Certifier la conformité aux autorisations uniques de la CNIL

3.2.2.2 Un label ou un certificat

Comme nous l'avons évoqué plus haut, la notion de label en France est une appellation :

- qui doit être définie sur la base d'un texte réglementaire, - qui doit être délivrée par une autorité publique.

La mise en place d'un label dans le cadre de la certification de la conformité aux Autorisations uniques aurait pour conséquence d'obliger la CNIL ou un autre organisme dépositaire de l'autorité publique à délivrer lui même ce label.

Le «label Marianne» visant à certifier la qualité d'accueil de services public est géré de cette manière. Il est en effet décerné par le Laboratoire National d'Essai (LNE) dont l'une des missions consiste à être un organisme de certification de la qualité et de la conformité des produits et des procédures auprès des entreprises du secteur privé²⁰⁸.

L'intérêt du label se situe principalement dans la certification de produits qui s'adressent aux grand public. Cependant, Les produits qui font aujourd'hui l'objet d'Autorisations uniques s'adressent au marché professionnel. L'intérêt d'emettre un label pour distinguer la conformité aux Autorisations uniques est relatif.

L'article 11.3 c de la loi 78-17 modifiée par la loi n°2009-526 du 12 mai 2009 précise qu'il est du ressort de la CNIL de «délivre(r) un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'eles les a reconnus conformes aux dispositions de la présente loi (...)» La rédaction de l'article laisse à penser que le label CNIL sera unique pour toutes les formes de conformité . On parle bien « d'un label » pour »des produits et des procédures ».

Si l'on considère que la certification de la conformité aux Autorisations uniques entre dans le champ d'application de cet article, le titre devra donc être un label.

Cela permettrait aux industriels qui le souhaitent d'apposer une marque distinctive sur leur site ou leurs documents commerciaux et d'éviter ainsi la prolifération de marquages «faits maisons»²⁰⁹.

3.2.2.3 Le périmètre de certification

La question s'était déjà posée au moment de l'évaluation. Elle revêt encore plus d'acuité au moment ou il s'agit de décerner un titre qui peut être porteur de privilèges.

Nous l'avons dit, il nous ne semble pas envisageable de certifier autre chose qu'une Autorisation unique dans son intégralité. Certifier des principes ou des points «piochées» dans une ou plusieurs Autorisations ne nous parait pas une solution viable.

On pourrait en revanche très bien imaginer qu'une certification soit délivrée au titre de l'évaluation de plusieurs Autorisations uniques dès lors que chacune d'elle a fait l'objet une procédure d'évaluation et de validation indépendante.

Il nous parait envisageable de certifier l'ensemble des autorisations Uniques auxquelles une entreprise se soumet et de le faire éventuellement pour chaque entité qui déclare s'y soumettre. Le certificat pourrait alors être délivré à chaque entité juridique si elles sont indépendantes ou sur un périmètre de services ou de filiales si l'on se place dans le cadre d'une même entité juridique.

208 Les missions du laboratoire National d'Essais sont précisées à cette adresse : http://www.lne.fr/fr/lnebref/missions.asp

209 «L'agrément CNIL n'existe pas» nous rappelle l'auteur malgré les nombreuses usurpations qu'il voit fleurir ici et là Arnaud Belleil - Cecurity.com - 4 novembre 2010

http://www.cecurity.com/site/PubArt201006.php

104

On pourrait également envisager que toutes les Autorisations uniques ne soient pas certifiables. Que l'on puisse par exemple ne faire certifier que celles qui traitent de produits et non celles qui traitent de procédures si le processus s'avérait trop compliqué ou trop aléatoire.

On pourrait enfin imaginer que ces restrictions soient levées progressivement au fur et à mesure que la procédure se met en place et que les référentiels sont adaptés à cette nouvelle finalité.