Certifier la conformité aux autorisations uniques de la CNIL

3.3 Contrôler l'évaluation de la conformité

3.3.1 Quel contenu pour le rapport d'audit ?

Dans la mesure ou l'on se place dans le cadre d'un audit de certification, la méthodologie proposée par la norme CWA 15499-1, nous l'avons dit plus haut, n'est pas totalement adaptée dans la mesure ou elle se fixe pour objectif de rapporter le détail des non-conformités ainsi que leur échelle de risque comme le point 2.04 le précise¹⁶⁹.

L'objectif de l'audit de certification consiste à s'assurer de la conformité et d'en apporter la preuve à l'organisme chargé du contrôle. Le détail des non conformités peut être utile à l'entreprise dans le cadre d'un audit de pré-certification mais n'a pas sa place dans un audit de certification.

La question se pose également de savoir si le rapport d'audit doit présenter un rapport d'évaluation sur l'ensemble des points soulevés par l'Autorisation unique sans qu'aucun ne soit écarté et apporter si besoin une preuve tangible de cette conformité pour chaque point. La réponse dépend du degré de contrôle que l'on souhaite exercer sur ces évaluations, du nombre d'évaluation à contrôler et de la confiance que l'on accorde aux évaluateurs.

La procédure proposé par le label EuroPriSe qui requiert la rédaction de deux rapports d'évaluation, l'un pour l'autorité de certification et l'autre à l'intention du commanditaire est intéressante en terme de qualité de contrôle.

Elle pourrait s'avérer cependant très lourde à gérer si le nombre de demande devenait important. Seules 15 entreprises ont reçu à ce jour le label EuroPriSe alors que plus de 3 000 entreprises se sont déjà déclarées conformes à l'Autorisation unique AU-026 sur les Etylotest anti-démarage publiée en début d'année 2010. Si la demande de certification n'était seulement que de 5 %, cela représenterait déjà beaucoup de travail pour l'autorité de contrôle chargée de cette double vérification.

On peut également s'interroger sur le degré possible d'interprétation des résultats des rapports d'audit. Un rapport d'audit de certification initial ou de renouvellement est rarement présenté si il ne répond pas rigoureusement aux exigences de certification. Il s'agit sinon d'un pré-audit de certification qui a pour but de préparer la certification mais qui est présentée au commanditaire et non pas à l'autorité de certification.

Seuls les audit de contrôles pour le maintien de la certification pourraient rapporter des situations nécessitant éventuellement une part d'interprétation.

Cette part de subjectivité dans un travail d'appréciation est toujours délicate à gérer car elle susceptible de contestation. Les solutions «miracles» n'existent pas mais il convient de notre point de vue de mettre en place une procédure la plus transparente et rigoureuse possible afin d'éviter au maximum les risques de contestation. Un rapport d'audit détaillé et argumenté est à notre sens le plus sûr moyen d'y parvenir.

Il convient également de penser à mettre en place une procédure de gestion des réclamations afin de savoir selon quel formalisme elles peuvent être reçues, sur quels points elles peuvent porter, par qui elles seront traitées et selon quel délai.

Bien que cet aspect ne soit pas capital, une certaine normalisattion au niveau de la présentation du rapport d'audit pourrait être un moyen de gagner du temps dans le contrôle.

Au niveau de la structure du rapport, Il nous semble que les recommandations de la norme CWA 15499-1 sont intéressantes lorsqu'elle propose dans le point 2.04¹⁷⁰ que le rapport soit organisé de la manière suivante :

- Titre

- Résumé

- Table des matières

- Noms des auditeurs et commanditaires avec leur signature

- Le périmètre de l'audit (objet, finalité et prérequis)

- Méthodologie de l'audit

169 CWA 15499-1 p19

170 CWA 15499-1 p 20

89

- la date de l'audit

- Les éventuelles limitations

- l'opinion de l'auditeur

- les conclusions et recommandations

- Une partie remarque libre pour les deux parties

Quant à la forme du rapport, celui proposé par l'Information Commissioner Office (ICO) dans le cadre de son «Data Protection Audit Manual» nous parait assez convaincant¹⁷¹.

Il nous semble au terme de cette quatrième partie que nous pouvons conclure qu'il est possible d'élaborer un référentiel d'audit qui réponde aux exigences de certification de la conformité aux Autorisations uniques. Les exemples abondent. Ils ne correspondent pas toujours précisémment au besoin qui est le notre mais ils peuvent constituer une source d'inspiration pour ceux qui pourraient être chargés d'élaborer cet outil. Appartient-il à la CNIL ou aux candidats à l'accréditation de s'en charger, il s'agit là d'un choix qui doit être fait avant de lancer un tel projet.

171 Data Protection Audit Manual Annexe E p. 85 et suivantes

Information Commissioner Office - version 1 - June 2001 - 166 p

" http://www.ico.gov.uk/upload/documents/library/data protection/practical application/data protection complete audit guide.pdf

PARTIE V : QUEL TITRE POUR ATTESTER DE LA CONFORMITE AUX AUTORISATIONS UNIQUES ?

Nous chercherons à déterminer dans cette partie quel titre de certification doit être délivré pour distinguer la conformité aux Autorisations uniques. Nous essaierons également de voir si il est possible d'intégrer la délivrance de ce titre dans le cadre de programmes de certification existants ou si il est nécessaire de créer un titre ex-nihilo et d'en définir le mode de délivrance.