Certifier la conformité aux autorisations uniques de la CNIL

2.8.3 Pourquoi un agrément plutôt qu'une accréditation?

L'accréditation reconnaît la compétence des organismes proposant des certifications à destination des entreprises. L'agrément lui s'impose là ou l'Etat a besoin de s'assurer de compétences spécifiques ou de donner une valeur juridique particulière à sa reconnaissance.

3. Faut-il des évaluateurs spécifiques pour les Autorisations uniques ?

3.1 L'exemple suisse

L'article 1er de l'ordonnance du 28 septembre 2007¹²⁹ sur les certifications en matière de protection des données précise que « Les organismes qui effectuent des certifications au sens de l'art. 11 de la loi sur la protection de données doivent être accrédités».

L'accréditation de ces organismes relève de l'ordonnance du 17 juin 1996¹³⁰ relative aux règles générales régissant l'accréditation des organismes de certification ainsi que des dispositions spécifiques contenues dans l'article 1er de l'ordonnance du 28 septembre 2007 qui précise dans son alinéa 2 que :

129 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) http://www.admin.ch/ch/f/rs/c23513.html

130 Ordonnance sur le système suisse d'accréditation et la désignation de laboratoires d'essais et d'organismes d'évaluation de la conformité, d'enregistrement et d'homologation (Ordonnance sur l'accréditation et la désignation, OAccD) du 17 juin 1996 http://www.admin.ch/ch/f/rs/9/946.512.fr.pdf

71

«Une accréditation distincte est requise pour les certifications portant sur:

a. l'organisation et la procédure en matière de protection des données;

b. les produits (produits matériels et logiciels ou systèmes pour procédures automatisées de traitement de données)».

L'audit d'accréditation doit vérifier que la procédure de certification de l'organisme demandeur est adaptée à ce sujet spécifique. Comme le précise l'article 1 alinéa 3 de l'Ordonnance :

«3 . Les organismes de certification doivent disposer d'une organisation et d'une procédure de certification (programme de contrôle) déterminées. Les points suivants doivent notamment être réglés:

a. les critères d'évaluation ou d'essai ainsi que les exigences en découlant que doivent respecter les organismes ou les produits à certifier (schéma d'évaluation ou d'essai), et

b. les modalités du déroulement de la procédure et notamment les mesures à prendre si des manquements sont constatés.»

L'ordonnance du 28 septembre 2007 impose un niveau minimal de qualifications au personnel chargé d'évaluer la conformité aux dispositions de la loi du 19 juin 1992 sur la protection des données à caractère personnel¹³¹.

Ces exigences sont fixées en annexe de l'ordonnance du 28 septembre 2007 qui précise les compétences minimales du personnel impliqués dans la certification des procédures et des produits :

«L'organisme de certification doit prouver que le personnel qui certifie les systèmes de gestion de la protection des données, pris dans son ensemble, possède les qualifications suivantes:

- connaissance du droit de la protection des données: doit être prouvée une activité pratique d'au moins deux ans dans le domaine de la protection des données ou un diplôme d'une haute école ou d'une haute école spécialisée sanctionnant des études d'une année au moins, avec comme matière principale le droit de la protection des données;

- connaissances dans le domaine de la sécurité informatique: doit être prouvée une activité pratique d'au moins deux ans dans le domaine de la sécurité informatique ou un diplôme d'une haute école ou d'une haute école spécialisée sanctionnant des études d'une année au moins, avec comme matière principale la sécurité informatique;

- formation d'auditeur de systèmes de management (selon le guide ISO/CEI 62 [ISO/CEI 17021:2006]).

L'organisme de certification doit prouver qu'il dispose de personnel qualifié pour chacun des domaines qu'il couvre. L'évaluation des systèmes de gestion par une équipe interdisciplinaire est autorisée.»

Les exigences imposées par l'ordonnance du 28 septembre 2007 sont appréciées au niveau collectif et non au niveau individuel. Ce qui laisse une marge de manoeuvre aux organismes pour constituer des équipes pluri-disciplinaires capables de répondre à ces exigences.

Concernant le déroulement de la procédure d'accréditation, l'ordonnance dispose dans son article 2 que « Le Service d'accréditation suisse associe le Préposé fédéral à la protection des données et à la transparence (le préposé) à la procédure d'accréditation et au contrôle ainsi qu'à la suspension et à la révocation de l'accréditation ».

L'article 3 de l'ordonnance du 28 septembre 2007 précise dans son alinéa 1 que les organismes suisses mais aussi les organismes d'origine étrangère mais domiciliés en Suisse - alinéa 2 - peuvent être accrédités. Les organismes étrangers d'accréditation peuvent également accréditer des sociétés d'origine suisse - alinéa 3- et domiciliées en Suisse.

Il revient au Service d'Accréditation Suisse (SAS) de délivrer l'accréditation qui comme le précise l'article 14 de l'ordonnance est accordée pour une durée maximale de 5 ans. Période qui peut être prolongée d'autant en cas de réussite de l'évaluation de renouvellement.

131 Loi fédérale du 19 juin 1992 sur la protection des données dite LPD RS 235.1

http://www.admin.ch/ch/f/rs/c235_1.html

72

Il revient également au SAS de retirer de manière temporaire ou définitive l'accréditation (article 21) si les conditions de maintien de cette accréditation ne sont plus réunies par l'organisme concerné. Ces manquements pouvant être constaté à tout moment.

La liste des organismes accrédités fait l'objet d'une publication de la part du SAS comme le précise l'article 15 et 23 alinéa 2 de l'Ordonnance du 28 septembre 2007.