WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

précédent sommaire suivant

4.3 Une accréditation sur quel périmètre ?

ll conviendrait de définir le périmètre de ces accréditations afin de déterminer si elles peuvent être accordées pour l'ensemble des Autorisations uniques ou simplement pour un nombre défiini d'Autorisations uniques.

Les Autorisations uniques couvrent en effet des domaines fonctionnels et techniques relativement larges. Elles s'intéressent aux produits comme aux procédures dont l'application peut être destinée au grand public (AU-010), aux services publics (AU-001), aux banques (AU-005) mais aussi à des entreprises de tous horizons (Location d'automobiles dans l'AU-011).

L'usage dans le domaine de la normalisation veut que la certification des produits relèvent de la compétence des laboratoires d'essais et que celle des procédures soit le fait des organismes de certification. Il nous semble qu'il n'existe aucune raison valable de déroger à ce principe. Ce qui signifie que les laboratoires d'essai pourraient être accrédités pour évaluer uniquement les Autorisations uniques consacrées aux produits et les organismes de certification ou les experts indépendants uniquement pour celles consacrées au procédures.

Cette solution imposerait aux organismes de demander l'extension de leur accréditation à chaque fois qu'une nouvelle Autorisation est publiée à moins d'accréditer les organismes dans un domaine fonctionnel ou technique. De ce fait, toute nouvelle autorisation publiée et relevant du domaine d'accréditation de l'organisme serait intégrée de droit dans son périmètre de certification. A charge ensuite pour les entreprises de choisir l'expert ou l'organisme qui connait le mieux leur domaine d'activité.

Une autre question consiste à savoir si l'accréditation pourrait être accordée à des entreprises étrangères ayant ou non une implantation en France. Dès lors que l'entreprise ou le laboratoire font la démonstration de leur compétence, il nous parait difficile de le leur refuser ne serait-ce que pour respecter les différents accords de réciprocité qui existent en la matière. Ceci à moins que la procédure de certification ne soulève des questions sensibles liées à la sureté de l'Etat par exemple.

4.4 Quelle procédure de délivrance pour l'accréditation ?

La procédure de délivrance de l'accréditation relève du COFRAC qui dispose du monopole de l'accréditation depuis 2008. Cette proccédure pourrait recueillir l'avis préalable de la CNIL.

Pour ce qui est de la durée de validité de l'accréditation, il parait souhaitable se se calquer sur ce qui se fait dans le monde de la certification. Une durée initiale de 4 ans comme celle qui est accordée dans le cadre de l'accéditation COFRAC nous parait tout à fait convenir à notre sujet.

La responsabilité de renouveller ou de retirer l'accréditation ou l'agrément pourrait être de la responsabilité de l'organisme qui l'a délivré. Le rôle de la CNIL pourrait être à nouveau consultatif ou suspensif.

77

Au terme de cette troisième partie, nous pouvons retenir deux choses :

La mise en place d'une procédure pour accréditer des évaluateurs compétents afin d'évaluer la conformité aux Autorisations uniques ne présente pas de difficultés particulières. Les structures et et les procédures existent et celes-ci pourraient prendre en charge cette procédure avec ou sans le concours de la CNIL.

Il convient en revanche de déterminer si il faut accréditer des individus ou des organismes. Il s'agit là d'un choix stratégique qui aura des conséquences importantes sur la procédure d'évaluation comme nous allons le voir.

78

PARTIE IV : QUELLE METHODOLOGIE POUR EVALUER LA CONFORMITE AUX AUTORISATIONS UNIQUES

Nous essaierons dans cette partie de déterminer s'il est nécessaire d'élaborer une méthodologie d'audit spécifique à l'évaluation de la conformité aux Autorisations uniques ou s'il est possible de s'appuyer sur une des méthodologies génériques proposées par certaines autorités de contrôle.

précédent sommaire suivant