La CNIL va proposer une nouvelle procédure de contrôle de conformité préalable qui débouchera sur l'obtention d'un Label

Comment savoir si un produit, un dispositif ou une procédure est conforme en tous points à la loi Informatique et Libertés ?

Soucieuse de répondre aux attentes des entreprises qui souhaitent s'assurer de leur respect de la loi, la Commission nationale informatique et libertés (CNIL) va prochainement leur proposer d'obtenir un Label de conformité certifié CNIL.

En effet, il existe aujourd'hui de nombreuses possibilités de surveillance et de détournement de données personnelles. Les citoyens et les entreprises qui ne sont pas toujours correctement informés, n'ont souvent pas d'autres choix que de croire sur parole leur fournisseur quand ils utilisent des produits ou des services liés à la protection des données personnelles (protection des fichiers, non communication à des tiers, etc.).

Or, aujourd'hui, il n'existe pas d'indicateur fiable permettant de choisir un produit ou un service qui respecte les principes de protection des données personnelles.
Basée sur le volontariat, l'obtention de ce Label CNIL permettra à l'entreprise de valoriser la qualité de son service et/ou de ses produits, et aux utilisateurs, de bénéficier "d'indicateurs de confiance dans les produits labellisés en leur permettant aisément d'identifier et privilégier les produits garantissant un haut niveau de protection de leurs données personnelles", explique la CNIL dans un communiqué.

La Commission devrait confier l'évaluation des produits candidats à la labellisation à des experts extérieurs indépendants, avec lesquels elle aura au préalable passé des conventions (détermination d'un cahier des charges, prix de la prestation, etc.), mais au final, il lui reviendra de décider ou non d'attribuer un label à un produit, sur la base des résultats de l'évaluation réalisée.

Pour la CNIL, la création du "Label Informatique et Internet" sera à la fois "un outil d'incitation et de distinction des bonnes pratiques, dans la mesure où les labels constitueront un vecteur de diffusion des règles informatique et libertés", mais aussi le moyen de devenir un interlocuteur incontournable dans le domaine.

Exemple de produits ou services qui pourront être labellisés

• un moteur de recherche sur Internet
• un service de transaction électronique en ligne pour un site de commerce électronique
• un logiciel de gestion de données de santé utilisé au sein d'un hôpital
• un logiciel de gestion du parc automobile d'une entreprise
• un logiciel utilisé en matière de publicité comportementale
  
• un dispositif de caméra de surveillance, etc.
  

Au final, la CNIL souhaite s'inscrire dans le cadre d'une démarche communautaire avec le développement d'une labellisation à l'échelle européenne, en s'appuyant sur l'expérience acquise dans le projet européen EuroPrise.

Ajoutons que l'obtention de ce label donnera lieu à la perception d'un droit, dont le montant devrait varier en fonction du produit ou des services pour lesquels le label est sollicité, mais aussi en fonction de la qualité de l'expert extérieur amené à intervenir.