Certifier la conformité aux autorisations uniques de la CNIL

2.5.3 Les avantages et les inconvénients de l'accréditation à titre individuel

Cette procédure d'accréditation à titre individuel est intéressante pour assurer un niveau de connaissances minimal et homogène sur un sujet complexe ou présentant certains risques. Ce type de procédure pourrait être intéressant si l'on souhaitait par exemple s'assurer du niveau de connaissance des Correspondants Informatiques et Libertés¹¹⁷ désignés dans les entreprises et les institutions.

L'international Association of Privacy Professionnal (IAPP) américaine propose d'ailleurs ce type de certification individuelle sur la base du volontariat dans le cadre de ses programmes « Certified Information Privacy

114 Le formulaire de déclaration est disponible sur Internet en anglais à cette adresse : https://www.european-privacy-seal.eu/experts/admission-procedure/Self%20Declarations%20Form.pdf

115 la procédure d'accréditation de l'EuroPriSe est décrite en anglais sur site de de l'European Privacy Seal à cette adresse : https://www.european-privacy-seal.eu/experts/admission-procedure/Expert%20Admission

116 La liste des experts accrédités est publiée sur le site de l'EuroPriSe https://www.european-privacy-seal.eu/

117 Les entreprises domiciliées en France et dont les effectifs en charge des traitements automatisés de données à caractère personnel dépassent 50 personnes ont la possibilité de désigner parmi leur salarié un correspondant Informatique et Libertés (CIL).

Celles dont les effectifs en charge des traitements automatisés de données à caractère personnel ne dépassent pas 50 personnes ont également la possibilité de faire appel à une personne externe en lieu et place d'un salarié pour prendre en charge ces questions.

La désignation du CIL présente l'intérêt comme le souligne l'article 23 de la loi 78-17 du 6 janvier 1978 modifiée le 6 Août 2004¹³⁸ d'alléger les formalités déclaratives de l'entreprise vis à vis de la CNIL. Le CIL comme le précise l'article 49 du décret du 20 octobre 2005 qui définit ses missions, a la charge de tenir un registre des traitements qui dispense l'entreprise de déclarations préalables mais pas des demandes d'autorisation préalable pour les traitements relevant de l'article 25 -1 de la loi 78-17 ni des déclarations de conformité aux Autorisations uniques au sens de l'article 25-4 de la loi. Nous verrons un peu plus loin (p 69 et suivantes) le détail de ces missions et de ces privilèges qui sont détaillés sur le site de la CNIL à cette adresse :

http://www.cnil.fr/fileadmin/documents/Guides pratiques/CNIL Guide correspondants.pdf

66

Professional » (CIPP)¹¹⁸. Certification qu'elle essaie d'implanter en Europe en proposant un programme dédié 119.

Ces programmes proposent de certifier les connaissances des professionnels de la protection des données à caractère personnel par le biais d'une évaluation des connaissances ¹²⁰ . Cette reconnaissance professionnelle n'a aucune incidence légale bien qu'elle soit recommandée aux professionnels américains et étrangers souhaitant travailler aux Etats-Unis dans ce domaine.

Cette procédure d'accréditation individuelle peut également être un moyen d'accompagner la création d'un programme de certification pour lequel on n'est pas sûr qu'il existe encore un marché suffisamment « mature » pour intéresser les organismes de certification. Elle peut permettre de s'assurer d'un nombre minimal de certificateurs accrédités selon des exigences normalisées. C'est peut être d'ailleurs l'une des raisons pour lesquelles cette démarche d'accréditation à titre individuel a été choisie dans le cadre du label EuroPriSe.

Cette solution pourrait être envisagée dans le cadre d'un programme de certification des Autorisations uniques. Elle peut s'avérer lourde à gérer pour un organisme comme la CNIL dont les ressources et le budget ne sont pas extensibles à moins de la rendre payante ou encore de la déléguer à des organismes de formation privée comme l'a fait l'AMF.

Cette procédure individuelle présente des inconvénients qu'il cnvient de souligner:

Elle ne nous semble pas très adaptée à l'évaluation technique de la conformité des produits qui exigent des compétences et mais aussi parfois des installations qu'un expert seul n'est pas toujours en mesure de mettre en oeuvre.

Il est courant que, par commodité, les organismes certificateurs se voient déléguer le soin d'évaluer mais également de certifier eux mêmes la conformité. L'AFNOR, le bureau Veritas¹²¹ évaluent et certifient la conformité à de nombreuses normes. Cette délégation complète du processus de certifiction n'est pas possible si on la confie à un individu seul. Celui-ci ne pouvant être juge et partie au moment de contrôler l'évaluation. De ce fait l'évaluation de la conformité par des experts indépendants n'est pas la démarche la plus courante.

Il n'est pas forcément nécessaire d'accréditer chaque intervenant dans un processus de certification dans la mesure ou la capacité à se prévaloir d'un certain niveau de formation ou/et d'une expérience peut s'avérer suffisante. Il est également possible d'avoir recours à des équipes pluri-disciplinaires ou chaque intervenant possède une partie des compétences requises et de les mettre en commun comme la procédure d'accréditation suisse le propose. Nous le verrons un plus loin.

Les sujets sont en outre suffisamment complexes et étendus pour qu'il s'avère délicat de déterminer sur quelle base certifier les compétences d'un individu dans ce domaine (juridique, technique, fonctionnelle). C'est d'ailleurs pour contourner cette difficulté que l'IAPP et l'EuroPriSe proposent plusieurs types de certification. L'IAPP en propose trois. L'un à dominante régionale (fondée sur la réglementation Américaine, canadienne et maintenant européeenne). Un autre à dominante technique ou juridique et une dernière avec une orientation fonctionnelle (administration en l'occurrence).