Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
2.4 L'exemple du Décret n°2001-272 du 30 mars 2001Nous avons déjà abordé plus haut la procédure de certification conforme mise en place dans le cadre de la réglementation portant sur les dispositifs techniques de création de signature électronique. La délivrance d'un certificat de conformité par L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) est soumise au respect des exigences posées par le décret n° 2001-272 du 30/04/2001 relatif à la mise en place d'un dispositif sécurisé de création de signature électronique. 71 La notion de « risque résiduel» constitue la conclusion de la démarche ISO 27000 et représente les risques « irréductibles » qui ont été mis à jour à l'issue de l'audit de sécurité du système d'information et qui doivent être acceptés par l'organisme évalué. Commentaire explicatifs des services du PFPDT sur les «directives sur les exigences minimales qu'un système de gestion de la protection des données (SGPD) doit remplir» du 22/08/2008 p.5 " http://www.edoeb.admin.ch/themen/00794/00819/01086/01230/index.html?lang=fr&download=M3wBPgDB/ 8ull6Du36WenojQ1NTTjaXZnqWfVp7Yhmfhnapmmc7Zi6rZnqCkkIN1fnyAbKbXrZ6lhuDZz8mMps2gpKfo 45 Seul l'article 3 du Chapitre I du Décret sert de référentiel à cette procédure de certification72. Il dispose que : « Un dispositif sécurisé de création de signature électronique doit : 1. Garantir par des moyens techniques et des procédures appropriés que les données de création de signature électronique :
2. N'entraîner aucune altération du contenu de l'acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.II. - Un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définies au I : 1° Soit par le Premier ministre, dans les conditions prévues par le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. La délivrance du certificat de conformité est rendue publique. 2° Soit par un organisme désigné à cet effet par un Etat membre de la Communauté européenne » C'est sur cette base relativement succincte mais néanmoins précise que s'appuie la procédure de certification mise en oeuvre par les prestataires accrédités auprès de l'ANSSI. Ce qui démontre que l'origine comme la forme d'un référentiel importe finalement assez peu dès lors qu'il est accepté (ou imposé) comme tel. |
|