Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
BibliographieNormes publiées Toutes les normes en provenance des institutions internationales sont, sauf rares exceptions, en accès payants et ne peuvent pas être diffusées à d'autres personnes que celles qui en ont acquis les droits. Raison pour laquelle ces documents sont simplement cités dans cette bibliographie et seuls ceux qui sont libres d'accès ont leur chemin d'accès sur Internet indiqué. Toutes les normes internationales sont téléchargeables à partir du site de l'ISO : http://www.iso.org/ iso/store.htm ou sur celui de l'AFNOR : http://www.boutique.afnor.org/ La langue anglaise est la langue par défaut dans le monde de la normalisation. Les normes présentées ci-dessous sont en français lorsqu'elles ont été officiellement traduites et laissées en anglais lorsqu'il n'existe encore qu'une version dans cette langue. ISO/CEI 15408-1:2009 Technologies de l'information - Techniques de sécurité - Critères d'évaluation pour la sécurité TI - Partie 1 : introduction et modèle général http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html ISO/CEI 15408-2:2008 Technologies de l'information - Techniques de sécurité - Critères d'évaluation pour la sécurité TI - Partie 2 : composants fonctionnels de sécurité http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html ISO/CEI 17000:2004 Évaluation de la conformité - Vocabulaire et principes généraux ISO/CEI 17011:2004 Évaluation de la conformité - Exigences générales pour les organismes d'accréditation des organismes d'évaluation de la conformité ISO/CEI Guide 62:1996 Exigences générales pour les organismes d'évaluation et la certification / enregistrement des systèmes qualité ISO/CEI Guide 65:1996 Exigences générales pour les organismes procédant à la certification des produits Directives ISO/CEI, Partie 1 Procédures pour les travaux techniques 2004 - 5ème édition Directives ISO/CEI, Partie 2: Règles de structure et de rédaction des Normes internationales 2004 - 5ème édition " http://isotc.iso.org/livelink/livelink?func=ll&objId=4230454&objAction=browse&sort=subtype ISO / IEC 17021:2006 Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et certification des systèmes de gestion ISO/IEC 19011:2002 Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental ISO/CEI 17799/AC1:2007 120 Technologies de l'information -- Techniques de sécurité -- Code de bonne pratique pour la gestion de la sécurité de l'information ISO/IEC 27000:2009 Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -Vue d'ensemble et vocabulaire ISO/IEC 27001:2005 Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information - Exigences ISO/IEC 27002:2005 Technologies de l'information -- Techniques de sécurité -- Code de bonne pratique pour le management de la sécurité de l'information ISO/IEC 27003:2010 Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la mise en oeuvre du système de management de la sécurité de l'information ISO/IEC 27004:2009 Technologies de l'information -- Techniques de sécurité -- Management de la sécurité de l'information - Mesurage ISO/IEC 27005:2008 Technologies de l'information -- Techniques de sécurité -- Gestion des risques en sécurité de l'information ISO/IEC 27006:2007 Technologies de l'information -- Techniques de sécurité -- Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information Les normes ISO en libre accès http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html Normes du Comité Européen de Normalisation (CEN) Les normes présentées ci-dessous proviennent du Workshop on Data Protection and Privacy (WS/DPP) du CEN. Cet atelier a été mis en place dans le cadre de l'initiative on Privacy Standardization in Europe en 2002. Les normes qui ont été élaborées dans ce cadre sont toutes accessibles en libre accès sur le site du CEN http://www.cen.eu/cen/Sectors/ Sectors/ISSS/CEN%20Workshop%20Agreements/Pages/DPPCWA.aspx CWA 15262:2005 Inventory of Data Protection Auditing Practices ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15262-00-2005-Apr.pdf CWA 15499-01:2006 Personal Data Protection Audit Framework (EU Directive EC 95/46) Part I: Baseline Framework The protection of Personal Data in the EU ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15499-01-2006-Feb.pdf CWA 15499-02:2006 Personal Data Protection Audit Framework (EU Directive EC 95/46) Part II: Checklists, questionnaires and templates for users of the framework - The protection of Personal Data in the EU ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/DPP/CWA15499-02-2006-Feb.pdf CWA 16112: 2010 Self-assessment framework for managers ftp://ftp.cen.eu/CEN/Sectors/List/ICT/CWAs/CWA16112.pdf 121 Normes de l'European Accreditation organisation (EA) EA-7/03 (rev.00) EA Guidelines for the Accreditation of bodies operating certification/registration of Information Security Management Systems Février 2000 http://www.european-accreditation.org/Docs//0002 Application%20documents/0005 Application%20documents%20for %20Certification%20of%20Management%20System%20Series%207/00300 EA-7-03.pdf EA-7/05 2 EA Guidance on the Application of ISO/IEC 17021: 2006 for Combined Audits Octobre 2008 http://www.european-accreditation.org/n1/doc/EA-7-05.pdf Normes en cours de publication Les normes internationales en cours d'élaboration sont également en accès restreints. Elles sont uniquement accessibles aux experts qui participent à leur élaboration. ISO/IEC 24745 : final CD Technologies de l'information -- Techniques de sécurité -- Protection des informations biométriques ISO/IEC 24760 : 2nd CD Technologies de l'information -- Techniques de sécurité -- A framework for identity management ISO/CEI 24761 final CD Technologies de l'information -- Techniques de sécurité -- Contexte d'authentification biométrique ISO/IEC 27007 : 2nd CD Technologies de l'information -- Techniques de sécurité -- Guide pour l'audit de Systèmes de Management de la Sécurité de l'Information ISO/CEI 29100 : 2nd CD Information technology -- Security techniques -- Privacy framework ISO/CEI 29101 : 2nd CD Information technology -- Security techniques -- Privacy reference architecture ISO/CEI 29176 : 2nd CD Information technology -- Security techniques -- Automatic identification and data capture techniques - Mobile item identification and management. Consumer privacy - protection protocol for Mobile RFID services ISO/CEI 29190 : 2nd WD Information technology -- Security techniques -- Proposal on a privacy capability maturity model Les Autorisations uniques Toutes les autorisations sont accessibles depuis le site de la CNIL depuis la rubrique « Autorisations uniques » http://www.cnil.fr/en-savoir-plus/deliberations/autorisations-uniques/ Autorisation unique n°AU001 - gestion de l'urbanisme ou du service public de l'assainissement non collectif. Délibération n° 2006-257 du 5 décembre 2006 portant autorisation unique de traitements de données à caractère personnel mis en oeuvre par les collectivités locales ou leurs groupements à des fins de gestion de l'urbanisme ou du service public de l'assainissement non collectif (et pouvant comporter un système d'information géographique 122 05 Décembre 2006 modifiée par la délibération n° 2007-190 du 10 juillet 2007 - J.O n° 302 du 30 décembre 2006 http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/62/ Autorisation unique n°AU-002 - Délibération n°2005-233 du 18 octobre 2005 portant autorisation unique de mise en oeuvre par le centre national des oeuvres universitaires et scolaires d'un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des aides ponctuelles allouées aux étudiants dans le cadre de l'action sociale et le suivi statistique de l'activité de services sociaux des centres régionaux des oeuvres universitaires et scolaires 18 Octobre 2005 J.O n° 293 du 17 décembre 2005 - Thème(s) : Statistiques, Education http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/81/ Autorisation unique n°AU-003 - Délibération n° 2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en oeuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme 01 Décembre 2005 Modifiée par la délibération n°2007-060 du 25 avril 2007) J.O n° 77 du 31 mars 200 - Thème(s) : Banque - Finance http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/91/ Autorisation unique n° AU-004 - Délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle 08 Décembre 2005 J.O n° 3 du 4 janvier 2006 - Thème(s) : Travail http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/83/ Autorisation unique n°AU-005 - Délibération n° 2008-198 du 9 juillet 2008 modifiant l'autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en oeuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit 09 Juillet 2008 - J.O n°181 du 5 août 2008 Thème(s) : Banque - Finance, Crédit http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/92/ Autorisation unique n° AU-006 - Délibération n°2009-357 du 18 juin 2009 portant autorisation unique de traitements de données à caractère personnel aux fins d'exercice des activités notariales et de rédaction des documents des offices notariaux (demande d'Autorisation n°1267232.V2) 18 Juin 2009 - JORF n°0169 du 24 juillet 2009 - Thème(s) : Notaires http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/211/ Autorisation unique n°AU-007 - Délibération n°2006-101 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail 27 Avril 2006 - J.O n° 138 du 16 juin 2006 - Thème(s) : Biométrie, Travail http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/105/ Autorisation unique n°AU-008 - Délibération n°2006-102 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail 27 Avril 2006 - J.O n° 138 du 16 juin 2006 - Thème(s) : Biométrie, Travail http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/104/ Autorisation unique n°AU-009 - Délibération n°2006-103 du 27 avril 2006 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire 27 Avril 2006 - J.O n° 138 du 16 juin 2006 - Thème(s) : Education, Biométrie http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/103/ Autorisation unique n°AU-010 - Délibération n°2006-188 du 6 juillet 2006 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion du contentieux lié au recouvrement des contraventions au Code de la route et à l'identification des conducteurs dans le cadre du système de contrôle automatisé des infractions au Code de la route 06 Juillet 2006 - J.O n° 45 du 22 février 2007 - Thème(s) : Déplacement http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/110/ 123 Autorisation unique n°AU-011 - Délibération n°2006-235 du 9 novembre 2006 portant autorisation unique de mise en oeuvre par les organismes de location de véhicules de traitements automatisés de données à caractère personnel ayant pour finalité la gestion de fichiers de personnes à risques 09 Novembre 2006 - J.O n° 297 du 23 décembre 2006 - Thème(s) : Déplacement http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/117/ Autorisation unique n°AU-012 - Délibération n°2007-002 du 11 janvier 2007 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion d'infractions à la police des services publics de transports terrestres 05 Décembre 2006 - J.O n° 45 du 22 février 2007 - Thème(s) : Police, Déplacement http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/120/ Autorisation unique n°AU-013 - Délibération n° 2008-005 du 10 janvier 2008 portant autorisation unique de mise en oeuvre par les entreprises ou organismes exploitants de médicaments de traitements automatisés de données à caractère personnel relatifs à la gestion des données de santé recueillies dans le cadre de la pharmacovigilance des médicaments postérieurement à leur mise sur le marché 10 Janvier 2008 - JORF n°0039 du 15 février 2008 page texte n° 84 - Thème(s) : Santé, Marketing http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/128/ Autorisation unique n°AU-014 -Délibération n° 2008-097 du 10 avril 2008 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la prévention et à la gestion des impayés par chèque bancaire 10 Avril 2008 - JORF n°0110 du 11 mai 2008 - Thème(s) : Commerce http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/131/ Autorisation unique n° AU-015 - Délibération n° 2008-161 du 3 juin 2008 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion des applications billettiques par les exploitants et les autorités organisatrices de transports publics 03 Juin 2008 - JORF n°0153 du 2 juillet 2008 page texte n° 94 - Thème(s) : Déplacement, Statistiques, Service public http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/136/ Autorisation unique n° AU-016 - Délibération n°2008-304 du 17 juillet 2008 portant autorisation unique de traitements de données à caractère personnel mis en oeuvre par les communes pour la gestion des missions confiées aux services de police municipale, à l'exception de celles ayant pour objet la recherche et la constatation des infractions pénales 17 Août 2008 - Thème(s) : Collectivités locales, Police, Service public http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/136/ Autorisation unique n° AU-017 - Délibération n° 2008-491 du 11 décembre 2008 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion précontentieuse des infractions constatées par les commerçants sur les lieux de vente 11 Décembre 2008 - JORF n°0032 du 7 février 2009 page texte n° 59 - Thème(s) : Commerce, Contentieux http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/145/ Autorisation unique n° AU-018 - Délibération n°2008-579 du 18 décembre 2008 portant autorisation unique des traitements automatisés des entreprises d'assurance, des institutions de prévoyance et de leurs unions, et des mutuelles et de leurs unions mis en oeuvre aux fins de recherche des assurés et des bénéficiaires de contrats d'assurance sur la vie décédés. 18 Décembre 2008 - Thème(s) :assurance http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/144/ Autorisation unique n° AU-019 - Délibération n°2009-316 du 7 mai 2009 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail 07 Mai 2009 - JORF n°0142 du 21 juin 2009 - Thème(s) : Biométrie http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/92/ Autorisation unique n° AU-021 - Délibération n° 2009-358 du 18 juin 2009 portant autorisation unique de traitement de données à caractère personnel aux fins de dématérialisation des échanges intervenant entre les caisses régionales du Crédit agricole et les offices notariaux dans le domaine du crédit immobilier, dans le cadre de l'application Mécanotaires (Demande d'autorisation n° 1347180) 124 18 Juin 2009 - JORF n°0169 du 24 juillet 2009 - Thème(s) : Banque - Finance, Crédit, Notaires http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/212/ Autorisation unique n° AU-022 - Délibération n° 2009-359 du 18 juin 2009 portant autorisation unique des traitements automatisés de détection des alertes d'abus de marché mise en oeuvre par les organismes du groupe Caisse d'épargne (demande d'autorisation n° 1232905) 18 Juin 2009 - JORF n°0188 du 15 août 2009 - Thème(s) : Banque - Finance http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/213/ Autorisation unique n° AU-023 - Délibération n° 2009-422 du 2 juillet 2009 autorisant la mise en oeuvre au sein du groupe Crédit agricole d'un traitement automatisé de données à caractère personnel ayant pour finalité la préqualification et l'aide à la décision en matière d'octroi de crédit aux professionnels (autorisation n° 1291301) 02 Juillet 2009 - JORF n°0188 du 15 août 2009 - Thème(s) : Banque - Finance, Crédit http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/214/ Autorisation unique n° AU-024 - Délibération n° 2009-429 du 2 juillet 2009 portant autorisation unique des traitements de données à caractère personnel mis en oeuvre par les sociétés du Groupe des assurances du Crédit mutuel dont la finalité est la lutte contre le blanchiment de capitaux et le financement du terrorisme (demande d'autorisation n° 1360717) 02 Juillet 2009 - JORF n°0188 du 15 août 2009 - Thème(s) : Banque - Finance http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/215/ Autorisation unique n° AU-025 - Délibération n° 2009-641 du 26 novembre 2009 portant autorisation unique des traitements automatisés de détection des opérations susceptibles de constituer des opérations d'initiés mis en oeuvre par les établissements du groupe Crédit agricole (demande d'autorisation n° 1286261) 26 Novembre 2009 - JORF n°0003 du 5 janvier 2010 page - texte n° 69 - Thème(s) : Banque - Finance http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/220/ Autorisation unique n° AU-026 - Délibération n°2010-005 du 28 janvier 2010 portant autorisation unique de mise en place d'éthylotests anti-démarrage dans les véhicules affectés au transport de personnes 28 Janvier 2010 - Thème(s) : Déplacement, Sécurité, Service public, Collectivités locales http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/221/ Directives Européennes Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données Journal officiel n° L 281 du 23/11/1995 p. 0031 - 0050 http://eur-lex.europa.eu/smartapi/cgi/sga doc?smartapi!celexplus!prod DocNumber&lg=fr&type doc=Directive&an doc=1995&nu doc=46 Programme de Stockholm Communication du Conseil de l'Europe - mai 2010 - 38 p Journal officiel C 115 du 4/5/2010 " http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:115:0001:0038:FR:PDF Directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques Journal officiel n° L 204 du 21/07/1998 p. 0037 - 0048 L" http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31998L0034:FR:HTML Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) Journal officiel n° L 201 du 31/07/2002 p. 0037 - 0047 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT 125 Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE Journal officiel n° L 105 du 13/04/2006 p. 0054 - 0063 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:FR:HTML Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009. Journal officiel L 337 p 11 18.12.2009 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:En:PDF Décision du Conseil 93/465/CEE du 22 juillet 1993, concernant les modules relatifs aux différentes phases des procédures d'évaluation de la conformité et les règles d'apposition et d'utilisation du marquage «CE» de conformité, destinés à être utilisés dans les directives d'harmonisation technique Journal officiel n° L 220 du 30/08/1993 p. 0023 - 0039 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31993D0465:FR:HTML Textes législatifs français Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés JORF du 7 janvier 1978 page 227 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20101106 Décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 JORF n°247 du 22 octobre 2005 page 16769 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000824352&dateTexte= Décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité pris en application de l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie JORF n°0300 du 26 décembre 2008 page 20014 texte n° 35 Décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité pris en application de l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie JORF n°0300 du 26 décembre 2008 page 20014 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000019992087 Arrêté du 30 janvier 2009 portant homologation de modifications du Règlement général de l'Autorité des marchés financiers JORF n°0031 du 6 février 2009 page 2105 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020216597 Loi n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures JORF n°0110 du 13 mai 2009 page 7920 http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=0909579013271DDD40780D72C34D8FBD.tpdjo15v3? cidTexte=JORFTEXT000020604162&dateTexte=20101111 Loi n° 94-442 du 3 juin 1994 modifiant le code de la consommation en ce qui concerne la certification des produits industriels et des services et la commercialisation de certains produits JORF n° 128 du 4 juin 1994 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000713621&dateTexte= Décret n° 2002-692 du 30 avril 2002 pris en application du 1° et du 2° de l'article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics JORF n°103 du 3 mai 2002 page 8064 " http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=BE2FCA73D5B39388ACDB4EFA80DEEA36.tpdjo10v2? cidTexte=JORFTEXT000000591700&categorieLien=id Décret n°95-354 du 30 mars 1995 relatif à la certification des produits industriels et des services 126 JORF n°81 du 5 avril 1995 page 5437 http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=99D45C00D67D58524766FEC5EBBE7F68.tpdjo03v2? cidTexte=JORFTEXT000000370940&dateTexte=20101106 Décret n°84-74 du 26 janvier 1984 fixant le statut de la normalisation JORF du 1 février 1984 page 490 http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=99D45C00D67D58524766FEC5EBBE7F68.tpdjo03v2? cidTexte=JORFTEXT000000327650&dateTexte=20090617 Textes législatifs suisses Loi fédérale du 19 juin 1992 sur la protection des données (LPD) http://www.admin.ch/ch/f/rs/c235 1.html Ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD) http://www.admin.ch/ch/f/rs/ c235 11.html Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD) " http://www.admin.ch/ch/f/rs/c235 13.html Ordonnance sur le système suisse d'accréditation et la désignation de laboratoires d'essais et d'organismes d'évaluation de la conformité, d'enregistrement et d'homologation (Ordonnance sur l'accréditation et la désignation, OAccD) du 17 juin 1996 http://www.admin.ch/ch/f/rs/9/946.512.fr.pdf Directives sur les exigences minimales qu'un système de gestion de la protection des données doit remplir (Directives sur la certification de l'organisation et de la procédure) Préposé fédéral à la protection des données et à la transparence - 26 juillet 2008 http://www.admin.ch/ch/f/ff/2008/6625.pdf Textes législatifs allemands State Data Protection Act Schleswig-Holstein - LDSG https://www.datenschutzzentrum.de/material/recht/ldsg-eng.htm Etudes Rapport du CNC sur la protection des données à caractère personnel Conseil National de la Consommation - mai 2010 - 12 p http://www.finances.gouv.fr/conseilnationalconsommation/avis/2010/180510protection donnees perso.pdf Normalisation, certification : quelques éléments de définition Agnes Grenard - Revue d'économie industrielle. Vol. 75. 1er trimestre 1996. Normalisation et organisation de l'industrie. pp. 45-60. http://www.persee.fr/web/revues/home/prescript/article/rei 0154-3229 1996 num 75 1 1604 Safe Harbor principle CNIL.fr - Rubrique «transferts» - non daté " http://www.cnil.fr/fileadmin/documents/Vos responsabilites/Transferts/CNIL-transferts-SAFE HARBOR.pdf Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel OCDE - Septembre 1980 127 http://www.oecd.org/document/20/0,3343,fr 2649 34223 15591797 1 1 1 1,00.html Le texte est accessible gratuitement en anglais http://www.oecd.org/document/18/0,3343,en 2649 34255 1815186 1 1 1 1,00.html Présentation ISO/IEC 17021 ISO/IEC 17021 : Une recette pour réussir Alister DALRYMPLE Novembre 2007 - AFNOR/AFAQ 23 pages HYPERLINK http://www.iso.org/iso/livelinkgetfile? llNodeId=142305&llVolId=-2000 Les référentiels d'audit Privacy Audit Framework under the new Dutch Data Protection Act (WBP) Co-operation Group Audit Strategy - Version 1 Ð 2001 - 53 p http://www.dutchdpa.nl/Pages/en ind wetten zelfr compliance.aspx Data Protection Audit Manual Information Commissioner Office - version 1 Ð June 2001 Ð 166 p http://www.ico.gov.uk/upload/documents/library/data protection/practical application/ data protection complete audit guide.pdf Anwendungsbestimmungen des Unabhngigen Landeszentrums für Datenschutz zur Durchführung eines Datenschutzaudits. Amtsblatt Schl.-H 13/2001, S.196-200 https://www.datenschutzzentrum.de/material/recht/audit.htm « Privacy Framework » APEC 2004 - version 1 http://www.ag.gov.au/www/agd/rwpattach.nsf/VAP/(03995EABC73F94816AF4AA2645824B)~APEC+Privacy +Framework.pdf/$file/APEC+Privacy+Framework.pdf APEC Data Privacy Pathfinder Projects Implementation Work Plan 17th Electronic Commerce Steering Group Meeting - février 2008 http%3A%2F% 2Faimp.apec.org%2FDocuments%2F2009%2FECSG%2FSEM1%2F09 ecsg sem1 027.doc Deutsche Telekom Data Practice report: the internal data protection audit, Dr. Claus D. Ulmer and Werner Zwick, Deutsche Telekom - 2003 Data Protection label SQS, Good Priv@cy, Regulations relating to requirements Swiss Association for Quality and Management Systems (SQS) mars 2002 Regulations relating to requirements of the data protection label Swiss Association for Quality and Management Systems (SQS) août 2002 Checklist for auditing the requirements of GoodPriv@cy® Swiss Association for Quality and Management Systems (SQS) mars 2002 Data Privacy Compliance Program IMS health AICPA/CICA Privacy Framework Assurance Services Executive Committee of the AICPA and the Assurance Services Development Board of the CICA Novembre 2003 http://www.aicpa.org/download/innovation/baas/ewp/privacy framework.pdf Privacy Audit Manual The Privacy Commissioner of Australia http://www.privacy.gov.au/publications/ippam1a.pdf` http://www.privacy.gov.au/publications/tfnam.pdf 128 http://www.privacy.gov.au/publications/cap.pdf Privacy Questionnaire: Is Your Business Ready? Questionnaire sur la protection des renseignements personnels Privacy Commissioner of Canada - Mars 2004 http://29717.vws.primus.ca///ekit/quest01f.asp EuroPriSe Criteria v 2010/05 - mai 2010 EuroPriSe Criteria v 2010/05 (PDF) Description of EuroPriSe Criteria and Procedures Version 1.1 février 2009 HYPERLINK https://www.european-privacy-seal.eu/results/deliverables/procedures/view Premières décisions de la CNIL en matière d'autorisations CNIL.fr - Rubrique «commentaires sur le loi» - non daté Principe de responsabilité Opinion WP 168 sur l'avenir de la protection des données personnelles Contribution du G29 et du Groupe Police et Justice décembre 2009 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp168 fr.pdf Opinion WP 173 sur le principe de responsabilité G 29 - Juillet 2010 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173 fr.pdf Data Protection Accountability: The Essential Elements A Document for Discussion Centre for Information Policy Leadership - Octobre 2009 http://www.ftc.gov/os/comments/privacyroundtable/544506-00059.pdf Demonstrating and Measuring Accountability A Discussion Document Accountability Phase II - The Paris Project Centre for Information Policy Leadership Octobre 2010 http://www.huntonfiles.com/files/webupload/CIPL Accountability Phase II Paris Project.PDF «Une approche globale de la protection des données à caractère personnel dans l'Union européenne» Communication de Commission européenne du 4 novembre 2010 http://ec.europa.eu/justice/policies/privacy/review/index en.htm " http://ec.europa.eu/justice/news/consulting public/0006/com 2010 609 fr.pdf Articles divers European Commission Outlines Strategy for Revision of the Data Protection Directive cabinet HUNTON & WILLIAMS LLP - 4 novembre 2010 L'agrément CNIL n'existe pas Arnaud Belleil - Cecurity.com - 4 novembre 2010 1 page http://www.cecurity.com/site/PubArt201006.php La régulation économique des données à caractère personnel Arnaud Belleil, Legicom N°42 - 2009/1 129 Programmes de conformité, une obligation ? Nul n'est censé ignorer la loi Philippe Bouchez El Gouzi - magazine Décideurs- mai 2010 Protection des données personnelles : la mise en oeuvre de l'ISO 27001 par la Cnil Suisse, un exemple à suivre ? Bruno Rasle - eweekeurope.fr - octobre 2008 " http://www.eweekeurope.fr/opinion/protection-des-donnees-personnelle---la-mise-en-oeuvre-de-l-iso-27001-par-la-cnil-suisse--un-exemple-a-suivre--172 The APEC Asia-Pacific Privacy Initiative - a new route to effective data protection or a trojan horse for self-regulation ? Nigel Waters - Pacific Privacy Consulting - Australia Privacy Laws and Business 21st Annual International Conference - Cambridge - juillet 2008 http://www.pacificprivacy.com.au/NW%20APEC%20paper%20final.pdf Asia-Pacific developments in information privacy law and its interpretation Graham leaf - Faculty of Law, University of New South Wales Privacy issue Forum 30 march 2006 - New Zealand http://privacy.org.nz/assets/Files/74942725.ppt Privacy International report on APEC developments March 2010 Data Privacy Subgroup Meeting in Hiroshima, Japan, Nigel Waters , Privacy International, 26-28 February 2010. http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-566294 Critical elements of the Cross Border Privacy Rules system yet to be resolved - some APEC economies progress privacy regulation in the meantime Report on APEC Privacy developments, Nigel Waters - September 2010 http://www.cyberlawcentre.org/ipp/apecprivacyframework/apecupdatesept10.pdf 10th Anniversary of Safe Harbor - many reasons to act, but none to celebrate Communiqué de presse - Datenshutz Schleswig Holstein 23 juillet 2010 https://www.datenschutzzentrum.de/presse/20100723-safe-harboren.htm Why won't people pay for privacy ? Declan McCullagh - Cnetnews - 28 janvier 2010 http://news.cnet.com/8301-135783-10443575-38.html Informatique et libertés 2.0 Rapport d'atelier de la foundation Internet Nouvelle Génération (FING) - janvier 2009 http://www.identitesactives.net/?q=informatique-et-libertes-20-1 «Cap sur la labellisation informatique et libertés» 01 informatique - 26 Aout 2010 f" http://www.afcdp.net/IMG/pdf/CapsurlalabellisationIL01Informatique26aout2010.pdf Ouvrages généraux Discours de la servitude volontaire Etienne de la Boétie http://books.google.fr/books?id=i9ab4fXDPVYC&printsec=frontcover&dq=Discours+de+la+servitude +volontaire&source=bl&ots=NA72HpkHOM&sig=1-XobkHcoj59vDGrln1zjNUDxBY&hl=fr&ei=C7baTMCfNpiT4gby8ZzBCg&sa=X&oi=book result&ct=result&resnum=1&ved =0CBoQ6AEwAA#v=onepage&q&f=false Informatique, libertés, identités Daniel Kaplan - avril 2010 - Fyp Editions La vie privée, un problème de « vieux cons » ? 130 Jean Marc Manach Ð Septembre 2010 - Fyp Editions |
|