Certifier la conformité aux autorisations uniques de la CNIL

3.2.2.4.4 Les conditions de révocation

Les conditions proposées par l'Ordonnance suisse du 28 septembre 2007 nous semble intéressantes mais elles mériteraientt également d'être précisées pour être parfaitement exploitables.

L'article 9 de l'Ordonnance suisse du 28 septembre 2007 parle en effet de révocation si «les conditions essentielles de la certification ne sont plus remplies, ou que l'organisme au bénéfice d'une certification utilise un certificat de manière trompeuse ou abusive»

Qu'entend-on par «conditions essentielles» ? Dans le cas qui nous occupe, faudrait-il considérer que le non respect d'un seul objectif contenu dans une Autorisation pourrait être susceptible de remettre en cause le bénéfice de la certification ? Sinon, conviendrait-il de définir pour chaque Autorisation un certain nombre d'objectifs clés, essentiels au maintien de la certification ?

Cela pourrait signifier qu'une fois connus par les organismes candidats, ceux-ci se focaliseraient uniquement sur la conformité de ces points clés. Ce qui, peu ou prou, revient à imposer le respect d'une conformité stricte, sauf à ne pas pouvoir l'atteindre pour des raisons indépendantes de la volonté du candidat.

3.2.2.5 Le responsable de la délivrance du titre

La question à laquelle nous souhaitons répondre pour terminer cette étude consiste à savoir si la délivrance du titre de certification doit relever d'une autorité publique et à fortiori de la CNIL ou si elle peut être déléguée aux organismes privées de certifications.

L'exemple Suisse montre que la certification de la conformité à un référentiel légal peut être confiée à organisme privé. Le référentiel suisse, l'ordonnance du 28 septembre 2007, le prévoyant implicitement comme nous l'avons déjà précisé.

Cette démarche de délégation est également mise en oeuvre par d'autres Autorités Administratives Indépendantes françaises.

C'est le cas de l'Autorité de Régulation des Jeux en Ligne (ARJEL). L'article 23 alinéa 2 de la loi n° 2010-476 du 12 mai 2010 ²¹³ prévoit en effet que "dans un délai de six mois à compter de la date de mise en fonctionnement (...) l'opérateur de jeux ou de paris en ligne transmet à l'Autorité de régulation des jeux en ligne un document attestant de la certification qu'il a obtenue,(...) Cette certification est réalisée par un organisme indépendant choisi par l'opérateur au sein d'une liste

213 Loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne

JORF n°0110 du 13 mai 2010 page 8881

http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000022204510

106

établie par l'Autorité de régulation des jeux en ligne. Le coût de cette certification est à la charge de l'opérateur de jeux ou de paris en ligne.»

L'Autorité de Régulation des Communications Electroniques et des Postes (ARCEP) impose également dans sa décision n° 2008-1362²¹⁴ à chaque opérateur de téléphone fixe ayant plus de 100 000 abonnés de publier tous les 3 mois sur leur site internet des indicateurs de qualité de service à partir d'un référentiel normalisé par l'ETSI²¹⁵. L'ARCEP impose de faire certifier par un auditeur indépendant l'objectivité, la sincérité et la conformité des mesures pour les indicateurs liés à l'accès, qui sont mesurés par l'opérateur lui-même.

La Haute Autorité de Santé (HAS) propose en vertu de la loi n°2004-810 du 13 août 2004²¹⁶ un programme de certification volontaire aux éditeurs d'information de santé sur Internet en collaboration de la fondation de Health On Net (HON)²¹⁷.

Cette certification vise à s'assurer du respect de 8 principes définis par la fondation suisse en terme de qualité d'information et de fiabilité des sources. Elle est délivrée pour 1 an par la fondation HON et fait l'objet d'une réévaluation systématique à l'issue de ce délai. Les sites certifiés ont la possibilité d'arborer un signe distinctif et de participer à un «cercle de confiance» qui regroupe les sites certifiés HON dans un moteur de recherche commun.

Enfin, la gestion du «label Marianne» de la Direction Générale pour le Modernisation de l'Etat (DGPME) dont nous avons parlé plus haut est confiée pour une part à l'AFNOR²¹⁸ qui en assure l'évaluation et au Laboratoire National d'Essai qui, lui, délivre le titre après vérification de l'évaluation.

Il nous semble que rien ne s'oppose sur le principe à ce que la procédure de certification de conformité aux Autorisations uniques soit déléguée à un ou plusieurs organismes de certification préalablement accrédités.

Cette délégation pourrait éviter à la CNIL un travail qui n'est pas au coeur de sa mission et pour lequel elle n'a pas forcément aujourd'hui de compétences. C'est sans doute la raison pour laquelle ce type de procédure a été déléguée par la plupart des Autorités Administratives Indépendantes qui y ont recours.

Cependant, l'article 11.3 c de la loi 78-17 modifiée par la loi n°2009-526 du 12 mai 2009 précise bien qu'il appartient à la CNIL de délivrer un label et en France, un label ne peut être délivré que par une autorité publique.

Une seconde limite pratique celle-là réside dans le fait que les Autorisations uniques ne sont justement pas uniques. Leur nombre et leur domaine d'application sont appelés à évoluer sans arrêt. Ce caractère évolutif et multi-sujets pourraient éventuellement apparaitre comme un obstacle à la délégation du processus de certification à des organismes qui n'en maîtrise pas la source. Les organismes de certifications privées n'ayant pas forcément toutes les compétences «fonctionnelles»pour traiter de tous des sujets soulevés par les Autorisations uniques.

Une solution pour remédier à ce problème pourrait consister, nous l'avons déjà dit, à accréditer les organismes pour la certification de certains types d'autorisations. De ce fait, toute nouvelle autorisation publiée et relevant du domaine d'accréditation de l'organisme serait intégrée de droit dans son périmètre de certification.

214 Décision n° 2008-1362 de l'Autorité de régulation des communications électroniques et des postes en date du 4 décembre 2008 relative à la publication des mesures d'indicateurs de qualité de service fixe par les opérateurs.

http://www.arcep.fr/uploads/tx gsavis/08-1362.pdf

215 Guide ETSI 202 057 « Speech Processing, Transmission and Quality Aspects (STQ) - User related QoS parameter definitions and measurements »

216 Loi n° 2004-810 du 13 août 2004 relative à l'assurance maladie

JORF n°276 du 27 novembre 2004 page 20151

http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=4F136B4E1A83E46A8707D05BA3FBF44A.tpdjo09v3? cidTexte=JORFTEXT000000625158&categorieLien=id

217 Une présentation du certificat Health On Net est disponible sur le site de la Haute Autorité de Santé http://www.hon.ch/Global/pdf/HASquestions.pdf

http://www.hon.ch/HONcode/HAS/explicationsf.html

218 La présentation de l'offre AFNOR concernant le «label Marianne» est disponible à cette adresse : http://www.afnor.org/certification/lbh003

107

De la même manière, il convient de relativiser cette instabilité des référentiels dans la mesure ou les référentiels normatifs sont eux aussi nombreux, complexes et évolutifs. Les experts qui sont appelés à les certifier sont souvent rompus à cette complexité.

En sens inverse, on peut s'interroger sur les avantages mais également les inconvénients liés au fait que la CNIL pilote elle-même la procédure de délivrance d'un titre de certification.

Il est évident qu'étant elle-même rédactrice des référentiels à certifier, elle est sans aucun doute la mieux placée pour en cetifier la conformité. Elle est également la plus légitime pour donner une éventuelle interprétation de ces référentiels.

Cela pourrait également permettre d'ouvrir la procédure d'évaluation à des experts individuels comme cela se fait dans le cadre du label EuRoPrise. Dans la mesure ou l'on confie à une autorité reconnue la charge de l'évaluation finale, il devient envisageable de confier l'évaluation préalable à des individus accrédités sans remettre en cause la crédibilité de la procédure.

On peut s'interroger sur l'opportunité pour la CNIL de prendre en charge une telle mission qui nous semble lourde à gérer. Ceci pour des résultats assez incertains si le programme n'est pas assorti d'une réelle obligation ou d'un réel avantage. Le programme EuRoPrise qui a été doté d'un budget de 1,2 million d'Euros par an n'a certifié que 15 entreprises en 2 ans.

En ces temps de rationalisation de la dépense publique, la solution réside peut-être dans une bonne articulation entre le secteur privé et le secteur public.

La CNIL pourrait se charger de définir les règles du jeu, de contrôler des certificateurs et de travailler en partenariat avec des organismes privés pour leur laisser le soin d'effectuer la certification et délivrer un certificat de conformité.

On pourrait également envisager qu'une partie de programme de certification soit confié à des organismes privés qui auraient la charge du processus dans son entier (évaluation et certification). La CNIL se réserverait la certification par labelisation de périmètres particuliers et pourquoi pas, les plus sensibles. Aujourd'hui la biométrie ou les traitements relevant de la sécurité publique; Demain peut-être des traitements liés aux nanotechnologies et à la génétique.

Ce partage des tâches dont on peut imaginer qu'il soit évolutif pourrait permettre de créer deux niveaux de certification. Le certificat émanant des organismes privés serait le premier niveau. Le label serait le deuxième éventuellement réservé a certaines activités «à risque» ou touchant au domaine public.

Cette double démarche pourrait permettre de ne pas être dépendant du bon vouloir des organismes privés au moment du démarrage du programme de certification. L'intérêt de ces organismes privés étant évidemment commercial, il serait souhaitable de donner à ce programme un réel attrait pour que l'initiative privée y voit un intérêt et s'empare du sujet.