Certifier la conformité aux autorisations uniques de la CNIL

2.2.1.2 L'association française pour l'amélioration et le management de la qualité (AFAQ)

Cette marque de certification créée en 1988 propose aux entreprises qui le souhaitent un programme de certification des systèmes de management par rapport la norme ISO 9001. L'AFAQ qui a fusionné avec les autres activités de certifications de l'AFNOR en 2004 pour devenir l'AFAQ AFNOR, filiale d'AFNOR certification certifie qu'une organisation, un service, ou des compétences professionnelles sont conformes aux normes internationales ou nationales dont elles dépendent.

Deux types de certification sont proposées :

- AFAQ Engagement de Service® qui permet de certifier son activité de service à partir d'un référentiel spécifique élaboré conjointement avec l'AFNOR dans cette intention.

- AFAQ Service Confiance® qui a pour vocation de certifier plusieurs entreprises dans un même métier à partir d'un référentiel élaboré conjointement avec l'AFNOR dans cette intention.

La certification est délivrée par AFAQ AFNOR pour une durée de 3 ans. Un audit de surveillance est réalisé chaque année afin de vérifier la pérennité de la certification.

Nous aurions pu prendre d'autres exemples auprès d'autres organismes de certifications privés. Les exemples sont nombreux mais ils sont tous organisés en général sur le même mode. Leur offre étant plus ou moins complète en fonction de leur taille. Certains ne certifiant que des produits tandis que d'autres ne certifient que les procédures. Les grands organismes tels que le BureauVeritas ou Moody¹⁸⁸ certifient les deux .

188 L'offre de certification assez complète du Bureau Veritas est présentée sur son site à cette adresse : http://www.bureauveritas.fr/wps/wcm/connect/bv fr/Local/Home/Our-Services/

L'offre de Moody certifcation est également présentée sur son site http://www.moody-certification.fr/

2.2.2 Les certificats issus d'une réglementation

2.2.2.1 Le certificat de conformité au Décret n° 2002-535 du 18 avril 2002

96

L'Agence Nationale de Sécurité de Systèmes d'Information (ANSSI) délivre sur délégation du 1er Ministre des certificats de conformité par rapport aux dispositions contenues dans le Décret n° 2002-535 du 18 avril 2002¹⁸⁹.

L'ANSSI a reçu pour mission entre autres de certifier la sécurité concernant « les logiciels de chiffrement permettant de protéger des données sur un ordinateur portable, les boîtiers permettant de chiffrer les informations lors de leur transmission sur un réseau, ou les cartes à puce, destinées à des applications bancaires ou d'identité électronique.»

L'évaluation de la conformité est confiée à des laboratoires externes qui sont accrédités auprès de l'ANSSI. C'est l'ANSSI qui délivre le titre après vérification du rapport d'évaluation.

En revanche, il n'est nul part précisé de durée de certification ni de conditions de renouvellement. Interrogé à ce propos, Pour l'anecdote, un agent de l'ANSSI nous a déclaré lorsque nous l'avons interrogé que la certification n'était valable je cite «que pour l'instant ou elle était accordée» dans la mesure ou les choses évoluent à une telle vitesse dans le monde de la sécurité informatique qu'il était impossible de certifier au delà de l'instant. A la question de savoir en ce cas à quoi pouvait servir cette procédure de certification si elle n'offrait aucune garantie dans le temps, nous n'avons jamais eu de réponse jusqu'au moment d'écrire ces lignes. Gageons néanmoins que cette opinion surprenante ne représente pas le point de vue officiel de l'agence.

L'ANSSI par ailleurs participe à entretenir la confusion qui existe entre la notion de label et celle de certificat puisqu'elle déclare elle même délivrer un label¹⁹⁰ alors que la réglementation parle bien elle de certificat. L'article 7 et 8 du Décret déclarant en effet que «(...) La direction centrale de la sécurité des systèmes d'information élabore un rapport de certification dans un délai d'un mois. Ce rapport, qui précise les caractéristiques des objectifs de sécurité proposés, conclut soit à la délivrance d'un certificat, soit au refus de la certification.» nous dit l'article 7. L'article 8 précise quant à lui que «Le certificat est délivré par le Premier ministre (...)»

Pour achever de semer la confusion sur cette distinction déjà bien floue, l'ANSSI accorde au produit, une fois certifié, la possibilité d'arborer une marque distinctive sans qu'aucun fondement juridique ne vienne réellement le justifier.