Une nouvelle étape vient d’être franchie en vue de la création et de la délivrance de labels « CNIL », futurs gages de sécurité.
La possibilité pour la CNIL de délivrer des labels à des produits ou à des procédures conformes à la loi informatique et liberté a été introduite dans la loi dès 2004. Cependant, la CNIL ne disposait pas véritablement de moyens de délivrer des labels en raison de l’absence de décret d’application, du manque de personnel et de l’impossibilité de faire intervenir des experts externes.
La loi du 13 mai 2009 relative à la simplification et à la qualification du droit a levé les principaux obstacles à la délivrance de labels, en autorisant la CNIL à «recourir à toute personne indépendante qualifiée» pour évaluer un produit ou une procédure, et en précisant en outre que «le coût de cette évaluation est pris en charge par l’entreprise qui demande le label».
Plus récemment, la délibération n°2011-249 du 8 septembre 2011, venant modifier le règlement intérieur de la CNIL, a finalement consacré ce pouvoir de labellisation, en définissant les modalités pratiques de sa mise en œuvre.
Le 3 novembre 2011 les deux premiers référentiels d’évaluation ont été publiés. Ils permettront à la CNIL de labelliser :
• des procédures d’audit de traitements de données et
• des formations "Informatique et libertés.
Ceci ouvre donc concrètement la voie aux premières demandes de label.
Première étape : la création d’un label
• La création d’un label interviendra à la demande d’une organisation professionnelle ou d’une institution regroupant principalement des responsables de traitement. La CNIL, en la personne de son Président et sur proposition du « comité de labellisation », décidera ou non de donner suite à cette demande. Les deux premiers référentiels ont été créé à la demande du Club EBIOS (communauté d’experts en gestion des risques) et de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP).
• Le cas échéant, la CNIL élabore un référentiel qui précisera les caractéristiques que doit présenter le produit ou la procédure ou les modalités d’appréciation de la conformité du produit ou de la procédure aux caractéristiques, (ainsi que des éventuelles vérifications postérieures à l’attribution du label). Dans le cadre de cette élaboration, la CNIL peut recueillir l’avis des représentants des parties intéressées et notamment des associations ou organismes représentatifs des professionnels et des usagers.
Les décisions créant un label sont prises par la CNIL en formation plénière
Deuxième étape: l’attribution d’un label
• Une fois le référentiel publié, les organismes souhaitant obtenir un label devront remplir un formulaire qui sera disponible sur le site de la CNIL. La CNIL a créé une page dédiée sur son site www.cnil.fr/la-cnil/labellisation qui donne accès aux référentiels et aux formulaires
• Celle-ci disposera d’un délai de deux mois pour examiner la recevabilité de la demande. L’absence de réponse vaudra refus.
• Si la demande est déclarée recevable, la CNIL signifiera à l’organisme le délai nécessaire pour procéder à l’instruction de sa demande. La décision sera prise sur la base d’un rapport par des membres du comité de labellisation. Au titre de cette instruction, la CNIL pourra demander la communication de toutes pièces utiles ou l’audition du demandeur. Elle vérifiera alors la compatibilité entre le référentiel et la procédure mis en œuvre par l’organisme demandeur. Le président peut en raison de la complexité du produit ou si la procédure le justifie recourir à toute personne indépendante qualifiée.
• La demande de label peut être retirée à tout moment par l’organisme ;
• Le coût de l’évaluation est pris en charge par l’organisme qui demande la délivrance du label ;
• Le label est délivré en formation plénière ;
• Le label est délivré sera valable trois ans ;
• L’organisme pourra alors afficher le logo « Label CNIL ».
La période post délivrance
• Le label pourra être retiré à tout moment si les dispositions du référentiel ne sont plus respectées.
• La CNIL doit être informée de toute modification du produit ou procédé.
• Pour renouveler le label, il faudra adresser une demande au moins 6 mois avant la date d’échéance.
• En cas de refus, il y aura des voies de recours seront ouvertes.
Pour quels types de produits et de services ?
• Le référentiel relatif aux procédures d’audit de traitements détermine une série d’exigences relatives à la compétence des auditeurs, à la méthode utilisée et au périmètre de l’audit.
• Le référentiel relatif aux formations définit la liste des exigences relatives aux formateurs, aux modalités pratiques de réalisation de la formation et à son contenu. .
Dans un second temps, la CNIL envisage de mettre en œuvre un processus de labellisation des logiciels ou des systèmes informatiques apportant des garanties particulières au regard de la protection des données.
La CNIL a indiqué sur son site que «ce pouvoir de labellisation représente pour elle une réelle opportunité. Il lui permettra de se positionner comme une référence dans le paysage économique et technologique. Il transformera la CNIL en un véritable régulateur économique pouvant orienter le marché vers les solutions les plus protectrices en matière de vie privée. »
En effet, il est probable qu’à l’avenir le label constitue un gage de qualité, voire même un avantage concurrentiel.
La CNIL pourrait s’inspirer du projet européen « EuroPriSe » (www.european-privacy-seal.eu), auquel elle a d’ailleurs participé, qui délivre des labels relatifs à la protection des données personnelles. Le moteur de recherche « Ixquick », le service bancaire en ligne « BGNetPlus » ou le service d’activation et de gestion de licences logicielles de Microsoft ont par exemple déjà été labellisés par EuroPriSe.
Reste à savoir quel sera le coût d’une telle certification (tant le coût auprès de la CNIL que le coût de la mise en conformité) et si la CNIL compte en faire une source de revenu.
Il semble par ailleurs que les labels soient à la mode sur Internet, puisque l’Hadopi a également lancé son label PUR, qui permet d’identifier les offres légales disponibles sur le marché de la culture.