|
Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
1.1 Le principeOn pourrait introduire une dérogation supplémentaire à l'article 26.1 de la Directive 95/46/CE. Cette nouvelle dérogation pourrait préciser que « le transfert de données à caractères personnel est autorisé si tous les processus liés à ce transfert ont reçu de la part d'un organisme tiers accrédité un titre de certification consacrant leur conformité aux principes définis par la Directive.» Cette procédure de certification pourrait être proposée en tant qu'alternative aux procédures dérogatoires existantes, Clauses Contractuelles Types (CCT), Binding Corporate Rules (BCR) et Safe Harbor Principles. On pourrait envisager que cette procédure de certification soit également proposée comme un complément obligatoire à la mise en place de Clauses Contractuelles Types (CCT) ou de Binding Corporate Rules (BCR) pour le transfert de catégories de données sensibles (médicales, biométriques, génétiques). 229 Contribution personnelle to the «Consultation on the Commission's comprehensive approach on personal data protection in the European Union» European commission - Justice Department http://ec.europa.eu/justice/news/consulting public/news consulting 0006 en.htm 230 Dans "The APEC Asia-Pacific Privacy Initiative - a new route to effective data protection or a trojan horse for self-regulation?" p 6 Nigel Waters University of New South Wales Faculty of Law Research Series - 2008 231 Point 67 p 19 de l'avis n°173 G 29 - Juillet 2010 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173 fr.pdf 114 Cette procédure de certification pourrait aussi devenir un complément obligatoire pour sécuriser les transferts effectués sous couvert du programme de «Safe Harbour» américain. La certification serait à la charge de l'initiateur du transfert et ceci quelque soit le nombre de sous-traitants impliqués.; L'initiateur du transfert devant être capable à tout instant de dire qui est en train de traiter ses données et comment celles-ci sont traitées. La certification devrait être obtenue pour l'ensemble de la chaine de sous-traitance. 1.2 La procédureLa procédure de certification pourrait être confiée aux organismes privés de certification dans chaque pays de l'Union dès lors qu'ils auraient été préalablement accrédités pour effectuer ce type de certification. Les organismes de certifications accrédités pourraient se charger de l'évaluation de la conformité et de la délivrance du titre de certification. Cette procédure laisserait aux autorités de contrôle nationales le soin de vérifier le bien fondé des titres de certification délivrés par le biais de contrôles aléatoires. Le programme européen de labelisation EuroPriSe pourrait également prendre en charge ce type de certification pour les pays qui manquent de compétences dans ce domaine et qui souhaiteraient l'accréditer. La procédure de certification devrait être annuellement contrôlée afin de vérifier que les conditions de maintien du titre de certification sont réunies. Le périmètre de certification devrait être mise à jour à chaque fois qu'une modification substantielle est effectuée sur le processus de transfert de données déjà certifié. La procédure de certification pourrait ne plus être nécessaire dès lors que le pays de destination est reconnu comme assurant un «niveau de protection adéquat» par la Commission européenne. Le titre de certification et les rapports de contrôle pour le maintien de la certification pourraient être à déposés auprès des autorités de contrôle du pays dont l'initiateur de l'export de données dépend. |
|
