Certifier la conformité aux autorisations uniques de la CNIL

2.2 L'exemple de la "nouvelle approche"

Le Comité Européen de Normalisation (CEN) dont le siège se situe à Bruxelles a été créé en 1961 dans le but d'harmoniser les normes élaborées en Europe. Le CEN est aujourd'hui composé des 27 membres de l'Union Européenne et des 3 membres de l'AELE (Islande, Norvège et Suisse). Les membres du CEN sont également membres de l'ISO.

Le CEN, de la même manière que l'ISO avec l'CEI et de l'UIT collabore, avec deux partenaires sectoriels :

- Le Comité Européen de Normalisation ELECctrotechnique (CENELEC) est composé des comités électrotechniques nationaux des 30 pays européens (UTE - Union Technique de l'Electricité pour la France). Il est chargé d'élaborer les normes dans ce domaine pour le compte du CEN.

- L'European Telecommunications Standards Institute (ETSI) dont le siège se situe à Sophia Antipolis qui est en charge de l'élaboration des normes en matière de télécommunications. Il regroupe plus de 600 membres entreprises et institutions venant de 55 pays européens. L'ETSI est notamment à l'origine de la norme DECT et de la norme GSM.

2.2.1 Le principe de "nouvelle approche"

Ce principe a été défini par la résolution du Conseil de l'Union européenne du 7 mai 1985 relatif à la «nouvelle approche en matière d'harmonisation technique et de normalisation»⁶⁶. Il crée une articulation originale entre la réglementation et la normalisation.

La réglementation européenne fixe, sous forme d'exigences essentielles et obligatoires, les objectifs à atteindre. Elle fixe des obligations de résultats. Des normes, dont l'élaboration est confiée aux organismes européens de normalisation (CEN, CENELEC et ETSI) sur mandat de la Commission européenne, décrivent les solutions permettant d'atteindre les objectifs obligatoires définis par la directive correspondante.

Ces normes sont dites « harmonisées » dans la mesure où elles sont « en harmonie » avec la réglementation européenne correspondante restent d'application volontaire.

Les produits conçus selon leurs prescriptions sont alors présumés conformes avec les exigences essentielles fixées par la réglementation dès lors qu'ils ont été certifiés comme tels par un organisme tiers. Ces produits doivent porter le marquage «CE» que l'on voit apparaitre au dos des produits.

Afin d'éviter de conférer aux normes harmonisées un caractère indirectement obligatoire, le fabricant dispose de la possibilité de fabriquer conformément à un modèle lui même déclaré conforme aux exigences réglementaires après une procédure dite d'« examen de type ». Autrement dit, il peut fabriquer en série après avoir fait certifier un prototype et s'être engagé à le reproduire à l'identique. Cette démarche peut s'avérer intéressante pour les produits pour lesquels les normes harmonisées existantes ne sont pas utilisables ou ne le sont que partiellement.

65 M. Eric Gheur est membre suppléant de la Commission de Protection de la Vie Privée belge http://www.privacycommission.be/fr/sectoral committees/central enterprise database/composition/

66 Résolution du Conseil (85/C 136/01) - Journal officiel C 136 du 4 juin 1985 http://admi.net/eur/loi/leg_euro/fr_385Y0604_01.html

42

Cette "nouvelle approche" a été jusqu'à présent appliquée à une trentaine de directives européennes dont une seule, la Directive 1999/5/CE du 9 mars 1999, s'intéresse à la protection des données à caractère personnel⁶⁷.

Cette «nouvelle approche» a été conçue afin d'éviter aux instances de réglementation de longues procédures décisionnelles qui obligeaient jusque-là à établir une harmonisation technique par le biais de Directives très techniques, détaillées produit par produit. Elle offre aux fabricants qui ont apposé le marquage CE la capacité de pouvoir circuler librement dans l'espace économique européen.

Le principe qui anime cette démarche est intéressante pour qui comme la CNIL a aujourd'hui besoin d'établir des normes sur des sujets très techniques et assez évolutifs. On pourrait imaginer que celle-ci élabore les Autorisations uniques en termes généraux et qu'elle invite les entreprises et les institutions à se référer à des référentiels normatifs existants pour mettre en oeuvre ces objectifs. Démarche qui a d'ailleurs été en partie adoptée en suisse avec le recours à la norme ISO 27001.