WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

précédent sommaire suivant

2.3 Faut-il un ou plusieurs référentiels ?

Une approche ambitieuse pourrait consister à dégager des principes généraux afin d'élaborer un référentiel d'audit utilisable pour tous les types d'évaluation. On pourrait s'appuyer sur les principes contenus dans la norme ISO/CEI CD 29100164 actuellement en cours de validation qui propose les principes suivants :

- choix et consentement,

- finalité légitime,

- limitation de la collecte,

- utilisation minimale des données,

- limitation de la conservation, de l'utilisation et de la diffusion,

- qualité et validité des données,

- transparence de l'information,

- droit d'accès et de rectification,

- contrôle de la sécurisation,

- obligation de rendre des comptes sur la conformité pour les responsables de traitement,

- conformité à la législation.

Ces principes intégrent bien ceux contenus dans les Autorisations uniques et pourrait y ajouter des principes supplémentaires qu'il serait peut être intéressant d'intégrer dans l'évaluation.

La question se pose également de savoir si ce référentiel doit être unique comme c'est le cas de l'EuroPriSe criteria ou si le référentiel d'audit doit être distinct selon qu'il s'agit d'évaluer les Autorisations uniques traitant de produits ou celles traitant de procédures.

Il nous semble que la méthodologie d'évaluation des produits diffère de celle des procédures dans la mesure où l'évaluation des produits est souvent plus technique et requiert des protocoles qui peuvent s'avérer parfois complexes. Il n'est qu'a voir ceux qui sont proposés par la norme ISO/CEI 15408-1:2005 pour s'en convaincre.

Ces deux types d'évaluation sont d'ailleurs traités de manière distincte par les normes ISO, que ce soit pour l'accréditation des organismes de certification ou pour l'évaluation de la conformité.

Thème

Produits

Procédure

Accréditation ISO/CEI 17025:2005

Évaluation de la conformité - Exigences générales concernant la compétence des laboratoires d'étalonnages et d'essais

Certification ISO/CEI 15408-1:2005

Technologies de l'information - Techniques de sécurité -- Critères d'évaluation pour la sécurité TI -- Partie 1: Introduction et modèle général

ISO/CEI 17021:2006

Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

ISO/CEI 19011:2002

Lignes directrices pour l'audit des systèmes de management de la qualité et /ou de management environnemental

85

2.4 A qui appartient-il d'élaborer ce référentiel d'évaluation ?

La question se pose en effet de savoir si il incombe à l'autorité de certification d'élaborer elle-même le référentiel d'évaluation de la conformité. L'intérêt de le faire réside :

- dans le contrôle que l'on peut exercer ainsi sur la manière dont l'évaluation va être menée,

164 ISO/IEC CD 29100

Information technology -- Security techniques -- Privacy framework

86

- dans l'homogénéité des rapports d'évaluation que l'autorité de contrôle va recueillir . Ce qui facilitera son travail de contrôle.

- dans la possibilité d'être indépendant des organismes de certification et de leur imposer éventuellement un cahier des charges plus ou moins contraignant.

- dans la possibilité d'offrir à des évaluateurs individuels un outil de travail qu'ils n'auraient pas forcément pu élaborer seuls, faute de temps et ou de moyens suffisants.

Il nous semble que cette tâche pourrait aussi être confiée aux entreprises qui souhaitent se positionner sur ce marché. Il serait possible ainsi de les accréditer, au moins en partie, sur la base de la méthodologie qu'elles proposent.

Cette démarche de délégation pourrait permettre à la CNIL de profiter du savoir faire et de l'imagination de ces entreprises pour ensuite la synthétiser et pourquoi pas, imposer un cahier des charges sur cette base aux futurs candidats à l'accréditation.

Le succès d'une telle démarche est évidemment dépendante de l'intérêt que les organismes professionnels de certification percevront dans ce marché aujourd'hui virtuel.

précédent sommaire suivant