La faisabilité des schémas de certification de protection de la vie privée

ï La certification dite tierce partie basée sur les Critères Communs (CC)

Titre XIII. C'est la certification de plus haut niveau ; l'Agence délivre un label appelé « certificat » qui atteste de la qualité de l'évaluation, de la compétence, de l'impartialité et de l'indépendance de l'évaluateur.

Le certificat se conforme à la norme internationale des critères communs (ISO/IEC 15408).

ï Un certificat de sécurité de premier niveau

Afin de permettre la qualification de produits moins exigeants en termes de sécurité, un label de premier niveau a été mis en place sous l'impulsion du gouvernement : la «  certification de sécurité de premier niveau » (CSPN) est délivrée au terme d'une expertise plus légère que celle des Critères Communs et dont la charge est limitée à 25 jours hommes.

L' accord européen de reconnaissance mutuelle du SOG-IS de 2010 permet la reconnaissance entre les Etats signataires de l'accord, des certificats délivrés par leur autorité de certification.

L'accord «  Common Criteria Mutual Recognition Arrangement » permet la reconnaissance, par les pays signataires de l'accord, des certificats délivrés dans le cadre des schémas de certification selon les Critères Communs.

Figure Evaluation et certification des dispositifs de création de signature électronique

Figure Qualification et contrôles des prestataires de services de certifications électroniques

(I) L'article 11 de la loi informatique et libertés du 06/01/1978

La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel a inséré un article 11 à la loi « informatique et liberté » du 6 janvier 1978 aux termes duquel  la CNIL détient le pouvoir de délivrer un label à des produits ou à des procédures.

Après l'adoption de la loi, le ministère de la Justice a estimé que cette procédure devait être précisée par décret.

En 2008 Mme la garde des sceaux prenant acte que la CNIL avait « estimé ne pas être en mesure de procéder elle-même aux expertises et évaluations nécessaires » et avait ainsi « exprimé le voeu de recourir à des centres d'évaluation agréés », a répondu qu'une telle externalisation des expertises ne pouvait être envisagée qu'en modifiant la loi « informatique et libertés ».

Aussi, le législateur, à l'initiative de la commission des lois du Sénat, a-t-il inscrit, à l'article 105 de la loi n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures, une disposition modifiant la loi de 1978 comme suit:

« A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements :

Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l'instruction préalable à la délivrance du label par la commission.

Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label. »

A la lecture de cet article il s'avère que :

-la CNIL délivre un label  à des produits  et à des procédures ;

-la CNIL agit à la demande d'organisations professionnelles ou d'institutions regroupant des responsables de traitements ;

-le recours à des évaluateurs indépendants qualifiés est envisagé uniquement en cas de « complexité du produit ou de la procédure »;

- Le coût de cette évaluation en cas de complexité est pris en charge « par l'entreprise » qui demande le label.