Conclusion

Nous aimerions au terme de cette étude faire trois types de remarques.

La première est que ce projet s'inscrit opportunément à la confluence d'un besoin croissant de sécurité juridique de la part des entreprises et de la volonté des autorités de régulation d`obliger les entreprises à rendre compte de leur conformité.

Il nous semble que rien du point de vue juridique ne s'oppose au principe de certifier la conformité à une réglementation. Il s'agit d`une démarche qui a déjà été empruntée par le droit français dans lequel la certification conforme est appliquée dans des domaines contigus à celui qui nous occupe, notamment dans le domaine de la génération de signature électronique. C'est également une procédure qui est mise en oeuvre avec succès dans deux autres pays européens, La Suisse et l'Allemagne, dans le domaine de la protection des données à caractère personnel.

Nous sommes tout à fait d'accord pour reconnaître que les Autorisations uniques n'ont pas été conçues comme des référentiels certifiables. On constate néanmoins qu'elles présentent des caractéristiques qui pourraient leur permettre de le devenir sans peine. Les règles qu'elles imposent aux entreprises correspondent dans l'esprit aux objectifs définis par une norme industrielle. Un travail d'interprétation et parfois de clarification serait sûrement nécessaire pour les rendre parfaitement exploitables en tant que référentiels auditables. Il nous semble que ce travail n'est pas insurmontable et qu'il pourrait être effectué dans le cadre de leurs révisions périodiques ou bien initié au moment de l'élaboration des futurs textes.

Il convient également de s'interroger sur la manière dont on pourrait évaluer la conformité aux Autorisations uniques. Il apparait nécessaire que cette évaluation pour être valide soit confiée à des organismes tiers dont la compétence aura été préalablement validée. Compétences qu'ils conviendraient de vérifier dans le cadre d'une procédure d'accréditation. Les instances capables d'effectuer ce type de travail existent et la mise en place d'une telle procédure ne soulève pas à notre avis de difficultés particulières.

Le choix s'avère plus délicat lorsqu'il s'agit de déterminer quel type d'évaluateur il convient d'accréditer. Faut-il en effet accréditer des experts individuels ou seulement des organismes ? Ce choix, nous l'avons souligné, aura des répercussions importantes au niveau de l'organisation de la procédure de certification. Confier l'évaluation à des experts individuels impose le recours à une autorité de certification afin de valider l'admission et délivrer le titre; à moins de confier l'ensemble de la procédure à des évaluateurs individuels. Ce qui nous parait délicat et n'a d'ailleurs jamais été fait à notre connaissance.

Il nous semble d'un point de vue pratique qu'il serait souhaitable d'inscrire la certification de la conformité aux Autorisations uniques dans le cadre normal des autres programmes de certification; ceci afin d'éviter que cette procédure ne soit organisée de manière marginale et, par la même, considérée comme telle. Nous sommes de ce fait favorable à l'accréditation d'organismes plutôt qu'à celle d'évaluateurs individuels.

La méthodologie d'audit à employer pour évaluer la conformité doit faire l'objet d'une réflexion afin de déterminer si elle doit être un élément d'accréditation à la charge du candidat ou si elle doit être imposée par l'autorité de certification comme nos voisins allemands ont choisi de le faire. Choix qui peut se justifier par la volonté d'imposer un cadre normalisé plus facile à contrôler. Ce dernier choix va néanmoins à l'encontre de la démarche habituelle dans le monde de la certification qui veut que l'organisme en charge de l'évaluation de la conformité utilise sa propre méthodologie qui constitue souvent son savoir faire et sa valeur ajoutée.

Cette solution qui consiste à confier l'intégralité de la procédure nous parait également la plus viable d'un point de vue pratique pour les mêmes raisons de nécessité d'intégration dans le processus standard de certification. Nous avons conscience que ce choix exclut le recours à des experts individuels indépendants. Ce choix nous parait le plus judicieux afin d'éviter, nous l'avons déjà dit, de marginaliser cette procédure qui a besoin de reconnaissance.

La question de savoir quel titre de certification et quelle autorité sera en charge de le délivrer est réglée par L'article 11.3 c de la loi 78-17 du 6 janvier 1978 modifiée la loi du 12 mai 2009. Celui-ci dispose en effet qu'il appartient à la CNIL de délivrer ce titre sous la forme d'un label. Cette solution ne nous semble pas forcément la plus judicieuse d'un point de vue pratique dans la mesure ou la certification n'est pas le « coeur de métier » de la CNIL. La prise en charge d'un telle

108

109

procédure exigerait forcément des ressources supplémentaires au risque de créer sinon, en cas de forte demande, un «goulet d'étranglement». Nous pensons qu'il serait sans doute plus efficace de déléguer au moins en partie l'évaluation et la certification aux organismes privés comme cela se fait dans la plupart du temps. Il reviendrait en revanche à la CNIL de contrôler les organismes certificateurs comme le font d'ailleurs déjà d'autres autorités administratives.

Notre deuxième remarque est un constat. Certains programmes comportent plus d'experts accrédités que d'entreprises certifiées. Il y a par exemple une centaine d'experts accrédités dans le monde pour délivrer le label EuroPriSe alors que seules 15 entreprises l'ont officiellement obtenu.

La société suisse SQS a certifié 50 entreprises en 8 ans. Ce qui ne représente qu'une infime proportion du million d'entreprises qui ont été certifiées ISO 9000 et 9001 en 20 ans²¹⁹.

Pour finir, seules deux entreprises ont obtenu une dispense de déclaration au titre de la certification dans le cadre de l'Ordonnance suisse du 26 septembre 2008 depuis 2 ans que la procédure est en place.

Force est de constater que cette procédure de certification suscite plus d'espoir que de d'engouement. Les raisons de ce relatif échec sont-elles à rechercher dans le fait que la procédure est trop compliquée ou qu'elle ne présente pas suffisamment d'intérêt pour justifier la dépense ? D'autres programmes qui visent à certifier la qualité ou la conformité sont d'un niveau de complexité équivalent sans que cela ne constitue un frein à leur développement. Il faudrait donc plutôt pencher vers la seconde explication.

Les avantages concrets apportés par ce type certification sont somme toute assez limités. A l'inverse, Il n'existe aucun risque réel en cas de non conformité.

Colin J. Bennett et Robin Bayley²²⁰ faisait remarquer qu'en 2006, au moment ou ils publiaient leur étude, seules 21 % des 424 plaintes instruites par le Commissariat à la Protection de la Vie Privée du Canada s'étaient avérées infondées, prouvant par la même que la législation en la matière était très peu respectée faute de sanctions suffisamment dissuasives.

En France, un contrevenant est le plus souvent soumis à une injonction de se mettre en conformité dès lors qu'il a été pris en faute. Seuls sont sanctionnés les récidivistes vraiment impénitents. On pourrait cyniquement défendre l'idée que la procédure de contrôle de la CNIL constitue pour les entreprises une sorte d'audit de conformité réalisé au frais de l'Etat.

La récente décision du Conseil dÔEtat en juillet 2010²²¹ qui a annulé une sanction financière à l'encontre d'une société d'agents privés spécialisés dans le recouvrement de créance pour vice de forme risque encore de renforcer un sentiment d'impunité assez généralement partagé par les entreprises.

L'exploitation des données à caractère personnel est aujourd'hui considérée comme un moyen de croissance économique bienvenu dans des pays ou celle-ci est anémiée. La plus grande réussite économique de la décennie exploite ce filon sans retenue. C'est bien l'exploitation des données à caractère personnel qui rapporte aujourd'hui de l'argent et non pas leur protection qui est considéré par certains comme une combat d'arrière garde²²². Il faut à notre sens bien garder les éléments de cette équation à l'esprit pour espérer trouver un moyen d'encourager la certification conforme dans ce domaine.

219 «The ISO Survey» - 2007 p 9

http://www.iso.org/iso/survey2007.pdf

http://www.iso.org/iso/pressrelease.htm?refid=Ref1178

220 « Dire ce que l'on fait et faire ce que l'on dit » : Arguments et observations en faveur d'une norme internationale de protection des renseignements personnels - Colin J. Bennett et Robin Bayley p.7

http://www.privacyconference2007.gc.ca/workbooks/TerraIncognitaworkbook5FR.html

221 Décision du 7 juillet 2010 du Conseil d'Etat

http://legalis.net/spip.php?page=jurisprudence-decision&id_article=3009

222 «The Age of Privacy is Over» nous assurait récemment le fondateur de Facebook, Mark Zuckerberg. Affirmation qui a fait l'objet d'une abondante littérature dans laquelle la notion de vie privée à l'heure numérique a été discutée. On trouvera un article intéressant sur cette question sur le site américain de readwriteweb http://www.readwriteweb.com/archives/facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php

110

L'investissement dans ce type de procédure ne sera consenti par une entreprise ou une institution que si elle y est obligée ou si elle peut en tirer un bénéfice concret. Nous sommes dans un monde de contraintes budgétaires toujours plus fortes et de bénéfices toujours plus immédiats. Il nous semble que dès lors que l'on a pris la pleine mesure de l'environnement dans lequel se place notre projet, il demeure possible de le faire avancer.

Notre troisième remarque consiste justement à proposer deux pistes qui nous semblent possibles d'explorer pour mettre en oeuvre ce projet de certification de la conformité aux Autorisations uniques.

Un certain nombre de fabricants d'équipements de contrôle d'accès, nous l'avons vu, sont en attente d'une marque distinctive pour valoriser leur matériel .

Il pourrait être intéressant d'initier ce projet par la certification conforme de produits par rapport par exemple aux AU-007, AU-009 qui traitent de matériel de contrôle d'accès faisant appel à la technologie biométrique ou encore l' AU-026 qui traite elle des éthylotests anti-démarrage.

Les exemples que nous avons pu trouver semblent indiquer que ces industriels recherchent avant tout une marque distinctive pour différencier leur offre commerciale²²³. Ils n'attendent pas nécessairement de privilèges liés à ce titre. Cette configuration présenterait un double avantage :

- l'assurance qu'il existe une réelle attente pour justifier le travail nécessaire à la mise en oeuvre,

- la possibilité de délivrer un titre de certification sans être obligé de définir de privilèges associés.

Ce premier projet pourrait constituer un test sur un nombre limité d'Autorisations uniques afin de vérifier la validité du concept et la pertinence de la procédure. On pourrait imaginer de l'étendre progressivement aux autres Autorisations uniques et notamment à celles traitant de procédures.

La certification des procédures nous parait plus délicate à mettre en oeuvre. Elle nécessite d'associer un privilège au titre de certification dans la mesure où ces procédures n'étant pas en concurrence, une simple différentiation s'avère insuffisante.

Il serait donc intéressant de trouver une procédure qui présente un intérêt « stratégique » pour les entreprises et dont le privilège associé à la certification apporterait une réelle valeur ajoutée à celles-ci.

Les flux transfrontières s'inscrivent selon nous parfaitement dans cette perspective. Ils sont soumis à une autorisation préalable de la CNIL, sauf exception décrite dans l'article 69 de la loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004, et sont pour un nombre croissant d'entreprises un lien vital pour leur activité.

Ces traitements soumis à autorisation préalable ne sont pas susceptibles dans l'état actuel de la loi de faire l'objet d'une Autorisation unique.

On pourrait néanmmoins imaginer qu'à l'occasion de la transposition de la prochaine Directive européenne ou d'une modification de la loi, la CNIL se dote des moyens légaux pour pouvoir élaborer une Autorisation unique dans le domaine des flux transfrontières. Cette mesure reprendrait ainsi le voeux de la Commission européenne de faciliter ces transferts internationaux en allégeant les formalités déclaratives²²⁴.

Cette Autorisation pourrait être élaborée sous la forme d'une norme auditable applicable par exemple au domaine des données RH, marketing ou bien bancaires.

Cette Autorisation pourrait être également élaborée sous la forme d'un texte « cadre » exigeant la conformité de ces flux aux normes internationales telle que la norme ISO/CEI CD 29100 par exemple qui devrait être publiée dans le courant de l'année 2011.

223 C'est notamment le cas du lecteur biométrique de reconnaissance du réseau veineux du doigt commercialisé par la société Tech Eden - http://www.tech-eden.fr

224 Point 2.4.1 p.18 dans «Une approche globale de la protection des données à caractère personnel dans l'Union européenne» Communication de Commission européenne du 4 novembre 2010 http://ec.europa.eu/justice/policies/privacy/review/index en.htm http://ec.europa.eu/justice/news/consulting public/0006/com 2010 609 fr.pdf

111

Les entreprises candidates à une dispense d'autorisation préalable pour ce type de traitements pourraient avoir l'obligation de faire certifier leurs procédures par un tiers afin de pouvoir en bénéficier.

Cette proposition n'est pas d'une grande originalité puisqu'elle est déjà à l'oeuvre dans les pays de l'APEC depuis que ceux-ci ont adopté leur «Privacy Framework» en 2004. Bien qu'elle soit encore balbutiante et que les Etats membres de l'APEC aient du mal à s'accorder sur les modalités d'application pratique, il s'agit néanmoins d'un pas en avant qui va dans le sens d'une meilleure responsabilisation des responsables de traitement.

Le volume des flux transfrontières est indubitablement appelé à se développer. La dématérialisation croissante des procédures, l'essor du stockage partagé (cloud computing) et plus généralement celui du commerce électronique mondial y concourent .

Il apparait par ailleurs nécessaire de trouver des moyens de contrôle internationaux qui s'accordent sur des principes communs à respecter comme le souligne le point 6 de la déclaration de Madrid²²⁵.

La normalisation et la certification peuvent de ce fait être une solution réaliste pour parvenir à un contrôle optimal comme cela a été fait au niveau de la qualité des produits et des procédures.

Cette proposition de certification des flux transfrontières s'inscrit dans la recherche d'un plus petit commun dénominateur entre les communautés d'intérêts économiques mondiales. Il nous semble qu'elle pourrait être pertinente à l'heure ou la Commission européenne interroge ses citoyens sur les axes d'améliorations à apporter à la Directive chargée de la protection des données à caractères personnel.

Une solution de ce type rejoint nous semble-t-il les préoccupations et les pistes qui ont été exposées dans le programme de Stockholm ²²⁶, dans les axes d'améliorations proposés par le G29 et plus récemment encore par la Commission européenne²²⁷, à savoir :

- Faciliter les échanges de données au sein de l'Union,

- Homogénéiser les niveaux de protection entre les différents pays de l'union, - Obliger les responsables de traitement à rendre compte de leur conformité.

Il pourrait être intéressant nous semble-t-il de prolonger ce travail en réfléchissant à une procédure de certification à l'échelle européenne concue comme une alternative ou un complément aux différentes solutions, (Safe Harbor, Binding

225 Le point 6 de la déclaration de Madrid pour Standards mondiaux de respect de la vie privée dans un monde globalisé

Adopté dans le cadre du 31^ème sommet des Commissaires à la protection des données et de la vie privée en novembre 2009 à Madrid.

« Inviter les États qui ont déjà établi des cadres juridiques pour la protection de la vie privée à en assurer l'application effective et le respect, et à coopérer au niveau international et régional »

http://thepublicvoice.org/madrid-declaration/fr/

226 Programme de Stockholm suggère à la commission dans son point 2.5 p 11

d'«examiner la mise en place d'un système de certification européenne pour les technologies, les produits et les services «respectueux de la vie privée»

Communication du Conseil de l'Europe - mai 2010 - 38 p

Journal officiel C 115 du 4.5.2010

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:115:0001:0038:FR:PDF

227 Opinion WP 168 sur l'avenir de la protection des données personnelles Contribution du G29 et du Groupe Police et Justice décembre 2009 " http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp168 fr.pdf

«Une approche globale de la protection des données à caractère personnel dans l'Union européenne»

Communication de Commission européenne du 4 novembre 2010 http://ec.europa.eu/justice/policies/privacy/review/index en.htm

http://ec.europa.eu/justice/news/consulting public/0006/com 2010 609 fr.pdf

112

Corporate Rules ou clauses conrtactuelles types) qui ont été explorées jusqu'à présent pour réguler les flux transfrontières de données à caractère personnel²²⁸.

228 Proposition qui s'inscrit selon nous parfaitement dans le calendrier proposé par la résolution commune adoptée lors de la 32ème conférence des commissaires à la protection des données et à la vie privée qui s'est tenue du 27 au 29 octobre 2010 à Jerusalem. Cette résolution prévoit en effet dans son point 4 p.3 de mettre en place «une conférence intergouvernementale, en 2011, ou au plus tard en 2012, en vue de parvenir à un accord sur un instrument international contraignant garantissant le respect de la protection des données personnelles et de la vie privée et favorisant la mise en place d'une coopération internationale pour la mise en oeuvre de ces droits»

http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/2010-conf itlee resolution projet FR.pdf

113

Annexe 1 : Contribution à la consultation publique de la Commission européenne sur les contours de la révision de la Directive 95/46/CE 229

Certifier la conformité des flux transfrontières de données

Eric Lachaud - Consultant IT

Résumé

Cette contribution suggère à la Commission d'introduire dans la Directive la possibilité pour les organismes qui souhaitent transférer des données à caractère personnel hors de l'Union européenne de pouvoir faire certifier leurs procédures comme mode de dérogation supplémentaire à l`interdiction posée par l'article 25. Cette procédure présenterait selon nous le double avantage de valider la conformité de manière pratique et périodique et de dépasser les limites imposées par les règles juridiques nationales ou régionales.

«Emphasis on a data exporter remaining accountable for compliance is at the heart of the Cross Border Privacy Rules approach, and the limitations of enforcement remain an issue for all data protection regime»

Nigel Waters 230

1. Notre proposition

Introduire, comme cela a déjà été en partie suggéré²³¹ par le Groupe de l'article 29, la certification comme moyen pour rendre compte de la conformité aux principes de protection des transferts de données à caractère personnel effectués hors de l'Union européenne vers des pays non reconnus comme assurant un niveau de protection adéquat.