2.3 Faut-il un ou plusieurs référentiels
?
Une approche ambitieuse pourrait consister à
dégager des principes généraux afin d'élaborer un
référentiel d'audit utilisable pour tous les types
d'évaluation. On pourrait s'appuyer sur les principes contenus dans la
norme ISO/CEI CD 29100164 actuellement en cours de validation qui
propose les principes suivants :
- choix et consentement,
- finalité légitime,
- limitation de la collecte,
- utilisation minimale des données,
- limitation de la conservation, de l'utilisation et de la
diffusion,
- qualité et validité des données,
- transparence de l'information,
- droit d'accès et de rectification,
- contrôle de la sécurisation,
- obligation de rendre des comptes sur la conformité pour
les responsables de traitement,
- conformité à la législation.
Ces principes intégrent bien ceux contenus dans les
Autorisations uniques et pourrait y ajouter des principes
supplémentaires qu'il serait peut être intéressant
d'intégrer dans l'évaluation.
La question se pose également de savoir si ce
référentiel doit être unique comme c'est le cas de
l'EuroPriSe criteria ou si le référentiel d'audit doit être
distinct selon qu'il s'agit d'évaluer les Autorisations uniques traitant
de produits ou celles traitant de procédures.
Il nous semble que la méthodologie d'évaluation des
produits diffère de celle des procédures dans la mesure où
l'évaluation des produits est souvent plus technique et requiert des
protocoles qui peuvent s'avérer parfois complexes. Il n'est qu'a voir
ceux qui sont proposés par la norme ISO/CEI 15408-1:2005 pour s'en
convaincre.
Ces deux types d'évaluation sont d'ailleurs traités
de manière distincte par les normes ISO, que ce soit pour
l'accréditation des organismes de certification ou pour
l'évaluation de la conformité.
Accréditation ISO/CEI 17025:2005
Évaluation de la conformité - Exigences
générales concernant la compétence des laboratoires
d'étalonnages et d'essais
Certification ISO/CEI 15408-1:2005
Technologies de l'information - Techniques de
sécurité -- Critères d'évaluation pour la
sécurité TI -- Partie 1: Introduction et modèle
général
ISO/CEI 17021:2006
Évaluation de la conformité - Exigences pour les
organismes procédant à l'audit et à la certification des
systèmes de management
ISO/CEI 19011:2002
Lignes directrices pour l'audit des systèmes de management
de la qualité et /ou de management environnemental
85
2.4 A qui appartient-il d'élaborer ce
référentiel d'évaluation ?
La question se pose en effet de savoir si il incombe à
l'autorité de certification d'élaborer elle-même le
référentiel d'évaluation de la conformité.
L'intérêt de le faire réside :
- dans le contrôle que l'on peut exercer ainsi sur la
manière dont l'évaluation va être menée,
164 ISO/IEC CD 29100
Information technology -- Security techniques -- Privacy
framework
86
- dans l'homogénéité des rapports
d'évaluation que l'autorité de contrôle va recueillir . Ce
qui facilitera son travail de contrôle.
- dans la possibilité d'être indépendant des
organismes de certification et de leur imposer éventuellement un cahier
des charges plus ou moins contraignant.
- dans la possibilité d'offrir à des
évaluateurs individuels un outil de travail qu'ils n'auraient pas
forcément pu élaborer seuls, faute de temps et ou de moyens
suffisants.
Il nous semble que cette tâche pourrait aussi être
confiée aux entreprises qui souhaitent se positionner sur ce
marché. Il serait possible ainsi de les accréditer, au moins en
partie, sur la base de la méthodologie qu'elles proposent.
Cette démarche de délégation pourrait
permettre à la CNIL de profiter du savoir faire et de l'imagination de
ces entreprises pour ensuite la synthétiser et pourquoi pas, imposer un
cahier des charges sur cette base aux futurs candidats à
l'accréditation.
Le succès d'une telle démarche est
évidemment dépendante de l'intérêt que les
organismes professionnels de certification percevront dans ce marché
aujourd'hui virtuel.
| 
