Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
2. Comment s'élabore un référentiel ?Il nous a semblé intéressant d'aborder cette question à travers quatre démarches différentes: 55 Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique JORF n°143 du 22 juin 2004 page 11168 http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=29FC0218927DEEE60FA789E6279C786B.tpdjo02v 3? cidTexte=JORFTEXT000000801164&categorieLien=id 56 Flash : Adobe répond à Apple Lemonde.fr 3 février 2010 http://www.lemonde.fr/technologies/article/2010/02/03/flash-adobe-repond-a-apple_1300426_651865.html 34 - Le processus d'élaboration par voie de consensus de l'International Standardization Organisation (ISO) - Le processus d'élaboration par voie de délégation législative dans le cadre de la «Nouvelle Approche» mise en place par le Conseil européen à partir de 1985. - Le processus d'élaboration par voie législative dans le cadre des Directives élaborées par le Préposé à la protection des données à caractère personnel suisse. - Le processus d'élaboration par voie de délégation réglementaire à travers l'exemple du Décret n°2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique en France 2.1 L'exemple de L'International Standardization Organisation (ISO)Créé en 1926 de la fédération de différentes institutions de normalisation nationale, l' International Federation of the National Standardizing Associations (ISA) fut le premier à normaliser au niveau mondial les processus d'ingénierie mécaniques. L'ISA fut dissoute au cours de la seconde guerre mondiale. L'International Standardization Organisation (ISO) a pris sa suite en 1946 à l'initiative de 25 pays. Il compte aujourd'hui 163 pays membres57. L'ISO intervient sur tous les types de sujets qu'ils soient techniques, organisationnels, social avec la publication le 1er Novembre 2010 de la norme ISO 26000 sur la responsabilité sociale des entreprises ou encore sur les sujets environnementaux avec la famille des normes ISO 14000. L'ISO est surtout connu du grand public à travers le succès des normes ISO 9000 et 9001 élaborées à la fin des années 80. Le rôle de l'ISO consiste à élaborer, éditer et mettre à jour un catalogue de normes mais en aucun cas de vérifier la conformité de ceux, entreprises ou institutions, qui déclarent s'y conformer. l'ISO collabore avec deux partenaires internationaux sectoriels: la CEI (Commission électrotechnique internationale) et l'UIT (Union internationale des télécommunications) sur les sujets qui relèvent de leur compétence. Ces trois organisations sont toutes trois basées à Genève. Elles forment la Coopération Mondiale de la Normalisation (WSC). L'ISO fonctionne selon un mode participatif. Chaque pays a la possibilité de désigner l'organisme national le plus représentatif de la normalisation dans son pays comme membre de l'ISO. Un seul organisme par pays est accepté en qualité de membre de l'ISO. En France, il s'agit de l'Association Française de Normalisation (AFNOR) qui tient ce rôle de comité membre (NB) permanent auprès de l'ISO. Une Assemblée Générale des membres se tient chaque année. Elle réunit les principaux dirigeants de l'ISO ainsi que les délégués nommés par les comités membres (NB). Cette Assemblée Générale traite des orientations stratégiques de l'organisation et du bilan des actions menées au cours de l'année écoulée. Les fonctions de gouvernance de l'ISO sont assurées par le Conseil. Celui-ci se réunit deux fois par an et ses membres sont renouvelés par rotation de manière à assurer la représentativité de tous les membres de l'ISO. Tous les comités membres sont éligibles au Conseil. Différents comités sont chargés de l'élaboration des orientations politiques. Ils dépendent du Conseil. Ces comités qui fournissent une assistance stratégique pour l'élaboration du travail des normes sur les aspects intersectoriels sont au nombre de trois: - le CASCO qui se charge plus particulièrement des questions liées à l'évaluation de la conformité - le COPOLCO, de la politique en matière de consommation, - le DEVCO, des questions relatives aux pays en développement. Ces comités sont ouverts à tous les comités membres. L'organisation administrative de l'ISO relève du Secrétariat Général qui participe à la coordination, à l'organisation ainsi qu'à la commercialisation des normes. Parmi les personnalités dirigeantes figurent le Président, le Vice-président en charge des questions de politique, le Vice-président en charge de la gestion technique, le Trésorier et le Secrétaire Général. Tous sont élus par le conseil. 57 Les chiffres clés de l'ISO sont disponibles à cette adresse http://www.iso.org/iso/fr/publications_and_eproducts/about_iso.htm#PUB100007 35 L'élaboration des normes ISO est du ressort des groupes techniques qui reçoivent des contributions des comités membres et d'organisations de liaison ayant des connexions régionales ou internationales. Les travaux techniques sont gérés par le Bureau de gestion technique (TMB). Ce dernier est responsable de la création des différents comités techniques (TC), de la nomination des présidents de comités techniques et de la surveillance de l'avancement des travaux techniques. Il est également responsable des Directives qui sont les règles régissant l'élaboration des Normes internationales. Les comités techniques (TC), qui sont environ 200 actifs actuellement à l'ISO, sont créés par le bureau de gestion technique (TMB) pour servir des industries spécifiques ou traiter de sujets génériques en vue d'élaborer des normes internationales. Un comité technique peut à son tour créer un ou plusieurs sous-comités (SC) qui se consacreront à une ou plusieurs partie du projet. Il est ensuite possible de créer d'autres sous-groupes sous la forme de groupes de travail (WG) chargés de tâches spécifiques dans le cadre du programme général. L'élaboration d'une norme à l'ISO suit différents stades. Stades dont l'appellation ainsi que le passage de l'une à l'autre sont normalisés au sein de l'ISO58. Stade 1: Stade proposition (PWI et NP) Il s'agit à ce stade préliminaire de s'assurer que le projet répond bien à un besoin. Le sujet est proposé sous la forme d'un «nouvelle question» (NP) aux membres du comité (TC) ou du sous-comité technique (SC) concernés. Ce nouveau projet est considéré comme accepté lorsque la majorité des membres du comité (TC) ou du sous-comité technique (SC) vote en sa faveur et qu'au moins cinq membres s'engagent à suivre le projet. Un chef de projet est désigné à ce moment. Stade 2: Stade préparatoire (WD) Un avant-projet est alors préparé par le groupe de travail (WG) mis en place par le comité (TC) le sous-comité technique (SC) concerné. Plusieurs avant-projets peuvent être examinés avant que le groupe de travail parvienne à un consensus sur son contenu. A ce stade, le projet est transmis au comité (TC) responsable du groupe de travail (WG) et passe au stade de projet de comité. Stade 3: Stade comité (CD) Le projet de norme est distribué aux différents comités pour examiner et si besoin amendement afin d»atteindre un degré de consensus suffisant pour être présenté en tant que projet de norme internationale (DIS). Stade 4: Stade enquête (DIS) Le projet de norme (DIS) est alors diffusé auprès de tous les comités membres de l'ISO pour vote et observations dans un délai de cinq mois. Il est approuvé en tant que projet final de Norme internationale (FDIS) si une majorité des deux tiers des membres du TC/SC se prononce en sa faveur et que pas plus d'un quart de l'ensemble des voix exprimées ne lui est défavorable. S'il n'est pas approuvé, le texte retourne au stade précedent pour être révisé. Stade 5: Stade d'approbation (FDIS) Le projet final de norme internationale (FDIS) est distribué à tous les comités membres de l'ISO par le Secrétariat central de l'ISO pour vote final par oui ou non dans un délai de deux mois. Aucune observation technique ne peut plus être intégréé au document à ce niveau. Le texte est approuvé à la majorité des deux tiers des membres du TC/SC dans la mesure une fois encore que pas plus d'un quart des voix exprimées ne lui est défavorable. En cas de vote défavorable, le texte est renvoyé au TC/SC d'origine pour étude complémentaire. Stade 6: Stade publication Lorsque le projet final de norme est approuvé, le texte définitif est envoyé au Secrétariat central de l'ISO qui publie la norme. Ce qui vient d'être fait pour la norme ISO 2006 le 1er novembre 201059 Stade 7 : Examen périodique: confirmation, révision ou annulation de la norme 58 L'organisation du travail d'élaboration des normes de l'ISO est présenté de manière didactique dans « l'ISO en pratique » p.9 et suivantes accessible à cette adresse : " http://www.iso.org/iso/fr/my iso job.pdf 59 Parution de l'ISO 26000 lignes directrices sur la responsabilité sociétale http://www.mediaterre.org/international/actu,20101101194558.html 36 Les normes font l'objet d'un réexamen trois ans après leur publication et ensuite tous les cinq ans après le premier examen. Elles sont revues par tous les comités membres de l'ISO. La majorité des membres du TC/SC décident à l'issue d'un vote si une norme internationale doit être confirmée, révisée ou annulée60. La démarche participative et consensuelle de l'ISO présente de nombreux avantages mais aussi quelques inconvénients : - la recherche de consensus qui conduit leur élaboration est en théorie la garantie de l'acceptation des normes ISO. - la démarche participative offre également la possibilité de balayer de nombreux sujets et d'y apporter des points de vue différents qui enrichissent incontestablement la profondeur de la réflexion. - cette démarche est en revanche relativement lente. Le temps moyen de publication est aujourd'hui de 2,8 ans. - de nombreux projets de normes ne débouchent sur aucun résultat. Le « taux de déperdition » du fait de cette démarche collaborative s'avère relativement important. L'exemple des tentatives de normalisation dans le domaine de la protection des données est cet égard exemplaire. Une première tentative a été initiée entre 1994 et 1999 afin de transposer au niveau international les principes établis par le Canada. Les travaux pour établir un «code de protection de la vie privée » ont étéì entamés dès 1993 par un comité technique de l'Association de Normalisation du Canada (CSA). Le « Code type » comme les canadiens appelle une norme a été adopté en septembre 1995 et publié par le Conseil canadien des normes (CCN) en mars 1996. Comme le rappelle Colin J. Bennett et Robin Bayley61 « la mise en oeuvre du Code type n'a jamais été réalisée dans sa totalité puisqu'en 1999 le gouvernement du Canada a décidé d'élaborer une loi sur la protection de la vie privée s'appliquant au secteur privé. La mise en application graduele de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) a débuté en 2001» Au même moment, certains acteurs notamment européens ont émis le souhait que la norme nationale canadienne soit transformée en norme internationale. Ceci afin de faciliter les échanges de flux de données transfrontières et donner un cadre de «protection adéquat» pour reprendre les termes de l'article 25 alinéa 1 de la Directive 95/46/CE aux pays n'en disposant pas encore. En mai 1994, le Comité pour la politique en matière de consommation (COPOLCO) fut donc chargé de mettre en place un groupe de travail afin de déterminer si la norme de la CSA pouvait servir de base à une norme internationale. Deux ans plus tard, en avril 1996, ce groupe de travail recommanda au COPOLCO de l'ISO de préparer une norme internationale. Recommandation qui fut approuvée par le Conseil général de l'ISO en septembre 1996. Cependant, les représentants de l'American National Standards Institute (ANSI) ont très tôt manifesté leurs réserves vis-à-vis de cette initiative lui préférant une démarche sectorielle plutot qu'une approche globale à leur sens voué l'échec du fait des différences fondamentales existant entre chaque continent. Le comité consultatif spécial de l'ISO fut donc dissous en juin 1999 et le projet abandonné par l'ISO fut repris par le Comité Européen de Normalisation (CEN). C'est dans ce cadre que l' «Initiative for Privacy Standardization in Europe» (IPSE) a été initié en 2002 par le CEN dans le but comme il l'indique lui-même de «définir un ensemble de pratiques exemplaires volontaires et communes en Europe en matière de protection des données; (d') établir un ensemble de clauses contractueles génériques qui tiennent compte des exigences de l'article 17 de la Directive de l'UE; dresser un inventaire des pratiques de vérification de la protection des données; effectuer une enquête sur les programmes de sceaux comme base d'une meileure normalisation; mettre au point une approche cohérente pour l'évaluation des incidences sur les avancées 60 La procédure d'élaboration aux différents stades est détaillé dans les Directives ISO/CEI, Partie 1: Procédures pour les travaux techniques disponible à cette adresse : http://www.iso.org/iso/fr/standards development/processes and procedures/iso iec directives and iso supplement.htm Les différentes phases intermédiaires au sein des stades sont présentées dans le tableau disponible à cette adresse : " http://www.iso.org/iso/fr/standardsdevelopment/processesandprocedures/stagesdescription/stagestable.htm 61 « Dire ce que l'on fait et faire ce que l'on dit » : Arguments et observations en faveur d'une norme internationale de protection des renseignements personnels Par: Colin J. Bennett et Robin Bayley p.7 http://www.privacyconference2007.gc.ca/workbooks/Terra Incognita workbook5 FR.html 37 technologiques; et compiler et produire des documents de formation et de directives, sur des sujets ciblés, portant sur les enjeux relatifs à la normalisation en matière de protection de la vie privée.»62 Constatant par ailleurs qu'« il n'y avait pas de demande urgente de la part de l'industrie, en Europe, pour une norme de gestion en matière de protection de la vie privée », les travaux du CEN ont pris la forme d'une série d'ateliers63 Ces ateliers ont débouché sur une série de rapports entre 2005 et 2010. Rapports qui ont étaient publiés sous la forme de CEN Workshop Agreements (CWA) qui se différencient des normes européennes (EN) par le fait que leur élaboration est ouverte à toute personnes, institution ou entreprise intéressée qu'elles soient ou non membre de l'Union européenne 64. Ont été à ce jour publiées les normes suivantes:
CWA 15263:2005 Analysis of Privacy Protection Technologies, Privacy-Enhancing Technologies (PET), Privacy Management Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the need for standardization CWA 15499-02:2006 Personal Data Protection Audit Framework (EU Directive EC 95/46) Part II: Checklists, questionnaires and templates for users of the framework - The protection of Personal Data in the EU CWA 15262:2005 Inventory of Data Protection Auditing Practices CWA 15292:2005 Standard form contract to assist compliance with obligations imposed by article 17 of the Data Protection Directive 95/46/EC (and implementation guide CWA 15499-01:2006 Personal Data Protection Audit Framework (EU Directive EC 95/46) Part I: Baseline Framework The protection of Personal Data in the EU Analyse des meilleures pratiques européennes en matière d'audit de conformité aux principes de la Directive 95/46 CE. Analyse des technologies disponibles de protection des données à caractère personnel (PET) Modèle de contrat de sous-traitance qui prend en compte compte les obligations posées par l'article 17 de la Directive 95/46/CE en matière de sécurité des systèmes d'information gérant des données personnelles. Guide d'audit de conformité par rapport aux dispositions de la Directive 95/46 CE. 62 Initiative on Privacy Standardization in Europe Final Report p.3 http://www.cen.eu/cen/Sectors/Sectors/ISSS/Activity/Documents ipsefinalreportwebversion.pdf 63 Le texte des différentes normes est disponible sur le site du CEN/ISSS/WS/DPP http://www.cen.eu/cen/Sectors/Sectors/ISSS/Activity/Pages/WSDPP.aspx 64 Guidance - Characteristics of the CEN Workshop Agreement and CEN Workshop guidelines http://www.cen.eu/boss/supporting/Guidance%20documents/GD052%20-%20CWA%20and%20CEN%20Workshop%20Guidelines/ Pages/default.aspx CWA 16111 : 2010 Voluntary Technology Dialogue Framework (VTDF) CWA 16112 : 2010 Self-assessment framework for managers CWA 16113 : 2010 Personal Data Protection Good Practices Synthèse des bonnes pratiques en matière de protection des données à caractère personnel concernant la sécurité, le transfert, la détention et le droit d'accès. Guide de gestion de projet pour la prise en compte de la dimension protection des données à caractère personnel dans le processus d'élaboration de systèmes de traitement de l'information. Guide d'auto-évaluation de la conformité par rapport aux dispositions de la Directive 95/46 CE ISO/CEI 24745 Information technology - Security techniques - Biometric information protection Modèle de protection biométrique Final CD Cette norme touche à la protection des données personnelles du fait de la technologie envisagée Elle s'intéresse à l'aspect sécurisation de ces données en proposant un modèle de référence. 38 Parallèlement à cette initiative du CEN qui ne sera d'ailleurs pas reconduite en 2011 faute de financement (l'industrie n'a décidemment aucun besoin dans ce domaine), un second projet de normalisation a été initiée à l'ISO depuis 2006. L'idée directrice qui sous-tend cette nouvelle tentative consiste à transposer le succès de la série ISO 27000 au niveau de la protection des données à caractère personnel. L'intérêt et le succès de la série ISO 27000 tenant en grande partie au caractère complet et «intégré» du référentiel normatif. Nous y reviendrons un peu plus tard. Une nouvelle série de normes a été initiée dans le cadre du groupe déjà en charge de la rédaction des normes 27000. Un nouveau groupe de travail le Working Group 5 (WG 5) du Sous-Comité 27 du Comité Technique Commun 1 (JTC 1) commun à l'ISO et au CEI connu dans le « jargon » de la normalisation sous l'appellation ISO/CEI-JTC 1/S7/WG5 en a aujourd'hui la charge. Le WG5 a en effet pour mandat d'élaborer et de «mettre à jour des normes et des lignes directrices traitants des aspects liés à la sécurité et à la gestion de l'identité, la biométrie et la protection des données à caractère personnel». Au moment ou nous écrivons ces lignes, fin octobre 2010, les normes en cours d'élaboration et leur niveau d'avancement sont les suivants :
Cadre de référence pour la gestion de l'identité ISO/CEI 24760 Information technology - Security techniques - A framework for identity management 2nd CD Le cadre pour la gestion de l'identité est conçu dans l'optique de fournir «un cadre de gestion fiable au niveau de la sécurité des identités « en ligne », à l'aide des définitions, des concepts et des modèles appropriés. Il procure une description des éléments de base de la gestion de l'identité et de leur cycle de vie au moment où celes-ci sont créées, modifiées, mises hors service et archivée». Cette norme est élaborée dans l'optique de jeter les bases des futures normes ISO en matière d'identité numérique. ISO/CEI 24761 Information technology - Security techniques - Authentication context for biometrics Contexte d'authentification pour le recours à la biométrie Final CD Cette norme touche à la protection des données personnelles de la même manière que la norme ISO/CEI CD 24745 du fait de la technologie envisagée comme moyen d'autenthification ISO/CEI 29100 Privacy framework Cadre de la protection de la vie privée 4th CD « Cette norme a été rédigée pour permettre d'établir un rapport entre, d'une part, les exigences relatives à la protection de la vie privée et, d'autre part, les normes et les lignes directrices existantes en matière de sécurité, et plus particulièrement celes qui font partie des séries ISO 27000. De prime abord, la norme ISO 29100 peut être assimilée à une norme de protection de la vie privée d'ordre plus général, de portée similaire et dont la mise en application est semblable à celes étudiées vers la fin des années 1990. Mais il est aussi évident que la principale raison justifiant l'élaboration d'une tele norme est la nécessité d'atténuer les risques liés à l'utilisation d'Internet en vue de protéger la vie privée. La norme proposée va de pair avec la norme ISO/CEI 29101 qui vise à uniformiser les pratiques exemplaires pour une mise en oeuvre technique cohérente des exigences liées à la protection de la vie privée et des renseignements personnels, en posant pour hypothèse que le cadre de protection de la vie privée devrait être établi avant l'architecture. » ISO/CEI 29101 Privacy reference architecture WD architecture de référence pour la protection de la vie privée 39 ISO/CEI 29176 Information technology. Automatic identification and data capture techniques. Mobile item identification and management. Consumer privacy-protection protocol for Mobile RFID services ISO/CEI 29190 Privacy Capability Assessment Model WD WD Cette norme dont l'objectif est de mettre en place un cadre générique d'évaluation de la protection des données à caractère personnel semble «moribonde». 40 Tous ces projets n'aboutiront pas. Ceux qui sont les plus avancées et devraient déboucher sur une publication dans le courant de l'année 2011 ou 2012 sont les suivants : - ISO/CEI 24745 : Information technology - Security techniques - Biometric information protection - ISO/CEI 24760 : Information technology -Security techniques - A framework for identity management - ISO/CEI 24761- Information technology - Security techniques - Authentication context for biometrics - ISO/CEI 29100 : Privacy framework Il n'y a aucune certitude que les autres projets débouchent sur une publication, du moins sous leur forme actuelle. Un consensus semble être difficile à établir sur les contours de la norme ISO/CEI 29101 qui a pour vocation de définir une architecture standard privilégiant la protection des données à caractère personnel ainsi que sur la norme ISO/CEI 29 190 qui entend normaliser l'évaluation du degré de protection assurée par ces architectures. On touche ici à une des limites de l'approche participative de l'ISO qui réside dans le fait que de nombreux et parfois trop nombreux sujets sont proposés au sein des comités techniques. Sujets dont la pertinence n'est d'ailleurs pas toujours avérée. Profusion oblige, le travail d'analyse et de prise de position (vote et commentaires) s'avère assez «chronophage». On compte ainsi dans le groupe miroir français de l'ISO/CEI JTC 1/SC 27 consacré à la sécurité des systèmes d'information (GCSSI) de l'AFNOR auquel nous participons et dans lequel sont notamment traités les projets liés à la protection de données personnelles pas moins d'une vingtaine de projets de normes en cours d'étude et des nouveaux projets qui apparaissent sans arrêt. Un chef de projet est certes en charge de l'animation et de la coordination des travaux. Cependant, les membres du comité qui sont souvent des représentants de grandes et petites entreprises avec une activité professionnelle par ailleurs doivent prendre sur leur temps de travail mais aussi sur leur temps libre pour participer de manière efficiente à ce que l'on pourrait qualifier «d'avalanche» normative. Il nous semble qu'un premier tri sous la forme d'un comité de lecture devrait être mis en place pour disqualifier certains projets qui ne relèvent pas des priorités préalablement définies ou d'un degré de maturité suffisant. Proposition que n'est pas sans poser de problèmes pratiques dans une structure on peut plus démocratique. Enfin, cette approche consensuelle s'avère particulièrement bien adaptée à des sujets techniques pour lesquels il est possible d'établir un consensus sur la base de données objectives et mesurables. Elle s'avère en revanche plus délicate à mettre en oeuvre sur des sujets dans lesquels entrent en ligne de compte des considérations juridiques, culturelles ou même tout simplement sémantiques. On peut ainsi prendre l'exemple du projet de norme ISO 29 100 actuellement à l'étude dans le cadre du comité ISO/CEI JTC 1/S7/WG5 dans lequel la notion anglo-saxonne de «privacy» a posé problème dans la mesure ou elle diluait la notion de protection des données à caractère personnel qui, en Europe et particulièrement en France, constituent une notion fondamentale et un sujet à part entière. 41 Il convient de noter comme nous l'a fait judicieusement remarquer M. Eric Gheur 65 lors de son intervention dans le cadre du Mastère spécialisé « informatique et libertés » de l'ISEP que la tradition juridique anglo-saxonne diffère de la tradition latine et ceci pour des raisons historiques. La tradition anglo-saxonne est fondée sur une approche beaucoup plus pratique et jurisprudentielle du droit que le droit latin. Ceci tient en partie au fait que la «Common Law» à dû s'adapter à des conditions d'exercices très hétérogènes aux quatre coins de l'empire britannique, dans des régions dans lesquelles il n'y avait pas toujours de juristes qualifiés. Les règles ont donc dues se plier à ces conditions en adoptant des principes fondamentaux simples et en laissant une large place à la pratique du droit. Cette philosophie «pratique» imprègne encore aujourd'hui le droit anglo-saxon. Il s'agit là d'un antagonisme qui n`est pas toujours conciliable avec la tradition juridique latine qui est beaucoup plus formaliste. |
|