WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

précédent sommaire suivant

2.6.2 L'AU-005 est-elle auditable en l'état ?

On pourrait considérer l'AU-005 comme une norme auditable car la plupart des objectifs sont suffisamment précis et mesurables pour que l'on puisse envisager de les évaluer en vue de les certifier.

Certains objectifs posent néanmoins des problèmes dans la mesure où ils s'avèrent difficile à évaluer alors qu'ils correspondent pour certains à des principes fondamentaux posés par la loi n° 78-17 du 6 janvier 1978 modifiée.

Cet objectif par exemple ne permet pas dans sa rédaction actuelle d'être valablement évaluer :« Conformément à l'article 10 de la loi du 6 janvier 1978, le résultat du score ne peut, en toute hypothèse, avoir qu'un caractère indicatif

54

lorsqu'il ne conclut pas à l'attribution du crédit sous la seule réserve de la production de pièces justificatives.» Comment en effet évaluer précisément le caractère indicatif du score dans une décision de refus d'octroi de crédit ? Ce caractère indicatif est-il caractérisé lorsque le score est produit mais qu'il est uniquement indiqué au décideur ? Ou bien est-ce dans le cas où la décision de refus n'est pas prise automatiquement sur la base du score que ce caractère indicatif est caractérisé ? Ce point demeure à préciser.

De la même manière, l'objectif rédigé en ces termes: « Le responsable de traitement doit s'assurer du caractère suffisant des mesures prises en vue d'assurer la sécurité et la confidentialité des données» s'avère difficile à évaluer du fait de son imprécision. Quand peut-on considérer que l'on a atteint un niveau suffisant ? Selon quelle métrique ? Dans quelles circonstances ? Là aussi, il est nécessaire d'être plus précis.

Ce point est pourtant fondamental puisqu'il relève également des prescriptions contenues dans l'article 34 de la loi n° 78-17 modifiée qui dispose que «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'eles soient déformées, endommagées, ou que des tiers non autorisés y aient accès

D'autres objectifs notamment ceux contenus dans la dernière partie de l'Autorisation unique dans les «autres conditions à remplir» soulèvent des questions.

L'autorisation précise que «Les techniques statistiques utilisées pour l'élaboration et l'actualisation des modèles de score doivent régulièrement faire l'objet de tests de fiabilité et de pertinence ». De quel type de pertinence parle-t-on ? Qu'entend-on par fiabilité ? La notion de régularité se mesure-t-elle en mois ou en année ?

Autre exemple : «Les données prises en compte pour le calcul du score sont choisies et pondérées en fonction du lien de corrélation qu'eles présentent avec le risque attaché à l'opération». Sur quelle base cet objectif peut-il être évalué ? Quelle métrique doit-on utiliser pour mesurer cet objectif ? Sera-t-elle toujours la même quelque soit l'établissement ? ou doit-on envisager d'édicter une règle plus générique qui évite la discrimination tout en préservant une certaine marge de manoeuvre aux établissements financiers qui jouent sur ce point leur différence concurentielle ?

précédent sommaire suivant