Certifier la conformité aux autorisations uniques de la CNIL

3. Parce que cela présente des avantages

Une procédure de ce type pourrait donc être un premier pas pour obliger les responsables de traitement à "rendre des comptes" sur leur conformité comme le groupe de l'article 29 entend l'imposer.

Cela pourrait constituer un moyen pour les entreprises de différencier leur offre de services ou de produits comme le souligne le G29¹⁰. Il semble d'ailleurs que la délivrance d'un titre de conformité officiel soit une attente assez forte de la part de certains fabricants de produits mais aussi d'entreprises qui aimeraient grâce à cela valoriser et valider l'investissement de mise en conformité qu'elles ont pu faire. Cela pourrait être un moyen pour les entreprises de valoriser le rôle du Correspondant Informatique et Libertés en l'investissant d'un rôle dans l'obtention et le maintien de cette certification.

On pourrait envisager que la certification conforme aux Autorisations uniques devienne une exigence préalable dans le cadre de passage de marchés publics pour certains domaines sensibles tels que le contrôle d'accès biométrique et pourquoi pas demain dans le cadre de la vidéosurveillance si ce sujet relevait un jour de la compétence de la CNIL. On pourrait également imaginer sans créer d'obligation que la préférence soit donnée lors des passations de marchés publics ou privées à des entreprises qui sont certifiées ou qui proposent des produits qui le sont. Ce type de recommandations pourrait par exemple être intégrées dans les modèles de documents d'appel d'offre utilisés par les établissements publics.

La mise en place d'une telle procédure pourrait être un moyen pour la CNIL de démultiplier son pouvoir de contrôle. Cela pourrait constituer une manière de s'assurer de la conformité des entreprises vis-à-vis de ces normes et ceci de manière régulière au moment du renouvellement périodique de la certification.

Il nous semble que ce pourrait être aussi un moyen de favoriser le développement d'une démarche visant à intégrer la protection des données à caractère personnel au moment de la conception des produits et des procédures. Notion que les anglo-saxons désignent sous le vocable de « privacy by design » et qui a été développé par les canadiens dans les années 90. Ce principe de «protection par défaut» a été récemment rappelé comme un objectif majeur dans le cadre d'une résolution commune votée à l'initiative de Mme Ann Cavoukian¹¹ lors de la 32ème conférence de Commissaires à la protection de données et à la vie privée qui s'est tenu les 29 et le 30 octobre dernier à Jérusalem.

Il nous semble pour terminer cet inventaire que ce pourrait être un moyen de créer un marché de la conformité «informatique et libertés» régulé par la CNIL. Ce qui permettrait de créer une profession dédiée à ce type de conformité et incidemment de diffuser la culture « informatique et libertés ».

9 Programmes de conformité, une obligation ?

Philippe Bouchez El Gouzi - magazine Décideurs- mai 2010

"http://livepage.apple.com/" http://www.magazine-decideurs.com/publication/programmes-de-conformité-une-obligation-nul-nest-censé-ignorer-la-loi

10 Point 67 p 19 de l'avis ou WP 173 en anglais

Opinion du G 29 - Juillet 2010

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173 fr.pdf

11 La résolution adoptée à Jérusalem souligne la nécessité de promouvoir une approche de Privacy by design. Elle est accessible en anglais à cette adresse http://www.privacybydesign.ca/content/uploads/2010/11/pbd-resolution.pdf

Ann Cavoukian est Commissaire à la protection de données personnelles de L'Ontario canadien et elle est l'instigatrice de cette approche novatrice qu'elle s'est évertuée de mettre en pratique dans sa Province. L'ouvrage qu'elle a publié sur le sujet présente les différentes expériences qu'elle a pu mettre en oeuvre en intégrant cette approche de manière pragmatique. Son livre est en accès libre en anglais à cette adresse

http://www.privacybydesign.ca/content/uploads/2010/03/PrivacybyDesignBook.pdf