WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

précédent sommaire suivant

1.2.2 Les propositions de la norme CWA 15499-2 du CEN

La norme CWA 15499-2157 propose quant à elle un guide " pas à pas " (une check-list) pour mener à bien cet audit de conformité dans le domaine de la protection des données à caractère personnel. Ce guide est structuré autour des grands principes contenus dans la Directive 95/46/CE :

- Qualité des données,

- Légitimité du processus,

- Transparence,

- Droits des personnes concernées,

- Confidentialité et sécurité des données,

- Notifications,

- Transfert dans les pays tiers.

Pour chacun de ces thèmes, la norme propose de suivre une démarche identique :

- La description du principe,

- Son fondement juridique,

- Les actions à réaliser par l'auditeur,

- les questions à poser,

- Les preuves à rassembler,

- Les points particuliers à vérifier.

156 CWA 15499-1 point 3.02 p 24

157 Le texte de la norme CWA 15499 Partie 2 du CEN est disponible en anglais à cette adresse ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15499-02-2006-Feb.pdf

83

Ce canevas a pour but d'aider les auditeurs à recueillir l'ensemble des données nécessaires à la rédaction de leur rapport dans un domaine fondamentalement pluri-disciplinaire dans lequel il n'est pas toujours évident de balayer tous les aspects d'une question.

1.2.3 L'exemple de l' EuroPriSe Criteria

L'European Privacy Seal Board dont nous avons parlé plus haut propose également une méthodologie d'audit aux experts accrédités chargés d'évaluer la conformité des produits et des procédures dans le cadre de la démarche de labelisation EuroPriSe.

Cette méthodologie s'apparente à celle proposée par le norme CWA 15499 -2 dans la mesure ou elle organisée autour des thèmes de la Directive 95/46/CE pour chacun desquels elle propose un certain nombre de questions visant à recueillir l'ensemble des données nécessaires à la rédaction du rapport d'expertise.

L'intérêt de ce référentiel réside dans le fait :

- qu'il s'appuie sur la notion de périmètre d'audit158 tel qu'il est défini dans la Norme ISO/CEI 15408 -1:2009 sous le nom de Target Of Evaluation (TOE) qui constitue un élément essentiel pour mener à bien une évaluation comme le rappelle le référentiel.

- qu'il traite de l'évaluation des procédures et mais également à celle des produits. La partie 3.2159 du référentiel traite par exemple des technologies de cryptage, d'anonymisation et de pseudonymisation.

- qu'il prend en compte les plus récentes avancées de la législation européenne puisque la dernière version en date de mai 2010 intègre les notions de «data breaches» contenus dans la Directive 2002/58/CE modifiée par la Directive 2009/136/CE160 et celles concernant le consentement préalable à l'utilisation de cookies «optin» introduite par la Directive 2006/24/CE161.

- qu'il laisse la possibilité d'ajouter aux exigences définies dans le référentiel des exigences spécifiques. C'est un référentiel ouvert162. Ce qui dans notre cas peut s'avérer intéressant. Nous y reviendrons.

- qu'il propose une démarche d'assurance qualité originale. L'évaluation effectuée par l'expert accrédité à la demande de l'entreprise donne lieu à deux rapports. Le premier est remis à l'organisme de certification pour évaluation et attribution du label. Le second est remis à l'entreprise après validation par l'organisme de certification. Il doit être publié par l'entreprise pour attester que la procédure d'évaluation a bien été effectuée et en livrer les conclusions, ceci par souci de transparence163.

158 La notion de «Target Of Evaluation» (TOE) est une notion définie par la norme ISO/CEI 15408 -1:2009 dite de Critères Commun dont nous avons déjà parlé dans la partie 2 de ce document.

Europrise Criteria p.8

159 Europrise Criteria p 50

https://www.european-privacy-seal.eu/criteria

160 Le texte intégral de la Directive 2002/58/CE modifiée par la Directive 2009/136/CE est disponible en français à cette adresse http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:2002L0058:20091219:FR:PDF

161 Le texte intégral de la Directive 2006/24/CE est disponible en français à cette adresse http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:FR:PDF

162 Description of EuroPriSe Criteria and Procedures p16 et 17 et 18 Version 1.1 février 2009

https://www.european-privacy-seal.eu/results/deliverables/procedures/view

163 Un exemple de rapport d'évaluation est disponible en anglais à cette adresse: https://www.european-privacy-seal.eu/awarded-seals/certified-privnote

précédent sommaire suivant