Lancement des premiers labels CNIL
Les entreprises respectueuses de la protection des données personnelles en matière d’audit et de formation peuvent désormais entreprendre des démarches auprès de la CNIL pour labelliser leurs procédures. Le label CNIL qu’elles obtiendront sera la reconnaissance par la CNIL que leur procédure est conforme aux dispositions de la Loi Informatique et Libertés.
Labellisation CNIL
En 2009, la loi Informatique et libertés avait été modifiée afin d’encadrer une nouvelle mission de la CNIL, la labellisation. Cette labellisation se fait par la CNIL à la demande des organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements.
La loi précise que la CNIL délivre un label à « des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel, après qu’elle les a reconnus conformes aux dispositions de la présente loi. »
Néanmoins, la CNIL n’avait jusqu’à présent pas encadré les modalités de demande ni de délivrance du label.
Il a fallu attendre le 8 septembre dernier pour que la CNIL procède à la modification de son règlement intérieur en son chapitre IV bis intitulé « Procédure de labellisation » afin de mettre en œuvre son nouveau pouvoir.[1]
Elle y définit les procédures à suivre, notamment en ce qui concerne l’élaboration de référentiels permettant d’évaluer les produits ou les procédures des demandeurs de label et les demandes d’obtention de label.
Création d’un label CNIL
La première étape dans la labellisation par la CNIL consiste à établir des « référentiels définissant les caractéristiques que doit présenter un produit ou une procédure afin que celui-ci soit reconnu conforme aux dispositions de la loi du 6 janvier 1978 ».
Un référentiel est une liste d’exigences auxquelles un produit ou une procédure doit répondre pour obtenir une labellisation.
Le 3 novembre, la CNIL a adopté ses deux premiers référentiels d’évaluation. Ils s’adressent :
1) aux entreprises spécialisées dans les procédures d’audit de traitements de données à caractère personnel.[2]
Un audit de traitement permet de vérifier la conformité des traitements d’une entreprise cliente à la loi Informatique et Libertés. Cette procédure d’audit peut être mise en œuvre par des prestataires (cabinets de conseils, d’avocats, etc) ou par des entreprises (audit interne). Le référentiel en question décrit la manière dont un tel audit doit être préparé, réalisé et finalisé. Il comprend également des exigences relatives à l’organisme réalisant l’audit et aux auditeurs eux-mêmes.
2) aux entreprises qui dispensent des formations « informatique et libertés » (sur la protection des libertés et de la vie privée).[3]
Ce référentiel définit la liste des exigences relatives aux formateurs, aux modalités pratiques de réalisation et de formation et à son contenu.
Ces deux référentiels d’évaluation ont été créés à la demande d’organisations professionnelles, le club EBIOS (Communauté d’experts en gestion des risques) et de l’AFCDP (Association française des correspondants aux données personnelles). La demande de création d’un référentiel d’évaluation peut être formulée soit par une organisation professionnelle soit par une institution regroupant principalement des responsables de traitement. L’organisme en question demande à la CNIL d’adopter un référentiel sur une nouvelle catégorie de produits ou de procédures, demande à laquelle la CNIL n’est cependant pas tenue d’accéder.
Grâce au label conféré sur la base de ces référentiels d’évaluation, les consommateurs et les utilisateurs pourront distinguer (et donc éventuellement privilégier) les produits et procédures qui garantissent un haut niveau de protection des données personnelles. Le label constitue en quelque sorte un « indicateur de confiance ». Pour l’entreprise, l’intérêt est de se distinguer par la qualité de son produite ou de sa procédure.
Avec ces deux premiers référentiels d’évaluation dédiés aux procédures d’audit et de formation, il s’agit moins de labelliser les produits destinés aux consommateurs que de labelliser ceux chargés de vérifier le bon respect de la loi. Cependant, il s’agit là d’une première étape dans la labellisation CNIL. D’autres référentiels d’évaluation doivent bientôt voir le jour, le prochain annoncé concernant les logiciels et les systèmes informatiques.
Aujourd’hui donc, tout organisme dont la procédure d’audit de traitement ou de formation correspond au contenu défini par les deux référentiels d’évaluation adoptés le 3 novembre peut déposer une demande de label auprès de la CNIL.
Obtention d’un label
Concrètement, pour demander un « label CNIL », il faut télécharger le dossier de candidature sur le site Internet de la Commission (www.cnil.fr) et lui retourner complété avec tous les éléments d’information demandés (par voie postale ou par courriel).
À compter de la réception du dossier, la CNIL dispose d’un délai de deux mois pour examiner la recevabilité de la candidature ; elle vérifie notamment que le produit ou la procédure pour lequel ou laquelle est demandé un label remplit les exigences définies dans le référentiel concerné. Une fois le label octroyé, il est valable trois ans renouvelable dans les six mois précédant la date d’échéance dudit label.
Son titulaire est alors autorisé à utiliser le logo « Label CNIL » :
Les décisions de délivrance d’un label, de retrait ou de reconduction d’un label sont rendues publiques et la CNIL tient à la disposition du public sur son site la liste des produits et procédures labellisés. Cette liste précise la date à laquelle expire le label ainsi que le nom de son titulaire.
[1] Délibération no 2011-249 du 8 septembre 2011 portant modification de l’article 69 du règlement intérieur de la Commission nationale de l’informatique et des libertés et insérant un chapitre IV bis intitulé « Procédure de labellisation ».
[2] Délibération n° 2011-316 du 6 octobre 2011 portant adoption d’un référentiel pour la délivrance de labels en matière de procédure d’audit tendant à la protection des personnes à l’égard du traitement des données à caractère personnel, publiée au JO du 3 novembre 2011.
[3] Délibération n° 2011-315 du 6 octobre 2011 portant adoption d’un référentiel pour la délivrance de labels en matière de formation tendant à la protection des personnes à l’égard du traitement des données à caractère personnel, publiée au JO du 3 novembre 2011.