|
Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
3. Quelle procédure pour évaluer la conformité aux Autorisations uniques ?3.1 Quel périmètre ?La notion de périmètre d'évaluation est une notion centrale dans la réussite d'une procédure d'audit. Il doit comprendre nous dit la norme CWA 15499-1165 du CEN : - Un objet : c'est à dire la description du processus qui va être évalué, - Un aspect: que va-t-on auditer ? La confidentialité, l'intégrité, la disponibilité ou l'auditabilité, - Un ou plusieurs textes de référence. Par rapport à quel(s) référentiels l'audit va-t-il être mené ? Le point 5.2 de la norme ISO/CEI 15408-1:2009 définit la notion de périmètre d'audit sous le vocable de «Target Of Evaluation» (TOE). Le TOE nous dit la norme ISO/CEI 15408-1:2009 doit contenir la description précise des fonctionnalités du produit qui vont faire l'objet d'une évaluation166. Celui-ci constitue le périmètre de l'audit sur lequel les deux parties, auditeur et audité, sont appelés à s'engager avant le début de la procédure d'évaluation. Cette définition du périmètre d'évaluation doit être effectué de la même manière dans la cadre de l'audit de procédures. Nous l'avons vu plus haut avec la norme CWA 15499-1 au moment de la défnition de la « lettre de mission» comme le précise le point 2.01 de la norme167. Il convient de s'interroger sur le périmètre de l'évaluation de la conformité aux Autorisations Uniques. Est-ce que les règles définies ci-dessus sont transposables au cas qui nous occupe ? Est-il envisageable qu'une partie seulement d'un produit ou d'une procédure puisse être évaluée ? Pourrait-il y avoir des périmètres obligatoires et d'autres facultatifs ? Quelle est le degré de liberté que l'on peut laisser aux évaluateurs en terme de définition de périmètre d'évaluation ? Il nous semble que pour être valable l'audit de conformité devra traiter l'ensemble des points soulevés par une Autorisation unique. Il s'agit d'un tout indivisible. Nous ne voyons pas comment il pourrait être possible de gérer une évaluation partielle. C'est à dire simplement sur certains points clés d'une Autorisation Unique. Autrement dit, soit la procédure ou le produit sont conformes à tous les points contenus dans l'autorisation unique, soit il ne sont pas conformes. 165 CWA 15499-1 p14 166 point 5.2 p 25 ISO/CEI 15408-1:2009 Technologies de l'information -- Techniques de sécurité -- Critères d'évaluation pour la sécurité TI -- Partie 1: Introduction et modèle général . La norme est en accès libre sur le site de l'ANSSI à cette adresse : http://www.ssi.gouv.fr/site article135.html 167 voir p 77 87 Il nous semble qu'il faut considérer que le périmètre minimal se situe au niveau de l' Autorisation unique. L'évaluation de conformité ne peut pas s'effectuer en dessous de «cette unité». En revanche, le périmètre pourrait être étendu à plusieurs Autorisations uniques dans le cadre d'une même évaluation. On pourait aussi imaginer, nous l'avons déjà évoqué plus haut, que les organismes de certifications accrédités uniquement pour l'évaluation de certaines Autorisations ne soient pas en en mesure d'évaluer les autres. Ainsi, Les laboratoires pourrait prétendre à évaluer les Autorisations uniques consacrées aux produits et les organismes de certification celles consacrées aux procédures. |
|
