Certifier la conformité aux autorisations uniques de la CNIL

1.2.1 Les propositions de la norme CWA 15499-1 du CEN

Le point 2 de la norme¹⁴⁷ CWA 15499-1 propose d'organiser la procédure d'audit selon quatre phases :

- définition de la lettre de mission, - préparation de l'audit,

- exécution de l'audit,

- rapport et présentation de l'audit.

La lettre de mission précise le point 2.01¹⁴⁸ a pour but de définir les conditions de l'audit et les faire valider conjointement par l'audité et l'auditeur. Cette lettre de mission doit définir au minimum :

- L'auditeur et son commanditaire,

- L'objectif et la nature de la mission,

- Le contexte,

- Le signataire du rapport d'audit,

- Le périmètre (traitement, risques et prérequis),

- La période,

- L'étendue (dans le cycle de vie des données à caractère personnel),

- Le groupe cible,

- La forme et la fréquence du reporting,

- le niveau d'assurance offert par l'audit,

- l'accès aux informations,

- Les références normatives,

- Les limites de responsabilité.

Elle doit également être l'occasion pour l'auditeur :

- de faire la démonstration de sa maitrise du métier du commanditaire,

- de sa maitrise des textes de référence,

- et de mettre en évidence l'importance de la tâche et des éventuelles difficultés afin d'éviter ensuite tout malentendu entre l'auditeur et l'audité.

La préparation de l'audit, précise le point 2.02, doit permettre d'élaborer un plan d'audit qui soit l'exacte représentation des actions qui vont être menées par l'auditeur pour évaluer le cycle de vie des données à caractère personnel dans l'organisme. Ce travail devra être effectué à trois niveaux :

- Au niveau des documents de référence: L'auditeur va vérifier l'existence et la conformité de l'ensemble des doments et des procédures qui conduisent le traitement des données à caractère personnel.

- Au niveau de l'implémentation opérationnelle : L'auditeur va vérifier si les traitements opérationnels sont conformes à ceux qui sont décrits dans les documents¹⁴⁹

- Au niveau de la pérennité du système de management: L'auditeur va vérifier à intervalle régulier le maintien de la conformité des procédures précédemment auditées.

La phase d'audit en elle-même est une phase qui a pour but «de colecter une quantité suffisante d'éléments de preuve afin d'étayer le rapport d'audit» précise le point 2.03 du CWA 15449-1. Ces éléments de preuve peuvent prendre la forme entre autres :

147 CWA 15499 partie 1 p.13

148 CWA 15499 partie 1 p.14

Le texte de la norme CWA 15499-1 du CEN est disponible en anglais à cette adresse ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15499-01-2006-Feb.pdf

149 On constate ici que le modèle proposé par le CEN s'est inspiré de la méthode de l'ICO britannique qui lui même propose un audit à double niveau.

CWA 15262 point 4.1.2.3 p 13

CWA 15499 partie 1 point 2.02 p 15

81

- De réponses aux questions posées dans le cadre d'interviews,

- De documents papiers et autres preuves sous forme électronique,

- Des observations effectuées par l'auditeur,

- Des résultats de sondages informatiques avec la possibilité d'avoir recours à des «computer assisted audit tools»¹⁵⁰

pour obtenir ces résultats

Il est important nous dit la norme dans le point 2.02 ¹⁵¹ que toutes ces preuves soient validées par l'audité au même titre que les comptes-rendus d'interviews.

Dans le rapport d'audit, «Le commanditaire attend de l'auditeur qu'il exprime son opinion» précise le point 2.04¹⁵². Autrement dit que celui-ci qualifie les non conformités selon une échelle de risque que la norme CWA 15499-1 décompose selon 3 niveaux :

- Les non conformités qui exposent à des sanctions,

- Les faiblesses qui pourraient conduite à une exposition,

- Les éléments de gestion qui doivent être traités pour des raisons d'efficacité et de bonne gouvernance.

D'autres paramètres peuvent également être pris en compte nous dit le texte dans le même point 2.04:

- La sensibilité des données,

- Le nombre de personnes concernées,

- Le décalage par rapport à la Directive (en accord, contraire ou éloigné),

- La nature et la fréquence du problème.

La norme invite à mettre en parallèle les résultats obtenus et les résultats attendus afin d'en faciliter la compréhension. Au niveau du formalisme du rapport, la norme recommande toujours dans le point 2.04¹⁵³ que le rapport soit organisé de la manière suivante:

- Titre

- Résumé

- Table des matières

- Noms des auditeurs et commanditaires avec leur signature

- Le périmètre de l'audit (objet, finalité et prérequis)

- Méthodologie de l'audit

- la date de l'audit

- Les éventuelles limitations

- l'opinion de l'auditeur

- les conclusions et recommandations

- Une partie remarque libre pour les deux parties

La norme CWA 15499-1¹⁵⁴ précise qu'il appartient à l'auditeur dans son rôle de conseil de mettre en évidence les points de l'audit qui devront faire l'objet d'un suivi de la part de l'entreprise ou de l'institution auditée ainsi qui la manière dont ce suivi devra être effectué. La norme prescrit dans son point 3155

150 Les «Computer Assisted Audit Techniques or Computer Aided Audit Tools (CAATS) également connus sous le nom de «Computer Assisted Audit Tools and Techniques (CAATTs) sont des outils informatiques qui permettent automatisent certains processus d'audits.

http://en.wikipedia.org/wiki/Computer Aided Audit Tools

151 CWA 15499-1 point 2.02 p 17

Le texte de la norme CWA 15499-1 du CEN est disponible en anglais à cette adresse ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15499-01-2006-Feb.pdf

152 CWA 15499 -1 point 2.02 p 19

153 CWA 15499 -1 point 2.02 p 20

154 CWA 15499-1 point 2.02 p 19

155 CWA 15499-1 point 3 p 21

Le texte de la norme CWA 15499-1 du CEN est disponible en anglais à cette adresse ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15499-01-2006-Feb.pdf

82

une série de mesure que l'audité est invité à prendre préalablement à la mise en oeuvre d'un audit de conformité des données à caractère personnel. Ces mesures de mise en conformité préalable s'organisent autour de deux thèmes :

> Des mesures procédurales que l'audité est invité à souscrire avant d'entreprendre une démarche d'évaluation de sa conformité :

- La notion «d'adhérence»: C'est à dire de respect de l'ensemble des dispositions légales pour chaque opération du traitement,

- La notion de «conformité durable»: C'est à dire la garantie par des procédures adéquates du maintien de la conformité dans le temps,

- La notion de «sur mesure»: C'est à dire d'adaptation des procédures au cadre légal local ou à celui du secteur d'activité.

- La notion de «bonne gouvernance»: C'est à dire l'engagement du management dans le respect de la loi dans tous les domaines de l'activité. Une définition claire des rôles et des responsabilités. Un pilotage de la conformité.

Une gestion opérationnelle précise et raisonnée des données à caractères personnel comme le précise le point 3.02¹⁵⁶. Celle-ci préconise notamment :

- La mise en place d'un système de protection des données à caractère personnel (Personal Data Protection System ou PDPS ). C'est à dire d'un ensemble de documents et de procédures visant à assurer et à maintenir la conformité de l'organisation par rapport à un référentiel normatif.

- d'un plan de gouvernance: C'est à dire d'un ensemble des moyens de contrôle mis en place dans l'organisme afin de s'assurer que les données personnelles sont gérées de manière efficace et transparente. Ce qui devrait se traduire par :

- La mise en place d'une cartographie des traitements,

- La définition de processus visant à prévenir et à traiter les problèmes dans ce domaine.