Certifier la conformité aux autorisations uniques de la CNIL

3.2.2.4 La procédure de délivrance

La question qui se pose ici consiste à savoir selon quel formalisme et quelles conditions le titre sera délivré à l'organisme certifié.

3.2.2.4.1 Les documents d'admission

Faut-il, comme dans la procédure de l'EuroPriSe, prévoir trois rapports²¹⁰ ?

- Un rapport d'évaluation à destination de l'autorité de certification à partir duquel l'éligibilité du candidat à la certification sera évaluée

- Un rapport d'évaluation public qui à vocation à être publié par le candidat une fois la certification obtenue, - Un rapport de certification détaillant les résultats de la procédure et qui n'a pas vocation à être diffusé.

Cette démarche présente un intérêt en terme de transparence et de documentation de la procédure. Elle pourrait s'avérer intéressante pour ce qui est du rapport public dans le cadre d'une certification de produits ou de procédure grand public afin que celui-ci soit informé des conditions de certification du produit ou de la procédure qui a été mise en oeuvre. Une sorte de droit d'information pourrait être institué par ce biais comme il l'est parfois sur les produits alimentaires.

On pourrait aussi envisager de normaliser la présentation des rapports d'évaluation afin d'en faciliter le contrôle ainsi que le propose certains référentiels d'évaluation tels que celui de l'autorité anglaise de protection des données à caractère personnel (ICO)²¹¹. Cela pourrait pourrait faciliter le travail de contrôle et sa rapidité.

3.2.2.4.2 La durée de validité

Il serait peut être intéressant comme en Suisse de définir des durées de validité différentes selon que l'on certifie un produit ou une procédure.

Deux ans pour les produits et trois pour les procédures comme le précise l'article 6 de l'Ordonnance suisse du 28 septembre 2007²¹². Cette dichotomie ne nous parait un peu superflue Une durée de 2 ou 3 ans renouvelables pour les produits et les procédures nous semble convenir. Elle pourrait être de 3 ans au lieu de 2 afin d éviter une trop grande charge de travail en cas de succès.

Il serait également souhaitable de prévoir des audits de contrôle périodiques.

3.2.2.4.3 Les conditions de renouvellement

Il est nécessaire d'établir des conditions de maintien et de renouvellement qui soient claires.

210 Description of EuroPriSe Criteria and Procedures

Version 1.1 février 2009 p 32 et 33

https://www.european-privacy-seal.eu/results/deliverables/procedures

211 Data Protection Audit Manual

Information Commissioner Office - version 1 - June 2001 p 85 et suivantes

" http://www.ico.gov.uk/upload/documents/library/dataprotection/practicalapplication/dataprotectioncompleteauditguide.pdf

212 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) http://www.admin.ch/ch/f/rs/c235 13.html

105

La notion de «vérification annuele sommaire » définit dans l'article 6 de l'Ordonnance suisse du 28 septembre 2007 nous semble par exemple difficilement exploitable.

Il conviendrait à notre sens de définir :

- la périodicité de cette vérification : annuelle, trimestrielle,

- le périmètre : complet, par sondages aléatoires, par différence,

- le degré de tolérance: c'est à dire le degré de différence acceptable pour le maintien de la certification pour chacin des points de contrôle certifié,

- l'autorité décisionnaire : définir si il appartient à l'évaluateur ou au certificateur si ils sont différents de décider du maintien ou non du bénéfice de la certification.

Une procédure similaire devrait également être mise en place pour définir les règles de renouvellement de la certification.