WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

précédent sommaire suivant

Annexe 1 : Contribution à la consultation publique de la Commission européenne sur les contours de la

révision de la Directive 95/46/CE 113

Certifier la conformité des flux transfrontières de données Eric Lachaud - Consultant IT 113

Bibliographie 119

10

11

INTRODUCTION

"Technology drives uses. Where there is a way there is a will." R. Erickson & K. Haggerty1

Nous nous sommes intéressés à la certification de la conformité car nous avons la conviction que ce type de procédure peut constituer un moyen privilégié pour faire progresser la question de la protection des données à caractère personnel.

Nous avions pensé dans un premier temps aborder cette question en la traitant à un niveau international. Solution qui nous est apparue d'autant plus séduisante qu'une nouvelle tentative d'élaborer des référentiels normatifs est actuellement en cours dans le cadre de l'International Standardization Organisation (ISO).

Toutes les normes de la série ISO/CEI 290002 demeurent encore à l'état de projet et sont susceptibles d'être modifiées. Ce qui aurait pu invalider les résultats de ce travail avant même qu'il ne soit terminé.

L'annonce au mois de juin 2010 de la volonté de la CNIL de délivrer un label pour distinguer les produits et les procédures conformes aux prescriptions de la loi « informatique et libertés » nous a suggéré l'idée de nous intéresser à la manière dont on pourrait en France mettre en oeuvre un principe de certification de la conformité.

Nous avons choisi de nous intéresser à la certification conforme aux Autorisations uniques3 de la CNIL dans la mesure ou il nous semble que ces textes sont assez proches des normes d'application volontaire dans leur finalité comme dans leur forme4.

Nous nous sommes donc demandé s'il était possible d'en faire des référentiels auditables dans l'optique de certifier la conformité des entreprises à leurs prescriptions.

1. Pourquoi ce sujet ?

L'idée de traiter un tel sujet pourrait paraître superflue. L'application de la loi n'a pas besoin d'être certifiée puisque «nul n'est censé ignorer la loi ». La certification a pour objectif d'apporter l'assurance que des règles supplémentaires à la loi, celles-ci d'application volontaire, sont bien respectées. Ce principe demeure vrai. Cependant, deux évolutions récentes sont venus le contredire.

La complexité croissante des systèmes et des procédures rend leur contrôle difficile. Les autorités de régulation s'en sont aperçues une première fois lors de la faillite retentissante en 2002 du courtier en énergie Enron. Elles ont découvert

1 Policing the Risk Society

R. Erickson & K. Haggerty

University of Toronto Press: Toronto, 1997 p34.

2 Les Normes ISO sont de normes d'application volontaire élaborées par l'International Standardization Organization (ISO) sur lequel nous reviendrons dans la partie 2 de ce document dans lequel nous présenterons l'institution et la manière dont elle travaille. La série des normes ISO/CEI 29100, 29101, 29190 et 29193 en cours d'élaboration dans les différentes comités techniques est consacrée à la protection des données personnelles

3 Les Autorisations uniques sont des actes administratifs élaborés par la CNIL permettant aux entreprises qui s'engagent à s'y conformer volontairement de profiter d'une dispense d'autorisation préalable pour les traitements relevant de l'article 25 de la loi 78-17 du 6 janvier 1978 modifié le 6 août 2004.

4 Nous avons écarté l'idée de nous intéresser à la certification de la conformité par rapport à la loi 78-17 du 6 janvier 1978 dite « loi informatique et libertés » car ce projet qui nous a semblé beaucoup trop ambitieux dans le cadre d'une thèse professionnelle. C'est un sujet qui exige à notre sens une réflexion beaucoup plus fouillée et il ne nous semblait pas possible de mener en un laps de temps aussi cours.

12

(trop tard) que cette société usait d'artifices comptables5 pour masquer une situation financière catastrophique. La crise financière en 2008 et notamment celle des produits structurées a apporté une nouvelle démonstration que la complexité était devenue incontrôlable.

Par ailleurs, les systèmes et les procédures sont de plus en plus souvent « transnationaux » du fait de la globalisation des échanges et du développement d'Internet. Il devient aujourd'hui très difficile d'obliger les grands acteurs du web à respecter une législation nationale qui ne s'applique au mieux qu'à leurs utilisateurs.

Ces deux phénomènes ont tendance à s'accélérer. Contrôler la conformité des données recueillies par les nanotechnologies exigera demain des moyens et des compétences techniques hors du commun. Il devient difficile avec le «cloud computing»6 de savoir à un instant donné de quelle juridiction relève les données appartenant à une entité ou un individu. Une « zone virtuelle de non droit » semble se créer sous nos yeux.

précédent sommaire suivant