Certifier la conformité aux autorisations uniques de la CNIL

2.3.5 La loi du 12 mai 2009 en France

La loi du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures⁵² offre à la CNIL la possibilité de délivrer un label a des produits et des procédures qu'elle juge conforme à la loi 78-17 du 6 janvier 1978 modifiée.

L'article 11-3 c du Chapitre III de la loi 78-17 modifiée par l'article loi n°2009-526 du 12 mai 2009 stipule en effet qu' « A la demande d'organisations professionneles ou d'institutions regroupant principalement des Responsables de traitements : (É) Ele (la CNIL) délivre un label à des produits ou des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'ele les a reconnus conformes aux dispositions de la présente loi : dans le cadre de l'instruction préalable à la délivrance du label par la commission, le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ».

Cette faculté apparait plus restrictive que dans la procédure suisse et allemande. Elle ne peut être demandée que par des organisations professionnelles ou des "institutions regroupant principalement des Responsables de traitements". Dernière notion dont les contours restent à définir.

49 Critical elements of the Cross Border Privacy Rules system yet to be resolved - some APEC economies progress privacy

regulation in the meantime

Report on APEC Privacy developments,

Nigel Waters - September 2010

http://www.cyberlawcentre.org/ipp/apec privacy framework/apec update sept 10.pdf

Asia-Pacific developments in information privacy law and its interpretation Graham leaf - Faculty of Law, University of New South Wales

Privacy issue Forum 30 march 2006 - New Zealand

http://privacy.org.nz/assets/Files/74942725.ppt

50 APEC Data Privacy Pathfinder Projects Implementation Work Plan 17th Electronic Commerce Steering Group Meeting

Lima, Peru - 24 February 2008

APEC Data Privacy Pathfinder Projects Implementation Work Plan ...

51 Privacy International report on APEC developments March 2010

Data Privacy Subgroup Meeting in Hiroshima, Japan,

Nigel Waters , Privacy International, 26-28 February 2010.

http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-566294

52 Article 105 de loi n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures JORF n°0110 du 13 mai 2009 page 7920

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020604162&categorieLien=id

31

Malgré tout, cette disposition confirme que la certification conforme à une réglementation est une procédure aujourd'hui intégrée dans le corpus légisaltif qui promeut la protection des données à caractère personnel. Ce qui ouvre la voie à la possibilité de certifier la conformité aux Autorisations uniques .

Nous pouvons établir à l'issue de cette première partie que la certification conforme à une réglementation est une pratique courante en France et dans certains autres pays européens et extra européens. La Suisse, les Pays de l'APEC et le Land du Schleswig-Holstein se sont engagés dans cette voie dans le domaine de la protection des données à caractère personnel. En France, le Parlement vient de donner la faculté à la CNIL de certifier les produits et procédures qu'ele jugera conforme aux dispositions de la loi « Informatique et Libertés ». Certifier la conformité aux Autorisations uniques devient donc possible. Reste à savoir si les textes des Autorisations uniques se prêtent à l'évaluation.

PARTIE II: LES AUTORISATIONS UNIQUES SONT-ELLES DES REFERENTIELS AUDITABLES ?

L'objectif de cette partie consiste à démontrer que les Autorisations uniques sont des référentiels « auditables » au même titre que n'importe quel autre référentiel normatif.