Certifier la conformité aux autorisations uniques de la CNIL

2.3 L'exemple des directives du Préposé à la Protection des Données à caractère personnel suisse

La loi fédérale du 16 Juin 1992 sur la protection des données à caractère personnel prévoit comme nous l'avons déjà dit la possibilité de procéder à des certifications en matière de protection des données à caractère personnel.

Conformément à l'art. 4, al. 3 de l'ordonnance du 28 septembre 2007⁶⁸, il revient par délégation au Préposé fédéral à la protection des données à caractère personnel et à la transparence (PFPDT) d'émettre lui-même les Directives (Règlements) pour fixer les règles et les conditions en vue d'«obtenir une certification de l'organisation ou de la procédure au sens de l'art. 4 OCPD».

L'originalité du référentiel suisse réside nous l'avons déjà dit dans le fait qu'il s'appuie en partie sur le contenu des normes ISO/CEI 27 001 :2005 et ISO/CEI 27 005 :2008 concernant la sécurité des systèmes d'information. Il transpose les dispositions contenues dans ces normes dans le domaine de la protection des données à caractère personnel.

La norme ISO/CEI 27000:2009 définit les contours d'un Système de Management de la Sécurité des Systèmes d'Information (SMSI ou ISMS en anglais). Il s'agit précise le point 3.2 de la norme d'un ensemble de règles de gestion que l'entreprise ou l'institution est invitée à mettre en oeuvre pour optimiser la sécurité de son système d'information dans la durée⁶⁹.

Cette démarche d'optimisation constante proposée par la norme s'appuie sur la procédure d'amélioration constante de la qualité popularisée dans les années 50 par William Edwards Deming sous la forme de la démarche PDCA⁷⁰ (Plan-Do-Check-Act) dit roue de Deming dont l'objectif consiste à maintenir un système (informatique en l'occurence) à son niveau optimal (de sécurité dans notre cas) à chaque instant.

67 L'article 3c imposent aux terminaux « qu'ils comportent des sauvegardes afin d'assurer la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés »; Directive 1999/5/CE du Parlement européen et du Conseil, du 9 mars 1999, concernant les équipements hertziens et les équipements terminaux de télécommunications et la reconnaissance mutuelle de leur conformité

JOUE n° L 091 du 07/04/1999 p. 0010 - 0028

" http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0005:fr:HTML

68 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) http://www.admin.ch/ch/f/ rs/c235 13.html

69 « Le système de management de la sécurité de l'information (SMSI) partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en oeuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information » nous dit la norme» précise le point 3.2 de la norme ISO/CEI 27000:2009

70 La démarche PDCA⁷⁶ (Plan-Do-Check-Act) est une méthode d'assurance qualité qui comporte quatre étapes, chacune entraînant l'autre cherchant à créer un «cercle vertueux». Les étapes sont les suivantes :

P = Plan : Préparation

D = Do : Action ou production

C = Check : mesure et vérification

A= Act : correction et amélioratione

43

Le référentiel suisse s'est donc appuyé sur cette démarche pour en transposer l'esprit dans le domaine de la protection des données à caractère personnel. Comme le précise les points 3.1 et 3.2 des directives du Préposé à la protection des données à caractère personnel et à la transparence (PFPDP) du 16 juillet 2008:

« Un SGPD (ndlr : un Système de Gestion de la Protection des Données) répond aux exigences minimales s'il se fonde sur des référentiels internationaux en usage, en particulier la norme ISO 27001 interprétée au sens de l'al. 2; Les exigences de la norme ISO 27001 portant sur le système de gestion de la sécurité de l'information (SGSI) doivent être reprises en transposant la notion de sécurité de l'information (SI) par cele de protection des données (PD) et en remplaçant son annexe A, qui correspond à la table des matières de la norme ISO/CEI 27002:2005, par les objectifs et mesures énumérés au point 5».

Les objectifs et mesures «énumérés au point 5» des directives constituent pour leur part une transposition des dispositions de la norme ISO/CEI 27002:2005. La norme ISO 27002:2005 décrit au total 133 mesures de sécurité à implémenter et à évaluer régulièrement pour mesurer le degré de sécurité du système d'information.

La protection des données à caractère personnel n'étant abordé que de manière anecdotique dans le point 15.1.4 de la norme ISO/CEI 27002:2005, les services du PFPDP ont entrepris d'établir leurs propres mesures de sécurité des données personnelles.

Neuf principes généraux de la loi sur la protection des données ont été retenus comme objectifs essentiels. Ces objectifs se traduisent par 20 mesures concrètes de protection des données, reprenant les principales exigences de la loi sur la protection des données à caractère personnel (FPD) du 16 juin 1992 ou de son ordonnance d'application (OCPD) du 28 septembre 2007.

Ces principes sont les suivants :

LPD : article 4, al. 1,

Licéité - Motifs justificatifs,

LPD :article 4, al. 2, al 4 article 7 al.1

- Base légale,

Traitement de données par un tiers

Transparence - Bonne foi

- «Reconnaissabilité» Obligation d'informer

LPD : art. 4, al. 3 art. 3, let. i

Proportionnalité LPD : art. 4, al. 2

Finalité - Spécification/Modification de la finalité

- Limitation d'utilisation

- Exactitude des données

Communication transfrontière de données

Exactitude des données Rectification des données LPD : art. 5, al. 1, al. 2

- Niveau de protection adéquat LPD : art. 6, al. 1, al.2

Sécurité des données - Confidentialité des données

- Intégrité des données

- Disponibilité des données

- Traitement de données par un tiers

Enregistrement des fichiers - Obligation de déclarer

- Inventaire des fichiers non déclarés

Droit d'accès et de procédure - Droit d'accès à ses propres données

- Procédures

LPD : art. 11a, al. 1, exceptions art. 11a, al. 5, let. e et f

OLPD : art. 12b, al. 1

LPD art. 7, art. 10

LPD : art. 8, al. 1

LPD : art. 15 et 25 LPD

44

Ce référentiel présente un certain nombre d'avantages et d'inconvénients qu'il convient de souligner.

- La sécurité des données personnelles n'est pas dissociable de la sécurité du système d'information. La sécurité des données personnelles est un sous ensemble plus ou moins sensible en fonction de l'activité de l'entreprise. Elle est par exemple plus sensible dans le domaine de la santé et du marketing pour des raisons d'ailleurs différentes. Il s'agit d'un actif stratégique pour le marketing alors qu'il s'agit plutôt d'un risque juridique et d'images majeurs pour le secteur de la santé.

- Le fait que le référentiel ISO 27000 et suivants soient connus et utilisés peut faciliter la démarche de prise en compte de la problématique «données personnelles». Cela peut aussi permettre de l'intégrer dans la démarche sécurité de l'entreprise.

- En revanche, il existe un risque réel de diluer la question de la «protection des données à caractère personnel» dans une approche uniquement «sécurité» de l'information. Comme le souligne les services du PFPDT, il existe une problématique spécifique de gestion de la conformité pour laquelle l'acceptation d'un «risque résiduel»⁷¹ n'est pas possible. On est conforme ou on ne l'est pas. On ne peut pas être conforme par degré.

- En outre, le référentiel suisse demeure à ce jour incomplet. Il ne couvre que les critères de certification des procédures et il n'aborde pas la question des produits comme le prévoit pourtant explicitement l'article 4 de la LPD. Le PFPDT était chargé selon l'art. 5 al. 3 de l'ordonnance sur les certifications en matière de protection des données (OCPD) d'édicter avant 1er janvier 2010 des directives fixant les critères spécifiques en matière de protection des données qu'un produit doit remplir dans le cadre d'une certification. Comme le confirme les services du PFPD «Ce délai n'a malheureusement pas pu être tenu, car différents problèmes méritant une analyse approfondie se sont posés». Nous n'avons malheureusement pas réussi à obtenir de part des autorités suisses les raisons qui expliquent ce retard, ceci malgré nos relances répétées.