Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
3. Quel titre décerner pour la conformité aux autorisations uniques ?La question se pose de savoir quel titre de certification serait le mieux adapté pour distinguer la conformité aux Autorisations uniques. Pourrait-on envisager d'intégrer un ou plusieurs programmes de certifications existants ou vaut-il mieux en créer un de toute pièce ? 3.1 Intégrer un programme de certification existant3.1.1 Participer au programme « Good Priv@cy »Le programme «Good Priv@cy» de la société SQS en suisse, nous l'avons déjà dit, a vocation à s'appliquer au delà des frontières suisses. Rien ne s'oppose sur le principe à ce qu'une société étrangère propose directement ou par le biais d'une filiale une certification pour laquelle elle a été préalablement accréditée. D'autres organismes de certification le font sur d'autres programmes de certifications sans que cela ne pose le moindre problème. Ce type de certification faisant appel à un organisme tiers d'origine étrangère est déjà utilisé par la Haute Autorité de Santé (HAS) qui propose de faire certifier par la fondation suisse Health On the Net (HON)195 l'engagement des éditeurs de sites consacrés à la santé de diffuser des informations fiables et de qualité. Le programme «Good Priv@cy» est en place en Suisse depuis 2002. Ce qui donne à SQS une antériorité et expertise dans ce domaine qui est plutôt rassurante quand à sa compétence. SQS peut également se prévaloir de son expérience hors de suisse (Autriche, Brésil). Ce qui signifie qu'elle dispose de correspondants capables d'effectuer un tel travail à l'étranger et a fortiori sur le sol français. On pourrait néanmoins rétorquer que la société SQS ne dispose pas d'une notoriété équivalente à celle d'autres organismes de certifications tel que l'AFNOR, Bureau Veritas, ou encore Moody dans notre pays. Ce manque de notoriété international pourrait constituer un frein au développement de cette offre à moins qu'elle ne soit supportée par une autorité reconnue dans le domaine comme le fait la Haute Autorité de Santé avec HON. 98 195 La présentation de la procédure de certification HON est disponible à cetet adresse http://www.has-sante.fr/portail/jcms/c 334538/la-certification-des-sites-internet-sante 99 3.1.2 Participer au label EuroPriSeUne autre solution pourrait consister à intégrer le label EuroPriSe dont la CNIL est partie prenante au même titre que 8 autres institutions européennes196. L'intérêt d'intégrer un tel programme réside en premier lieu dans le fait qu'il existe et qu'il fonctionne. 15 entreprises ont déjà été labélisées depuis 2008 que le programme est opérationnel. Certification qui pour moitié environ s'adressent à des produits et pour l'auter moitié à des procédures197. Il s'agit d'un programme européen qui peut présenter un intérêt en termes de reconnaissance réciproque des certifications dans les différents pays européens. On pourrait même imaginer que ce label devienne à terme une forme de marquage « CE » consacré à la protection des données à caractère personnel. Les produits et les procédures qui auraient obtenues la certification EuroPriSe dans l'un des Etats membres auprès d'un expert ou d'un organisme accrédité pourraient librement circuler au sein du marché unique avec ce marquage. Ce qui pourrait également constituer un élément de solution afin : - de renforcer l'homogénéité des niveaux de protection au sein de l'union, - de faciliter les transferts de flux entre les pays membres, - de développer le principe de responsabilité des responsables de traitement. Objectifs qui rejoignent les axes de d'amélioration recherchés dans le cadre de la révision de la Directive 95/46/CE198. Ce Label EuroPriSE pourrait s'avérer intéressant pour certifier la conformité aux Autorisations uniques qui s'appliquent à des produits comme les produits de contrôle d'accès biométriques dont les fabricants pourraient voir là un moyen idéal pour valoriser leurs produits sur le marché européen. Le bénéfice est en revanche moins évident pour les Autorisations uniques qui traitent de procédures très localisées comme celles qui s'adressent aux banques ou aux services publics français. L'intérêt d'obtenir un label européen 196 Les différents partenaires du label EuroPriSe ULD - Unabhngiges Landeszentrum für Datenschutz Schleswig-Holstein http://www.datenschutzzentrum.de/ Agencia de Protecci--n de Datos de la Communidad de Madrid http://www.apdcm.es Institute of Technology Assessment of the Austrian Academy of Sciences http://www.oeaw.ac.at/ita/ Ernst & Young AB http://www.ey.com/GLOBAL/content.nsf/Sweden/Home London Metropolitan University http://www.londonmet.ac.uk/hrsj/ TÜV Informationstechnik GmbH http://www.tuvit.de Borking Consultancy Commission Nationale de l'Informatique et des Libertés http://www.cnil.fr VaF s.r.o. 197 La liste des entreprises labélisées est disponible sur le site de l'EuRroPriSe https://www.european-privacy-seal.eu/awarded-seals 198 Les axes envisagées de modification sont présentés en anglais dans cet article European Commission Outlines Strategy for Revision of the Data Protection Directive cabinet HUNTON & WILLIAMS LLP - 4 novembre 2010 " http://www.huntonprivacyblog.com/2010/11/articles/european-union-1/european-commission-outlines-strategy-for-revision-of-the-data-protection-directive/ 100 s'avère assez limité au delà de l'aspect purement symbolique. |
|