Certifier la conformité aux autorisations uniques de la CNIL

4. Comment accréditer les évaluateurs de la conformité aux Autorisations

Uniques ?

4.1 Quel organisme responsable doit être désigné ?

Les procédures en vigueur en Suisse ou en Allemagne nous paraissent parfaitement transposables.

La procédure d'accrédiation mise en place par EuroPriSe parait néanmoins plus contraignante que la procédure suisse dans la mesure ou elle oblige l'autorité de contrôle à organiser un service de gestion des accréditations.

On pourrait envisager d'établir un cahier des charges pour en confier l'exécution au COFRAC. On pourrait mettre en place un processus d'accréditation conjoint entre la CNIL et le COFRAC dans lequel la CNIL aurait un rôle d'expertise.

On pourrait encore envisager de déléguer cette accréditation à l'Agence Nationale pour la Sécurité des Systèmes d'Information dans le cadre d'une procédure d'agrément qui pourrait aussi être également conjointe avec la CNIL.

On pourrait enfin imaginer qu'une procédure d'accréditation soit proposée par le COFRAC aux organismes certificateurs des entreprises privées et qu'une procédure d'agrément soit réservée aux organismes certificateurs de l'administration et des services de l'Etat manipulant des données sensibles au niveau de la sécurité de l'Etat.

4.2 Une accréditation sur quels fondements ?

Il n'existe à ce jour aucun fondement juridique ou normatif en France sur la base duquel on pourrait accréditer des certificateurs dans le domaine de la protection des données à caractère personnel.

Il conviendrait de déterminer si il est nécessaire de définir des exigences particulières comme en Suisse pour accréditer dans ce domaine.

La CNIL pourrait en toute logique être à l'origine de cette démarche. Ceci d'autant plus que l'article 11-3 c du Chapitre III de la loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004¹³⁷ lui en donne le pouvoir lorsqu'il dit que «(..) dans le cadre de l'instruction préalable à la délivrance du label par la commission, le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation(...) ».

136 «L'agrément CNIL n'existe pas» nous rappelle l'auteur malgré les nombreuses usurpations qu'il voit fleurir ici et là Arnaud Belleil - Cecurity.com - 4 novembre 2010

http://www.cecurity.com/site/PubArt201006.php

137 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

JORF du 7 janvier 1978 page 227

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20101106

76

Les exigences en matière d'accréditation pourraient être définies dans le Réglement Intérieur de la CNIL de la même manière que les conditions de certifications des personnels financiers sont décrites dans celui de l'AMF.

Cette partie consacrée à «l`accréditation des organismes de certification » pourrait faire l'objet d'un titre spécifique ou bien être intégrée au chapitre IV relatif à l'« Examen de règles professionnelles et des produits et procédures».

Les exigences pourraient être en partie les mêmes que celles qui sont définies en Suisse. C'est à dire :

- Prise en compte des spécificités de la protection des données à caractère personnel dans la méthode d'évaluation de la conformité,

- Exigence d'un niveau minimum de qualifications pour le personnel évaluateur,

D'autres exigences pourrait s'y ajouter comme le fait par exemple de disposer dans l'équipe d'évaluation d'une personne au moins dont le diplôme ou l'expérience a été reconnu ou labellisé par la CNIL.

Ces exigences particulières viendrait s'ajouter à celles définies dans le référentiel ISO/CEI 17021 et ISO/CEI 17025 qui fondent habituellement l'accréditation des organismes certificateurs.