Protection des données personnelles, vers un label CNIL

La Commission nationale informatique et libertés (CNIL) va certifier la qualité et la conformité aux exigences fixées par la loi Informatique et libertés des produits et procédures soumis à son contrôle. Elle va ainsi accorder son label CNIL à des formations ou encore des procédures d’audit proposées par des professionnels de l’audit technique et juridique. Il ne sera donc pas délivré de label directement aux entreprises contrôlées. Pour les utilisateurs, le label CNIL va devenir « un indicateur de confiance dans les produits ou procédures labellisés (…) qui leur permettra aisément d’identifier et de privilégier ceux qui garantissent un haut niveau de protection de leurs données personnelles ».
Pourront notamment être labellisés les produits ou services suivants : moteur de recherche sur Internet, service de transaction électronique en ligne pour un site de commerce électronique, logiciel de gestion de données de santé utilisé au sein d’un hôpital, logiciel de gestion du parc automobile d’une entreprise, logiciel utilisé en matière de publicité comportementale, dispositif de caméra de surveillance, etc. Début novembre 2011, seuls deux référentiels d’évaluation, permettant à la CNIL de labelliser des procédures d’audit de traitements de données et des formations Informatique et libertés, ont été publiés au Journal officiel. Il s’agit du :
 référentiel n° 1 relatif aux procédures d’audit de traitements, qui détermine une série d’exigences relatives à la compétence des auditeurs, à la méthode utilisée et au périmètre de l’audit. Il s’agit de la procédure d’audit utilisée (par ces cabinets d’avocats, de conseil, etc.) pour vérifier que les traitements d’une entreprise cliente sont conformes à la loi Informatique et libertés.
 référentiel n° 2 relatif aux formations, qui définit la liste des exigences relatives aux formateurs, aux modalités pratiques de réalisation de la formation et à son contenu. Les premières demandes de labellisation peuvent dès lors être envoyées à la CNIL, dans la perspective de l’obtention du label certifié CNIL respect de la loi Informatique et libertés. La décision de recevabilité de la demande intervient au plus tard deux mois après la date de réception de la demande, sachant que le délai nécessaire à l’instruction peut varier en fonction de la complexité du produit ou de la procédure.
Pour en savoir plus : http://www.cnil.fr/la-cnil/labellisation/