Actualité : article de veille

Le label CNIL pour les entreprises respectueuses de la vie privée

Le 22/09/2011 par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...


La CNIL met en place une procédure de labellisation des produits ou des procédures respectueuses de la vie privée des internautes.

Introduction

Suite à une consultation en ligne ouverte durant plusieurs mois au cours de l'année 2010 sur les questions du droit à l'oubli et la protection des données personnelles à l'ère du numérique, le groupe de travail "Ethique du Numérique" composé de 28 députés de la majorité, avait publié à la mi-2010 un rapport contenant une série de propositions visant principalement à définir une économie générale de la régulation sur internet, organisée autour des enjeux suivants :

  • le droit à l'oubli ;
  • les données personnelles ;
  • la protection des consommateurs sur Internet ;
  • la protection des mineurs face aux risques du numérique ;
  • internet et propriété intellectuelle ;
  • la neutralité des réseaux.

Confortant un souhait de la Commission nationale de l'informatique et des libertés exprimé en juin 2009, ce rapport suggère notamment d'entreprendre une démarche de labellisation des entreprises respectueuses de la vie privée.

Par délibération du 8 septembre 2011, la Commission nationale de l'informatique et des libertés (CNIL) a modifié l'article 69 de son règlement intérieur, afin de procéder à la mise en place de cette nouvelle procédure de labellisation.

Valable pour une durée de 3 ans renouvelable, le "label CNIL" sera délivré aux produits ou aux procédures assurant la protection des personnes à l'égard du traitement des données à caractère personnel, conformément aux dispositions de la loi du 6 janvier 1978 modifiée.
L'objectif de la CNIL est de devenir "un véritable régulateur économique", et va en ce sens définir des référentiels et des règles précises encadrant la délivrance d'un label.

Basée sur le volontariat, l'obtention de ce Label CNIL permettra aux entreprises de valoriser la qualité de leur service et/ou ses produits, et aux utilisateurs, de bénéficier "d'indicateurs de confiance dans les produits labellisés en leur permettant aisément d'identifier et privilégier les produits garantissant un haut niveau de protection de leurs données personnelles".
Notons toutefois que l'obtention de ce label donnera lieu à la perception d'un droit, dont le montant devrait varier en fonction du produit ou des services pour lesquels le label est sollicité.

Les sociétés de services et les cabinets d'avocats qui proposent actuellement des services d'audits informatique et libertés - destinés aux organismes désireux de faire un bilan de leur politique de protection des données à caractère personnel - devront elles aussi obtenir le label de la CNIL sur leurs procédures d'audit ou les formations informatique et libertés qu'ils proposent. L'examen de la CNIL portera sur le contenu, la forme et la méthodologie.

Exemples de produits ou services qui pourront être labellisés

  • un moteur de recherche sur Internet,
  • un service de transaction électronique en ligne pour un site de commerce électronique,
  • un logiciel de gestion de données de santé utilisé au sein d'un hôpital,
  • un logiciel de gestion du parc automobile d'une entreprise,
  • un logiciel utilisé en matière de publicité comportementale,
  • un dispositif de caméra de surveillance,
  • etc.

Rappelons que la CNIL souhaite s'inscrire dans le cadre d'une démarche communautaire avec le développement d'une labellisation à l'échelle européenne, en s'appuyant sur l'expérience acquise dans le projet européen EuroPrise.

Dépôt et examen de la recevabilité d'un dossier de demande de label

Première phase

Dès à présent, il appartient à une organisation professionnelle ou à une institution regroupant principalement des responsables de traitements, de demander à la commission de créer un label relatif à des produits ou des procédures.

La présidente de la CNIL - Isabelle Falque-Pierrotin (qui remplace depuis le 21 septembre 2011 Alex Türk) - sur proposition du comité de labellisation, informera l'organisation ou l'institution, à l'origine de la demande, de l'opportunité pour la commission de faire suite à cette demande.

Lorsque le président de la commission estime opportun de donner suite à cette demande, un référentiel définissant les caractéristiques que doit présenter un produit ou une procédure afin que celui-ci soit reconnu conforme aux dispositions de la loi du 6 janvier 1978 modifiée, est élaboré. Ce référentiel précise les modalités d'appréciation de cette conformité et, le cas échéant, les particularités relatives aux vérifications subséquentes à la délivrance du label.

Seconde phase

La demande de délivrance d'un label se fera via un formulaire à remplir accompagné de ses annexes. Cette demande devra préciser le référentiel auquel se rapporte le produit ou la procédure et devra comporter notamment la description du produit ou de la procédure à évaluer ainsi que les objectifs ou garanties particulières en termes de protection des données attestant de la conformité du produit ou de la procédure à ce référentiel.

La demande d'obtention d'un label pour un produit ou une procédure doit être adressée à la commission par lettre remise contre signature.
Un numéro d'enregistrement est attribué par la commission à chaque demande. Il constitue une référence obligatoire en cas de demandes ultérieures relatives au même produit ou procédure.

Plusieurs personnes juridiques distinctes peuvent solliciter un label de manière conjointe, aux fins de faire un usage commun du produit ou de la procédure labellisée. Dans une telle hypothèse, le dossier de demande de label comporte l'engagement de ces personnes de maintenir leur collaboration pendant toute la durée du label. En cas d'interruption de la collaboration des organismes ayant obtenu la délivrance d'un label conjoint, le ou les organismes qui souhaiteraient conserver le label doivent déposer une nouvelle demande en ce sens à la commission.

Le président examine la recevabilité de la demande dans un délai de 2 mois à compter de l'attribution du numéro d'enregistrement. Afin d'être recevable, la demande doit être complète et le produit ou la procédure objet de celle-ci doit correspondre au référentiel auquel il se rapporte.
Le président notifie au demandeur, par lettre remise contre signature, le caractère recevable ou irrecevable de sa demande.
Lorsque la demande est recevable, le président informe également le demandeur du délai nécessaire pour procéder à l'évaluation du produit ou de la procédure.
La demande est réputée rejetée en cas d'absence de réponse du président dans un délai de 2 mois à compter de la réception de la demande.

Evaluation du produit ou de la procédure

L'instruction de la demande consiste à évaluer la conformité du produit ou de la procédure au référentiel auquel il se rapporte. Cette évaluation est réalisée par les services de la commission qui peuvent soumettre le produit ou la procédure à des tests visant à vérifier sa conformité au référentiel.
Dans le cadre de cette évaluation, les services peuvent demander communication de toutes pièces utiles et entendre toutes personnes susceptibles de fournir les informations nécessaires relatives au produit ou à la procédure évaluée.
Le demandeur peut, à tout moment, modifier ou retirer sa demande initiale par voie postale.

Au terme de la période d'instruction, le ou les rapporteurs désignés parmi les membres du comité de labellisation établissent un rapport concluant, ou non, à la conformité du produit ou de la procédure évaluée au référentiel auquel il se rapporte.
Le rapport et le projet de délibération correspondants sont inscrits à l'ordre du jour de la séance plénière de la commission.

Si la commission réunie en formation plénière reconnaît que le produit ou la procédure est conforme au référentiel auquel il se rapporte, elle délivre un label. Dans le cas contraire, le label est refusé.

© 2011 Net-iris

Pour approfondir ce sujet :

Commentaires et réactions :