Certifier la conformité aux autorisations uniques de la CNIL

2. 2 . Un évaluateur compétent

Une deuxième condition soumet l'évaluateur à des conditions de compétences qui doivent être reconnues et ceci comme le souligne le CWA 15499 -2 :2005 à trois niveaux⁹⁵ :

- sur la législation spécifique à la protection des données à caractère personnel, - sur les technologies de l'information,

- sur les techniques d'audit.

Comme le souligne la norme CWA 15 499 - 1, l'audit de certification a pour objectif de donner une assurance à l'audité afin que celui-ci puisse ensuite s'en prévaloir comme un élément de preuve à des fins juridiques ou autres. De ce fait, tout ce qui peut entacher cette preuve de nullité ou la mettre en doute doit être soigneusement évité. Il va ainsi du soupçon de non objectivité ou de non indépendance de l'évaluateur ou de l'évaluation ou encore du soupçon d'incompétence de l'évaluateur⁹⁶.

92 Loi n° 94-442 du 3 juin 1994 modifiant le code de la consommation en ce qui concerne la certification des produits industriels et des services et la commercialisation de certains produits

JORF n° 128 du 4 juin 1994

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000713621&dateTexte=

93 CWA 15499-1:2006 p.9

Ce rapport initié par le cabinet d'audit PriceWaterHouseCoopers et édité en 2006 par le Workshop WS/DPP du CEN dans le cadre de `l'Initiative on Privacy Standardization in Europe» avait pour objectif de décrire les principes généraux à suivre dans le cadre d'un audit de conformité aux principes posés par la Directive 95/46 CE. Il précise en p 9 :«The difference between `audit' and `self-assessment' lies with the attitude of the person carrying out the review towards the object of the review / outcome of the review. An auditor needs to be independent and shall not have any interest in the outcome of the audit. Whereas a manager conducting a self assessment of his organisation is likely to be directly concerned with the outcome.» ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15499-01-2006-Feb.pdf

94 CWA 15499-1:2006 p.9

95 CWA 15499-1:2006 p.4

96 CWA 15499-1:2006 p.9

61

Il n'est pas toujours évident de trouver une seule personne possédant cette triple compétence. Raison pour laquelle on peut faire appel, nous dit la norme CWA 15 499 - 2, à plusieurs évaluateurs dont chacun disposera d'une partie des compétences qu'il pourra mettre en commun dans le cadre d'un travail collaboratif⁹⁷.

2. 3. Un évaluateur dont la compétence a été reconnue

La troisième condition est liée à la nécessité de contrôler les qualifications des évaluateurs en fonction d'un niveau de compétence attendu. Cette certification des compétences que l'on appelle communément «l'accréditation» peut être effectuée au niveau individuel ou au niveau d'une entreprise.