Certifier la conformité aux autorisations uniques de la CNIL

3.2 Evaluer à quel moment ?

La déclaration de conformité aux Autorisations uniques est aujourd'hui effectuée à chaque fois qu'une entreprise différente met en place par exemple le même système de contrôle d'accès utilisant la même technologie biométrique même si ce système est similaire et provient du même constructeur. Faudrait-il faire de même dans le cadre d'une procédure de certification ?

Le choix d'une telle démarche signifie que l'on n'évaluerait pas tant le produit que son installation dans un cadre spécifique. Ca n'est pas la règle commune qui veut que l'on certifie tout ou partie d'un produit dans le cadre, nous l'avons vue d'un périmètre préalablement défini (TOE). Le produit est alors certifié pour un temps défini dans les conditions définies dans le protocole d'évaluation. C'est le principe qui conduit par exemple le marquage CE.

Cette solution nous parait transposable pour les produits et les systèmes dits «propriétaires» dans lesquels les fonctionnalités ainsi que le code source font l'objet d'un dépôt de brevet. Ces éléments ne pouvant être modifiés sans l'accord préalable de l'éditeur. Ce qui signifierait que les tous les acheteurs potentiels de cette solution certifiée bénéficieraient de cette certification et n'auraient pas besoin de faire de déclaration de conformité.

Cette solution nous semble moins évidente dès lors qu'il s'agit de systèmes spécifiques développées à partir d'un cahier des charges. Ces systèmes ne peuvent évidemment pas être certifiés avant d'exister et elle ne peuvent exister que lorsqu'ils ont été décrits ou spécifiés pour user du jargon informatique.

Peut-on pour autant envisager d'évaluer une application ou une procédure de traitement de données à caractère personnel «sur plan». C'est à dire au moment où elle a été décrite mais avant qu'elle soit véritablement en fonction.

Toute proportion gardée, c'est un peu comme si l'on souhaitait certifier les qualités d'un bâtiment uniquement au moment de sa conception par l'architecte. Ce qui est évidemment insuffisant. Des vérifications sur site doivent être effectuées au moment des travaux mais également une fois le bâtiment terminé.

La certification «préalable» d'un produit du marché lui bénéficierait doublement dans la mesure ou il permettrait à son acheteur en l'adoptant d'avoir le certitude d'être conforme et par la même occasion de s'éviter une procédure de certification spécifique ou d'autorisation.

Cette prime au produit du marché qui privilégie incontestablement les éditeurs pourrait constituer un moyen de pousser ceux-ci à intégrer la démarche de «Privacy by Design»¹⁶⁸ dans leurs process de conception.

168 Le concept de «Privacy by Design» est un concept nous l'avons déja dit élaboré dans les années 90 par Mme A. Cavoukian, Commissaire à la protection des données et à la vie privée de l'Ontario au Canada. Ce concept invite les fabricants et concepteurs de produits et de procédures à intégrer les principes fondamentaux de protection des données à caractères personnel au moment de la conception de leurs systèmes. Ce concept défendu et mis en place progressivement au Canada grâce à la persévérance de Mme Cavoukian a fait récemment l'objet d'une déclaration commune de la part des Commissaires à la protection des données et à la vie privée en vue de son adoption généralisée.

«Une résolution marquante est adoptée pour assurer la protection de la vie privée dans l'avenir»

Communiqé de presse du Commissaire à l'Information et à la protection de la vie privée de l'Ontario - 29 octobre 2010 http://www.ipc.on.ca/french/Resources/News-Releases/News-Releases-Summary/?id=992

88