Certifier la conformité aux autorisations uniques de la CNIL

2.3 Au niveau international

La certification conforme par rapport à la législation concernant la protection des données à caractère personnel est déjà mise en oeuvre dans deux pays européens et en partie dans les adhérents de lÔAsian Pacific Economic Coopération (APEC)

2.3.1 L'ICPP du Schleswig-Holstein

La loi du 9 février 2000 relative à la protection des données à caractère personnel³⁹ crée dans sa partie IV l' « Independent Centre for Privacy Protection Schleswig-Holstein » (ICPP).

L'article 43 al 2 de la loi précise que L'ICPP est l'autorité de contrôle en matière de protection des données à caractère personnel du Schleswig-Holstein.

Celui-ci a la facculté entre autres « d'auditer et d'expertiser » les dispositifs de protection des données à caractère personnel des institutions publiques qui lui en font la demande.

l'ICPP propose sur cette base une procédure de certification des produits et des procédures au terme de laquelle elle délivre un label - le « Privacy Seal » - en cas de conformité aux principes de protection posés par la loi.

Seuls les produits et les procédures des institutions publiques sont éligibles à cette procédure de certification.

L'évaluation de la conformité est confiée à des organismes ou des experts accrédités auprès de l'ICPP. La certification est délivrée par l'ICPP après réception et approbation du rapport d'évaluation remis au candidat par l'évaluateur externe⁴⁰.

L'intérêt de cette procédure par rapport à notre sujet réside dans son existence même. Existence qui démontre qu'il est possible de mettre en place une procédure de certification de la conformité vis à vis de textes réglementaires dans le domaine de la protection des données à caractère personnel.

2.3.2 Le PFDPT Suisse

La loi fédérale Suisse de protection des données du 19 juin 1992 (LPD) prévoit elle aussi une « procédure de certification des systèmes et procédures traitant des données personnelles ».

L'article 11 de la loi précise qu'« afin d'améliorer la protection et la sécurité des données, les fournisseurs de logiciels et de traitement de données ainsi que les personnes privées ou les organes fédéraux qui traitent des données personneles peuvent soumettre leurs systèmes, leurs procédures et leur organisation à une évaluation effectuée par des organismes de certification agréés et indépendants »⁴¹. La législation Suisse envisage la possibilité de certifier la conformité des entreprises aux principes posés par la loi.sous la forme d'une démarche:

- facultative et volontaire,

- pouvant s'appliquer aux produits comme aux procédures,

- à destination des entreprises privées et des institutions publiques.

Le principe général de certification posé par la loi de 1992 a été précisé par l'Ordonnance du 28 septembre 2007⁴² sur les certifications en matière de protection des données.

39 State Data Protection Act Schleswig-Holstein - LDSG

https://www.datenschutzzentrum.de/material/recht/ldsg-eng.htm

40 La procédure de certification de l'ICPP est présentée en anglais à cette adresse : https://www.datenschutzzentrum.de/faq/guetesiegel engl.htm

41 Loi fédérale de protection des données personnelles du 19 juin 1992 dite (LPD) http://www.admin.ch/ch/f/rs/c235_1.html

42 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données dite OCPD http://www.admin.ch/ch/f/rs/c235 13.html

28

Cette ordonnance dispose dans son article 4 qu'il appartient au « préposé d'émettre des directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir. Il tient compte des normes internationale relatives à l'instalation, l'exploitation, la surveillance et l'amélioration de systèmes de gestion dont en particulier les normes ISO 9001 et ISO/CEI 27001 ».

Le Préposé à la protection des données et à la transparence (PFPDT), l'équivalent suisse de la CNIL, est chargé d'élaborer ou de préciser les règles qui serviront de référence aux évaluateurs dans le cadre du processus de certification. Ceci par le biais de directives qui s'apparentent à nos règlements dans le droit Suisse.

L'ordonnance du 28 septembre 2007 définit le référentiel sur lequel va s'appuyer la procédure de certification sur les neuf principes contenues dans la loi de 1992. C'est-à-dire :

- Licéité du traitement

- Transparence

- Proportionnalité

- Finalité

- Exactitude des données

- Communication transfrontière de données

- Sécurité des données

- disponibilité des données,

- Enregistrement des fichiers

- Droit d'accès et de procédure

Cette Ordonnance introduit, ce qui est plus original, des principes et des procédures issus des normes ISO 9001:2005 et 27001:2005 ⁴³relative à la sécurité des systèmes d'information qui sont précisés par la Directive du 16 juillet 2008.

La Directive du 16 juillet 2008⁴⁴ établit les exigences minimales attendues d'un système de gestion de la protection des données afin que celui-ci soit éligible pour la certification. Sont attendus à minima de la part de l'entreprise ou de l'institution candidate à la certification :

- Une politique en place de gestion de la protection des données,

- Des mesures pour le traitement des non-conformités,

- Un plan organisé de traitement des non-conformités,

- Un plan organisé de revue des violations ou des incidents liés à la protection des données.

Ces exigences correspondent à la transposition dans le domaine de la protection des données à caractère personnel d'exigences édictées par la norme ISO 27001:2005 en matière de système de management de la sécurité des systèmes d'information (SMSI)⁴⁵.

L'évaluation et la certification sont confiées à des organismes tiers accrédités par le Préposé fédéral à la protection des données et à la transparence en vertu de la procédure générale d'accréditation suisse décrite dans l'Ordonnance du 17 juin 1996⁴⁶.

43 Qu'est-ce qu'une norme ISO ? C'est une norme publiée par l'International Standardization Organisation.(ISO). Ces normes sur lesquelles nous reviendrons en détail dans la partie 2 de ce document sont présentées selon la convention suivante :

ISO car cette institution est à l'origine de sa publication auquel s'ajoute éventuellement un organisme sectoriel associé tel que le CEI par exemple pour Comité Electrotechnique International si celui-ci est associé au projet dans la mesure où le sujet a trait à l'électrotechnique. Enfin, l'année de publication.

44 Directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir (Directives sur la certification de l'organisation et de la procédure)

Préposé fédéral à la protection des données et à la transparence - 16 juillet 2008

http://www.admin.ch/ch/f/ff/2008/6625.pdf

45 Protection des données personnelles : la mise en oeuvre de l'ISO 27001 par la Cnil Suisse, un exemple à suivre ?

Bruno Rasle - eweekeurope.fr - octobre 2008

http://www.eweekeurope.fr/opinion/protection-des-donnees-personnelle--la-mise-en-oeuvre-de-l-iso-27001-par-la-cnil-suisse--un-exemple-a-suivre--172

46 Ordonnance sur le système suisse d'accréditation et la désignation de laboratoires d'essais et d'organismes d'évaluation de la conformité, d'enregistrement et d'homologation dite OAccD du 17 juin 1996

http://www.admin.ch/ch/f/rs/9/946.512.fr.pdf

29

Une fois certifiée, l'entreprise peut introduire une demande de dispense de déclaration de ses fichiers de données à caractère personnel au titre de l'article 11 alinéa 5 de la loi du 19 juin 1992. Elle devra pour cela justifier d'un titre de certification et présenter son rapport d'évaluation aux services du Préposé.

La démarche de certification Suisse présente un double intérêt :

- Elle constitue un nouvel exemple de certification de conformité à la loi et même plus précisément à un corpus réglementaire au premier rang duquel figure des Règlements (les directives) émanant directement de l'autorité de contrôle Suisse.

- Elle constitue également un exemple du rôle qu'une autorité de contrôle peut jouer dans la définition du référentiel à la base de la procédure de certification.

L'exemple suisse montre que non seulement la certification conforme à la réglementation est possible mais qu'elle peut s'appuyer sur des textes émanant d'une autorité administrative chargées de la protection des données à caractère personnel.