Certifier la conformité aux autorisations uniques de la CNIL

1. Qu'entend-on par audit de conformité ?

La norme CWA 15499 -1 du CEN ¹³⁸ définit l'audit comme l'«évaluation d'une situation à un instant donnée par rapport à un référentiel effectué par un tiers n'ayant aucun intérêt dans le résultat de cette évaluation».

Cette évaluation nous dit la norme a pour but de donner une assurance à son commanditaire. Dans le cas de l'audit de conformité, il s'agit d'une assurance :

- de conformité par rapport à la loi,

- de qualité des procédures mises en place dans l'organisme pour maintenir cette conformité.

Les normes élaborées dans le cadre de «l'Initiative for Privacy Standard Initiative» (IPSE) du CEN dont nous avons déjà parlé plus haut se sont fixées pour objectif de proposer un référentiel générique d'audit de conformité dans le domaine des données à caractères personnelles; ceci à partir d'un inventaire des meilleures pratiques dans ce domaine.

1.1 Quelles sont les meilleures pratiques ?

La norme CWA 15262 du CEN¹³⁹ rend compte des meilleures méthodologies d'évaluation de la conformité dans le domaine des données à caractère personnel. Elle retient sept référentiels pour des raisons différentes:

1. Le «framework privacy audit» du Cooperation Group Audit Strategy ¹⁴⁰ proposé par l'autorité de contrôle des Pays-Bas dont les deux principaux intérêts consistent:

- à définir à partir de la loi néerlandaise des points «prioritaires» de contrôle que l'auditeur est invité à évaluer en priorité,

- à apprécier la conformité en fonction du contexte opérationnel, de la technologie disponible, du prix de mise en oeuvre et du risque encourus au moment de l'audit.

2. La procédure utilisée par l'Independent Centre for Privacy Protection¹⁴¹ (ICPP) du Schleswig-Holstein (Allemagne) dont l'intérêt consiste nous dit la norme :

138 La norme CWA 15499-1 Personal Data Protection Audit Framework (EU Directive EC 95/46) - Part I: Baseline Framework- du CEN dont nous avons parlé plus haut est disponible en anglais à cette adresse ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15499-01-2006-Feb.pdf

139 Le texte de la norme CWA 15262 - Inventory of Data Protection Auditing Practices est disponible en anglais à cette adresse : ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15262-00-2005-Apr.pdf

140 Privacy Audit Framework under the new Dutch Data Protection Act (WBP) Co-operation Group Audit Strategy - Version 1 - 2001 - 53 p

http://www.dutchdpa.nl/Pages/enindwettenzelfrcompliance.aspx

141 Anwendungsbestimmungen des Unabhngigen Landeszentrums für Datenschutz zur Durchführung eines Datenschutzaudits. Amtsblatt Schl.-H 13/2001, S.196-200

https://www.datenschutzzentrum.de/material/recht/audit.htm

79

- à proposer un cadre adapté à la fonction publique qui s'avère très flexible. C'est à dire qu'il permet d'auditer soit un seul traitement ou un seul service ou bien un organisme dans son intégralité,

- à proposer aux audités des règles à suivre pour préparer et participer à l'audit, - à délivrer un label pour 3 ans si l'organisme passe l'audit avec succès.

3. Le référentiel d'audit de l'Information Commissioner Office¹⁴² (ICO) britannique dont l'intérêt consiste à proposer deux types d'audit qu'il est possible de mener de manière consécutive ou exclusive.

- Un audit "d'adéquation" qui consiste à vérifier si le contenu des différents documents légaux de l'entreprise liés à la protection des données à caractère personnel respectent la législation,

- Un audit de "conformité" qui consiste à vérifier si l'organisme agit en accord avec les règles qu'il a défini.

4.Le référentiel proposé par la société Deutsche Telecom¹⁴³ (Allemagne) dont l'intérêt consiste :

- à proposer un audit à destination des chefs de service par voie de questionnaires en ligne,

- à proposer un classement par services afin de créer une émulation et favoriser la conformité.

5. Celui de IMS Health¹⁴⁴ au Royaume-Uni encore dont l'intérêt consiste à proposer des questionnaires organisés autour des activités de l'entreprise (intranet, internet, video-surveillance, Ressources Humaines,etc ....) et donc par typologies de données. Ce qui permet aux auditeurs d'établir une cartographie des flux de données assez précise.

6. L'entreprise-Wide privacy task Force de l'American Institute of Certified Public Accountant (AICPA) et du Canadian Institute of Chartered Accountants (CICA)¹⁴⁵ dont le mérite consiste à proposer une liste très précise des exigences à satisfaire.

7. Enfin, La démarche proposée par le Préposé fédéral à la protection des données et à la transparence¹⁴⁶ (PFPDT) suisse dont l'intérêt consiste, nous l'avons déja dit, dans sa prise en compte de la dimension «sécurité des données» et dans sa transposition de la méthodologie décrite dans la norme ISO/CEI 27001:2005.

1.2 Quelles sont les pratiques à retenir ?

Les deux normes CWA 15499 -1 et CWA 15499 -2 du CEN ont tenté de synthétiser ces meilleures pratiques afin de proposer un référentiel d'audit visant à évaluer la conformité par rapport aux principes contenus dans la Directive 95/46CE.

142 Data Protection Audit Manual

Information Commissioner Office - version 1 - June 2001 - 166 p

http://www.ico.gov.uk/upload/documents/library/data protection/practical application/data protection complete audit guide.pdf

143 Deutsche Telekom Data Practice report: the internal data protection audit, Dr. Claus D. Ulmer and Werner Zwick, Deutsche Telekom - 2003

144 Data Privacy Compliance Program IMS health

145 AICPA/CICA Privacy Framework

Assurance Services Executive Committee of the AICPA and the Assurance Services Development Board of the CICA Novembre 2003

http://www.aicpa.org/download/innovation/baas/ewp/privacyframework.pdf

146 Ordonnance sur les certifications en matière de protection des données (OCPD) du 28 septembre 2007

http://www.admin.ch/ch/f/rs/c235 13.html

80