offshore

241 «The new EU Model Clauses: One step forward, two steps back» Boris Wojtan.

242 Binding corporate rules now a more attractive option for Europe-to-US data transfer

243 in Regulation of Transborder Data Flows under Data Protection and Privacy Law- Past, Present, and Future Christopher Kuner

Un certain nombre de questions essentielles restent également à étudier comme le fait de savoir par exemple si la certification doit être envisagée comme une alternative ou un complément par rapport aux procédures actuelles ? Et si tel est le cas, quel doit être l'articulation entre un mode de régulation juridique et un mode de régulation normatif ?

Il conviendrait également de s'interroger sur les contours du référentiel de certification. Celui-ci doit-il être intégré au texte de la Directive ? Quel forme devrait-il prendre dans ce cas ? Doit-il au contraire faire l'objet d'un texte à part ? Quelle forme devrait prendre ce texte ? Est-il envisageable de s'appuyer sur les textes normatifs en cours de validation ? Faudrait-il envisager d'élaborer un texte normatif spécifique aux flux transfrontières ?

Enfin, la question de savoir à quel moment il faut certifier la procédure de transfert nous apparait comme une question essentielle à laquelle il convient d'apporter une réponse ? La certification doit-elle être obtenue préalablement à la mise en place de la procédure de transfert ? Cette éventualité pourrait présenter l'avantage de favoriser une démarche de « privacy by design » dont A. Cavoukian à rappelé récemment²⁴⁴ sa volonté de la voir diffusée plus amplement. Cependant, l'intérêt de la procédure de certification consiste dans le fait qu'elle garantit la conformité d'une organisation en place par rapport un référentiel théorique. Raison pour laquelle elle ne peut être obtenue sans évaluation de la procédure dans son environnement. La question reste donc entière de savoir à quel moment certifier.

Nous nous proposons d'étudier ces questions et toutes celles qui pourraient apparaître au cours du débat actuel dans le cadre de ce travail de recherche pour lequel nous recherchons une université susceptible de l'accueillir.

Bibliographie

Toutes les normes en provenance des institutions internationales sont, sauf rares exceptions, en accès payants et ne peuvent pas être diffusées à d'autres personnes que celles qui en ont acquis les droits. Raison pour laquelle ces documents sont simplement cités dans cette bibliographie et seuls ceux qui sont libres d'accès ont leur chemin d'accès sur Internet indiqué. Toutes les normes internationales sont téléchargeables à partir du site de l'ISO : http://www.iso.org/ iso/store.htm ou sur celui de l'AFNOR : http://www.boutique.afnor.org/

La langue anglaise est la langue par défaut dans le monde de la normalisation. Les normes présentées ci-dessous sont en français lorsqu'elles ont été officiellement traduites et laissées en anglais lorsqu'il n'existe encore qu'une version dans cette langue.

Technologies de l'information - Techniques de sécurité - Critères d'évaluation pour la sécurité TI - Partie 1 : introduction et modèle général

Technologies de l'information - Techniques de sécurité - Critères d'évaluation pour la sécurité TI - Partie 2 : composants fonctionnels de sécurité

Évaluation de la conformité - Exigences générales pour les organismes d'accréditation des organismes d'évaluation de la conformité

Exigences générales pour les organismes d'évaluation et la certification / enregistrement des systèmes qualité

Exigences générales pour les organismes procédant à la certification des produits

Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et certification des systèmes de gestion

Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental

Technologies de l'information -- Techniques de sécurité -- Code de bonne pratique pour la gestion de la sécurité de l'information

Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -Vue d'ensemble et vocabulaire

Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information - Exigences

Technologies de l'information -- Techniques de sécurité -- Code de bonne pratique pour le management de la sécurité de l'information

Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la mise en oeuvre du système de management de la sécurité de l'information

Technologies de l'information -- Techniques de sécurité -- Management de la sécurité de l'information - Mesurage

Technologies de l'information -- Techniques de sécurité -- Gestion des risques en sécurité de l'information

Technologies de l'information -- Techniques de sécurité -- Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information

Les normes présentées ci-dessous proviennent du Workshop on Data Protection and Privacy (WS/DPP) du CEN. Cet atelier a été mis en place dans le cadre de l'initiative on Privacy Standardization in Europe en 2002. Les normes qui ont été élaborées dans ce cadre sont toutes accessibles en libre accès sur le site du CEN http://www.cen.eu/cen/Sectors/ Sectors/ISSS/CEN%20Workshop%20Agreements/Pages/DPPCWA.aspx

Personal Data Protection Audit Framework (EU Directive EC 95/46) Part I: Baseline Framework The protection of Personal Data in the EU

EA Guidelines for the Accreditation of bodies operating certification/registration of

EA Guidance on the Application of ISO/IEC 17021: 2006 for Combined Audits Octobre 2008

Les normes internationales en cours d'élaboration sont également en accès restreints. Elles sont uniquement accessibles aux experts qui participent à leur élaboration.

Technologies de l'information -- Techniques de sécurité -- Protection des informations biométriques

Technologies de l'information -- Techniques de sécurité -- A framework for identity management

Technologies de l'information -- Techniques de sécurité -- Contexte d'authentification biométrique

Technologies de l'information -- Techniques de sécurité -- Guide pour l'audit de Systèmes de Management de la Sécurité de l'Information

Information technology -- Security techniques -- Automatic identification and data capture techniques - Mobile item identification and management. Consumer privacy - protection protocol for Mobile RFID services

Information technology -- Security techniques -- Proposal on a privacy capability maturity model

Autorisation unique n°AU001 - gestion de l'urbanisme ou du service public de l'assainissement non collectif. Délibération n° 2006-257 du 5 décembre 2006 portant autorisation unique de traitements de

données à caractère personnel mis en oeuvre par les collectivités locales ou leurs groupements à des fins de gestion de l'urbanisme ou du service public de l'assainissement non collectif (et pouvant comporter un système d'information géographique

Autorisation unique n°AU-002 - Délibération n°2005-233 du 18 octobre 2005 portant autorisation unique de mise en oeuvre par le centre national des oeuvres universitaires et scolaires d'un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des aides ponctuelles allouées aux étudiants dans le cadre de l'action sociale et le suivi statistique de l'activité de services sociaux des centres régionaux des oeuvres universitaires et scolaires 18 Octobre 2005 J.O n° 293 du 17 décembre 2005 - Thème(s) : Statistiques, Education http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/81/

Autorisation unique n°AU-003 - Délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en oeuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme

01 Décembre 2005 Modifiée par la délibération n°2007-060 du 25 avril 2007) J.O n° 77 du 31 mars 200 - Thème(s) : Banque - Finance

Autorisation unique n° AU-004 - Délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle

Autorisation unique n°AU-005 - Délibération n° 2008-198 du 9 juillet 2008 modifiant l'autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en oeuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit

Autorisation unique n° AU-006 - Délibération n°2009-357 du 18 juin 2009 portant autorisation unique de traitements de données à caractère personnel aux fins d'exercice des activités notariales et de rédaction des documents des offices notariaux (demande d'Autorisation n°1267232.V2)

Autorisation unique n°AU-007 - Délibération n°2006-101 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail

Autorisation unique n°AU-008 - Délibération n°2006-102 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail

Autorisation unique n°AU-009 - Délibération n°2006-103 du 27 avril 2006 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire

Autorisation unique n°AU-010 - Délibération n°2006-188 du 6 juillet 2006 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion du contentieux lié au recouvrement des contraventions au Code de la route et à l'identification des conducteurs dans le cadre du système de contrôle automatisé des infractions au Code de la route

Autorisation unique n°AU-011 - Délibération n°2006-235 du 9 novembre 2006 portant autorisation unique de mise en oeuvre par les organismes de location de véhicules de traitements automatisés de données à caractère personnel ayant pour finalité la gestion de fichiers de personnes à risques

Autorisation unique n°AU-012 - Délibération n°2007-002 du 11 janvier 2007 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion d'infractions à la police des services publics de transports terrestres

Autorisation unique n°AU-013 - Délibération n° 2008-005 du 10 janvier 2008 portant autorisation unique de mise en oeuvre par les entreprises ou organismes exploitants de médicaments de traitements automatisés de données à caractère personnel relatifs à la gestion des données de santé recueillies dans le cadre de la pharmacovigilance des médicaments postérieurement à leur mise sur le marché

Autorisation unique n°AU-014 -Délibération n° 2008-097 du 10 avril 2008 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la prévention et à la gestion des impayés par chèque bancaire

Autorisation unique n° AU-015 - Délibération n° 2008-161 du 3 juin 2008 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion des applications billettiques par les exploitants et les autorités organisatrices de transports publics

Autorisation unique n° AU-016 - Délibération n°2008-304 du 17 juillet 2008 portant autorisation unique de traitements de données à caractère personnel mis en oeuvre par les communes pour la gestion des missions confiées aux services de police municipale, à l'exception de celles ayant pour objet la recherche et la constatation des infractions pénales

Autorisation unique n° AU-017 - Délibération n° 2008-491 du 11 décembre 2008 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion précontentieuse des infractions constatées par les commerçants sur les lieux de vente

Autorisation unique n° AU-018 - Délibération n°2008-579 du 18 décembre 2008 portant autorisation unique des traitements automatisés des entreprises d'assurance, des institutions de prévoyance et de leurs unions, et des mutuelles et de leurs unions mis en oeuvre aux fins de recherche des assurés et des bénéficiaires de contrats d'assurance sur la vie décédés.

Autorisation unique n° AU-019 - Délibération n°2009-316 du 7 mai 2009 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail

Autorisation unique n° AU-021 - Délibération n° 2009-358 du 18 juin 2009 portant autorisation unique de traitement de données à caractère personnel aux fins de dématérialisation des échanges intervenant entre les caisses régionales du Crédit agricole et les offices notariaux dans le domaine du crédit immobilier, dans le cadre de l'application Mécanotaires (Demande d'autorisation n° 1347180)

Autorisation unique n° AU-022 - Délibération n° 2009-359 du 18 juin 2009 portant autorisation unique des traitements automatisés de détection des alertes d'abus de marché mise en oeuvre par les organismes du groupe Caisse d'épargne (demande d'autorisation n° 1232905)

Autorisation unique n° AU-023 - Délibération n° 2009-422 du 2 juillet 2009 autorisant la mise en oeuvre au sein du groupe Crédit agricole d'un traitement automatisé de données à caractère personnel ayant pour finalité la préqualification et l'aide à la décision en matière d'octroi de crédit aux professionnels (autorisation n° 1291301) 02 Juillet 2009 - JORF n°0188 du 15 août 2009 - Thème(s) : Banque - Finance, Crédit http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/214/

Autorisation unique n° AU-024 - Délibération n° 2009-429 du 2 juillet 2009 portant autorisation unique des traitements de données à caractère personnel mis en oeuvre par les sociétés du Groupe des assurances du Crédit mutuel dont la finalité est la lutte contre le blanchiment de capitaux et le financement du terrorisme (demande d'autorisation n° 1360717)

Autorisation unique n° AU-025 - Délibération n° 2009-641 du 26 novembre 2009 portant autorisation unique des traitements automatisés de détection des opérations susceptibles de constituer des opérations d'initiés mis en oeuvre par les établissements du groupe Crédit agricole (demande d'autorisation n° 1286261)

Autorisation unique n° AU-026 - Délibération n°2010-005 du 28 janvier 2010 portant autorisation unique de mise en place d'éthylotests anti-démarrage dans les véhicules affectés au transport de personnes 28 Janvier 2010 - Thème(s) : Déplacement, Sécurité, Service public, Collectivités locales http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/221/

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE

Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009. Journal officiel L 337 p 11 18.12.2009

Décision du Conseil 93/465/CEE du 22 juillet 1993, concernant les modules relatifs aux différentes phases des procédures d'évaluation de la conformité et les règles d'apposition et d'utilisation du marquage «CE» de conformité, destinés à être utilisés dans les directives d'harmonisation technique

Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004

Décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité pris en application de l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie JORF n°0300 du 26 décembre 2008 page 20014 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000019992087

Arrêté du 30 janvier 2009 portant homologation de modifications du Règlement général de l'Autorité des marchés financiers

Loi n° 94-442 du 3 juin 1994 modifiant le code de la consommation en ce qui concerne la certification des produits industriels et des services et la commercialisation de certains produits

Décret n° 2002-692 du 30 avril 2002 pris en application du 1° et du 2° de l'article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics

Décret n°95-354 du 30 mars 1995 relatif à la certification des produits industriels et des services

Ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD) http://www.admin.ch/ch/f/rs/ c235 11.html

Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) " http://www.admin.ch/ch/f/rs/c235 13.html

Ordonnance sur le système suisse d'accréditation et la désignation de laboratoires d'essais et d'organismes d'évaluation de la conformité, d'enregistrement et d'homologation (Ordonnance sur l'accréditation et la désignation, OAccD) du 17 juin 1996

Directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir (Directives sur la certification de l'organisation et de la procédure)

Rapport du CNC sur la protection des données à caractère personnel Conseil National de la Consommation - mai 2010 - 12 p

Agnes Grenard - Revue d'économie industrielle. Vol. 75. 1er trimestre 1996. Normalisation et organisation de l'industrie. pp. 45-60.

Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel

Privacy Audit Framework under the new Dutch Data Protection Act (WBP) Co-operation Group Audit Strategy - Version 1 Ð 2001 - 53 p

Anwendungsbestimmungen des Unabhngigen Landeszentrums für Datenschutz zur Durchführung eines Datenschutzaudits.

APEC Data Privacy Pathfinder Projects Implementation Work Plan 17th Electronic Commerce Steering Group Meeting - février 2008

http%3A%2F% 2Faimp.apec.org%2FDocuments%2F2009%2FECSG%2FSEM1%2F09 ecsg sem1 027.doc

Deutsche Telekom Data Practice report: the internal data protection audit, Dr. Claus D. Ulmer and Werner Zwick, Deutsche Telekom - 2003

Data Protection label SQS, Good Priv@cy, Regulations relating to requirements Swiss Association for Quality and Management Systems (SQS) mars 2002

Assurance Services Executive Committee of the AICPA and the Assurance Services Development Board of the CICA Novembre 2003

Data Protection Accountability: The Essential Elements A Document for Discussion Centre for Information Policy Leadership - Octobre 2009

Demonstrating and Measuring Accountability A Discussion Document Accountability Phase II - The Paris Project Centre for Information Policy Leadership Octobre 2010

European Commission Outlines Strategy for Revision of the Data Protection Directive

La régulation économique des données à caractère personnel Arnaud Belleil, Legicom N°42 - 2009/1

The APEC Asia-Pacific Privacy Initiative - a new route to effective data protection or a trojan horse for self-regulation ? Nigel Waters - Pacific Privacy Consulting - Australia

Asia-Pacific developments in information privacy law and its interpretation Graham leaf - Faculty of Law, University of New South Wales