Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
2.5.1 Quel formalisme doit avoir un référentiel normatif ?On constate dans ce domaine encore qu'il n'existe aucune obligation mais seulement des recommandations et des règles de bon sens qui participent du succès du référentiel auprès des ceux qui sont chargés de l'auditer et de le certifier. 2.5.1.1 Les recommandations de l'ISOLes Directives ISO/CEI partie 2 77 proposent une série de recommandations pour élaborer une norme. 2.5.1.1.1 En termes de contenuIl convient de définir des objectifs qui soient clairs et compréhensibles même par des non initiés. «(...) être aussi complet que possible dans les limites définies par son domaine d'application, être cohérent, clair et précis, tenir pleinement compte de l'état de la technique, pouvoir être compris par des personnes qualifiées qui n'ont pas pris part à son élaboration, prendre en considération les principes pour la rédaction des documents» nous dit le point 4.1 des Directives ISO/CEI partie 2. Il est également souhaitable précise le point 4.2 que ces objectifs soient exprimés en termes de performances et non de conception : «Chaque fois que possible, (...) exprimées en termes de performance plutôt qu'en termes de conception ou de caractéristiques descriptives. Cette approche laisse le maximum de liberté au progrès technique», précise la norme. 74 Elle reste à ce jour un « best seller » des grands cabinets d'audit et de certification qui continuent de proposer aux entreprises des programmes sur la base de cette norme On trouvera un exemple de programme de certification sur la base de la SA 8000 proposé par le Bureau Veritas à cette adresse : http://www.bureauveritas.fr/wps/wcm/connect/bv fr/Local/Home/bv com serviceSheetDetails? serviceSheetId=1427&serviceSheetName=Certification+SA+8000 Cette hégémonie de la norme SA 8000 dans le domaine de la responsabilité sociale des entreprises risque d'être remise en question avec l'arrivée de la nouvelle norme ISO 26000 publiée le 1er novembre 2010 qui entend s'occuper également de la responsabité sociale des entreprises. «Parution de l'ISO 26000 lignes directrices sur la responsabilité sociétale» C. Brodhag - Médiaterre - 1er novembre 2010 http://www.mediaterre.org/international/actu,20101101194558.html 75 Déclaration citée dans l'article de Wikipedia consacré à la norme SA 8000. 76 Le texte du référentiel Marianne est accessible à cette adresse : http://www.modernisation.gouv.fr/fileadmin/Mes fichiers/pdf/ReferentielMarianneV2log 10 mai 08.pdf 77 ISO/CEI Directives, Part 2 est en libre accès en anglais à cette adresse : http://www.iso.org/iso/fr/standards development/processes and procedures/iso CEI directives and iso supplement.htm 47 Le point 6 .7 précise quant à lui que les normes doivent être élaborées de façon telle à ce qu'elle soit auditables par des tiers. « Les normes de produit, de processus et de service doivent être écrites de tele manière que la conformité puisse être évaluée par un fabricant ou un fournisseur (première partie), un utilisateur ou un acheteur (deuxième partie) ou un organisme indépendant (tierce partie). Ces documents ne doivent pas inclure d'autres aspects relatifs à l'évaluation de la conformité que les dispositions d'essai des produits, des processus ou des services spécifiés. » Un seul document doit être élaboré par sujet. Un « document individuel doit être élaboré pour chaque sujet faisant l'objet d'une normalisation et publié en tant qu'entité complète » précise le point 4.2. Elles doivent contenir un titre précis et compréhensible. Le titre nous dit le point 6.1 « doit être rédigé avec le plus grand soin; tout en étant aussi concis que possible, il doit indiquer, sans aucune ambiguïté et sans détails superflus. Le titre doit être composé d'éléments séparés, aussi brefs que possible, allant du général au particulier.» Le document doit contenir un avant-propos qui spécifie «sans ambiguïté le sujet traité, les aspects couverts et les limites d'application du document» nous dit le point 6.2. Avant-propos qui ne doit pas contenir «ni exigences, ni recommandations, ni figures, ni tableaux. ». Le document peut faire appel à des références si besoin précise également le point 6.2. Le point 6.3 souligne que le document doit donner « les définitions nécessaires à la compréhension de certains termes utilisés.... Dans le cas où tous les termes et les définitions sont donnés dans le document lui-même, le texte introductif suivant doit être utilisé: «Pour les besoins du présent document, les termes et définitions suivants s'appliquent.» |
|