Certifier la conformité aux autorisations uniques de la CNIL

3.1.4 Participer aux programmes de certification d'assurance qualité

On pourrait envisager d'inscrire la certification de la conformité aux Autorisations uniques dans le cadre des programmes de certification d'assurance qualité proposés par les organismes privées.

L'idée selon laquelle la conformité à la réglementation fait partie du processus d'assurance qualité est une idée qui a déjà été débattue et à laquelle il a été répondu par l'affirmative dans le cadre d'une étude menée dans le cadre du Mastère Spécialisé « Informatique et libertés» de l'ISEP sur la Norme ISO 9001¹⁹⁹.

Pour autant, il nous semble difficile d'inscrire la certification de conformité aux Autorisations uniques dans le cadre de programmes d'assurance qualité (de type NF ou AFAQ) au risque :

- de brouiller la lisibilité de ces marques en pratiquant le mélange des genres,

- de diluer la notion de conformité dans des programmes dont ca n'est pas la préoccupation principale.

3.1.5 Participer à plusieurs programmes

Il pourrait être intéressant de proposer différents programmes et plusieurs niveaux de certification en fonction :

- des souhaits de l'entreprise,

- de son périmètre d'activité (national ou international),

- de la nature des Autorisations uniques à certifier (produit ou procédure).

On pourrait ainsi imaginer que les programmes internationaux du type EuropriSe ou Good Priv@cy soient accrédités pour certifier la conformité de produits et de procédures qui ont une «vocation internationale» comme cela peut être le cas de systèmes de contrôle d'accès biométriques ou encore des procédures de flux transfrontières si un jour la possibilité était offerte à la CNIL d'élaborer une Autorisation unique sur ce sujet pour en préciser les règles d'exercice.

Par ailleurs, un ou plusieurs programmes spécifiques de certification pourraient s'adresser aux procédures qui ont uniquement vocation à s'appliquer sur le sol national ou dans des domaines particuliers tel que la banque, le crédit, les services publiques, la vidéo-surveillance, la géo-localisation ou encore d'autres thèmes qui n'ont pas été traités par les Autorisations uniques mais qui pourraient l'être un jour comme les données de santé.

3.2 Créer un titre de certification

On s'aperçoit que la possibilité d'insérer cette procédure de certification dans des programmes existants n'est pas évidente même si elle demeure envisageable sous certaines conditions.

Il pourrait donc être plus efficient de créer un titre de certification ex-nihilo comme cela a été fait partout ou cette conformité est certifiée.

Créer un titre de certification soulève néanmoins un certain nombre de questions. La première d'entre elle consiste à savoir quels privilèges, si il doit y en avoir, seront attachés à la délivrance de ce titre.