Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
2.6.3 Un travail d'interprétation préalableIl nous semble donc qu'un travail d'interprétation devrait être effectué en préalable à toute volonté de faire des Autorisations unique des référentiels auditables. Ceci dans le but d'éviter que chaque évaluateur n'applique sa propre interprétation. C'est d'ailleurs un travail de ce type qui a été effectué en février 2009 par la Fédération Française des Sociétés d'Assurance en collaboration avec la CNIL afin de permettre une application conforme et homogène de l'Autorisation unique n°AU-01882 dans l'ensemble des établissements bancaires et financiers chargé par de nouvelles disposation légales de rechercher des assurés et des bénéficiaires de contrats d'assurance sur la vie dont le souscripteur initial est décédé. Cet exemple démontre simplement qu'une procédure d'interprétation est parfaitement envisageable même si elle n'avait pas dans ce cas pour but de rendre ce texte auditable mais simplement applicable. Ce travail d'interprétation pourrait ans sa forme s'inspirer de celui qui a déjà été effectué à titre didactique sur la loi 78-17 du 6 Janvier 1978 par la CNIL83. Un autre exemple intéressant de travail d'interprétation de normes a également été réalisé par l'European co-operation for Accréditation (EA) dans les guides que cette institution publie à l'intention de ses membres. 82 Délibération n°2008-579 du 18 décembre 2008 portant Autorisation unique des traitements automatisés des entreprises d'assurance, des institutions de prévoyance et de leurs unions, et des mutuelles et de leurs unions mis en oeuvre aux fins de recherche des assurés et des bénéficiaires de contrats d'assurance sur la vie décédés. 83 Texte de la loi 78-17 annoté http://www.cnil.fr/fileadmin/documents/approfondir/textes/CNIL-78-17 definitive-annotee.pdf Les guides de l'EA84 proposent aux organismes chargés d'accréditer les organismes de certification (voir partie III point 2 ) une série d'interprétations des dispositions contenus dans les normes publiées à cet effet et notamment la norme ISO/CEI 17021 : 2006 Le British Standard Institution (BSI) effectue également un travail d'interprétation directement dans la marge de certaines de ces normes85 afin d'en faciliter l'application pour ceux qui sont chargés de le faire. 2.6.4 Une approche «d'auditabilité by design»Une autre solution pourrait consister à élaborer les Autorisations uniques pour en faire initialement des textes auditables. Rendre auditable un texte normatif est aussi un moyen de le rendre plus facilement applicable. Autrement dit, plus un texte est précis, plus il est facile à appliquer. Les Autorisations uniques font l'objet d'une revue régulière (tous les 2 ans) comme les normes internationales pour lesquelles cette revue périodique est prévue tous les 3 puis 5 ans. Une réécriture dans ce sens pourrait être envisagée sans pour autant remettre en cause les fondements du texte. Prenons le cas de l'AU-004 issue de la Délibération n° 2005-305 du 8 décembre 2005 portant Autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle qui est actuellement en cours de révision. On pourrait imaginer que cette AU-004 soit analysée sous la forme d'une matrice qui pourrait ressembler à celle ci-dessous : Thèmes Objectifs
Finalités du traitement Répondre à une obligation législative ou réglementaire de droit français Vérifier si le traitement correspond point par point aux obligations posées par la section 301(4) la loi Sarbannes-Oxley Points de contrôles autre finalité quelle qu'elle soit. strictement aucune Le traitement a-t-il une strictement aucune autre finalité autre finalité quelle qu'elle soit. finalité autre que législative autre finalité 55 84 Les guides de l'EA sont disponibles en anglais à cette adresse : http://www.european-accreditation.org/n1/doc/EA-1-01.pdf 85 BS 0-2:2005 «A standard for standards - Part 2: Structure and drafting - Requirements and guidance» First edition as Part 2, December 2005 http://www.bsigroup.com/upload/Standards%20&%20Publications/NSB/BS0-2.pdf Vérifier les données utilisées pour s'identifier Vérifier la nature des mesures visant à assurer la confidentialité de l'identité de l'émetteur (exemple de métrique possible) confidentialité absolue ou relative - (exemple d'interprétation possible) le système doit assurer une confidentialité absolue : seul le destinataire initial ou autorisé doit connaitre l'identité de l'émetteur. Toute autre personne venant à le connaître dans le cadre du fonctionnement normal du processus de recueil de l'alerte rend le système non conforme. (exemple d'interprétation possible) Seul, l'adresse IP, le nom, le prénom, le prénom et l'adresse email peuvent servir à l'identification de l'émetteur. Autre donnée Selon si absolue ou relative. Définir les interlocuteurs qui ne peuvent dans tous les cas pas connaitre cette identité. 56 Il nous semble qu'un travail de ce type pourrait être effectué sur l'ensemble du texte avant sa rédaction afin de laisser à l'interprétation le moins de place possible. Concernant les Autorisations uniques destinées à réglementer des produits, le recours à des exigences techniques spécifiques comme la préconisation d'une technologie plutôt qu'à une autre (du réseau veineux et le support individuel dans le cadre des systèmes biométriques) devrait être remplacé par des objectifs de performances tels qu'ils sont décrits dans la norme ISO/CEI 15408-186 pour assurer : - l'anonymat, - le pseudonymat, - l'impossibilité d'établir un lien entre des données à caractère personnel, - la non-observabilité. Une approche de ce type rendrait sans aucun doute le référentiel plus technique mais plus facilement auditable et surtout moins dépendant des évolutions technologiques. On pourrait également imaginer, nous l'avons déjà évoqué, que la CNIL ait recours à une forme de procédure «nouvelle approche» sur le même mode opératoire que la Commission européenne. Elle définirait dans les Autorisations uniques des objectifs en termes de protection des données à caractère personnel. L'atteinte de ces objectifs relèverait de l'application des normes comme l'ISO/CEI 15408 dans le cas que nos venons d'évoquer. En termes de présentation, il pourrait être judicieux de systématiser la mise en page inaugurée par l'AU-005 sous la forme de tableau afin de rendre les différents objectifs plus facilement identifiables. 86 Le texte de la norme ISO /CEI 15 408 est disponible sur le site de l'ANSSI http://www.ssi.gouv.fr/site article135.html" http://www.ssi.gouv.fr/site article135.html 57 Il nous semble enfin qu'un mode de rédaction plus concis et moins juridique faciliterait la compréhension pour les non initiés et permettrait ainsi de répondre à la recommandation du point 6.6 des directives ISO/CEI partie 2 qui prescrit que «le style doit être aussi simple et concis que possible.» Il pourrait être enfin profitable de faire intervenir des professionnels de la normalisation dans le processus d'écriture ou de réécriture des Autorisations uniques. Un représentant qualifié de l'AFNOR pourrait être consulté ou impliqué dans la rédaction. Les rédacteurs de la CNIL pourraient également suivre la formation au travail de normalisation qui est proposée à tout nouvel expert lors de son admission dans un comité technique. Au terme de cette deuxième partie, il nous semble possible d'établir deux constats : Il n'y a pas «d'origine contrôlée» des textes normatifs. Il convient seulement qu'ils soient reconnus comme tels par les entreprises et les institutions qui sont chargés de les appliquer et qu'ils établissent des règles suffisamment claires pour qu'il soient applicables dans la durée. Les Autorisations uniques nous paraissent par aileurs auditables. Les dispositions qu'eles contiennent sont dans la majorité des cas suffisamment claires et précises pour que l'on puisse envisager d'en évaluer l'application. Un certain nombre de dispositions mériteraient néanmoins d'être clarifiées afin d'éviter tout risque d'interprétation divergente de la part d'évaluateurs potentiels. Travail qui pourrait être fait sur la base des textes existants ou mieux encore, au moment de leur révision ou de leur élaboration. 58 PARTIE III : QUEL EVALUATEUR POUR LA CONFORMITE AUX AUTORISATIONS UNIQUES ? Nous nous interrogerons dans le cadre de cette partie sur la nature des personnes ou des institutions qui pourraient être habilitées à évaluer la conformité aux Autorisations uniques. |
|