WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

précédent sommaire suivant

2.1.2 Les avantages pour les autorités de contrôle

La certification pourrait permettre aux autorités de s'assurer d'une manière pratique que les procédures sont bien conformes car pour être certifiées, celles-ci doivent obligatoirement faire l'objet d'un audit conditionnant l'obtention du titre.

La certification nous apparait aussi comme un moyen pour les autorités de démultiplier leur pouvoir de contrôle. La certification leur offrant le moyen de s'assurer régulièrement de la conformité des transferts par le biais des audits de contrôle périodiques nécessaires au maintien du titre de certification.

2.2 Une volonté des autorités d'explorer de nouvelles voies de régulation

La déclaration approuvée à l'issue de la 32ème conférence des commissaires à la protection des données personnelles qui s'est tenue à Jérusalem le 29 et le 30 octobre 2010 précise que :

«Au vu du développement fulgurant des traitements de données personnelles et des transferts internationaux, la dépendance croissante des sociétés à l'égard des nouveles technologies, l'élaboration de règles internationales qui garantissent d'une façon uniforme le respect de la protection des données et de la vie privée est aujourd'hui devenue une absolue nécessité»234

Le programme de Stockholm suggère à la Commission européenne «d'examiner la mise en place d'un système de certification européenne pour les technologies, les produits et les services «respectueux de la vie privée » 235

232 Livre Blanc : La gestion des données à caractère personnel dans les projets d'externalisation offshore

European Outsourcing Association

http://www.eoafrance.com/project-updates livreblanclagestiondesdonneesacaracterepersonneldanslesprojetsdexternalisationoffshore

233 Voir supra

234 Projet de résolution appelant à la convocation d'une conférence intergouvernementale aux fins d'adopter un instrument international

contraignant sur le respect de la vie privée et la protection des données personnelles

32e Conférence mondiale des commissaires à la protection des données et de la vie privée

Jérusalem, 27 - 29 octobre 2010

http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/2010-conf itlee resolution projet FR.pdf

235 Communication du Conseil de l'Europe - mai 2010 - dans son point 2.5 p 11

Journal officiel C 115 du 4.5.2010

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:115:0001:0038:FR:PDF

116

L'avis n° 168 émis par le G 29 en décembre 2009 sur l'avenir de la protection des données personnelles précise que236 « La rédaction de rapports de conformité et la réalisation d'audits, la certification par des organismes tiers pour contrôler et évaluer si les mesures internes adoptées pour garantir le respect des obligations permettent de gérer efficacement, de protéger et d'assurer la sécurité des données à caractère personnel». La certification constitue l'une des mesures pro-actives que les responsables de traitements devraient envisager de mettre en place.

L'avis n° 173 du G 29 présenté en Juillet 2010 et consacré au principe «d'accountability» envisage de recourir à des programmes de certification en complément des engagements juridiques puisqu'il précise que « Si des BCR sont utilisées comme base juridique des transferts de données internationaux, les responsables du traitement des données sont tenus de démontrer qu'ils ont mis en place des garanties suffisantes, auquel cas les autorités chargées de la protection des données peuvent autoriser les transferts. Il s'agit également d'un domaine dans lequel des services de certification pourraient s'avérer utiles. De tels services analyseraient les garanties fournies par le responsable du traitement des données et, le cas échéant, les certifieraient. Les autorités chargées de la protection des données pourraient alors utiliser ces certificats délivrés au titre d'un programme de certification donné lorsqu'eles analysent les BCR pour savoir si un responsable du traitement des données a fourni des garanties suffisantes aux fins de transferts de données internationaux. Le processus d'autorisation de ce type de transferts en serait simplifié.»237

Enfin, le point 2.2.5 de la communication de Commission européenne du 4 novembre 2010 souligne quant à lui le voeux de la Commission d'examiner « la possibilité d'instaurer des régimes européens de certification (par exemple, des «labels de protection de la vie privée») pour les processus, technologies, produits et services conformes aux normes de protection de la vie privée»238

précédent sommaire suivant