Certifier la conformité aux autorisations uniques de la CNIL

2.2.2.2 L'Ordonnance suisse sur les certifications en matière de protection

des données (OCPD)

L'Ordonnance du 28 septembre 2007¹⁹¹ sous entend sans que cela ne soit clairement énoncé dans le texte que le titre de certification est délivré par un organisme externe qui doit être accrédité.

La société suisse SQS a d'ailleurs reçu une accréditation¹⁹² de la part du Service d'Accréditation Suisse (SAS) pour délivrer des certification dans le cadre de son programme «Data Protection Certification Decree» (VDSZ, SR 235.13) lancé en 2009 sur la base de cette Ordonnance du 28 septembre 2007.

L'Ordonnance du 28 septembre 2007 est relativement précise sur les conditions de certification. L'article 1 de l'Ordonnance stipule en effet qu'une certification distincte doit être délivrée selon qu'il s'agit de certifier ;

189 Décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information

JORF n°92 du 19 avril 2002 page 6944

http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=8035AFAFD1843B0553A9E44E1C32FB81.tpdjo09v_3? cidTexte=JORFTEXT000000412673&categorieLien=id

190 La labellisation selon l'ANSSI

http://www.ssi.gouv.fr/site rubrique51.html

191 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) http://www.admin.ch/ch/f/rs/c235 13.html

192 Les accrédiations de la société SQS sont présentées à cette adresse http://www.sqs.ch/fr/index/anerkennung.htm

97

- Une organisation et ou une procédure en matière de protection des données ou - un produit

L'article 6 précise quant à lui que la durée de validité de la certification diffère selon qu'il s'agit de produits ou de procédures.

«La durée de validité de la certification d'un système de gestion de la protection des données est de trois ans» nous dit l'Ordonnance. Une «vérification annuelle sommaire » des conditions de maintien de certification doit être effectuée par l'organisme certificateur. Le mot «sommaire» laisse un peu songeur quant à son appréciation par les évaluateurs.

«La durée de validité de la certification d'un produit est de deux ans. Le produit est soumis à une nouvele certification si des modifications essentieles y sont apportées» indique l'ordonnance toujours dans l'article 6. La raison qui fonde cette différence n'est en revanche pas explicitée par le texte. Il faut croire que les produits ont été considérés comme évoluant plus rapidement que les procédures.

L'admission à un titre de certification dans ce domaine doit être déclarée auprès des services du Préposé Fédéral à la Protection des données et de la Transparence (PFPDT) qui en publie la liste dès lors nous dit l'article 8 alinéa 3 que les entreprises sont «déliées de leur obligation de déclarer leurs fichiers au sens de l'article 28, al. 3, de l'Ordonnance du 14 juin 1993 relative à la Loi Fédérale sur la protection des données».

Ce qui signifie que la liste des organismes certifiés n'est publiée qu'à la triple condition :

- que l'organisme soit certifié,

- qu'il ait déclaré sa certification aux services du PFPDT , - qu'il ait demandé et obtenu une dispense de déclaration.

Ce même article 28 de l'Ordonnance du 14 juin 1993 dispose que les responsables de traitements suisses (appelé le maître des fichiers) sont tenus de déclarer auprès du PFPDT leurs fichiers contenant des données à caractère personnel à moins comme le précise l'article 11a alinéa 5 de la Loi Fédérale du 19 juin 1992 sur la protection des données (LPD) ¹⁹³ qu'ils ne se soient « soumis à une procédure de certification au sens de l'art. 11, (ait) obtenu un label de qualité et (qu'ils aient) annoncé le résultat de la procédure de certification au préposé».

L'obtention d»un titre de certification permet à l'entreprise de ne plus déclarer ses traitements dès lors :

- que cette certification à été dûment communiquée au PFPDT, - qu'elle a obtenue cette dispense de la part du PFPDT.

Aucun des textes de la législation suisse ne précise en revanche le périmètre de cette dispense ni les conditions de son octroi.

Peut-on considérer qu'une certification obtenue sur un produit ouvre droit à une dispense de déclaration pour l'ensemble des traitements de l'entreprise qui a obtenue cette certification ? Faut-il au contraire considérer que seule la certification sur un périmètre défini de traitements vaut dispense pour les traitements à venir sur ce même périmètre ? Cela paraitrait plus logique. Nous avons interrogé les autorités suisse sur ce sujet. Nous n'avons pas eu de réponses de leur part.

Seules deux entreprises ont obtenu aujourd'hui cette dispense de déclaration en Suisse¹⁹⁴. Les raisons de ce très faible résultat sont-elles à rechercher dans la complexité de la procédure ou dans le peu d'intérêt qu'elle suscite ? Nous avons également interrogé les autorités suisses à ce sujet qui ne nous avaient pas répondues au moment d'écrire ces lignes.

L'article 9 de l'Ordonnance précise quant à lui les conditions de suspension et de révocation de la certification. Elles peuvent être prononcées par l'organisme de certification qui en informe le Préposé Fédéral à la Protection des données et de la Transparence (PFPDT) si de manquements graves sont constatés lors des vérifications annuelles. Ce qui est le

193 Loi fédérale du 19 juin 1992 sur la protection des données (LPD) http://www.admin.ch/ch/f/rs/c2351.html

194 Les entreprises certifiées qui sont libérées de leur obligation de déclaration des fichiers sont référencées sur le site du PFPDT à l'adresse suivante:

" http://www.edoeb.admin.ch/dienstleistungen/00587/00966/index.html?lang=fr&download=M3wBPgDB/ 8ull6Du36WenojQ1NTTjaXZnqWfVp7Yhmfhnapmmc7Zi6rZnqCkkIN1gnt+bKbXrZ6lhuDZz8mMps2gpKfo

cas nous dit l'Ordonnance lorsque «les conditions essentielles de la certification ne sont plus remplies, ou que l'organisme au bénéfice d'une certification utilise un certificat de manière trompeuse ou abusive».

On peut également s'interroger sur la notion de «conditions essentielles» et se demander ce qu'elles recouvrent et si elles sont toujours les mêmes. Nous y reviendrons.