(II) La certification des produits et
services dans la règlementation suisse
Elle est prévue par l'Art. 5 de l'OCPD
pour « les produits servant principalement au traitement de
données personnelles ou générant, lors de leur
utilisation, des données personnelles concernant notamment
l`utilisateur ».
La durée de la certification du produit est de 2
ans.
Il est aussi possible de reconnaitre des certifications
étrangères.
Le produit doit garantir :
-la confidentialité, l'intégrité, la
disponibilité, l'authenticité au regard des
finalités ;
-la prévention de la génération, de
l'enregistrement ou de tout autre traitement de données personnelles
inutiles au vu des finalités;
-la transparence et reproductibilité selon les
fonctionnalités ;
-les mesures techniques permettant à l'utilisateur de
respecter d'autres principes.
Le SAS désigne les organismes d'évaluation et
les organismes de certification de service.
La certification de produit utilise le standard international
constitué des critères communs (CC 2.1/ISO
15408) et des profils de protection pour des catégories
spécifiques de produits, qui définissent certaines
exigences en matière de sécurité.
Les exigences seront définies en fonction du
cercle des utilisateurs pour lesquels le produit est conçu;
elles seront par conséquent plus élevées pour un produit
réalisé pour un large spectre d'utilisateurs.
Le préposé peut aussi s'inspirer de la
grille d'évaluation élaborée par le centre de protection
des données du Land de Schleswig-Holstein
(Unabhängiges Landeszentrum für Datenschutz
Schleswig-Holstein).
Les exigences sont structurées en quatre couches
logiques distinctes :
-conception technique : économie des
données, « dépersonnification » précoce des
données par
pseudonymisation, anonymisation ou destruction,
transparence ;
-conformité ;
-mesures techniques et organisationnelles,
-droits de la personne concernée :
transparences, rectification, restriction, blocage, mention du litige.
Il est prévu un profil séparé
d'exigences pour les données
accessoires (logdata). Ces dernières constituent en
effet des « sous-fichiers », dont les finalités et conditions
de traitement sont en principe différentes de celles du fichier
principal.
La certification de services
IT répond aux critères de l'ISO 20000-1/2 :2005 (base
ITIL). On exige du prestataire de service qu'il fournisse des services
bien gérés et de qualité acceptable pour ses clients
(bénéficiaires).La certification se déroule selon le PDCA.
(Fig.4)
Différents processus de surveillance/amélioration
de la QdS (Qality Data System):
- Fourniture (capacité, continuité
et disponibilité, niveaux de service, reporting,
sécurité de l'information, budget)
- Contrôle (configuration et
changements)
- Libération (env.
développement/test contrôlé/production)
- Résolution (incidents et
problèmes)
- Relations (relations d'affaires et avec
propres fournisseurs)
Le code de bonne pratique pour la gestion des services pourrait
être étendu aux exigences de la protection des
données.
Qualités et compétences des
évaluateurs de produits :
-Une double compétence en Droit et en
Sécurité informatique est requise et
-des connaissances spécialisées dans le domaine de
la certification des produits (ISO/CEI 65).
Les certificateurs sont accrédités pour 5 ans.
Figure processus ISO/CEI 20000
| 
