WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

précédent sommaire suivant

2. Quelle méthodologie pour évaluer la conformité au Autorisations uniques ?

2.1 Quel référentiel d'évaluation ?

84

Il pourrait être intéressant de s'inspirer ou de reprendre certains éléments des référentiels présentés ci-dessus.

Les normes CWA 15499 partie 1 et 2 du CEN proposent une méthodologie d'audit qui nous parait relativement complète. Elles sont en outre proposées par des professionnels reconnus dans ce domaine; en l'occurrence le cabinet suédois de PriceWaterhouseCoopers. Ce qui constitue un gage de qualité pour qui souhaiterait utiliser ces référentiels. On pourrait simplement reprocher à la norme CWA 15499-1 de ne pas proposer un référentiel adapté à l'audit de certification mais plutôt a un pré-audit dans la mesure ou il s'intéresse aux non conformités et à la manière de les résoudre. Ce qui est inutile dans le cadre d'une certification ou la seule finalité du référentiel consiste à valider (ou non) la conformité. Il conviendrait donc de l'adapter ou de s'en inspirer pour élaborer un référentiel d'audit centré sur la certification.

Ces deux normes sont en accès libre. Il est donc possible les utiliser sans restrictions. Ils sont en revanche couverts par le droit d'auteur et ne peuvent être modifiés sans l'accord préalable du CEN. Autorisation qu'il est sans doute possible d'obtenir si une autorité publique telle que le CNIL souhaitait adapter ce référentiel à l'évaluation des Autorisations uniques.

Le référentiel proposé par l'European Privacy Seal board présente l'avantage quant à lui de traiter de l'évaluation de la conformité en prenant en compte les produits et les procédures. Ce qui correspond au périmètre couvert par les Autorisations uniques.

En outre, ce référentiel présente l'avantage d'être ouvert et permet la prise en compte des législations nationales. Il pourrait servir de base à l'élaboration d'un référentiel plus spécifiquement adapté à la législation française et au contenu des Autorisations uniques.

2.2 Quelles sont les spécificités à prendre en compte ?

Un référentiel d'audit qui aurait pour objectif d'évaluer la conformité aux Autorisations uniques devrait nécessairement s'appuyer sur les principes contenus dans la loi 78-17 du 6 janvier 1978 modifiée le 6 Août 2004 plutôt que sur ceux contenus dans la Directive 95/46/CE bien qu'ils ne soient pas incompatibles.

Il serait également souhaitable que le canevas d'analyse tienne compte de la structure des Autorisations uniques qui s'organisent toutes selon le plan suivant:

- Finalités

- Données collectées

- Destinataires des données

- Mesures de sécurité

- Droit d'accès

- Formalités particulières

On pourrait imaginer de reprendre le formalisme proposé par la norme CWA 15499-2

- Description du principe,

- Fondement juridique,

- Actions à réaliser par l'auditeur,

- Questions à poser,

- Preuves à rassembler,

- Points particuliers à vérifier.

et de le décliner à partir des thèmes contenus dans les Autorisations uniques.

précédent sommaire suivant